La cybersécurité face aux menaces protéiformes
⏱ 5 minDes ransomwares aux cryptominers en passant par les classiques exploitations de failles logicielles, l’ingénierie sociale ou encore les attaques visant à récupérer des informations de cartes de crédit, décryptage des multiples menaces du cyberespace et de leurs évolutions.
Un calme tout relatif après une année de tempête. En matière de cybersécurité, malgré quelques affaires pourtant assez retentissantes (failles matérielles des processeurs Intel, piratage de 50 millions de comptes Facebook, etc.), 2018 restera moins marquante que 2017, année où deux menaces ont montré l’impact économique bien réel que pouvaient avoir les cyberattaques : Wannacry, un ransomware – logiciel malveillant conçu pour chiffrer des données que la victime ne pourra récupérer qu’après paiement d’une rançon… sans garantie, une fois la somme encaissée ! – et NotPetya, un virus destructeur initialement pris pour un autre ransomware. Les dégâts se sont chiffrés en centaines de millions d’euros au sein d’entreprises de premier plan. La douloureuse atteint ainsi 300 millions de dollars chez le géant des transports Maersk, dont les équipes IT ont travaillé sans relâche dix jours durant pour reconstruire une informatique totalement dévastée par NotPetya.
Jim Hagemann Snabe, Président de Maersk, a raconté, lors du Forum économique mondial de début 2018, comment ses informaticiens ont travaillé jour et nuit pendant dix jours pour reconstruire une informatique totalement dévastée par NotPetya.
© World Economic Forum / Sikarin Thanachaiary
Cette souche infectieuse a laissé une facture de 310 millions de dollars au géant pharmaceutique Merck. En France, chez Saint-Gobain, la même attaque a provoqué un manque à gagner de 220 millions d’euros et amputé le résultat du groupe de 80 millions. Au total, sur l’année 2017, selon les chiffres donnés par le gouvernement lors du lancement du mois européen de la cybersécurité, en octobre dernier, les cyberattaques ont coûté environ 6 milliards d’euros aux entreprises françaises.
Quelque chose a changé suite à la crise NotPetya et à ses conséquences spectaculaires, notamment du fait que les entreprises touchées n’étaient pas ciblées directement, la menace visant plutôt l’économie ukrainienne. « Les entreprises réalisent que leurs dispositifs de secours ou de continuité de service peuvent être inopérants face à une attaque de ce type, relève Alain Bouillé, président du Club des experts de la sécurité de l’information et du numérique (Cesin) et Responsable de la sécurité des systèmes d’information (RSSI) du groupe Caisse des Dépôts. Elles doivent s’interroger non seulement sur leur capacité de résistance à de telles attaques, mais surtout sur leur aptitude à repartir après un sinistre et, le cas échéant, à se passer de leur informatique pendant une période durable. Une épreuve qu’a par exemple traversée Maersk. « Il y a un avant et un après, abonde Emmanuel Gras, le PDG de la start-up française Alsid, spécialisée dans la cybersécurité. Les RSSI, et la communauté « cyber » dans son ensemble, ont pris la mesure de la dimension d’anticipation de ces cybercrises. » Comment rester debout malgré l’attaque ? Nombre de RSSI tentent de répondre à cette question via l’élaboration de scénarios de cyber-résilience.
Ransomwares : une entreprise victime chaque minute
Si les spécialistes redoutent ces scénarios de crises violentes et soudaines, capables de mettre à genoux de grandes organisations, voire l’économie d’un pays entier, les entreprises doivent aussi affronter au quotidien de multiples menaces. Certes moins destructrices, elles sont tout de même susceptibles de générer d’importantes pertes. Au premier rang de ces menaces, toujours et encore les ransomwares. « C’est LA menace actuelle la plus prégnante. Chaque minute, dans le monde, une entreprise est touchée par un ransomware », affirme Loïc Guézo, directeur de la stratégie cyber de l’éditeur de solutions de défense Trend Micro pour l’Europe du Sud. « Cette famille de menaces est en plein développement car elle s’avère très rentable pour les cybercriminels : le ratio entre le coût de conception et le taux de succès est très favorable pour les PME du cybercrime », abonde Gérôme Billois, associé au sein de l’activité cybersécurité du cabinet de conseil Wavestone.
