Bruno Kerouanton

En ce moment ça n’arrête pas, les cyberattaques ciblées vers des organismes sensibles. Pas bon, pas bon, cette année 2011…

Petite rétrospective…

Début février, la bourse de New-York, et plus précisément le Nasdaq se fait pirater. Il y a eu plus de peur que de mal mais c’est quand même mauvais signe… on imagine sans peine ce qui aurait pu se passer si les attaquants avaient déstabilisé les cours… Pratique qui existe déjà à échelle réduite avec la technique du pump-and-dump, mais qui ne cible qu’une société à la fois, et qui ne nécessite pas d’aller jusqu’à un piratage des systèmes boursiers.

Début mars, on apprend qu’en France le ministère des Finances, Bercy, s’est fait infiltrer depuis quelques mois et que de nombreux ordinateurs internes (près de 400 ?) ont permi l’exfiltration de données liées au G20. Le commanditaire serait la Chine, parait-il. Pas bon non plus. Les équipes chargées de la sécurité ont pu détecter l’intrusion, un peu tard il est vrai, mais dans un environnement aussi complexe que celui de Bercy (des centaines de milliers de postes de travail), il n’y a pas de quoi critiquer leur temps de réaction.

Juste avant cette attaque, l’agence nationale chargée de la protection de l’Administration française en matière d’attaques informatiques, l’ANSSI, a publié sa stratégie en créant le premier centre de Cybercommandement français… le concept de Cyberguerre y est bel et bien développé, et d’ailleurs est pris en charge par l’agence en question.

Il y a deux semaines environ, les clients de la banque Raiffeisen ont constaté que le service e-banking leur permettant de gérer leurs comptes par Internet était indisponible. La panne a duré une semaine complète ; selon le porte-parole de la banque il ne s’agirait pas d’une panne lie à un piratage. N’empêche qu’avec tous ces piratages en cours un peu partout, on est tout de même en droit de se poser la question.

Il y a quelques jours, c’est au tour de la société RSA, leader mondial dans un produit de sécurité appelé « SecurID » permettant de se connecter de manière sécurisée avec une calculette. Ce système est censé garantir la sécurité des transactions et des accès… à la condition que les informations ultra-secrètes détenues par la société RSA elle-même soient gardées précieusement. Or la société a reconnu s’être fait pénétrer par des attaquants qui ont redoublé d’ingéniosité pour entrer sur ces ordinateurs très sensibles. Du coup, la sécurité du produit est mise à mal et les 40 millions de clients qui utilisent cette fameuse calculette devraient s’inquiéter…

Hier, on apprend que la société Comodo, qui vend non seulement des pare-feux et produits de sécurité pour PC mais également les fameux certificats SSL permettant de garantir la protection des accès aux sites web via le protocole HTTPS s’est elle aussi fait attaquer avec succès. L’objectif de l’attaque, encore une fois très ciblée était clair : voler des certificats « racine » permettant alors de falsifier des certificats SSL, avec les conséquences graves que l’on imagine. Dès la découverte de l’intrusion réussie par Comodo, ces derniers ont prévenu les différents fournisseurs de navigateurs Internet pour leur demander d’invalider les certificats SSL volés. C’est la raison pour laquelle Mozilla Firefox, Google Chrome, Internet Explorer ont annoncé une mise à jour urgente ! En effet, les certificats posant souci sont loin d’être anodins : www.google.com, mail.google.com, login.yahoo.com, login.skype.com, login.live.com, et addons.mozilla.org, rien que ça ! Les équipes de sécurité ont réussi à remonter l’attaque jusqu’à l’Iran. Je vous conseille de mettre à jour vos navigateurs, conseil d’ami…

Et aujourd’hui aussi on apprend que l‘Union Européenne s’est elle aussi fait pirater… Une belle grosse attaque ciblée visant le système de messagerie Exchange. Les informaticiens ont du débrancher la messagerie et l’accès à Internet, et planchent sur le problème pour déterminer l’étendue des dégâts…

