F in 2018, les services néerlandais de renseignements MIVD présentaient la photo de 4 hommes blancs d'âge moyen qui traversaient l'aéroport de Schiphol. Ces personnes étaient membres du fameux GRU, le service de renseignements russe, qui auraient déjà piraté l'agence du dopage WADA en Suisse. Elles étaient, selon la police, en route pour La Haye afin d'y pirater l'OPWC, l'organisation internationale chargée de la surveillance des armes chimiques. La police a fini par les refouler.

Et fin janvier, Reuters annonçait que Lori Stroud, un ex-collaborateur de l'agence secrète américaine NSA, avait travaillé durant de nombreuses années pour les Emirats arabes en tant que cyberespion. Ce Project Raven était constitué, selon Reuters, pour moitié d'anciens de la NSA qui avaient notamment piraté les membres de l'IS et des activités des droits de l'homme. Stroud avait quitté le programme après avoir appris que des Américains figuraient également parmi les cibles internationales.

Une photo des quatre individus prise à l'aéroport de Schiphol © MIVD

Qu'en est-il vraiment et le nombre de cyberattaques et de tentatives d'espionnage de pays est-il en augmentation ? " C'est effectivement une réalité, estime Eward Driehuis, 'chief research officer' chez Securelink. Cette entreprise de sécurité surveille notamment des réseaux d'entreprise. " En 2018, nous avons analysé 250.000 points de données de sécurité et avons détecté 20.000 incidents de sécurité que l'on peut considérer comme du piratage ou de l'ingénierie sociale. On constate en tout cas que le piratage se situe désormais à un niveau plus élevé, mais aussi que certains de ces piratages portent sur de l'espionnage. " Driehuis ajoute toutefois qu'il est très difficile de savoir exactement ce qui se passe. " Les criminels et espions expérimentés utilisent les mêmes méthodes d'attaque. Souvent, il n'est pas possible de voir ce qui se passe et pourquoi. "

D'autant que des Etats-nations et leurs outils de cyberespionnage exercent désormais une influence majeure sur le crime en général. Un bel exemple à cet égard est celui des outils d'intrusion de la NSA qui ont fuité en ligne en 2016. Et parmi eux, EternalBlue, un 'exploit' pour Windows qui a été facilement utilisé à la fois dans le rançongiciel Wannacry mais aussi dans les attaques NotPetya tout aussi désastreuses un an plus tard (voir encadré).

Russes, Chinois et Américains

En dépit de l'absence de preuves évidentes, des soupçons existent évidemment. Des tendances peuvent être dégagées. " Chaque nation a en général ses propres méthodes de travail, considère Andy Patel, chercheur pour l'entreprise de sécurité F-Secure. La Chine recherche des informations personnelles. Elle pourrait par exemple attaquer des hôpitaux qui stockent de grandes quantités de données. Pour sa part, la Corée du Nord est plutôt intéressée par l'argent. Son nom est cité dans le piratage d'une banque au Bangladesh (voir encadré). Nombre d'opérations lancées par la Russie sont inspirées par des visées politiques, alors que les USA cherchent surtout à désorganiser, comme le montrent les opérations ISIS. "

Les criminels et espions expérimentés utilisent les mêmes méthodes d'attaque. Souvent, il n'est pas possible de voir ce qui se passe et pourquoi.

" Il existe différentes motivations pour ce type d'attaques, ajoute Driehuis. L'espionnage est l'une d'entre elles. Nous parlons volontiers du 'modèle chinois', la Chine étant le champion de l'espionnage industriel. Parmi tous les groupes sponsorisés par l'Etat et identifiés, la moitié sont chinois et concernent tous l'espionnage industriel. Mais il est important de savoir que tout le monde le fait. Et même nos compatriotes. Songez au piratage de Belgacom (voir encadré). Seulement, on en parle moins. "

Comme l'indique Patel, les piratages peuvent aussi être inspirés par le désordre ou le chaos. " Wannacry et NotPetya étaient également sponsorisés par des pouvoirs publics qui entendent surtout semer la pagaille. Nous parlons ici par boutade du 'modèle russe', même s'ils ne sont les seuls à le faire. Ainsi, la Corée du Nord tenterait aussi de provoquer un maximum de dommages. Pour ces pays, il s'agit d'une sorte de bras de fer. La Russie est un pays pauvre où le budget militaire est nettement moindre que celui des Etats-Unis. Si elle veut être prise au sérieux, elle doit atteindre un impact maximal avec un investissement minimal. C'est une sorte de terrorisme, type d'ennemis disposant de budgets très différents. "