Détourner la puissance informatique de ses victimes
Mais une autre menace s’immisce subrepticement dans les infrastructures informatiques des entreprises : les cryptominers, de discrets logiciels qui s’installent sur les machines de leurs victimes pour en détourner la puissance informatique afin de miner des cryptomonnaies comme des Bitcoins. « Certes, avec ces menaces, on ne parle pas d’un blocage immédiat comme ceux que provoquent les ransomwares, mais les cryptominers détournent les moyens de leurs victimes (puissance machine, électricité…) et peuvent très bien changer d’objectif un jour au gré des priorités de leurs créateurs », avertit Gérôme Billois. Au cours du premier semestre 2018, les outils de détection de TrendMicro ont ainsi enregistré une baisse de 26 % des nouvelles familles de ransomwares par rapport à fin 2017, alors que les détections de cryptominers étaient, elles, en hausse de 141 % !
Et ces deux menaces sont loin de résumer toutes les techniques contre lesquelles doivent se défendre les entreprises. Citons également les pratiques d’ingénierie sociale, autrement dit de manipulation à des fins d’escroquerie en exploitant les faiblesses psychologiques, sociales et plus largement organisationnelles des entreprises. Cela se traduit par exemple par des arnaques aux faux supports techniques, consistant à simuler un incident pour pousser un utilisateur à payer un pseudo dépannage ou à installer un logiciel espion qui va soutirer des données confidentielles, ou encore les « fraudes au président », qui voient des escrocs convaincre un collaborateur d’une entreprise d’effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre d’un dirigeant. Ce type d’arnaque, réalisée par téléphone ou par mail, a coûté environ 19 millions d’euros au groupe Pathé, en mars dernier : des salariés de sa filiale néerlandaise ont été abusés par de faux mails bien construits.
Piéger les sites web marchands
Les numéros de cartes bancaires restent également une denrée très prisée des cybercriminels. Un trésor que les entreprises sécurisent de mieux en mieux, notamment par le chiffrement des bases de données les renfermant. La conséquence ? « On assiste à un déplacement de la menace, explique Gérôme Billois. Plutôt que de tenter de s’infiltrer dans les bases de données, les cybercriminels ciblent les systèmes de collecte, en piégeant les sites web marchands via des scripts tiers, comme on en trouve des dizaines sur chaque site. C’est par exemple ce qui est arrivé à British Airways, chez qui l’ajout de 20 lignes de code dans un script a suffi à capturer les champs réservés aux informations de cartes de crédit, données qui ont été envoyées à un serveur contrôlé par les cybercriminels. »
Gérôme Billois, Wavestone : « Plutôt que de tenter de s’infiltrer dans les bases de données de numéros de cartes bancaires, les cybercriminels ciblent désormais les systèmes de collecte, en piégeant les sites web marchands. »
Ce panorama, loin d’être exhaustif, donne une idée de la menace ambiante, celle que doivent apprendre à repousser les entreprises au quotidien. Derrière ces attaques, on trouve de véritables PME du cybercrime, qui, comme toute entreprise, cherchent à rentabiliser leurs activités. « Les entreprises ciblées doivent donc sans cesse tenter de se maintenir au-dessus du niveau moyen de défense des systèmes d’information pour s’épargner les menaces génériques diffusées par ces entrepreneurs du cybercrime », résume Gérôme Billois. En mettant à jour leurs logiciels rapidement chaque fois qu’une vulnérabilité est publique, en multipliant les techniques de détection d’activités suspectes, mais aussi en éduquant leurs utilisateurs pour éviter qu’ils ne tombent dans les pièges les plus grossiers, comme l’ouverture de pièces jointes émanant d’inconnus. Le tout en gardant un œil sur les nouvelles menaces que voit naître le cyberespace, et qui seront à l’origine des cybercrises de demain.
William Chinaski