La cyberguerre mondiale est déclarée
Patrick Cappelli
Patrick Cappelli
Kim Jong-un a-t-il ordonné le piratage de Sony Pictures, filiale cinéma du groupe japonais d'électronique ? C'est la sortie imminente en décembre dernier du film The Interview, qui raconte sur un mode satirique une tentative d'assassinat du dirigeant nord-coréen par deux journalistes, qui aurait suscité l'ire du dictateur et provoqué cette intrusion malveillante.
Les services secrets américains ont rapidement désigné ce « pays voyou » (rogue state) comme opérateur ou commanditaire de l'attaque informatique. Mais pour l'instant, aucune preuve formelle de l'origine de la cyberattaque n'a été apportée.
Certaines sources évoquent un groupe de pirates, les Guardians of Peace, d'autres des fuites orchestrées en interne par des salariés mécontents.
Cette affaire a eu des répercussions médiatiques considérables, qui ont affecté trois univers très différents : celui des célébrités, dont les messages privés ont été diffusés sur le Net ; le monde de la diplomatie, avec les réactions outragées de Pyongyang et les menaces de rétorsion de Washington ; le secteur de l'économie, avec une perte estimée pour Sony à plusieurs centaines de millions de dollars. Sans parler de l'atteinte à l'image de la multinationale nippone, qui est de surcroît la cible d'une plainte en nom collectif d'employés pour ne pas avoir su protéger leurs données personnelles, ce qui pourrait encore saler la note.
Cet acte de cyberguerre, qui intervient parallèlement à la montée en puissance du cyberterrorisme - plusieurs centaines de sites en France ont été « défacés », c'est-à-dire piratés par des organisations islamistes à la suite de l'attentat de début janvier contre Charlie Hebdo -, illustre bien la complexité de ce genre d'offensives qui se multiplient. Le nombre d'intrusions dans les systèmes informatiques a bondi depuis quelques années. Selon une étude du cabinet PwC, il a augmenté au niveau mondial de 48% en 2014, pour atteindre un nombre total de 42,8 millions, soit l'équivalent de 117 339 attaques par jour ! Depuis 2009, les incidents détectés ont progressé de 66 % en moyenne par an. Les grandes entreprises - revenus annuels brut de 1 milliard de dollars ou plus - et les organisations de taille moyenne - entre 100 millions et 1 milliard de dollars - sont les plus visées, avec des hausses respectives de 44 et de 64 %. Interpol a pris la menace tellement au sérieux qu'un complexe mondial pour l'innovation a été installé à Singapour. Autre initiative en guise de riposte, un sommet sur la cybersécurité est programmé aux États-Unis pour le 18 février prochain.
Le coût de ces piratages est considérable. En 2012, selon le chef d'Interpol Khoo Boon Hui, ils auraient coûté 750 milliards d'euros à l'Europe, soit plus que les trafics combinés de la cocaïne, de la marijuana et de l'héroïne. Aujourd'hui, les organismes privés et publics ne doivent plus se demander s'ils seront visés par des hackers, mais quand.
Chaque jour à 13h, l’essentiel de l’actualité tech.
Du simple particulier qui se fait dérober son numéro de carte bancaire au ministère de la Défense français, dont le site a récemment subi une attaque en déni de service (DoS, pour denial of service attack) de la part des Anonymous OpGPII, un groupe qui a déclaré vouloir venger la mort du militant Rémi Fraisse, il faut se rendre à l'évidence : nul n'est à l'abri d'une agression numérique. Même pas les terroristes, auxquels Anonymous vient de déclarer la guerre numérique pour mettre hors d'état de nuire les sites qui font l'apologie du djihadisme...
Empiler les couches d'antivirus, de parefeu et autres logiciels de protection ne change pas grand-chose. Aucun système d'information n'est invulnérable.
Par exemple en mettant en place une menace persistante avancée (APT, pour advanced persistant threat), une offensive complexe combinant différents vecteurs et stratégies d'attaques. Ou, tout simplement, en soudoyant un employé détenteur des codes d'accès de la base de données de l'entreprise. Car les fraudes viennent aussi de l'interne.
Marc Ayadi, associé et responsable IT Advisory du cabinet Deloitte, qui a publié à l'occasion du 6e Forum international de la cybersécurité (FIC) à Lille dix recommandations aux organisations visant à les aider à lutter contre les cyberattaques, avertit que « la composante humaine est essentielle. Les entreprises sont devenues étendues, elles ont de plus en plus de partenaires, utilisateurs, clients, fournisseurs. Le risque de faille humaine est devenu considérable. »
Pour Dominique Perrin, responsable de l'offre sécurité d'Oracle, on peut lutter contre ces fuites intra-entreprises en mettant en place des programmes de gestion des identités et accès (IAM, pour identity and access management) : « Ils permettent de gérer plus finement les droits d'accès des employés aux systèmes stratégiques.
