Kaspersky, Symantec, CheckPoint Software, Trend Micro, Arbour Networks, Akamai… tous les ans, les grands fournisseurs de technologies en sécurité informatique dressent leur bilan des cybermenaces qui ont marqué l’année qui vient de s’écouler. Mais qu’en est-il des grands utilisateurs des systèmes d’information ? C’est pour répondre à cette question que le Club de la sécurité de l’Information français (Clusif) a voulu offrir sa propre vision à l’occasion d’un colloque qui a eu lieu le 14 janvier sur l’état de la cybercriminalité mondiale.
Comment les cybercriminels nous surprennent-ils ? « Tout investi qu’il soit dans la lutte contre le cybercrime, un esprit honnête se doit de reconnaître que l’étude de certaines nouvelles techniques d’attaque lui a fait découvrir une créativité qui parfois confine au génie », lance tout de go Fabien Cozic, directeur d’enquêtes privées chez Red Team, un cabinet d’investigation créé il y a moins d’un an, basé à Nantes. Il faut dire que les processus de recherche et développement de certaines entreprises criminelles ont de nouveau fait parler d’eux en 2015 avec des attaques par satellite, une modification du cœur de cartes bancaires, des détournements de services de développement d’applications ou encore de jouets électroniques. Bref, l’année 2015 a été marquée par la ruse, l’astuce et le hack au sens propre du terme pour détourner la destination première d’un objet ou d’un système afin d’aboutir à une utilisation frauduleuse et rentable. « En 2015, les cybercriminels ont mis les bouchées doubles, notamment sur le plan technique. En conséquence, leurs méfaits se sont affichés impunément à la Une de la presse mondiale et leurs gains ont atteint des des sommets », reprend-il.
Attaques 0-day : le marché noir des outils d’attaques numériques. Pour leur part, les attaques »0-day » proviennent de pirates qui découvrent une faille dans un système d’exploitation dans des logiciels que l’éditeur source n’a pas encore identifiée. Ce qui suscite tout un juteux marché pour l’exploitation frauduleuse. A cet égard, on notera tout d’abord que de nouvelles boutiques en ligne sont apparues dans le DarkNet. Certaines se sont spécialisées dans le commerce de produits à très haute valeur ajoutée, comme avec TheRealDeal qui se focalise sur la vente de codes 0-day et d’exploits. Les prix des 0-days se basent sur une règle simple : plus le nombre de vulnérabilités est faible, plus le prix augmente. D’où des prix variables de 500 à 40.000 dollars. D’un autre côté, le métier de Bug Bounty, c’est-à-dire celui de ceux qui trouvent ces failles et les divulguent à leurs éditeurs contre rémunération, s’est davantage professionnalisé. En plus de nombreuses plate-formes comme HackerOne, BugCrowd ou encore FireBounty, les primes pour la découverte d’une vulnérabilité ont considérablement augmentés. La palme revient à Zerodium qui a empoché 1 million de dollars pour avoir mis à jour une faille dans iOS 9.1/9.2b, le système d’exploitation des iPhone et iPad d’Apple.
Jihad numérique. En marge des attentats de 2015, Internet et les réseaux sociaux ont joué un rôle encore plus important que par le passé. Et Daesh a changé la donne en s’entourant de spécialistes des médias, de la vidéo et parfois du renseignement. « Ceux-ci connaissent maintenant le Darknet et ses boutiques », souligne François Paget, secrétaire général adjoint du Clusif. Au-delà de la propagande, ils diffusent des conseils avisés en matière de communication et de chiffrement. Sur le front des trajectoires de la radicalisation, Internet n’est cependant jamais seul. « Consulter un site djihadiste ne fait généralement pas de vous un djihadiste, indique Francois Paget. Il peut être un facteur de renforcement de la radicalisation mais des rencontres et des interactions sociales au sein du monde réel seront généralement nécessaires avant le passage à l’acte. »
Pour les représentants de la direction centrale de la Police judiciaire, les attentats de janvier et novembre 2015 ont consacré les nouvelles formes de terrorisme dans leur accompagnement et leur contextualisation via Internet. Les terroristes utilisent désormais activement les moyens de communication modernes. Notamment les principes du marketing viral, pour toucher leur cœur de cible de la façon la plus large et la plus efficace possible. A cette évolution répond un changement similaire dans la lutte contre le terrorisme : l’anti-terrorisme 2.0 a fait son apparition. En janvier, les signalements effectués par des citoyens sur la plate-forme Pharos ont été multipliés par 10 par rapport à la normale. Au-delà de l’expression d’une émotion, ils avaient aussi pour but de lutter activement contre le terrorisme en signalant aux autorités des contenus annonçant des attentats à venir ou relevant de l’apologie. Cette tendance s’est amplifiée en novembre 2015 : la qualité policière des informations envoyées a très fortement progressé avec une proportion beaucoup plus importante de signalements pertinents donnant lieu à procédure judiciaire. La réponse des autorités n’est pas en reste : la coopération entre les services antiterroristes et de lutte contre la cybercriminalité est toujours plus importante. Les unités judiciaires cyber sont co-saisies pour apporter leur soutien tandis que les unités techniques fournissent leur expertise aux groupes d’enquêtes durant les perquisitions. La DCPJ affirme donc sans détour, que tant du côté des forces de l’ordre, que du grand public, la lutte antiterroriste 2.0 est en marche.
