De la cybercriminalité à la cyberguerre

03 mai 2016

Alain Deladrière
« Le CERT-EU est un groupe d’experts de sécurité informatique dont l’objectif est d’aider toutes les institutions européennes, les agences européennes et la Banque centrale européenne à mieux se protéger contre les cyberattaques les plus sophistiquées, les plus difficiles à détecter ou à combattre », explique Freddy Dezeure, Head of Unit CERT-EU.
Le CERT-EU est un petit groupe d’experts de sécurité informatique comptant 25 personnes pour l’instant qui a pour clients une soixantaine d’organisations. « Ce sont des organisations publiques de haut niveau européen, des institutions comme la Commission, le Parlement, le Conseil, toutes les agences ce qui inclus l’agence Europol (European Police Office) ou l’agence des Produits chimiques et pharmaceutiques, l’agence de la Défense, Galileo (le système européen de positionnement par satellites), etc. S’y ajoute la Banque centrale européenne.
Toutes ces organisations ont leur propre infrastructure, département informatique, protection de base, c’est-à-dire tous les produits hardware et software commerciaux disponibles sur le marché. Notre mission est d’apporter une couche de protection en plus pour détecter plus vite, mieux prévenir ou remédier de façon plus efficace aux cyberattaques contre ces organisations. »
Risk&Compliance Platform Europe : Comment faire mieux que les institutions elles-mêmes ?
Freddy Dezeure : « Le CERT-EU est une entité très liée à d’autres similaires. Chaque Etat membre dispose d’une entité CERT. Toutes ces petites cellules sont en contact de manière continue. Nous nous informons mutuellement de ce qui se passe sur les réseaux, ce qu’ont été les attaques pour pénétrer dans les systèmes, comment les détecter et les prévenir, les règles de détection que nous partageons. C’est une sorte de plaque tournante d’informations. C’est aussi une plaque tournante avec des entreprises privées avec lesquelles nous avons des coopérations en place qui nous permettent d’accéder à des informations qui ne sont pas publiques et nous permettent d’effectuer notre travail. Il faut savoir que dès que l’on rend une information publique, le cybercriminel sait qu’il a été détecté et change sa méthode d’attaque. Par conséquent, avoir accès à ce type d’information est crucial pour mieux se protéger.
Ces 25 personnes sont des super-experts. Si jamais un problème survient dans une de ces institutions, nous le détecterons peut-être avant qu’elle ne soit capable de le faire et si on le détecte, nous pouvons envoyer des experts pour aider à remédier ou récupérer des données ou comprendre ce qui s’est réellement passé. »
Ransomware
Risk & Compliance Platform Europe : Quels sont les types de cyberattaques les plus fréquentes ? On parle beaucoup de chantage …
Freddy Dezeure : « En effet, pour l’instant, le plus ravageur est tout ce qui est chantage, extorsion (ransomware) avec deux méthodes très prisées actuellement.
Dans la première, le cybercriminel essaie de convaincre des utilisateurs de cliquer sur des liens et le malware ainsi déchargé, chiffre les données de l’ordinateur qui a cliqué ou toutes les données d’une institution, d’une entreprise, d’un hôpital voire d’un gouvernement. Dès que les données sont chiffrées, le cybercriminel va envoyer un email ou faire passer un message en disant : ‘Nous avons chiffré vos données. Votre entreprise ne fonctionne plus. Si vous voulez que nous annulions cela, vous devez payer des bitcoins et nous vous donnerons la clé de déchiffrement.’ Cette méthode est très répandue au niveau de la planète. Elle devient de plus en plus sophistiquée. Il est de plus en plus difficile de déchiffrer sans avoir les clés de déchiffrement. Et les attaques sont également de plus en plus sophistiquées. Jusqu’à présent, il s’agissait d’attaques non ciblées, envoyées partout. A présent, on assiste déjà à des attaques ciblées. Ils sont aussi en train de copier les tactiques ou méthodes des cybercriminels étatiques. Ils ne se contentent plus seulement de chiffrer un ordinateur mais opèrent également des mouvements latéraux à l’intérieur de l’infrastructure pour chiffrer la totalité de l’infrastructure.
Dans la deuxième, la méthode dite de D-Dos, le cybercriminel envoie un flux d’informations à une entreprise ou un site Web. Ce flux est à ce point important qu’il bloque le site. Il envoie ensuite un message en indiquant : ‘Nous vous avons fait la démonstration de nos capacités. Nous ferons bien plus si vous ne payez pas.’ On notera cependant que les institutions n’ont pas beaucoup souffert de cette deuxième méthode. »
Risk & Compliance Platform Europe : Que faut-il faire concrètement lorsque cela survient ?
Freddy Dezeure : « Les entreprises ne peuvent pas contacter le CERT-EU, parce que ce n’est pas dans notre mandat. Mais lorsque cela survient, elles doivent contacter les services de police et déposer plainte. Le problème est qu’en général, si l’on dispose d’un back up, on peut revenir en arrière. Si ce n’est pas le cas, souvent le seul moyen est de payer. Sans cependant avoir la garantie que les cybercriminels restaureront le système. Ces derniers disposent même d’une sorte de helpdesk; c’est un service commercial comme tout autre service. Vous payez et ils envoient la clé… jusqu’à la prochaine fois. 
