04 décembre 2015

pictogramme temps Lecture 7 mn

Attaques informatiques: 3 déclinaisons pour un risque en forte hausse

Le piratage du site de rencontres extra-conjugales Ashley Madison a fait les gros titres des journaux cet été. Il a remplacé dans l'actualité le piratage des données personnelles de 25 millions de fonctionnaires américains, révélé en juin dernier. Il ne se passe désormais plus de mois sans qu'une attaque informatique majeure n'aboutisse.
On peut distinguer 3 risques différents dans ces attaques qui visent les données des entreprises et des administrations.

1- L'espionnage industriel

Le premier type d'attaques concerne l'espionnage industriel et commercial. Le phénomène n'est pas nouveau, et il est logique que le cyber-espionnage se développe en complément des techniques classiques d'espionnage industriel. Les cas de cyber-espionnage sont généralement peu médiatisés : les attaquants (« cyber-pirates ») ont en effet tout intérêt à dissimuler leurs attaques, tandis que les cibles soit n'ont pas conscience d'avoir été attaquées, soit n'ont pas d'intérêt à le révéler sur la place publique. Le fait qu'il ne fasse que rarement la une des journaux ne signifie pas que le cyber-espionnage soit un phénomène marginal, encore moins qu'il soit en déclin. Une hausse de 50 % en 2014 Dans une étude de juillet 2015, le FBI estime ainsi que le nombre de cas a augmenté de 50% en un an aux Etats-Unis. Le 31 août, le Washington Post annonçait que le gouvernement américain étudiait des mesures de rétorsion à l'encontre de la Chine, l'accusant d'avoir porté le cyber-espionnage à un niveau insupportable. De façon générale, les secteurs d'activité les plus exposés sont les secteurs traditionnels de l'espionnage industriel : l'aéronautique et la défense, la pharmacie, l'automobile, l'ingénierie, les sociétés technologiques (dans l'énergie, les télécoms, l'industrie du logiciel...). L'espionnage commercial proprement dit touche également, outre les secteurs précédents, le BTP, les fournisseurs de biens d'équipement, le secteur des matières premières.
Des attaques tentantes car peu risquées Mais potentiellement, avec le développement des ERP, de la messagerie, du cloud, de l'externalisation, tous les secteurs d'activité deviennent des cibles abordables pour le cyber-espionnage. Les attaques deviennent de plus en plus tentantes parce qu'elles peuvent être menées de l'étranger, de façon discrète et difficile à tracer, avec de faibles moyens. Comme le démontrent de nombreux tests d'intrusion positifs, la principale difficulté pour les hackers n'est pas d'accéder aux données de l'entreprise ciblée, mais d'exploiter la masse de données récupérées. Des hackers bien dirigés, par exemple par une équipe d'un concurrent, peuvent cependant trouver rapi- dement ce qu'ils cherchent. Une position américaine ambigüe
Dans ce contexte, l'indignation américaine vis à vis de la Chine ne manque pas d'ironie, compte tenu des capacités d'accès aux données d'entreprises dont disposent les Etats-Unis, que ce soit via leurs programmes de surveillance (autorisés ou non), leurs officines spécialisées (d'ex de la NSA ou de la CIA), ou leurs programmes de « monitoring » imposés aux sociétés (générale- ment européennes) ayant conclu des accords à l'amiable avec la justice.

2- Le vol des données individuelles

Le deuxième type d'attaques informatiques consiste à voler les données d'une administration ou d'une entreprise pour les revendre. Les données visées sont les données individuelles des clients, usagers, employés, adhérents... Des dizaines de cas, portant parfois sur des millions de personnes, sont révélés chaque année. On pourrait se demander comment les pirates peuvent exploiter les bases de données individuelles récupérées, et à qui ils peuvent les revendre. Plusieurs solutions sont possibles (voir encadré). Des attaques massives et systématiques dans certains secteurs Nous reviendrons dans un prochain article sur ces différents cas, en analysant certains exemples récents. Ce qu'il faut retenir de ce phénomène est qu'il a littéralement explosé depuis 2008, pour devenir systématique dans tous les secteurs qui gèrent des données personnelles : santé, assurance, banque, hôtellerie, opérateurs téléphoniques, ven- deurs en ligne, grande distribution, sociétés internet B to C, administrations publiques... Les cibles potentielles subissent généralement des milliers (parfois beaucoup plus) de tentatives d'attaques chaque année, certaines atteignant des niveaux de sophistication très élevés. Un report des attaques vers des cibles plus petites, moins défendues En réaction, les secteurs exposés ont mis en place des défenses de plus en plus élaborées. Les pirates commencent donc à s'attaquer à des cibles plus petites, moins intéressantes, mais beaucoup moins défendues. Autrement dit, le risque est en train de se déplacer vers les secteurs jusqu'ici relativement épargnés, mais qui pour cette raison n'ont pas encore mis en œuvre les mesures de défense adéquates. Les données RH d'une moyenne entreprise, la liste des clients fidèles d'une boutique de luxe, ou la liste des clients d'un cabinet d'avocats fiscalistes deviennent désormais des cibles valables pour des cyber-pirates.

