Les cybermenaces se multiplient et de diversifient
En fin de semaine dernière, le Club de la sécurité de l’information français (Clusif) présentait l’édition 2012 de son panorama de la cybercriminalité. Un tableau peut reluisant où le rôle des relais d’information a été à plusieurs reprises montré du doigt.
Flashback sur l’année écoulée. Gérôme Billois, manager Sécurité et Risk Management de Solucom, dresse un bilan en demi-teinte. La fin du monde n’a pas eu lieu, mais l’année a vu «son lot d’incidents ». Et de s’intéresser en particulier à deux d’entre eux : celui de Knight Capital et ceux d’Amazon. Le premier, spécialiste du trading à haute fréquence, a été victime de bogues liés à son nouveau logiciel déployé début août dernier. En particulier, l’algorithme agissait à l’inverse de son objectif, faisant perdre 440 M$ à l’entreprise, qui a été rachetée par un concurrent ce mois-ci. Chez Amazon, l’année a été émaillée de plusieurs incidents provoquant des interruptions de service sur ses infrastructures de Cloud Computing largement utilisées «de manière sous-jacente par énormément de services ». Un véritable «effet domino», relève Gérôme Billois, pour souligner que «ces incidents donne des idées aux cybercriminels qui les imaginent comme de futurs scénarios d’attaque» et, surtout, que le Cloud reste faillible - «il ne faut pas mettre tous ses oeufs dans le Cloud.»
Une militarisation continue De son côté, Barbara Louis-Sidney de la Compagnie Européenne d’Intelligence Stratégique, souligne l’extension de la militarisation de l’espace cybernétique, avec un nombre croissant d’états formulant ouvertement leur doctrine et se dotant de centres de commandement ou au moins de centres de sécurité opérationnelle informatiques. En particulier, elle insiste sur le «rapport décomplexé à l’offensif», évoquant la volonté des Etats-Unis de se doter de capacités offensives mais aussi celles du Japon, d’Israël, de l’Inde, de la Chine, de la Corée du Nord... Des capacités qui semblent notamment appuyées par les faisceaux d’indices liant Stuxnet - et sa famille - à la Maison Blanche avec le programme «Jeux Olympiques ». Barbara Louis-Sidney souligne en outre le renforcement des réflexions relatives au droit international et de la notion d’atteinte à la souveraineté d’un Etat en matière informatique. Et de relever enfin la course aux spécialistes de la sécurité qui semble s’être engagée en 2012. Mais elle s'interroge toutefois sur la part des effets de manche et sur celle du réel : une dissuasion réussie s’appuie sur la construction de plusieurs croyances et celle-ci semble en marche.
Attaques ciblées C’est Pierre Caron, responsable d’une équipe sécurité d’Orange Labs, qui s’intéresse à la question des attaques ciblées, dont plusieurs n’ont pas manqué de défrayer la chronique l’an passé. Il relève la difficulté d’attribution des attaques en ligne et explique que des recherches comportementales donnent des pistes pour améliorer l’identification des responsables des attaques : l’analyse des pratiques rédactionnelles, y compris dans le code de programmation, ou encore celle des domaines et adresses IP utilisées par les logiciels malveillants. Les plateformes Flame et Duqu illustrent l’intérêt de ce type de recherche. Quant à comprendre le choix des cibles des attaques, Pierre Caron relève «une corrélation entre les attaques et les tensions existantes», qu’elles soient géopolitiques, économiques, militaires, etc. Mais faute de traits communs marquants entre attaques ciblées, ce spécialiste recommande avant tout de déployer des outils permettant de retarder l’intrusion, d’accélérer sa détection puis la réaction.
Le piratage en mode service Eric Grospeiller, FSSI (Fonctionnaire de Sécurité des Systèmes d’Information) au Ministère du Travail, de l’emploi et de la santé, souligne quant à lui le développement et la montée en maturité des offres de service de piratage. Des offres qui sont notamment le fait «de structures organisées qui développent une offre de service complète». Et d’illustrer son propos avec des exemples comme une attaque en déni de service pour 24h à partir de... 40 $, ou encore un mois pour 900 $. Un prix de base, précise le site cité en exemple. Quant aux vulnérabilités exclusives 0-day : de 5 000 $ à 30 000 $ pour Adobe Reader, par exemple. Un tableau qui a de quoi inquiéter. D’autant que les médias ne sont pas les derniers à monter le moindre incident de sécurité en épingle.
La communication de la peur Pierre Caron estime ainsi que «ces attaques sont très souvent rapportées de manière assez sensationnaliste ». Et de citer notamment en exemple «l’attaque supposée de l’Elysée
où l’on n’a quasiment aucun élément concret»... Un flou qu’il juge «préjudiciable au secteur de la sécurité», du fait du manque d’information et de «l’absence de réponse lorsque l’on pose des questions ». Nicolas Caproni, consultant en sécurité des systèmes d’information chez BSSI Conseil & Audit, ne le contredira pas... La Une de L’Express, sur la cyberguerre et le piratage de l’Elysée est encore une fois mise à l’index. Nicolas Caproni souligne ainsi que «la sécurité fait toujours autant tant parler. [...] Il y a beaucoup d’exagération, de manipulation, voire de désinformation ».