Ce sont les deux méthodes dans le monde externe qui sont les plus problématiques à l’heure actuelle. »
Cyberguerre
Risk & Compliance Platform Europe : Avez-vous d’autres exemples d’attaques ?
Freddy Dezeure : « Un autre problème, mais peut-être moins important pour l’entreprise, a trait aux tensions politiques comme en Ukraine, en Syrie… Ce sont les hackers étatiques qui deviennent de plus en plus violents. Jusqu’à présent, certains états étaient surtout intéressés par le vol d’informations lié à l’espionnage : qu’est-ce qu’un état a décidé, comment va-t-il se positionner, quel est le niveau de préparation militaire, etc. Mais récemment, on a assisté en Ukraine à la première attaque sur une infrastructure critique par la mise à plat de la distribution d’électricité dans trois régions. Cela s’est fait de façon très coordonnée, organisée et sophistiquée. C’est effrayant au niveau méthode de pouvoir bloquer l’approvisionnement d’électricité, d’eau, du trafic aérien… Jusqu’à présent tout cela était théorique et lointain. On savait que c’était possible, mais…Ce premier cas réel d’hybride warfare donne à réfléchir. Il s’agit de circonstances de guerre physique avec un premier élément de cyberguerre.
Ce n’était pas seulement cyber. Un article intéressant a été publié dans Wired pour expliquer la façon dont cela s’est produit. L’attaque s’est faite par des malware. Ils se sont ainsi appropriés des mots de passe qui leur ont permis de pénétrer dans les réseaux industriels. Ils ont ensuite désactivé la distribution à distance. Et en parallèle, ils ont établi un bloquage sur les centrales téléphoniques pour empêcher les clients de joindre leurs fournisseurs. Il s’agissait donc d’une attaque très concertée touchant l’infrastructure critique d’un pays. »
Risk & Compliance Platform Europe : « Peut-on dire que cela vient de pays bien déterminés ou est-ce dispersé dans le monde entier ?
Freddy Dezeure : « C’est très dispersé et le problème aussi est qu’il est très difficile d’attribuer une attaque à un pays ou un état parce que les méthodes techniques sont tellement anonymes qu’il est presque impossible de prouver un lien direct entre un groupe, une personne, un pays et une attaque.
Ce n’est pas non plus le métier du CERT-EU. Nous essayons de nous spécialiser, de comprendre quelles sont les attaques les plus importantes pour nous, comment ces attaques se matérialisent, comment peut-on les détecter ou les empêcher plus vite. »
Conscientiser, sanctionner…
Risk & Compliance Platform Europe : Est-ce que toutes les entreprises sont conscientes de l’importance de bien protéger les données ? Faites-vous ou des institutions européennes font-elles quelque chose pour conscientiser ?
Freddy Dezeure : « Oui bien sûr. Au niveau des mesures techniques, protéger des données mais également au niveau de la sensibilisation des utilisateurs, sur les dangers, les choses à faire ou ne pas faire. Ce sont des démarches courantes pour le CERT-EU. »
Risk & Compliance Platform Europe : « La loi peut intervenir pour sanctionner si les données surtout privées n’ont pas été protégées. Sont-ils bien tous conscients de cela ? Ou se dit-on que cela arrive aux autres et pas à soi ?
Freddy Dezeure : « Oui ils sont conscients mais le fait de se dire que cela n’arrive pas à eux est une réaction généralisée propre à l’être humain. Ceci dit, la nouvelle législation européenne est très sévère à cet égard. Je pense aussi que dans les entreprises privées, on ne se rend pas toujours compte de l’impact que cela aurait sur eux en matière de responsabilité civile, individuelle. Les pénalités… »
Risk & Compliance Platform Europe : Il existe un centre de cybercriminalité aux Pays-Bas. Faut-il multiplier ce genre d’initiative en Europe ?
Freddy Dezeure : « Il s’agit de l’European Cybercrime Center, un département d’Europol où des experts des polices nationales se retrouvent et échangent des informations. Une excellente initiative à laquelle nous participons également. Ceci dit, il ne faut pas multiplier une telle initiative. Le but est de le faire au niveau européen. Chaque pays a des forces de police spécialisées. En Belgique, il y a des forces de police expertes en cybercriminalité. Ils ont leur autonomie. Chaque pays à ses propres procureurs aussi – ils sont d’ailleurs très spécialisés et très efficaces en Belgique. Mais lorsque des attaques ou des événements dépassent le niveau national, les experts se retrouvent dans l’European Cybercrime Center pour discuter d’approches communes. »
Risk & Compliance Platform Europe : On a parfois l’impression quand on discute avec certains dirigeants de société, qu’il n’y a pas grands choses qui existent ? Ne serait-ce pas plutôt le fait de ne pas chercher à se renseigner ?
Freddy Dezeure : « Oui, bien sûr et il y a aussi une certaine naïveté ou un manque de volonté de certains de ne pas voir ce qui existe déjà. Et je pense que ces entités, que ce soit la police fédérale, la criminalité cyber ou Europol, ne peuvent faire leur travail que si elles sont informées par les entreprises. Les entreprises pensent souvent que ce n’est pas utile. C’est tout le contraire. »

Laissez une réponse

Votre adresse email ne sera pas publiée. Les champs obligatoires sont indiqués *