Les pirates informatiques qui sévissent au nom des États ne cherchent pas seulement à obtenir la capacité de perturber les infrastructures essentielles d’un adversaire dans l’hypothèse d’un futur conflit. Ils recherchent aussi (très) activement des secrets commerciaux, afin de soutenir leur propre économie dans les grandes luttes commerciales internationales.
Il n’y a certes rien de nouveau à cela, sauf que, récemment, la pression de l’espionnage industriel s’est intensifiée, de nouvelles lignes de bataille ont été tracées à travers le monde, et les entreprises doivent s’outiller en conséquence.
Le dernier rapport Verizon Data Breach Investigations Report (VDBIR) en est un exemple frappant : il fait état d’une forte augmentation des attaques étatiques, passant en seulement un an de 12 % à 23 % de tous les incidents analysés. Et ces chiffres sont alignés avec ceux qui quantifient la motivation des attaques : 25 % des incidents recensés sont motivés par le cyberespionnage, contre seulement 13 % auparavant (ces chiffres regroupent donc les opérations menées par des états, mais aussi par les groupes de cybercriminels qui travaillent pour eux).
Les objectifs des pirates
D’autres chiffres publiés par l’Association suédoise de l’industrie de la sécurité et de la défense (SOFF) confirment les tendances du VDBIR, mais vont plus loin en répartissant les attaques par secteur d’activité.
Ainsi, fait remarquable, 94 % des attaques qui ciblent l’industrie manufacturière sont motivées par l’espionnage, qu’il s’agisse de voler des secrets commerciaux ou de saboter des usines. À titre d’exemple — et ce n’est qu’une partie de l’iceberg — la société norvégienne de logiciels Visma a récemment révélé qu’elle avait été prise pour cible par des pirates du ministère chinois de la Sécurité d’État qui essayaient de voler leurs secrets commerciaux.
Dans un autre cas notable, Boeing a révélé qu’entre 2009 et 2014, des pirates informatiques chinois ont pu accéder à son réseau interne pour voler 65 giga-octets de données sensibles concernant des projets d’avions militaires.
Ces exemples n’ont rien de surprenant. Le secteur manufacturier, de même que l’administration publique ou les centres de recherche et d’enseignement, ont tendance à héberger d’importants volumes de données très sensibles, et donc très attrayantes pour un état étranger. Dans le cas de l’industrie manufacturière, par exemple, il s’agira bien souvent d’informations commerciales sur des projets en cours dans lequel certaines organisations du pays donneur d’ordre sont en concurrence avec l’entreprise victime. Mais il peut aussi s’agir de dérober tout simplement des secrets de fabrication pour donner un coup de pouce à sa propre industrie qui serait un peu à la traîne dans un secteur compétitif.
Signe des temps, selon le SOFF, les chercheurs en cybersécurité consacrent désormais 90 % de leur temps à étudier ces attaques ciblées motivées par l’espionnage, alors qu’il y a encore dix ans ce temps était dédié aux campagnes purement criminelles.
Les techniques des pirates
Comment ces pirates étatiques œuvrent-ils ? Parfois, comme les cybercriminels, en utilisant les mêmes techniques et les mêmes outils. Ainsi une récente analyse d’Infosec montre une explosion des marchés clandestins accessible sur le Darkweb. Il existerait au moins 300 communautés de pirates informatiques, dont certaines comptent jusqu’à un demi-million d’utilisateurs enregistrés, toutes pleines à craquer de ressources et de conseils pour mener à bien des attaques plus ou moins sophistiquées.
Mais les pirates agissant pour le compte d’États ont aussi plus facilement recours à des vulnérabilités de type « zero-day » que les autres. Ces attaques sont évidemment les plus rares, souvent très efficaces, mais aussi les plus onéreuses. Et la mauvaise nouvelle est que si celles-ci sont encore relativement rares, les recherches de Cybersecurity Ventures prévoient qu’il y aura une attaque de type « zero-day » par jour d’ici 2021.
Et malheureusement pour les entreprises, une attaque de type « zero-day » est généralement la plus difficile à identifier et à neutraliser puisque, par définition, personne n’y a été confronté jusqu’à présent. Il existe heureusement des parades efficaces, mais cela accentue sérieusement la pression mise sur l’entreprise pour se protéger.
Une autre technique privilégiée des attaquants, étatiques comme criminels, est l’hameçonnage. Les employés sont trompés par un faux courrier électronique leur demandant de fournir des informations d’identification et de connexion, qui permettent ensuite à l’attaquant de pénétrer le réseau comme un collaborateur légitime. Une analyse récente de PhishMe a révélé que les courriels d’hameçonnage sont responsables de 91 % des cyberattaques — une tendance inquiétante, mais qui peut être renversée par des mécanismes de sensibilisation adéquats.
Comment garder une longueur d’avance ?
Il est nécessaire d’accepter le fait que ces tendances ont peu de chance de reculer. Pire : le nombre d’attaques informatiques soutenues par des États ne fera probablement qu’augmenter avec le déploiement de technologies telles la 5G et l’internet des objets. Ces dernières élargiront en effet massivement la surface d’attaque, ce dont les attaquants ont toujours profité !
Bien entendu, comme l’on pouvait s’y attendre, le marché ne reste pas inactif face à ces menaces. De nouvelles technologies émergent pour aider à la riposte. Par exemple, des solutions d’intelligence artificielle sont en cours d’élaboration, qui permettent d’analyser tout le trafic en temps réel afin de repérer les comportements inhabituels, et identifier des anomalies qui étaient auparavant invisibles. Ces types d’IA sont explicitement conçus pour comprendre comment le trafic est censé fonctionner, en signalant automatiquement les anomalies dès qu’elles surviennent.
Quelles que soient les technologies déployées, aujourd’hui comme à l’avenir, il sera toujours nécessaire d’appliquer la sécurité à tous les niveaux et sur toutes les surfaces : terminaux, applications et infrastructures. Mais, désormais, toutes ne sont pas sur le même pied d’égalité. Parmi toutes ces surfaces d’attaque, les applications, en particulier, nécessitent aujourd’hui des politiques de sécurité cohérentes, intelligentes et adaptables, actives où qu’elles se trouvent (sur site, dans le cloud ou dans un environnement multi-cloud).
Car la protection des périmètres ne suffit plus. Les techniques d’authentification modernes, telles que le « principe du moindre privilège » et l’authentification à deux facteurs, devraient déjà être la norme. Il est impératif, maintenant, d’aller au-delà et de protéger efficacement les applications, devenues une cible privilégiée des attaquants, car elles traitent (et souvent de manière moins protégée) les données sensibles que visent précisément les pirates d’État.