Zoom sur les cybercrises de demain
⏱ 6 minEn s’immisçant partout, dans les foyers via les objets connectés mais aussi dans les activités industrielles, le numérique offre de nouveaux terrains de jeux aux cybercriminels. Sans oublier les failles matérielles enfouies au cœur même du silicium des processeurs. Processeurs, IoT, automates industriels… : extension du domaine de la lutte.
S’il fallait retenir un seul exemple montrant la fragilité de l’informatique mondiale, ce serait celui des failles de sécurité Meltdown et Spectre : dévoilées début 2018, elles affectent les processeurs Intel, exploités par 95 % de nos machines de bureau et des serveurs en entreprise, ainsi que tous les processeurs en circulation depuis plusieurs décennies… Ces vulnérabilités sont nichées au cœur même du silicium, elles sont consécutives à des choix techniques structurants effectués par le leader mondial des microprocesseurs. Bref, un point de faiblesse difficilement réparable et appelé à perdurer.
Même si, comme le souligne Hervé Schauer, un pionnier de la cybersécurité en France, aujourd’hui à la tête d’une société de formation sur le sujet (HS2), les failles enfouies dans les microprocesseurs sont « une réalité depuis toujours, qui n’a cessé de se développer. Cela fait belle lurette que la NSA, l’agence nationale de sécurité américaine, et les Chinois disposent de leurs portes d’entrée dans les puces, car une machine compte en réalité un grand nombre de microprocesseurs. Or, l’antivirus ne scrute que les opérations du processeur principal. Tout ce qui se passe dans le processeur graphique ? Jamais vérifié. Dans le processeur d’entrées-sortie ? Idem. Dans le contrôleur de disque ? Dans la puce GSM ? Pas mieux ».
Un constat que partage Jean-Louis Lanet, qui dirige le LHS de Rennes, le Laboratoire de haute sécurité porté par Inria, Supelec, le CNRS, la DGA (Direction générale de l’armement) et la région Bretagne. Pour le chercheur, dans les microprocesseurs, « la sécurité est actuellement apportée par l’obscurité. Autrement dit, en n’expliquant pas comment elle est assurée. Cela ne peut que ralentir un attaquant motivé ».
Failles Intel : vers de nouveaux malwares de masse ?
Si le sujet est débattu depuis longtemps dans les cercles de spécialistes, et même si aucune exploitation des failles Intel permettant d’accéder à des données directement dans la mémoire n’a été détectée à ce jour, la révélation de Meltdown et Spectre marque un tournant. D’abord parce qu’elle a attiré l’attention des chercheurs en sécurité, mais aussi très certainement des cybercriminels. En novembre, une équipe de neuf universitaires publiait le résultat de ses recherches, établissant l’existence de sept nouvelles failles sur les microprocesseurs AMD, ARM et Intel. Des vulnérabilités inspirées de Meltdown et Spectre. Par ailleurs, la concentration du marché des microprocesseurs autour d’une poignée de fabricants rend la conception de menaces dédiées particulièrement intéressante pour des assaillants motivés, que l’on parle de cybercriminels ou de services de renseignement étatiques.
Les failles matérielles, comme celles touchant les processeurs Intel, pourraient donc être à l’origine de nouveaux malwares de masse, à l’image de ce qu’on a connu dans l’environnement Windows, résume Gérôme Billois, associé au sein de l’activité cybersécurité du cabinet de conseil Wavestone. « En face, les entreprises ne sont absolument pas prêtes à gérer ce type de failles. La plupart du temps, elles n’ont pas une connaissance fine des matériels constituant leur parc. Rappelons-nous qu’elles ont mis des années à maîtriser approximativement l’application des correctifs de failles logicielles ».
Président d’un club réunissant des responsables de la sécurité des systèmes d’information de grandes entreprises – le Cesin –, Alain Bouillé confirme qu’il s’agit là d’un sujet neuf : « Nous sommes face à des failles qu’il faut traiter avec beaucoup de précautions et un peu moins dans l’urgence que celles auxquelles nous avons à faire d’habitude, cela afin d’éviter la cacophonie provoquée par les éditeurs qui ont confondu vitesse et précipitation en proposant des correctifs [à Spectre et Metdown, NDLR] qui aggravaient la situation plus qu’ils ne l’arrangeaient. » Bref, l’industrie des offreurs de solutions de cybersécurité est, elle aussi, un peu déboussolée face à cette nouvelle catégorie de menaces, nichées au cœur même des machines !
Cibler les fournisseurs mal sécurisés
Si ces menaces occupent la une des médias, en raison de leur caractère systémique, elles n’ont peut-être pas (encore) le même caractère d’urgence que d’autres. C’est en particulier vrai de la sécurisation des chaînes d’approvisionnement, des menaces venant des objets connectés ou encore des attaques dites cyberphysiques, qui démarrent dans le cyberespace pour aboutir à des effets tout à fait dévastateurs dans le monde physique. Autant de nouveaux champs délicats pour les Responsable de la sécurité des systèmes d’information (RSSI). Et d’ores et déjà identifiés par les cybercriminels ou cyberespions.