Encore faut-il dégager des fonds. " La Corée du Nord veut semer le doute et gagner un peu d'argent. Elle est pratiquement la seule à agir ainsi. Elle vole surtout des bitcoins, car c'est le plus facile. Elle a ce point en commun avec l'industrie du cybercrime qui veut surtout gagner de l'argent avec ses attaques et qui cherche le meilleur équilibre entre risques et bénéfices ", précise encore Driehuis.

Vous, moi et l'espion du coin

Une équipe de pirates spécialisés et expérimentés, dotés de moyens financiers importants et de logiciels sur-mesure, voilà qui peut poser problème, mais est-ce une question qui doit inquiéter l'entreprise moyenne ? " De petites entreprises classiques constituent-elles une cible pour les Etats-nations ? Sans doute pas, estime Andy Patel. Les cibles sont davantage des fournisseurs d'énergie, peut-être des organisations du domaine de la santé, des pouvoirs publics ou de l'armée notamment. Pour une entreprise classique, le risque est moindre. Cela dit, il existe des exemples d'attaques de type 'chaîne d'approvisionnement'. Ce fut notamment le cas d'un éditeur de logiciel comptable avec NotPetya (voir encadré). Cette entreprise n'était pas intéressante en soi, mais gérait un mécanisme qui s'est révélé intéressant. " L'idée qui sous-tend une telle attaque 'supply chain' est que le pirate utilise un fournisseur pour pénétrer une entreprise bien sécurisée. Ainsi, si l'OTAN est fortement sécurisée, pourquoi ne pas essayer via l'entreprise de restauration par exemple.

Combien d'attaques 'state sponsored' recense-t-on vraiment ?

" Nos chiffres montrent que le pourcentage d'attaques 'state sponsored' est relativement réduit. Si l'on compare la cybercriminalité ciblée, comme les rançongiciels ou le cryptopiratage, aux attaques émanant d'Etats-nations, ce n'est qu'infime par rapport aux 20.000 incidents. Je n'exclus pas que nous n'ayons une vue complète, mais c'est un taux très réduit ", estime Eward Driehuis, 'chief research officer' chez Securelink.

" Les attaques 'state sponsored' ne viennent pas toujours en direct, ajoute Maxime Rapaille, expert en cybersécurité et conseiller auprès de l'entreprise de sécurité Cyber Security Management. Si vous voulez attaquer la Chancellerie du Premier ministre, vous allez peut-être essayer d'entrer via un fournisseur. Car une telle structure possède une sécurité de haut niveau, d'où le recours à un intermédiaire, une petite société moins bien sécurisée. " Et de citer l'exemple de la chaîne américaine de supermarchés Target qui a été attaquée par le biais d'un fournisseur de conditionnement d'air. " Une telle entreprise imagine rarement pouvoir être une cible, ce qui peut pourtant être le cas, explique Rapaille. Une telle attaque 'supply chain' n'est d'ailleurs pas la seule raison d'infiltrer une plus petite société. Souvent, c'est simplement pour voir ce qui se passe. Peut-être cela permet-il de collecter des données qui serviront à du chantage plus tard. Ou s'il s'agit une PME qui organise un événement pour une grande entreprise, de mettre la main sur une liste d'invités ou de rassembler des informations sur les collaborateurs. "

Via-via

Une telle liste d'invités peut en outre servir à de l'ingénierie sociale, une dimension qui apparaît toujours plus dans ces attaques. L'idée sous-jacente est qu'en disposant de suffisamment d'informations, il devient possible de convaincre les employés que vous faites partie de l'organisation ou de les inciter à faire quelque chose. " Annie de la réception est malade aujourd'hui, pouvez-vous me donner le code ? " Et le résultat est souvent étonnamment positif.

Peut-on tout empêcher ? Non. Mais il faut minimiser les risques.