Un directeur financier et un directeur informatique n'auront pas le même niveau d'autorisation, par exemple. » Des solutions nettement plus sécurisées que des codes écrits sur un Post-It collé sur l'écran du PC. Une pratique dangereuse qui, selon Dominique Perrin, « existe encore ». Autre avantage de ces logiciels : ils permettent, en cas d'incident, de tracer les actions des personnes concernées, car, rappelle la responsable de l'offre sécurité d'Oracle, « ce sont les premières soupçonnées ».
Pour limiter les intrusions malveillantes et en minimiser les dégâts, Devoteam suggère trois règles d'or à suivre. D'abord, être vigilant sur son exposition numérique et augmenter le niveau de surveillance à un instant T, par exemple quand un de ses concurrents est piraté.
Ensuite, être réaliste :
Enfin, mieux s'outiller, et donc augmenter son budget sécurité, même si ça ne va pas toujours de soi, surtout en période de crise.
Autrement dit, faire prendre conscience aux dirigeants et membres des comités exécutifs que la sécurité informatique n'est plus du seul ressort du directeur des services informatiques mais bien de tous, et en particulier des responsables au plus haut niveau.
Selon Guillaume Poupard, directeur général de l'Anssi, « le sujet de la sécurité informatique intéresse les patrons du CAC 40, que je rencontre régulièrement ».
Reste que la détection des programmes espions n'est pas aisée. Il peut se passer longtemps avant que quelqu'un ne s'aperçoive de la fuite des données. Dans le cas de Sony Pictures, ce serait plus de 10 téraoctets de données (10 milliards d'octets), qui auraient été siphonnés par les intrus. Une énorme masse d'informations impossible à dérober en quelques heures, ce qui signifie que l'attaque s'est opérée silencieusement pendant des jours, voire des semaines.
Certains acteurs anglo-saxons de la haute technologie, comme Cisco, Amazon, Google ou Microsoft, n'hésitent pas à louer les services de pirates dont la mission est de tester leur défense face aux assauts sur leurs réseaux et systèmes d'information. « En France, c'est encore mal vu, même si certaines entreprises le font discrètement », précise Julien Beaussart, de Devoteam.
Cette augmentation exponentielle des actes de « cybermalveillance » oblige les grandes sociétés à repenser leur approche de la sécurité informatique. Jusqu'à présent, elles bâtissaient des défenses de type ligne Maginot ou Grande Muraille de Chine. Une stratégie qui a montré ses limites, et qui a tendance à faire exploser les coûts de la sécurité numérique, alors que les budgets alloués à l'informatique sont en baisse depuis le début de la crise financière en 2008. Les estimations concernant la cybersécurité tournant autour d'une dizaine d'euros par utilisateur et par an, dans le cas de très grandes organisations employant des centaines de milliers de salariés, on atteint vite des sommes astronomiques. Dominique Loiselet, de Blue Coat, constate :
Guillaume Poupard ajoute :
Concrètement, cela signifie identifier les codes malicieux avec des techniques comme le bac à sable (sandboxing).
Autre outil efficace : les logiciels de Siem (security information and event management, ou gestion des événements du système d'information). Ils permettent d'analyser les connexions des pare-feu, routeurs, serveurs, bases de données, et de les corréler pour mettre à jour une intrusion. Le point faible de ces programmes, c'est que seul un humain est capable de discerner si l'attaque est sérieuse ou non. Or, il y a pénurie de profils spécialisés dans ce type d'analyse.
Et, comme le dit la publicité d'un opérateur téléphonique, ce n'est pas fini. En effet, alors que les entreprises commencent tout juste à prendre conscience du risque accru posé par les cyberattaques, il va falloir aussi s'occuper des milliers d'appareils mobiles (smartphones, tablettes) peu ou pas protégés. « Il y a environ 30 % de ces mobiles professionnels cassés ou volés par an », rappelle Dominique Perrin, d'Oracle, qui propose une offre de « conteneur étanche », permettant de séparer ses données professionnelles de son espace personnel.
Et ce n'est toujours pas fini : après les mobiles, voici qu'arrivent les millions d'objets connectés, encore moins protégés que les mobiles. Comme Sisyphe poussant sans fin son rocher, les entreprises vont devoir s'habituer à combattre en permanence de nouvelles formes de cybermenaces. C'est sans doute le prix à payer pour bénéficier des nombreux avantages d'une révolution numérique qui pénètre petit à petit toutes les composantes de nos sociétés hyperconnectées.
Patrick Cappelli
« Anticiper le coût du token sur cinq ans, c’est impossible » : les entreprises face à l'explosion du coût de l'IA
IA : la douche froide Broadcom fait vaciller les stars européennes des semi-conducteurs
IA : les géants Soitec et STMicroelectronics prêts à réduire la consommation électrique des data centers
Les salariés français à la traîne dans l’adoption de l’IA