Quand des hackers enseignent les techniques de cyberdéfense

Tour Montparnasse, des managers et responsables informatiques viennent s'entraîner à faire face aux cyberattaques: mis en conditions réelles, ils apprennent à répondre aux intrusions et logiciels malveillants qui font de plus en plus de dégâts en entreprise. Bluecyforce, un organisme d'entraînement à la cyberdéfense, a créé une "Cyber crisis room" qui sert de terrain d'entraînement où une "blue team" affronte des hackers, la "red team", qui lancent des attaques dans un environnement clos.

Ces entraînements existent déjà en Israël, mais "en France il n'existait pas d'offre pour les entreprises et les institutions" à base d'attaques réelles, souligne Vincent Riou, le directeur général de Bluecyforce. "On fait les choses par la démonstration pratique. On déroule ces attaques comme dans la vraie vie", relève Guillaume Prigent, directeur technique de l'organisme.

Des hackers éthiques pour former les combattants

"On emploie des anciens hackers, des hackers éthiques qui ont fait le choix de travailler pour la défense" contre les cyberattaques. "Ils vont attaquer les gens pour leur faire relever leur garde, il faut s'entraîner c'est comme un sport" et comme pour les sportifs "la gestion du stress est très importante", explique le responsable devant un mur d'écrans.

Avec son t-shirt noir portant le message "Si tu veux la paix, prépare la (cyber) guerre" en latin, Adrien, hacker éthique de 27 ans, est en charge ce jour-là des attaques, lors d'une session de sensibilisation pour les non-spécialistes. La cible est le réseau local d'une mairie fictive de Bretagne, avec l'ordinateur du maire et celui de son webmaster. Avec un logiciel qui capture les paquets de données, le hacker montre comment il arrive facilement à trouver les login et mots de passe de l'édile qui utilise un site wordpress non chiffré.

Facile alors de rentrer sur les serveurs de la mairie, de s'emparer des bases de données de la commune, et bientôt d'afficher sur la page d'accueil de la mairie: "Vous avez été piraté". Si la mairie a bien pris le soin d'utiliser un réseau chiffré (avec une adresse https://), les portes d'entrée sont tout de même multiples. "Si le maire se connecte avec son ordinateur portable sur le réseau wi-fi du McDonald's ou s'il part en vacances avec, pour les attaquants, c'est open bar", avertit Guillaume Prigent.

"Oops your files have been encrypted"

Le hacker lance ensuite une attaque par "bruteforce" qui consiste à tester tous les mots de passe possibles jusqu'à découvrir le sésame qui permet d'entrer sur le réseau. D'autres techniques comme le cybersquattage de noms de domaine -une copie du site de la mairie sur laquelle le maire sera invité à se connecter- peuvent servir à capturer les identifiants.

Dernière démonstration, le hacker va inciter le maire à exécuter un logiciel malveillant, en lui envoyant une fausse facture qu'il ouvrira sans se méfier. Mais dans cette facture se cache le rançongiciel Wannacry et bientôt, son poste est bloqué et le message "Oops your files have been encrypted" ("les fichiers ont été chiffrés"), apparaît. Et le maire se fait extorquer une rançon pour les récupérer.

"Pour une entreprise, la question n'est pas de savoir si ça va arriver mais quand", souligne Guillaume Prigent, alors que les campagnes de cyberattaque, à l'image de Wannacry ou NotPetya, s'intensifient. Pour ses plus gros clients, des "opérateurs d'importance vitale" du secteur des transports, de l'énergie, ou comme le constructeur Renault, Bluecyforce peut recréer les systèmes informatiques internes et les interfaces auxquels les collaborateurs sont habitués, avant de les confronter à des attaques.

"Le but est de lancer des attaques dans un champ de tir que l'on maîtrise", les postes de la salle ne sont ainsi pas reliés à internet pour éviter la propagation de virus utilisés pendant les démonstrations.

Bluecyforce, un groupement d'intérêt économique créé il y a trois mois par Diateam, société de technologies de cybersécurité, et CEIS qui propose une offre de monitoring de la menace cyber, envisage de créer d'autres centres en province et à l'étranger.