" L'ingénierie sociale est une approche très difficile à contrer car avec un peu de travail, en passant une demi-heure sur Google ou LinkedIn, on peut récolter des informations incroyables, considère Eward Driehuis. En outre, cette approche n'est souvent pas détectée par la technologie. On analyse les comportements, mais pas les liens sur lesquels on clique. Du coup, il est important de prévoir plusieurs couches de sécurité. Dans ce cas, il est possible de réagir. Ce n'est pas une garantie, mais cela augmente les chances de réussite. "

L'un des cas les plus connus de piratage social concerne John Podesta, un consultant en politique du parti démocrate américain. " Il avait reçu un courriel lui demandant d'ouvrir Gmail, alors que le serveur n'était pas Gmail, même s'il lui ressemblait, explique Andy Patel. C'est ainsi qu'ils ont trouvé son nom d'utilisateur et son mot de passe. " Du coup, les courriels internes du parti se sont retrouvés sur la rue quelques mois avant les élections présidentielles de 2016. Ici également, une couche supplémentaire aurait été bien pratique, précise Patel. " Une technologie comme l'authentification multi-facteur aurait évidemment pu servir. Il est conseillé de prévoir ce genre d'approche pour des services internes d'entreprise car cela freine nettement les attaques. "

Par ailleurs, une autre approche possible consiste à former les utilisateurs. " La sensibilisation doit être renforcée, ajoute Filip Savat, 'country manager' Belux de l'entreprise de sécurité Fortinet. La question est de savoir jusqu'où va le bon sens de l'homme pour distinguer le vrai du faux. Nous vivons une époque où il est possible de 'trafiquer' les images vidéo. "

" J'estime qu'il est toujours possible de trouver une faille, soupire Eward Driehuis. On peut se laisser berner, même pour un professionnel comme moi. Si vous basez votre défense sur le comportement des individus, vous faites fausse route. Ainsi, vous souhaitez bloquer automatiquement l'hameçonnage. Mais si quelqu'un clique, il faut avoir un antivirus. Si tel n'est pas le cas, il faut surveiller son réseau au niveau du 'lateral movement'. Car les criminels sont en position idéale s'ils atteignent le point central. Il faut prévoir plusieurs filets de sécurité. La sensibilisation interviendra plus tard, il faut d'abord poser les bases techniques. "

Couches, procédures et sauvegardes

Reste que si le GRU veut attaquer votre centre de jardinage, qu'est-ce qui peut l'en empêcher ? " Pour être tout à fait honnête, si vous êtes la cible d'un groupe organisé, comme une association criminelle, vous risquez fort d'y passer, admet Andy Patel. Même les cibles majeures savent qu'elles peuvent et seront piratées. C'est pourquoi les organisations investissent tant dans la détection et la réponse gérées. Elles détachent du personnel dans des sociétés de sécurité comme la nôtre pour pouvoir intervenir directement en cas de problème. Pour elles, la question est d'être directement informés en cas d'incident. "

Pas d'espoir donc pour une PME ? " Les plus petites sociétés n'ont sans doute pas les moyens de se doter de telles solutions, concède Patel. Mais il est un fait qu'il s'agit de cibles moins intéressantes. Cela signifie donc aussi qu'elles ne se retrouveront pas face à des pirates de haut niveau. Une bonne manière de se protéger contre les pirates consiste à faire en sorte de ne pas être une proie facile. Ceux-ci vont toujours chercher la facilité, comme des serveurs non patchés qui sont en ligne. L'idéal est de ne pas avoir de failles ultra-visibles dans votre sécurité. "

L'idée sous-jacente est de s'offrir la meilleure sécurité que l'on puisse se permettre, comme un parefeu standard ou un antivirus. " Cela étant, l'IT d'une petite société n'est pas très grande et la sécurité n'est donc pas forcément coûteuse, ajoute Maxime Rapaille. Il existe également des solutions comme la 'Protection-as-a-Service' qui peut être pratique pour de plus petites entreprises. Le fait est que l'on ne peut empêcher à tout prix d'être piraté, mais que ne rien faire est une incitation. "

" Il est possible de se prémunir, ajoute Filip Savat. Les PME sont moins souvent dans le collimateur, à moins de disposer d'une technologie spécifique. Quant aux grandes entreprises, comme les fournisseurs d'énergie ou les administrations avec les villes intelligentes, elles doivent ajouter des couches de sécurité supplémentaires. " Et d'évoquer la segmentation, entendez la création de couches au sein du réseau. " Ce faisant, il est possible de voir jusqu'où vont les pirates. Jusqu'à quel niveau telle personne peut-elle aller dans les segments ? A quels fichiers peut-elle accéder ? Et en cas de dépassement, elle sera arrêtée. "