Au plan juridique, les textes consacrés à la prévention du terrorisme se sont multipliés. Ces projets et propositions de loi très médiatisés ont fait l’objet de critiques multiples. Il s’agit d’abord de la loi du 24 juillet 2015 relative au renseignement. Elle permet aux services de renseignement d’accéder aux données de connexion, d’intercepter les correspondances électroniques et d’échanger sur les réseaux sociaux. Ces prérogatives sont renforcées lorsqu’elles sont justifiées par la prévention du terrorisme. En second lieu, le régime des interceptions administratives des communications émises ou reçues à l’étranger, censuré par le Conseil constitutionnel, a fait l’objet d’un texte isolé : la loi du 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales. Suite aux attentats de novembre dernier, l’état d’urgence a été déclaré puis prorogé pour une durée de trois mois par la loi du 20 novembre 2015. Les dispositions de la loi de 1955 ont été complétées afin, notamment, d’ajouter des pouvoirs d’investigation numérique aux prérogatives administratives de police. Ainsi, dans le cadre de l’état d’urgence, les forces de l’ordre peuvent accéder aux systèmes informatiques et copier les données accessibles depuis les équipements se trouvant sur les lieux d’une perquisition. Le ministre de l’Intérieur peut également ordonner l’interruption d’un service de communication en ligne faisant l’apologie ou provoquant à la commission d’actes terroristes. En 2016, différents projets de loi devraient se concrétiser. Comme le projet de loi constitutionnelle pour la protection de la Nation, la proposition de loi renforçant la lutte contre le crime organisé et son financement, l’efficacité et les garanties de la procédure pénale ou encore le droit au chiffrement.
Objets connectés : 2015 l’année du piratage des voitures. Qui aurait cru cela possible ? Le premier piratage d’une voiture de série (une Jeep aux États-Unis) au cours duquel il a été possible, en 2015, de désactiver ses freins ou encore d’éteindre son moteur à distance pendant qu’elle roulait. Certes, ce piratage a été réalisé par des chercheurs en sécurité sans intention de nuire. « Mais cette démonstration montre la vulnérabilité des véhicules qui sont aujourd’hui des objets connectés comme les autres mais où les conséquences d’une attaque peuvent être beaucoup plus graves », commente Gérôme Billois, expert senior chez CERT-Solucom, un cabinet d’audit en cybercriminalité. L’année dernière a vu la multiplication des cas d’attaques réussies sur des objets connectés divers et variés tels que des poupées, des fusils de snipers, des babyphones, ou encore des pompes à insuline… Morale de l’histoire : la cybersécurité est encore trop souvent négligée dans les phases de conception et de tests de ces objets. « Les cas médiatiques majeurs de 2015 commencent doucement à faire réagir les acteurs fabriquant ces objets, mais les sécuriser n’est pas simple et il faut disposer des compétences pour le faire, poursuit Gérôme Billois. Et attention il ne faut pas sécuriser ces objets comme si c’étaient de simples ordinateurs. Nous avons, par exemple, vu des voitures qui exigent d’être mises à jour et qui pendant ce temps ne peuvent pas rouler ! » Inacceptable pour le grand public. Il faut donc repenser en profondeur la sécurité des objets connectés, dans toutes leurs dimensions. Une nécessité car les objets connectés laissent deviner un futur rempli d’objets autonomes (voitures, robots…) qui agiront en fonction de leur algorithme.
« Au-delà des questions techniques, se posent des questions juridiques où la notion de responsabilité devra se réinviter. C’est un débat de fond qui doit être ouvert alors même que les principaux sujets liés aux objets connectés ne sont pas encore totalement instruits », interroge Garance Mathias, avocat au cabinet éponyme. En effet, les objets connectés collectent beaucoup de données sur nous et sur nos habitudes. Ils vont ensuite les stocker dans des systèmes informatiques quelque peu nébuleux. « Le risque juridique doit être analysé et traité en profondeur pour éviter de potentiels poursuites. Et ce, pas uniquement en cas d’incidents, insiste l’avocat. Les fabricants sont naturellement concernés mais des sociétés de renoms qui recommandent certains objets à leurs clients peuvent aussi être potentiellement inquiétés, elles ont tout intérêt à effectuer des vérifications en profondeur avant de communiquer sur des partenariats. »
Erick Haehnsen
Commentez