Les cybercriminels se montrent toujours plus inventifs dans leurs attaques. Entre-temps, ce ‘business’ représente des milliards d’euros. Dans le même temps, la cyber devient indissociabledes conflits armés et de l’espionnage.

ESET fait partie des acteurs les plus connus dans le monde dans le domaine de la sécurité numérique. Chaque année, l’entreprise basée à Bratislava (Slovaquie) organise un European Cybersecurity Day. Cette année, l’événement se tenait à Bruxelles et a rassemblé un public varié associant à la fois des spécialistes en sécurité d’entreprises et des représentants d’institutions publiques locales, nationales et européennes.

Le cybercrime nous coûte trop cher

« La cybersécurité est la clé de notre prospérité », a déclaré Lúdovít Ódor dans son discours inaugural. L’ancien premier ministre de Slovaquie est désormais vice-président de la Commission des Affaires économiques et sociales du Parlement européen. « Si l’économie européenne se ralentit par rapport à celle des États-Unis et de la Chine, c’est essentiellement à cause de la technologie. Nous devons miser davantage sur la technologie dans l’UE. Et cela nécessite plus de ‘security by design’ car la cybercriminalité nous coûte aujourd’hui beaucoup trop cher. »

Par ailleurs, la cybersecurité revêt une importance essentielle au niveau géopolitique. Depuis longtemps, les États ne se contentent plus d’armes pour lutter. « Par extension, il s’agit aussi de la démocratie, estime encore Lúdovít Ódor. C’est ainsi que la cybersécurité est importante dans la lutte contre les ‘fake news’ destinées à ébranler la confiance des individus et ainsi affaiblir les institutions démocratiques. »

S’intéresser aux victimes

« La confiance ne fonctionne pas dans le cyberespace, a estimé pour sa part Nazar Tymoshyk du CERT (Cyber Emergency Response Team) d’Ukraine. Il faut toujours faire preuve de paranoïa. » En même temps, règne souvent un sentiment d’impuissance. « Même si l’on constate une attaque, il reste souvent difficile d’agir. » Car comment le CERT d’un pays peut-il intervenir ? Appeler par exemple l’ambassadeur d’un pays comme la Russie ou la Chine et déposer une plainte ? Celui-ci va toujours nier que son pays est d’une manière ou d’une autre coupable.

Pourtant, ce sont très souvent la Russie et la Chine qui sont à l’origine d’une attaque, sans oublier une poignée de plus petits pays comme la Corée du Nord, le Vietnam ou l’Iran. Pour sa part, l’Ukraine devient entre-temps une victime toute désignée et récurrente de cyberattaques sur ses infrastructures critiques financées par un État. « Nous mettons par priorité l’accent sur les victimes, pas sur les maliciels », fait remarquer Nazar Tymoshyk. Une approche qui permet de renforcer la sensibilisation face à la cybercriminalité et à la cyberguerre. « Savoir qu’une attaque sur une entreprise pourrait très bien vous concerner également permet de mieux faire comprendre la situation. » En revanche, il est beaucoup moins important de connaître avec précision la nature du maliciel.

Résilience

Dans la lutte contre les cybermenaces, Tymoshyk estime qu’il est primordial d’avoir une vue précise des attaquants et de leurs objectifs. Lorsque la Russie parvient à pirater une réunion de la direction de la force aérienne allemande, le ‘qui’ et le ‘pourquoi’ de l’attaque deviennent rapidement clairs. Mais tout n’est pas toujours aussi évident. « En 2022, nous avons constaté en Ukraine 2.400 attaques contre des entreprises et des institutions publiques, explique encore Nazar Tymoshyk. Pourtant, le nombre de cibles à propos desquelles des informations véritablement importantes ont été dérobées est relativement limité. » L’objectif était donc non seulement de voler des données, mais aussi de provoquer des perturbations à grande échelle.

La question est également de savoir comment réagir à ce moment en tant qu’État. Nazar Tymoshyk est catégorique : « Ce qui fait la différence, c’est la capacité à pouvoir réagir. » C’est la réalité jusqu’à nouvel ordre. En effet, vous pouvez vous préparer le mieux possible à une attaque et prévoir toutes les mesures et les scénarios possibles ‘au cas où’, être en capacité de faire face à toute éventualité est la meilleure attitude à avoir. Car en matière de cybersécurité, il n’existe pas de ‘preliminary strike’.

