Avis d'expert : les gouvernements comme cibles des cyberattaques
Qu’il s’agisse de menaces APT, de vers, de DDoS, de réseaux botnets ou d’attaques entrantes et sortantes, les attaques actuelles deviennent toujours plus sophistiquées et intrusives, signale Christophe Auberger. Dans cet Avis d'expert intitulé "Les gouvernements dans la ligne de mire des cyberattaques", le Directeur Technique France de Fortinet à Sophia Antipolis rappelle l'attaque qui a ciblé fin décembre dernier le service d'électricité ukrainien et invite les gouvernements à repenser leur stratégie de sécurité.
La crainte historique des gouvernements vis-à-vis d’une attaque capable d’infiltrer les infrastructures critiques s’est concrétisée en décembre 2015, quand une menace APT (Advanced Persistent Threat) a ciblé le service public ukrainien, donnant ainsi lieu à la toute première intrusion qui a mis à l’arrêt le réseau de distribution électrique d’une nation. En capitalisant sur le logiciel malveillant BlackEnergy, les hackers ont pu agir à distance sur des disjoncteurs pour interrompre la fourniture d’électricité à 225 000 utilisateurs, tout en saturant le service clients d’appels factices pour empêcher les clients réels d’y accéder [1].
Alors que des cyber-attaques d’envergure contre les entreprises sont régulièrement relatées par les médias au cours des récentes années, 2015 a été une année pendant laquelle les administrations et entités gouvernementales ont été des cibles privilégiées pour les hacktivistes.
En 2015, les gouvernements Américain, Néerlandais, Irlandais et Turc ont été sous le feu d’attaques de type DDoS (attaque par dénis de service) dont l’objectif était de mettre à l’arrêt les opérations des entités ciblées. En Janvier, la Thaïlande a subi le courroux de protestants suite à une décision de justice jugée inique, avec, à la clé, 300 sites gouvernements ciblés par des attaques. Au cours du même mois, des hackers affiliés à la mouvance Anonymous, ont initié des attaques similaires contre les gouvernements d’Arabie Saoudite et du Nigéria.
Le piratage d’applications Web et les cyberattaques basées sur le DDoS et l’exploitation de vulnérabilités sont devenus plus fréquents et nocifs pour les acteurs des services publics. Control Risk, un cabinet spécialisé dans la gestion des risques au niveau mondial, souligne dans son rapport annuel Riskmap Report for 2016 [2] que plus d’un tiers des cyberattaques (36 %) ciblent désormais des organisations gouvernementales.
Les attaques de type DDoS deviennent une arme de destruction pour les maîtres chanteurs et terroristes de l’ère digitale. Elles prennent différentes formes : certaines visent à mettre un système à l’arrêt, tandis que d’autres saturent les systèmes en demandes de ressources (bande passante, ressources CPU, espace disque dur). De plus en plus, les attaques visant la couche applicative 7 utilisent des mécanismes particulièrement sophistiqués pour pirater les réseaux et services IT gouvernementaux. Plutôt que de se contenter d’un flooding traditionnel sur un réseau (trafic ou sessions), ces attaques jouent la carte de la furtivité vis-à-vis des outils de sécurité en place et ciblent des applications et services jusqu’à saturation des ressources au niveau de la couche applicative.
Le périmètre des attaques s’est également élargi. Il y a 10 ans, les attaques à 50 Gbps étaient exceptionnelles. Aujourd’hui elles sont monnaie courante. En décembre 2015, la BBC a subi une attaque DDoS à 602 Gbps, la plus fulgurante à ce jour [3]. Le cabinet d’analyste Quadrant Knowledge Solutions estime que le marché mondial de lutte contre les DDoS est appelé à bondir sur les 5 prochaines années, à un taux moyen de croissance annuel de 27,6%, pour ainsi peser plus de 2 milliards de dollars à l’horizon 2020 [4].
Les menaces APT peuvent prendre la forme d’un logiciel malveillant utilisé pour pirater des systèmes informatiques, comme dans le cas de l’attaque sur le réseau de distribution électrique en Ukraine. Elles utilisent également des systèmes de fourniture de services (cas du phishing notamment) ou visent une exfiltration de données. Les hackers conçoivent des emails de spear-phishing contenant des fichiers joint malveillants (bien que présentés comme légitimes et sains), ou lancent des attaques de type zero-day, qui tirent parti de vulnérabilités logicielles pour permettre à un assaillant de prendre le contrôle du système cible. Une fois la menace au sein d’une organisation, l’exfiltration de données peut démarrer. Les mots de passes, fichiers, bases de données, comptes email et autres données confidentielles sont ainsi récupérés. À l’issue du piratage, l’assaillant est susceptible de rester actif sur le réseau ciblé pour recueillir de nouvelles données.
