"MAÎTRISEZ VOTRE SYSTÈME D'INFORMATION"

Attaques informatiques, anatomie d’une catastrophe annoncée

Strip securite informatique sih

 

Pas une semaine ne se passe, si ce n’est même une journée, sans qu’une nouvelle attaque informatique massive ne soit révélée. Et pour cause, il semble bien que les hackers aient intégré à leurs démarches, moralement contestables, un modèle économique terriblement viable.

Mais avant de parler du modèle économique, pour ne pas dire du BusinessPlan, il est intéressant de retracer le déroulement des opérations au cours des derniers mois, à travers un certain nombre d’étapes cruciales qui nous permettront de mieux comprendre comment nous en sommes arrivés à ce point et ce qui nous attend à court et moyen terme.

 

Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire.
Albert Einstein

 

Une base solide qui, hélas, a fait ses preuves

Nous avons constaté, depuis quelques années, une recrudescence des attaques par « Ransomware ». « Locky » , « Petya », « Jigsaw » ou bien encore « CTB-Locker » ou plus récemment « WannaCry » pour n’en citer que quelques-uns. Nous attirons régulièrement l’attention des DSI sur l’explosion de ce type d’attaque par l’intermédiaire de plusieurs documents et différents médias.

Ce faisant, les virus devenaient alors une manne financière considérable, relativement simple à exploiter pour qui veut nuire et s’enrichir sans recourir à des techniques de Hacking complexes. En s’appuyant sur la monnaie virtuelle, technologie qui dans le même laps de temps a rencontré un franc succès à travers la planète pour des raisons beaucoup plus louables et légales, les transactions et donc le paiement des rançons devenaient intraçables. Ce qui, avouons-le, aurait facilité la tâche à n’importe quel rançonneur si un tel service avait existé plus tôt.

 

Pour rappel, si cela est encore utile, un ransomware est un virus qui rend inaccessible et totalement inutilisable l’ensemble des données présentes sur les machines infectées, puis, si possible, le réseau tout entier, par un système de cryptage des données, tant qu’une rançon n’est pas versée. Et quand bien même la rançon est payée par la victime, encore faut-il que l’assaillant respecte son engagement. Rien n’est moins sur, au vue des activités illégales, de ladite personne.

Davantage de précisions sont disponibles dans notre article « Ransomware ».

 

A cette étape nous avons déjà les 2 premiers ingrédients d’une recette détonante. Soit des logiciels de cryptographie (ransomware) extrêmement performants, nombreux et suffisamment rapides et puissants pour ne laisser que très peu de chance à la victime. Mais aussi un système de paiement anonyme permettant aux hackers de se faire payer en toute sécurité.

Les bases sont désormais posées …

 

D’anciens OS non maintenus largement attaqués

Pendant ce temps, le cycle de vie de plusieurs systèmes d’exploitation arrive à terme en passant par différentes phases avant de ne plus être maintenu du tout. Ce que cela signifie est que progressivement plus personne n’apporte de correctifs de sécurité à ces systèmes jusqu’à leur abandon pur et simple.

Et c’est là notre 3eme ingrédient. Ces systèmes sont massivement implantés dans tout type d’établissement, de tout secteur d’activité. Et paradoxalement, plus les établissements sont grands et donc potentiellement « riches » plus la migration vers un nouveau système est complexe, et ce pour différentes raisons, telles que la dimension du parc à migrer, la capacité financière à absorber les coûts, les surcoûts engendrés, …

Autant de raisons qui freinent la migration vers des systèmes plus modernes et donc en théorie mieux sécurisés.

La belle aubaine pour un rançonneur …

 

Comment expliquer que les OS récents et parfaitement maintenus soient également victimes ?

C’est wikileaks qui nous a livré la réponse courant Mai, en effet, les agences de sécurités imposent aux fournisseurs de systèmes d’exploitation de fournir leurs codes sources, pour des raisons de sécurité.

Et c’est ainsi, que la NSA s’est retrouvée en capacité de lire le code source des OS les plus récents.