" Ce n'est pas uniquement une question de produit, enchaîne Maxime Rapaille. Mais aussi de plan d'action régulièrement remis à jour. C'est comme un exercice d'incendie : il faut le faire une fois par an et l'actualiser si nécessaire. C'est ainsi qu'il faut une sauvegarde qui sera vérifiée sans quoi personne ne saura s'il fonctionne lorsqu'on en aura besoin. Songez également aux procédures en cas de réponse à un incident : qui contacter, que faire ? Même sans avoir de spécialiste en interne, prévoyez un contact qui pourra intervenir le cas échéant. Il faudra peut-être également contacter la FCCU et trouver un expert qui restaurera vos sauvegardes du cloud. Autant d'aspects qu'il faut prévoir. "

" Peut-on tout empêcher ? Non. Mais il faut minimiser les risques, conclut Savat. La différence entre la PME et la grande entreprise est la complexité, car une grande structure exigera davantage de couches. Mais en soi, la solution est la même que l'on soit travailleur à domicile, PME, grande entreprise ou même telco. Le niveau de sécurité doit être identique, seuls la complexité et le prix sont différents. "

Les principales attaques

(dont on suppose ou l'on sait qu'elles émanent d'agents nationaux)

Stuxnet : Ce ver a paralysé en 2010 un réacteur nucléaire iranien. Les experts croient savoir que ce ver émane des Etats-Unis, éventuellement avec la complicité d'Israël.

Le piratage de Belgacom : Des espions britanniques ont pénétré des serveurs de l'ancienne Belgacom (désormais Proximus) entre 2011 et 2013. La volonté était sans doute d'intercepter des communications avec le Moyen-Orient. Le piratage a été découvert en 2013 par le lanceur d'alertes Edward Snowden et confirmé en 2018 par des enquêteurs belges.

Le casse de la Bangladesh Bank : Début 2016, des pirates ont utilisé le système interbancaire Swift pour envoyer des demandes frauduleuses à la banque nationale du Bangladesh. Le butin s'élevait à quelque 100 millions $ au moment où le casse a été découvert. Sans doute une attaque d'origine nord-coréenne.

La fuite de courriels au parti démocrate américain : Ces courriels de membres du parti démocrate ont fuité sur Wikileaks quelques mois avant les élections présidentielles de 2016. Grâce au 'spear phishing', des pirates se sont emparés du compte et du mot de passe de John Podesta. Ce piratage serait le fait d'espions russes.

Industroyer : Ce maliciel a réussi en 2016 à paralyser le réseau électrique de l'Ukraine. L'enquête a monté qu'il s'agissait d'un logiciel extrêmement spécialisé, sans doute d'origine russe.

Wannacry : Ce maliciel destructeur a été à l'origine de la popularisation du terme 'rançongiciel' dans le monde. Sans doute d'origine coréenne. Ce fut l'un des premiers à utiliser l''exploit' EternalBlue de la NSA, même s'il a heureusement été vite éradiqué.

NotPetya : Officiellement un rançongiciel, mais qui parvient à paralyser un ordinateur. A été diffusé dès 2017 via le serveur de mise à jour de Medoc, un éditeur ukrainien de logiciels comptables. Il a donc surtout fait des victimes dans ce pays et auprès d'entreprises qui l'utilisaient. Sans doute d'origine russe.

Entre-temps en Europe

L'un des constats les plus évidents lors de l'analyse des attaques est que les cibles se situent en général dans des pays lointains, comme l'Ukraine, les Etats-Unis ou le Bangladesh. Où en est l'Europe, et plus particulièrement la Belgique ? Sommes-nous une cible modeste, exception faite du piratage chez Belgacom ? " Si l'on croit cette affirmation, c'est que l'on se cache la vérité, affirme Filip Savat. Il est peu probable qu'aucune attaque n'ait été lancée. Reste qu'il y a une différence entre les attaques sournoises et celles qui sont très médiatisées. "

Et cet avis est largement partagé. " Pour de nombreuses entreprises, il est plus facile de dire qu'elles ont été stupidement attaquées. Mais si une entreprise est touchée par de l'espionnage, elle loue secrètement les services d'une entreprise pour résoudre le problème. En d'autres termes, les attaques ciblées sont moins publiques ", suppose Eward Driehuis.