Sécurité : 2013, une année riche en menaces selon le Clusif

Des attaques dites du « point d’eau » aux malwares visant les applications métiers, le Clusif vient de publier son panorama de la cybercriminalité. Tour d’horizon des principales menaces qui visent les entreprises.
Le scandale des écoutes de la NSA monopolise encore une grande partie de l’attention des journaux. Mais, si les menaces étatiques sont bien réelles, les entreprises ont eu, elles, à subir d’autres types d’attaques en 2013. D’abord les attaques dites du « point d’eau » (ou waterholing en anglais). Celles-ci ont déjà été mises en évidence par le Certa, centre d’expertise gouvernemental, dans son bilan 2013.
Cette technique consiste à piéger un site web en y déposant du code malveillant et d’attendre les visites des personnes que l’on cible pour infecter leurs postes. Cette année, « pour attaquer la communauté du nucléaire aux Etats-Unis, des pirates ont visé la page du ministère du Travail dédiée aux compensations versées en cas d’exposition aux radiations » raconte Gérome Billois, senior manager pour le cabinet de conseil Solucom. La page était piégée pour prendre le contrôle des postes de travail des internautes qui la visitaient et qui travaillaient potentiellement dans le nucléaire.
35 000 postes de travail touchés par un malware en Corée du Sud
En 2013, les entreprises ont aussi été menacées par des attaques « destructives » ou « incapacitantes » qui rendent inopérantes ou effacent des données. L’objectif étant de désorganiser la structure visée. Le célèbre ransomware Cryptolocker chiffre les données des ordinateurs infectés pour les prendre en otage et demander une rançon contre leur déchiffrement. Une seule bonne manière de se prémunir contre ce type de menace : faire des sauvegardes régulières de ses données.
En mars 2013, la Corée du Sud a été touchée, quant à elle, par un malware qui réécrivait les disques durs. 35000 postes de travail ont été touchés dont des stations professionnelles. De nombreux distributeurs de billets se sont ainsi retrouvés en rade. « Le malware était mal conçu, et il était possible de réparer les données mais cela n’a pas empêché une désorganisation massive des sociétés touchées » explique Gérome Billois.
Le premier malware visant SAP
De fait, les attaques « métiers » connaissent une vraie croissance. « Ce ne sont pas uniquement les postes de travail qui sont visés mais les processus métiers » explique Gérome Billois. Et dans le domaine, les exemples ne manquent pas. D’abord, le premier malware pour SAP est apparu en 2013 basé sur le cheval de Troie Carberp. Ensuite, deux banques du Moyen-Orient ont été attaquées via leurs prestataires américains et indiens. « Les pirates se sont introduits sur les systèmes métiers pour changer le plafond de paiement de cartes bancaires » décrit Gérome Billois. Ils ont réussi à retirer 45 millions de dollars au total. Enfin, des terminaux portuaires à Anvers ont été hackés pour faire disparaître des conteneurs contenant de la drogue.
Les attaques « vie privée » commencent tout juste à apparaître. Elles recherchent des informations sur des employés d’une société sur leurs messageries électronique ou instantanée, les réseaux sociaux et les sites de stockage. L’objectif est par exemple de mieux connaître les top managers d’une entreprise ou de récupérer des informations. « Il arrive trop souvent que des salariés se transfèrent le vendredi soir des documents professionnels sur leur e-mail personnel pour y travailler le week-end » regrette Gérome Billois. En 2013, 50 millions de mots de passe Evernote ont été volés. Certains sites prennent heureusement des mesures préventives, comme Facebook. Ce dernier a vérifié que les mots de passe révélés n’étaient pas aussi utilisés sur sa plateforme.
Les Etats, une menace comme les autres ?
Les méthodes d’attaques sont donc très variées et nombreuses… et les Etats ne sont pas en reste. Le début d’année a été marqué par le rapport APT1 rédigé par la société Mandiant. Celui-ci a révélé l’existence d’un groupe d’attaquants chinois probablement issu de l’armée dont les activités ont pris une ampleur considérable. Selon le rapport publié en février 2013, ils ont été détectés dans plus de 140 entreprises sur 20 secteurs différents. Leur objectif est de s’installer pour longtemps dans les système d’information qu’ils investissent. Capable de voler 6 To de données en quelques mois, ils disposent de près de mille serveurs dans 17 pays. Bref, un groupe organisé avec des moyens importants dans la durée.
En juin, Edward Snowden et la NSA ont commencé à faire parler d’eux. Si les experts en sécurité n’ont pas été surpris par l’existence d’une surveillance généralisée orchestrée par la NSA, l’ampleur et l’industrialisation du dispositif ont, eux, étonné : avec un catalogue de services d’armes numériques et des prix associés à chacun et des capacités d’analyse et de collectes importantes. La NSA, c’est 2,5 milliards de dollars de budget annuel dédiés à la collecte et 3 milliards affecté à l’analyse et à la consolidation des informations récoltées. Tout ceci n’a pas empêché la NSA d’être victime d’une fuite importante, et d’être encore incapable aujourd’hui de savoir ce qui a été volé à cause d’un défaut dans la traçabilité des données. « Du coup, un programme drastique de réorganisation interne et plus largement du renseignement est en cours » rappelle Gérome Billois. Même les grands ne sont pas à l’abri d’une défaillance.