Prévoir l’imprévisible

En matière de cybersécurité, l’Europe doit entre-temps faire face à une tâche immense. « En Europe, nous nous préparons surtout à des attaques connues, indique Roberto Cascella, CTO de l’ECSO (European Cyber Security Organisation), une organisation de membres qui contribue à la mise en place d’un écosystème européen de cybersécurité. Toute la difficulté est que nous devons prévoir l’imprévisible. » Cela étant, l’Europe ne doit pas forcément réinventer la roue. « Nous devons évidemment savoir ce qui existe déjà. Dans le même temps, l’UE doit viser l’autonomie numérique et rester maître des technologies qu’elle utilise déjà aujourd’hui. »

Autre élément important, la nécessité de procéder régulièrement et plus intensément à des analyses de risques des nouvelles technologies. « Les vidéos ‘deepfake’, par exemple, résultent d’une utilisation abusive de l’IA, estime Nad’a Kovalciková, directrice de projet à l’EUISS (EU Institute for Security Studies). Aujourd’hui, nous nous intéressons surtout aux avantages des nouvelles technologies, comme l’IA générative, mais il ne faudrait pas perdre de vue les risques inhérents à ces technologies. Nous n’y prêtons actuellement pas assez d’attention. »

Maliciels mobiles

Pourtant, ces risques sont évidents. « Nous constatons une hausse des attaques ciblant les appareils mobiles », ajoute Ondrej Kubovic, Security Awareness Specialist chez ESET. Et de citer l’exemple d’un maliciel chinois capable d’intercepter les données de re-connaissance faciale. Il permet en effet aux pirates d’intercepter l’image d’un visage, puis de recourir à un logiciel de ‘face swapping’ pour pénétrer le compte d’une personne.

Cela étant, la lutte contre la cybercriminalité engrange des succès. L’exemple le plus éloquent de cette année a été sans conteste la lutte contre LockBit, une organisation responsable en 2023 de près de la moitié de l’ensemble des attaques de rançongiciels. « Ces attaques étaient notamment commercialisées sous forme de ‘as-a-Service’ selon un modèle de commission. Celui qui déployait un rançongiciel devait rétrocéder à l’organisation 20% de la rançon obtenue. »

Humour

Plus tôt dans l’année, l’activité de LockBit s’est interrompue. Divers organismes qui chassaient ces pirates, dont le FBI, ont piraté le site de fuitage, ce site où les cybercriminels proposaient à la vente des données dérobées. Faisant preuve d’un certain humour, les services de police y ont notamment diffusé des communiqués de presse d’arrestations. « Lors de cette intervention chez LockBit, ils ont également mis la main sur 200 millions $ de bitcoins, précise Ondrej Kubovic. S’il s’agit là des 20% de commission, on peut estimer que les rançongiciels de LockBit auraient rapporté au total 1 milliard $. Voilà qui donne une idée de l’importance prise par certaines organisations criminelles. »

Un autre fléau est celui des ‘deepfake scams’. Kubovic cite l’exemple d’une bande qui opérait sous le nom de Nomani – à nouveau une touche d’humour puisque le nom fait songer à ‘no money’ ou comment l’on se retrouve après avoir accepté ce type d’offre. Il évoque également l’exemple d’une fausse vidéo où l’acteur Benedict Cumberbatch conseille aux victimes d’une cyberattaque de faire un don à Europol. Très cynique en effet puisque l’arnaque porte sur des personnes qui ont déjà été victimes d’une arnaque et cherchaient à le faire savoir.

Chantage psychologique

« Celui qui cliquait arrivait sur le site piraté d’Europol, poursuit Ondrej Kubovic, où il fallait compléter un formulaire. Deux minutes plus tard, vous receviez un coup de téléphone – dans votre langue – d’une personne qui vous demandait plus de précisions sur votre situation et vous donnait différents conseils, mais qui vous demandait également de verser 100 € comme frais de dossier. » Par la suite, les appels étaient toujours plus nombreux et les cybercriminels exigeaient sans cesse plus d’argent. Parfois, ils demandaient également d’installer une appli, après quoi ils prenaient le contrôle total sur votre appareil.

Au-delà de l’aspect technologique, le recours au chantage psychologique est en l’occurrence caractéristique. « Ils appellent leurs victimes jusqu’à 15 fois par jour, jour après jour, éventuellement durant 3 mois. » Les victimes sont souvent vulnérables, en général des personnes plus âgées qui ont des difficultés à se défaire de leur agresseur.