3- Le sabotage en ligne

Le troisième type d'attaques informatiques est le sabotage en ligne, ou « cyber-sabotage ». C'est sans aucun doute le moins courant, mais c'est celui qui peut avoir les impacts les plus forts, beaucoup plus qu'une perte de secret industriel ou que la divulgation de données clients. Dans le sabotage en ligne, le but n'est plus de consulter les données de la cible, ou de les voler pour les revendre : il s'agit de modifier les données dans les systèmes de la cible, à son insu. On pourrait se demander quel est l'intérêt pour l'attaquant. Pour un attaquant réellement mal intentionné, le cyber-sabotage ouvre plusieurs perspectives très intéressantes.
Données ciblées
Exploitation
Coordonnées bancaires, numéros de cartes de crédit
Réalisation d'achats en ligne (les systèmes de paiement en ligne sont moins sécurisés en Amérique et en Asie qu'en Europe)
Numéros de police d'assurance-santé
Usurpation d'identité pour béné cier d'une prise en charge hospitalière ou médicale (aux Etats-Unis notamment ou le système d'assurance-santé est privé)
Déclarations de revenus, adresses, données familiales
Ciblage de campagnes publicitaires
Base de données des programmes de fidélisation
Usurpation d'identité pour béné cier des avantages réservés aux clients membres (aérien, hôtellerie, transports...)
Données d'état civil, déclarations de revenus
Chantage à la divulgation (sites de rencontres, administrations publiques...)
Liste des clients avec le montant des avoirs
Chantage à la divulgation (banque d'affaires, gestionnaires de patrimoine)
Perturber le fonctionnement La première utilisation consiste à perturber les processus de la cible, par exemple le processus de production. C'est ce qu'ont fait les « mystérieux »[1] auteurs du virus Stuxnet pour saboter les centrifugeuses iraniennes. Les déclinaisons possibles de cette idée sont illimitées : on peut par exemple modifier les données cliniques recueillies par une entreprise pharmaceutique pour retarder son programme de R&D, modifier les systèmes de mesure sur une chaîne de production, modifier le réglage de robots afin d'augmenter le nombre d'incidents de production ou de produits non conformes, modifier les bases clients pour perturber la facturation...
Interrompre l'activité La deuxième utilisation du cyber-sabotage peut être d'arrêter purement et simplement les opérations de la cible, en mettant ses systèmes de production hors service. C'est par exemple ce qu'ont fait les équipes de guerre électronique nord-coréenne lorsqu'elles ont attaqué des banques et des médias sud-coréens en 2013. Des tentatives du même type contre des centrales électriques ont aussi été détectées avant qu'elles aboutissent. Là encore, compte tenu de l'automatisation croissante des processus de production, qu'il s'agisse de biens ou de services, la liste des cibles possibles est illimitée.
Détruire les actifs La troisième utilisation possible est la plus inquiétante : il s'agit de prendre le contrôle du système de la cible non pas pour l'empêcher de fonctionner, mais pour détruire les actifs de production (voire plus, selon les intentions de l'attaquant). C'est par exemple ce qu'ont réussi des cyber-pirates en attaquant une entreprise sidérurgique allemande en 2014. L'attaque a été détectée et stoppée, mais le haut-fourneau visé avait été endommagé. Il a dû être arrêté pendant plusieurs mois avant d'être remis en service. Les impacts se chiffreraient en millions, voire en dizaines de millions, d'euros. Dans ce cas, la motivation des pirates était financière (il s'agissait de chantage), mais elles auraient pu être différentes. Potentiellement, des cyber-pirates pourraient prendre le contrôle de nombreux systèmes connectés. Des chercheurs américains ont ainsi réussi cet été à prendre le contrôle par internet d'une Jeep Cherokee, sans intention maligne, mais obligeant tout de même Fiat Chrysler (le constructeur) à rappeler 1,4 millions de véhicules pour installer une mise à jour du système. L'opération a sans doute dû coûter pas loin de 50 M$.

Vivre avec le risque

Des risques qui ne peuvent qu'augmenter Trois tendances lourdes font que ces attaques ne vont pas diminuer, mais vont au contraire se multiplier et se complexifier :
  1. Le nombre d'objets connectés explose : par exemple, selon une étude d'IHS, le nombre de voitures connectées à internet passera de 35 millions en 2015 à plus de 150 millions en 2020. Cela multiplie donc les cibles potentielles.
  2. Les entreprises et administrations perdent le contrôle physique de leurs données: elles utilisent de plus en plus des infrastructures et des réseaux publics, connectés entre eux (donc accessibles de l'extérieur). Cela multiplie les possibilités d'accéder aux données.
  3. Les entreprises et administrations perdent le contrôle des systèmes utilisés : les programmes sont développés par des fournisseurs, la maintenance applicative et l'exploitation sont de plus en plus externalisées, les serveurs sont de plus en plus gérés par des tiers (hébergeurs, solutions cloud). Tout cela multiplie le nombre de personnes, et de tiers, pouvant avoir accès aux systèmes.
Intégrer les cyber-risques à la prise de décision
Les risques de cyber-attaque doivent désormais être considérés comme des risques inhérents à toute activité. Les décideurs doivent en particulier s'interroger sur la façon dont ils veulent gérer ces risques, en répondant notamment aux questions suivantes :
  • à quels risques d'attaques veut-on s'exposer ?
  • faut-il transférer la gestion de ces risques à des partenaires mieux outillés ?
  •  faut-il mettre tous ses œufs dans le même panier, ou prévoir différentes solutions (par exemple en répartissant les données sensibles entre plusieurs bases de données gérées par des systèmes différents) ?
Le défi pour certaines organisations, publiques ou privées, va être de faire évoluer le management au même rythme que les technologies. Les risques de cyber-sécurité pouvaient en effet jusqu'à il y a peu être considérés comme secondaires, non stratégiques et purement techniques. Leur évolution brutale oblige maintenant les décideurs, au plus haut niveau, à les intégrer dans leur processus de décision.
  [1] Tout désigne les gouvernements américain et israélien, qui n'ont d'ailleurs jamais démenti.