En Asie, les menaces APT s’accélèrent compte tenu de tensions régionales et de dissensions territoriales entre la Chine, l’Inde et d’autres pays sur Sud-Est Asiatique. Un groupuscule d’assaillants, connu sous le nom d’APT 30 utilise depuis déjà quelques années un logiciel malveillant modulaire pour exfiltrer des données confidentielles, à partir des réseaux sensibles gouvernementaux notamment.
Certaines de ces attaques ont été initiées à l’aide d’emails malveillants, rédigés dans la langue des personnes ciblées, et contenant des documents à priori inoffensifs, mais en réalité malveillants. Les assaillants ont également imaginé des algorithmes pour concevoir des vers qui s’embarquent sur des clés USB ou de disques durs. L’attaque progresse au fur et à mesure que ces dispositifs se connectent d’un système à un autre.
Comment se protéger contre les DDoS et les menaces APT ?
Une approche intégrale et multicouche constitue un des meilleurs moyens pour renforcer sa ligne de défense contre des cybermenaces toujours plus virulentes.
Une défense efficace consiste souvent à bâtir un framework de protection évolutif et cohérent. Ce framework intègre les fonctionnalités de sécurité déjà en place, des technologies émergentes, ainsi qu’un mécanisme d’apprentissage, pour ainsi déployer une visibilité décisionnelle sur la sécurité et contrer les nouvelles menaces détectées.
Plutôt que de supprimer l’ensemble du trafic DDoS, la bonne stratégie consiste à privilégier la disponibilité des services (et notamment des services critiques) et donc de minimiser les indisponibilités. Cette stratégie globale doit également s’appuyer sur des opérations de sauvegarde et des plans de reprise sur sinistre, des outils supplémentaires de veille, et des méthodes pour pouvoir restaurer les services aussi rapidement et efficacement que possible suite à un incident.
Une stratégie multicouche contre les DDoS implique également de déployer sur site des solutions visant à défendre et à maîtriser les menaces sur l’ensemble du réseau.
Pour maîtriser les menaces APT, les gouvernements sont invités à concevoir des fonctions de sécurité clé, capables de stopper les applications malveillantes et autres logiciels malveillants, et prévenir l’exfiltration de données sensibles de l’entreprise et de son réseau. Une des méthodes consiste à mettre en œuvre une ségrégation basique du réseau, ce qui évite que la menace APT ne prolifère au sein de celui -ci.
Du côté des administrateurs IT, il est urgent de comprendre qu’il n’est guère nécessaire que chaque collaborateur puisse accéder à des ressources et des données sensibles de l’entreprise. L’instauration de règles d’accès permet précisément de neutraliser nombre d’attaques. La mise en œuvre de l’authentification à deux facteurs pour les utilisateurs distants, ou pour les utilisateurs devant accéder à des informations sensibles, rend la tâche plus difficile pour un assaillant disposant d’identifiants de connexion détournés.
Un partenariat robuste avec un acteur des technologies de sécurité est également essentiel, afin d’obtenir de ce dernier des informations et une veille à jour sur les menaces, ou de bénéficier d’une procédure d’escalade et de support en cas d’incident. Les agences gouvernementales sont par ailleurs invitées à nouer de tels partenariats avec les organisations de cybersécurité et les fournisseurs technologiques, pour ainsi partager les informations. De manière collective, le secteur de la sécurité peut disposer d’une visibilité plus pertinente et large sur les cybermenaces à l’échelle mondiale. Et bien sûr, mieux contrer ces attaques.
Enfin, si une évaluation exhaustive et un plan-projet pertinent sont les bienvenus, il est essentiel de sensibiliser les équipes internes aux cyber-attaques. Les collaborateurs ayant accès à des informations sensibles doivent être formés à la gestion de ces données. Par exemple, la restriction de l’utilisation des clés et mémoires USB aux seuls collaborateurs qui en ont besoin de manière justifiée, constitue une option intelligente pour protéger le réseau.
Qu’il s’agisse de menaces APT, de vers, de DDoS, de réseaux botnets ou d’attaques entrantes et sortantes, les attaques actuelles deviennent toujours plus sophistiquées et intrusives. Les gouvernements sont invités à repenser leur stratégie de sécurité, à agir de manière proactive et à adopter une approche multicouche capable de maîtriser les risques rencontrés.
Christophe Auberger
3) http://www.slideshare.net/mastel_indonesia/outlook-briefing-2016-cyber-security
- Voir les autres avis d'expert de Christophe Auberger : Tag Auberger