Keynote F-Secure

Cette conférence est animée par Mikko Hypponen, Chief Research Officier chez F-Secure. Dans un contexte où les cyberattaques dont devenues la norme et où les attaquants se multiplient, il importe de comprendre qui sont les pirates.

Stuxnet et l’ère du cybersabotage

C’est en 2010 que les équipes de la société F-Secure ont appris leur meilleure leçon sur les risques s’appliquant aux systèmes de contrôle industriels et à l’automatisation des usines. En effet, c’est cette année que le ver informatique Stuxnet a vu le jour. Dans ce secteur d’activité, les spécialistes parlent d’une époque pré-Stuxnet, et d’une époque post-Stuxnet.

Ce ver informatique recherchait une usine très spécifique, comportant des convertisseurs de puissance à haute fréquence positionnés dans un ordre ne pouvant correspondre qu’à un lieu unique dans le monde. Les experts de F-Secure avaient déjà des suspicions, car durant l’été 2010, les tensions à propos du programme nucléaire iranien atteignaient leur point culminant. Le malware Stuxnet était donc potentiellement une arme ciblant le nucléaire iranien.
Il fallait donc découvrir si l’une des centrales nucléaires iraniennes avait une configuration telle que celle recherchée par ce ver informatique. La réponse a été trouvée tout simplement sur le site du président iranien de l’époque, à partir de quelques photos de sa visite de la centrale de Natanz en 2008, soit tout juste deux ans plus tôt.
Il s’agissait alors d’un usage gouvernemental de cyberpuissance. Or, si les gouvernements s’intéressent aux cyberarmes, c’est qu’elles sont à la fois efficaces, accessibles et qu’elles peuvent être déniées. Une combinaison des plus intéressante et unique pour un type d’armement.
Mais Stuxnet n’était pas une attaque réalisée dans le cadre d’une cyberguerre. En effet, les attaquants (les États-Unis et Israël) n’étaient pas en guerre avec la cible (l’Iran). Il s’agissait donc davantage de cybersabotage. Les mots ont un sens et quels que soient les grands titres des médias, la plupart des États qui sont analysés par les experts en sécurité informatique ne sont pas en guerre. Ils sont la cible ou les initiateurs d’espionnage ou de sabotage.

Qu’est-ce qu’une cyberguerre ?

À l’été 2017 a eu lieu la désormais célèbre attaque de Petya, un ransomware ciblant les ordinateurs Windows utilisant un logiciel de comptabilité développé à Kiev, en Ukraine. Ce logiciel, qui était utilisé par des compagnies uniquement basées en Ukraine, représente une situation unique dans l’Histoire de la sécurité informatique.
Des attaquants russes inconnus ont outrepassé la sécurité du serveur de la compagnie du logiciel. Le 29 juin 2017, ils ont utilisé la mise à jour officielle du serveur pour envoyer un patch à tous les utilisateurs, à savoir Petya lui-même. Dès lors qu’un poste utilisait ce logiciel ce jour-là, il infectait sa société et Petya commençait immédiatement à se répandre sur le réseau de l’entreprise. Le ransomware entreprenait alors d’écraser le master boot records des ordinateurs portables, des desktops et des serveurs.
Le premier pays touché était l’Ukraine, et ce n’était pas la première fois que la Russie visait ce pays. Les deux nations sont en guerre, et dans ce cadre, ce genre d’attaque constitue une cyberguerre. Et ce d’autant plus que la première attaque, ayant eu lieu deux ans plus tôt en décembre 2015, avait ciblé le second fournisseur d’électricité du pays. En privant plus de 250 000 civils d’électricité par temps de grand froid, la Russie avait déjà initié une offensive très sérieuse.
La cyberguerre est un nouveau domaine technologique de la guerre et du conflit. Il intervient après le passage successif d’une guerre de terre (à l’aide d’épées, d’arcs et de flèches) à des guerres de mer (technologie de navigation) et à des guerres aériennes (aéronautique). Sont venues ensuite les guerres de satellites et de l’espace. Aujourd’hui, le nouveau champ de conflit est le cyberespace.
Pourtant, des entreprises autres qu’ukrainiennes ont été touchées durant cet épisode. C’est le cas de marques internationales telles qu’Oreo, Durex, Saint-Gobain ou encore Nivea, qui gèrent des affaires partout dans le monde y compris en Ukraine.
Ces marques devaient des taxes à l’État ukrainien, et il aura suffi d’un seul poste de travail utilisant le logiciel infecté pour que le malware contourne la sécurité informatique. Il se sera alors inexorablement répandu au sein de réseaux incorrectement segmentés et insuffisamment sécurisés.
L’extension de NotPetya aux entreprises occidentales était soit un dommage collatéral, soit un message qui leur était directement adressé afin de limiter leurs contacts commerciaux avec l’Ukraine. Quoi qu’il en soit, il s’agit à ce jour de l’incident de sécurité informatique le plus coûteux de l’Histoire.

Comment faire face aux cyberattaques ?

Pendant des années, les experts en sécurité informatique ont conseillé aux entreprises de mettre en place de puissants firewalls, mécanismes de prévention d’intrusion, filtres, proxies et antivirus, à la manière d’un coffre-fort inviolable. Mais si un pirate pénètre à l’intérieur de ce coffre-fort d’une manière non envisagée, il s’avère extrêmement compliqué de détecter rapidement l’intrusion. En moyenne, il faut 200 jours à une société pour se rendre compte qu’elle a été hackée.
Les experts en sécurité informatique de F-Secure disposent désormais de capteurs pouvant être placés à l’intérieur des réseaux pour collecter des informations afin de déterminer ce qui est normal. Une fois que cela est établi, ils sont en mesure de cibler les anomalies en utilisant des techniques avancées telles que le machine learning, avant de s’en remettre à l’expertise d’analystes humains.
Mais le challenge qui s’impose aux professionnels de la sécurité informatique est de plus en plus complexe. En effet, aujourd’hui, tout devient un ordinateur, se retrouve connecté, et devient « smart ». Ce ne sont plus seulement les ordinateurs qu’il faut protéger, mais également l’ensemble des nouveaux terminaux : smartphone, smart Watch et dans un avenir proche smart car et smart city.
À titre l’exemple, des milliers de numéros de cartes de crédit ont pu être dérobés il y a quatre ans via les terminaux officiels d’un grand distributeur. Pour ce faire, les attaquants sont passés par le système de ventilation du magasin, puis par son réseau central, son réseau financier et enfin les terminaux de cartes bancaires.
En conclusion, même si empêcher quiconque de pénétrer à l’intérieur du réseau est important en termes de sécurité informatique, il est tout aussi essentiel de savoir comment détecter une brèche rapidement, et de savoir comment y répondre. Car plus important est le réseau, plus importantes sont les chances qu’il soit infecté.

Intervenant : Mikko Hypponen, F-SECURE

VOIR LES AUTRES CONFERENCES