Ce que j’en pense

L’année 2011 est mal partie. Belle grosse déstabilisation géopolitique au proche-orient, belle grosse catastrophe humanitaire et nucléaire au Japon, belles grosses attaques informatiques…

Concernant ces dernières, on constate que ce sont des attaques de professionnels, voire d’états possédant des capacités en informatique offensive (entendez cyber-armées). On constate que l’ère des attaques bêtes et triviales de type Déni de Service Distribué (dDoS)  est plus ou moins révolue, laissant leur place à des attaques bien plus sophistiquées et ciblées. Le mot marketing à la mode pour cela s’appelle « APT » (Advanced Persistant Threat), mais ça a toujours existé : une dose d’ingénierie sociale, une dose de bons hackers professionnels (j’insiste sur ce point), et on mélange le tout… personne n’y voit rien, ni les anti-virus ni les équipes de sécurité, et pourtant les systèmes se font attaquer.

Intéressant également de voir que les attaquants ne craignent plus d’attaquer des organismes gouvernementaux, des sociétés spécialisées en sécurité, etc. Ils ont désormais suffisament de compétences pour avoir confiance en leurs attaques.

Et selon moi ce n’est que le début. Ces cyber-armées, il va bien falloir se rendre à l’évidence, existent bel et bien et font des dégâts… Sans compter les mafias et autres cyber-criminels qui eux aussi maîtrisent de mieux en mieux le tout.

En fin d’année dernière, les états Européens se sont entraînées dans le cadre de différentes simulation d’attaques informatiques mondiales touchant Internet : CyberStorm III le 30 septembre, Cyber Europe 2010 le 5 novembre, Cyber coalition 2010 le 20 novembre avec l’OTAN, etc. Preuve que le problème est désormais pris en compte au plus haut niveau des Etats.

Pas la peine cependant de céder à la panique, il faut s’organiser et prendre un peu de recul. En tant que RSSI d’un organisme d’état, je suis également confronté au risque d’intrusion de ce type, et voici les quelques conseils que je donne :

1. Sensibiliser les employés au risque d’attaques de ce type : « Ne pas cliquer sur des pièces jointes suspectes, ne pas cliquer sur des liens inconnus etc… »

2. Former le personnel informatique, notamment en charge des réseaux, serveurs et postes de travail (bref, tout le monde). Leur expliquer les risques.

3. Patcher, patcher, patcher… Postes de travail, serveurs et de manière générale tout ce qui touche de près ou de loin à Internet.

4. Préparer des scénario d’urgence (changement de masse des mots de passe, déconnexion messagerie et accès Internet, etc.)

5. S’équiper en outils d’analyse, de diagnostic et avoir les compétences qui vont bien avec, pour réagir vite.

6. Avoir une équipe de spécialistes prête (société externe par exemple) à réagir d’urgence pour accélérer le diagnostic en cas d’intrusion.

Le concours Jurackerfest.ch

Ce n’est pas anodin, j’organise un concours de piratage informatique les 26 et 27 août prochain dans le cadre de l’association BIMO. Une conférence de presse a déjà eu lieu la semaine dernière, et l’objectif est justement de faire venir des passionnés de sécurité ainsi que des néophytes afin que les seconds découvrent ces nouvelles menaces. Organiser un tel concours ne me pose aucun souci, c’est au contraire très bien d’en parler et de démystifier cela auprès du grand public et des jeunes. Nous avons besoin de nous défendre face à tous ces nouveaux attaquants professionnels ou étatiques, et ce n’est pas en restant les bras croisés que l’0n y parviendra.

J’espère que ces journées permettront aux jeunes informaticiens de découvrir une vocation dans la protection des systèmes, et que le grand public pourra également poser toutes les questions relatives à ces attaques majeures… et quasi quotidiennes. Nous en avons besoin pour défendre nos systèmes d’information, que ce soit pour les particuliers que pour les entreprises et organismes divers.