En octobre dernier, les Pays-Bas annonçaient avoir démantelé une vaste opération d'espionnage russe contre l'Organisation pour l'Interdiction des Armes Chimiques. En l'occurrence, 4 membres du groupe de pirates Fancy Bear étaient visés. Ceux-ci avaient l'intention de pirater et d'infecter le réseau Wi-fi de l'OIAC, a déclaré le général-major Onno Echelsheim, grand patron du service néerlandais de sécurité et de renseignements militaires (MIVD). Echelsheim évoquait l'Unit 26165, l'un des noms du groupe Fancy Bear également connu sous les noms APT28, Pawn Storm, Sofacy Group, Sednit et STRONTIUM. Il s'agit du groupe à l'origine du piratage des serveurs de messagerie du Parti démocrate aux Etats-Unis en 2016. Par la suite, ce groupe a été accusé par la grande majorité des pays occidentaux d'ingérence et de cyber-attaques. Et notamment par la Belgique puisque le parquet fédéral enquête notamment sur un incident remontant à 2014 et où des pirates ont pénétré les systèmes du SPF Affaires étrangères.

Il est très exceptionnel qu'un Etat comme les Pays-Bas émette publiquement des accusations. Fancy Bear se compose-t-il uniquement de pirates russes ou est-ce le Kremlin qui tire les ficelles de ce groupe de pirates ? " Nous ne nous exprimons jamais sur l'identité de pirates ou sur l'origine d'une attaque ", déclare Alexis Dorais-Joncas, en charge chez ESET de suivre notamment le groupe de pirates Fancy Bear que Data News a pu rencontrer à Bratislava lors d'une conférence d'ESET sur la sécurité. Ces dernières années, ESET est parvenue à identifier de nombreuses attaques lancées par des groupes de pirates comme Fancy Bear. " Mais il ne nous appartient pas de pointer du doigt tel ou tel pays. Nous identifions les méthodes utilisées, après quoi il appartient aux services de renseignement et aux autorités de prendre les mesures qui s'imposent. Nous ne pourrions d'ailleurs jamais identifier avec certitude les auteurs dans la mesure où c'est techniquement impossible. Les pirates savent comment ils peuvent laisser volontairement certaines traces pour accuser un pays en particulier, précise Dorais-Joncas. Ce que nous savons avec certitude, c'est que le groupe a des visées géopolitiques claires. Cela signifie également que le groupe est sans doute financé par un Etat. "

L'incident qui a éclaté aux Pays-Bas témoigne manifestement d'un grand amateurisme : les pirates ont été filmés à leur arrivée à l'aéroport, ils ont utilisé leurs véritables passeports, tandis que la boîte renfermant des équipements de détection Wi-fi ne comportait pas vraiment du matériel de pointe. Voilà qui n'est pas vraiment la marque de fabrique de Fancy Bear ?

DORAIS-JONCAS (rire) : Nous avons déjà évoqué ce sujet en interne dans le cadre de discussions informelles, mais nous n'avons pas pu trancher. Serait-ce une supercherie. Ou une tentative d'accuser un groupe de pirates russes ? Difficile de répondre à ces questions sans informations supplémentaires, ce dont nous ne disposons en tout cas pas.

Fancy Bear fait assez souvent la une de l'actualité. Etonnant pour un groupe qui revendique des objectifs géopolitiques ?

DORAIS-JONCAS : C'est précisément du fait de la personnalité de leurs victimes qu'ils sont à ce point médiatisés. Pourtant, nous suivons ce groupe depuis pas mal de temps déjà. Nous savons qu'ils sont actifs depuis 2004 déjà et qu'ils ont à leur actif le développement de dizaines d'outils de piratage entre-temps utilisés par d'autres. Ils sont également très rapides dans leurs réactions : on remarque qu'ils utilisent régulièrement des 'zero-day exploits' [des bogues logiciels qui sont directement exploités dès après leur annonce, NDLR]. Leurs multiples attaques, surtout en Europe de l'Est, font par ailleurs recette.

Ce groupe est-il réellement le plus important en taille ou d'autres groupes se cachent-ils peut-être mieux ?

DORAIS-JONCAS : Fancy Bear est certes particulièrement actif, mais il existe d'autres grands groupes qui ont les mêmes visées comme Turla qui s'en prend à l'Otan et aux institutions européennes. Ou d'autres groupes qui lancent des attaques plus nombreuses que Fancy Bear. Cela dit, Fancy Bear est davantage médiatisé dans la mesure où ses cibles sont américaines, qu'il s'agisse du piratage du Parti démocrate ou la tentative d'influencer les élections américaines.

Mais, vous avez raison, certains groupes se cachent mieux parce qu'ils font davantage d'efforts pour passer sous le radar. C'est notamment le cas de l'Equation Group [selon les rumeurs, il pourrait s'agir d'une entité des services de renseignement américains, NDLR] dont l'existence n'a été révélée pour la première fois que récemment après avoir travaillé dans l'ombre depuis 4 ans déjà. Il s'agit clairement de groupes qui ne veulent absolument pas que leurs attaques ou tentatives d'attaque soient mises en relations les unes avec les autres. Ces groupes changent constamment de forme en lançant des outils totalement différents, en changeant leur modus operandi et en adaptant à chaque fois la manière d'écrire leurs maliciels. Un groupe comme Fancy Bear est à cet égard plus facile à suivre parce qu'ils développent des mises à jour incrémentales de leurs maliciels et outils de piratage, tout en adoptant des modes de travail plus prévisibles.