De fait, plusieurs attaques, dont le fameux NotPetya aux conséquences dévastatrices (lire « La cybersécurité face aux menaces protéiformes »), reposent déjà sur la faiblesse des défenses des fournisseurs, que les assaillants corrompent pour mieux cibler leurs donneurs d’ordre. Car la chaîne des prestataires d’un grand groupe, avec ses multiples intervenants en cascade, qui eux-mêmes font appel à des PME, des TPE, voire des indépendants, est souvent d’une grande complexité et constitue un point de faiblesse assez évident. « Rares sont en effet les entreprises qui ont mis en place une logique de chaîne de confiance, comme on en voit chez les éditeurs de systèmes d’exploitation, analyse Gérôme Billois. Les mécanismes imaginés par ces derniers (signatures électroniques, vérification des codes source…) auraient pourtant tout leur sens dans une chaîne logistique, mais même les entreprises les plus avancées sur le sujet – secteur de la Défense excepté – se contentent aujourd’hui de vérifier le dernier maillon, soit uniquement les fournisseurs de rang 1. »
Un récent rapport de l’Institut Montaigne incite d’ailleurs les grandes entreprises à sensibiliser et former leur chaîne de fournisseurs, plutôt que de se retrancher derrière les seules clauses contractuelles. Qui, sur le fond, ne règlent rien. « Certains fournisseurs n’ont tout simplement pas les compétences pour mettre en œuvre ces clauses, quand ils arrivent à les comprendre ! », ajoute Gérôme Billois.
Objets connectées, passoires de sécurité
Autre terrain vierge ou quasi-vierge pour les spécialistes de la cybersécurité : les objets connectés. « Nous voyons aujourd’hui de nombreux objets connectés faire leur apparition, notamment les voitures, pour ne citer qu’elles. Or, les capacités de défense embarquées dans ces produits sont relativement faibles, détaillent Jacques de la Rivière et Philippe Gillet, cofondateurs de Gatewatcher, concepteur d’une solution de sécurité made in France. Ce qui laisse beaucoup de failles à travers lesquelles les pirates et autres cybercriminels peuvent s’infiltrer dans les systèmes d’information. Et ces attaques pourraient avoir de graves conséquences, car elles reviendraient à toucher directement l’utilisateur dans sa vie de tous les jours, au niveau de ses données et potentiellement de son intégrité physique. »
Si les premières attaques sur ce terrain restent assez frustes – en se concentrant en particulier sur le détournement de grands nombres de terminaux pour lancer des attaques par saturation contre des sites (attaques dites par déni de service) –, les travaux de chercheurs en sécurité laissent entrevoir le potentiel de nuisance qui accompagne la montée en puissance des objets connectés. Citons notamment les démonstrations de prise de contrôle à distance de voitures connectées. De son côté, le LHS de Rennes explique avoir travaillé, au printemps dernier, avec un cardiologue sur un scénario d’attaque permettant d’empêcher le fonctionnement correct d’un pacemaker. Un travail de recherche qui n’est pas encore publié, mais qui confirme de précédents travaux publiés dans le monde.
Selon l’éditeur de solutions de cybersécurité Kaspersky, il y aura 20,4 milliards d’objets connectés dans le monde en 2024, et les entreprises pourraient dépenser jusqu’à 134 milliards de dollars par an pour leur sécurisation.
Un virus qui coupe le courant
La même logique se déploie avec la connexion des équipements industriels aux réseaux informatiques. Si cette évolution vers l’usine 4.0 (voir notre dossier sur le sujet) s’explique par les bénéfices découlant de la mutualisation des données issues des machines, elle est porteuse de menaces nouvelles. « La numérisation de l’existant et les concepts de l’industrie 4.0 font émerger un risque d’accès et de prise de contrôle sur des infrastructures critiques », résume Loïc Guézo, directeur de la stratégie cyber de Trend Micro pour l’Europe du Sud.
Des menaces très sérieuses, comme le laisse entendre un récent rapport de ce même éditeur de solutions de cybersécurité. Ce document montre les potentielles conséquences des failles des systèmes de contrôle industriels, en particulier dans la distribution de l’eau ou d’énergie. Complexe, avec de multiples spécificités en fonction de l’industrie considérée, le domaine semble fort heureusement encore peu exploré par les cybercriminels. Mais il semble avoir déjà intégré la doctrine militaire ou de dissuasion de certains pays. Découvert en 2010, le ver informatique Stuxnet, mis au point par les Américains avec la collaboration d’Israël selon des informations de presse, a ainsi détruit une grande partie des capacités d’enrichissement d’uranium de l’Iran, en s’attaquant à des centrifugeuses Siemens. Fin 2015, puis de nouveau fin 2016, l’Ukraine a de son côté été victime de deux attaques informatiques ciblant ses fournisseurs d’électricité. Avec comme conséquence de ces deux opérations que le pays a attribuées à son voisin russe : des black-out affectant des centaines de milliers de personnes.
Cloud : ce nouveau risque systémique
Tous ces exemples illustrent bien la dépendance croissante de nos sociétés aux systèmes informatiques. Donc aux menaces qui les affectent. Le rapport de l’Institut Montaigne s’inquiète d’ailleurs de cet état de fait : « Le fonctionnement de toutes les sociétés repose aujourd’hui sur le numérique. Or, le marché des systèmes d’exploitation et celui des microprocesseurs sont largement dominés par un tout petit nombre d’acteurs. » Une situation qu’on retrouve dans le Cloud, vu comme un nouveau risque systémique par le Think Tank puisque trois acteurs – tous Américains – dominent outrageusement ce marché.
Selon un rapport publié par le géant de l’assurance Lloyd’s of London, une attaque conduisant à une interruption de service d’un de ces fournisseurs majeurs de Cloud Computing entraînerait des pertes allant de 4,6 à 53,1 milliards de dollars. Soit le même ordre de grandeur qu’une attaque exploitant une vulnérabilité affectant un système largement exploité à travers le monde, comme Windows ou Office. Pour les cybercriminels et autres espions du cyberespace, le champ des possibles semble sans cesse plus large.
William Chinaski