Parfois, il nous revient que ces attaques dirigées contre des Etats ne constituent en fait pas une menace pour les entreprises. Ou, en contraire, les entreprises, et par extension le grand public, doivent-ils s'en inquiéter ?

DORAIS-JONCAS : Certains des tentatives de pirate sophistiquées deviennent courantes après un certain temps et sont reprises par d'autres éditeurs de maliciels qui visent alors le consommateur ou l'entreprise. Mais de très nombreux autres outils sont à ce point sophistiqués et conçus sur mesure pour une seule attaque qu'ils ne représentent pas une menace directe pour le grand public. Prenez le cas de LoJax [voir encadré, NDLR] : il s'agit d'un logiciel extrêmement dangereux, mais nous n'avons pu jusqu'ici le trouver qu'une seule fois et il n'opère que sur un seul type de laptop. Il s'agit clairement d'un outil sur mesure du groupe Fancy Bear dont les consommateurs ne doivent pas directement s'inquiéter.

LoJax prouve cependant que des pirates peuvent désormais pénétrer dans un laptop via le firmware et que toute parade est totalement impossible. S'agit-il là d'une tendance pour les prochaines années ?

DORAIS-JONCAS : Nous savions depuis des années déjà qu'un maliciel comme LoJax était théoriquement possible, mais il a fallu longtemps avant que nous ne soyons atteints. Et s'agit-il là d'une exception, quand bien même elle est particulièrement sophistiquée. Nous parlons en l'occurrence de disséquer et de leurrer l'UEFI [Unified Extensible Firmware Interface, le successeur du BIOS, NDLR], ce qui exige énormément de temps et de moyens. Le risque est dès lors réduit que cet outil soit réutilisé à grande échelle. A plus long terme, le risque existe que les techniques d'attaque se généralisent et deviennent moins complexes. Si tel devait être le cas, il faudrait s'attendre à voir apparaître des kits téléchargeables basés sur des éléments du code LoJax qui seraient négociés dans le 'dark Web'. Mais à court terme, il ne faut pas craindre ce type d'évolution.

Le secteur a-t-il retenu les leçons de LoJax et prépare-t-il des standards UEFI plus sécurisés ?

DORAIS-JONCAS : Absolument, on y travaille d'arrache-pied. Tout le monde a conscience de la nécessité d'éviter que du firmware ne soit infiltré et remplacé par du firmware infecté. En principe, ce ne devrait déjà plus être possible techniquement, mais il nous manque encore certaines connaissances sur la manière dont ont travaillé exactement les pirates.

Eventuellement via une mise à niveau légitime, mais infectée du firmware ?

DORAIS-JONCAS : Ce serait particulièrement grave et je ne pense pas que cela arrive très vite car leur réputation s'en trouverait entachée. L'impact serait alors comparable à une situation où un grand éditeur de logiciels commercialiserait du logiciel infecté. Faisons confiance aux équipes de sécurité.

Il ne faut donc pas s'inquiéter pour l'instant d'une recrudescence d'attaque sur du firmware au lieu d'applicatifs logiciels ou de systèmes d'exploitation ?

DORAIS-JONCAS : Les systèmes d'exploitation sont en effet toujours plus sécurisés et c'est une bonne nouvelle. Quant à savoir si les pirates se tourneront davantage vers le firmware, il faut savoir qu'il s'agit là d'attaques extrêmement complexes et qu'un pirate moyen va toujours s'attaquer à ce qui lui apporte les résultats les plus rapides. A ce niveau, il dispose encore et toujours d'un arsenal d'armes relativement bon marché. La plupart des maliciels et des rançongiciels sont encore diffusés par courriel et s'en prennent à la crédulité humaine. Tant que ces méthodes génèrent des résultats à coût relativement réduit, il ne faut pas craindre d'attaques massives et complexes par firmware.

Qu'est-ce que LoJax exactement ?

- LoJax a été baptisé en référence au logiciel 100 % légitime LoJack d'Absolute Software. L'at-taque exploite un bogue dans le logiciel originel.

- LoJack est un logiciel qui permet de détecter un laptop volé et de le 'récupérer', même lorsque le logiciel a été effacé de l'ordinateur.

- LoJack peut agir de la sorte parce que le fabricant du laptop a conclu un accord commercial avec Absolute Software visant à intégrer le logiciel dans le firmware (UEFI) de l'appareil. Ceci se fait durant le processus de fabrication.

- Cette architecture remarquable (combiner un 'small agent' dans Windows au logiciel intégré dans l'UEFI) a très rapidement suscité l'intérêt des pirates. Dès 2009, des pirates ont trouvé une vulnérabilité majeure dans le fichier de configuration, permettant au trafic réseau d'être dévié vers un autre serveur que celui d'Absolute Software. Ce bogue a été corrigé dans l'année, mais reste à la base du fonctionnement du maliciel LoJax.

- Ce qu'ESET a découvert, c'est un seul système sur lequel une version manipulée de JoJax était présente, baptisée 'prompt LoJax'.

- Chaque fois qu'un PC démarre, le 'rootkit' UEFI manipulé est activé, ceci avant même que le système d'exploitation proprement dit ne se lance. Ce 'rootkit' parvient, par une méthode complexe, mais ingénieuse (chargement de pilote NTFS, montage de partition, intégration de binaires et modification d'une valeur dans le registre Windows), à pirater le système.

- Avant même que le PC n'atteigne l'écran de démarrage de Windows, le système est déjà corrompu. Dès lors, réinstaller Windows, voire même remplacer le disque dur, ne résout pas le problème. Seul un nouveau firmware propre du fabricant lui-même peut effacer définitivement le maliciel.