Tout naturellement, des failles de sécurité ont été identifiées dans ces OS. Puis, en toute logique, des outils d’exploitation de ces failles ont été développés en interne « pour nous protéger » . Malheureusement, il semble que personne n’ait pensé à prévenir les éditeurs de failles de sécurité béantes. Certainement la culture du secret …. ou la volonté de les utiliser.

Et ce qui devait arriver, arriva. La NSA, organe de sécurité américain, s’est fait à son tour pirater … et oui ça arrive à tout le monde, même aux meilleurs.

Sauf que là, ça va faire très mal, le groupe de hacker qui a réussi cet exploit se nomme les « Shadow Brokers » et bien sûr ils ont fait main basse sur les outils de cyberguerre de la NSA.

C’est la notre 4eme ingrédient, n’est-il pas savoureux ? Les outils de cyber-défense nommés par exemple « Eternalblue » et « DoublePulsar » sont devenus des outils de cyber-attaque utilisés contre tous les établissements, les entreprises, les particuliers, …

Personne n’est vraiment capable de dire avec précision l’étendue des outils dérobés mais la capacité de nuisance n’a jamais été aussi grande comme le révèle l’article du journal lemonde.fr.

Les éditeurs colmatent tant bien que mal les failles au fur-et-à-mesure que les attaques sont révélées, mais à chaque fois les victimes payent les pots cassés. Et ces victimes sont principalement les institutions et les professionnels pour des raisons évidentes, un établissement de santé ne peut se passer de ses données patient.

Les éditeurs se retrouvent même à devoir retravailler sur des systèmes dont le support avait pourtant été abandonné, comme ilpar exemple ce guide pour les anciennes plateformes publié le 13 Juin 2017 par Microsoft.

Désormais, ces outils sont régulièrement mis en vente par les « Shadow Brokers » qui proposent même un abonnement à leurs outils pour 24 000 Dollars US par mois, pour le compte d’autres groupes de hacker qui n’ont plus qu’à décliner les attaques avec comme seule limite, leur imagination.

C’est ainsi que nous voyons arriver, non plus des virus mais des franchises de virus.

C’est à dire ? Un groupe de hacker a développé un « ransonware » non seulement puissant mais qu’il distribue gratuitement à qui veut l’utiliser. Celui-ci fonctionne sur un système de commission à la rançon. Pour chaque rançon versée aux pirates qui utilisent ce « malware », les créateurs du-dit virus perçoivent une commission.

 

Une recette à 4 ingrédients

Les hackers ont désormais, entre leurs mains :

  1. Des logiciels de cryptographie performants
  2.  Des moyens de paiement anonymes
  3. Des outils de pénétration professionnels et inédits
  4. De multiples modèles économiques ultra-rentables

 

Les victimes se comptent par millions et dans tous les secteurs d’activité :

Le 1er juin, la firme « Check Point » révélait l’existence d’un virus nommé « FireBall » présent sur 250 Millions d’ordinateurs.

Dans le secteur de la santé, de nombreux hôpitaux et cliniques privées ont déjà été contraints de payer des rançons. Dans le sud de la Californie, le Hollywood Presbyterian Medical Center, s’était vu réclamer 3,6 millions de dollars US.

Plus récemment, theguardian.com à révélé le cas d’une clinique de chirurgie esthétique s’est vue quand à elle, réclamer 600 000€, contre la non-divulgations des photos des opérations des patients.

Selon Trend Micro, Le 14 Juin une société de Corée du Sud aurait également payé la sommes d’un 1 Million d’€ suite à une attaque en date du 10 juin 2017.

Et bien sur, la très grande majorité des attaques ne sont jamais révélées pour ne pas entacher l’image des établissements contaminés.

Bien que pouvant sembler parfaitement abouties, et extrêmement efficaces les attaques auxquelles nous devons faire face ne sont que les prémices d’une catastrophe désormais annoncée.

 

Comment faire face à cette menace ?

Tenter de répondre par des actions de sécurisation compartimentées ne se révèle plus d’aucune utilité, et ce qui nous attend, dans un avenir trop proche, risque de se révéler bien pire encore.

Face à une menace si bien orchestrée, pour être pertinente la réponse doit être globale et s’appuyer notamment sur la transversalité des services. Dès la rentrée, nous vous présenterons l’ensemble des solutions, qui une fois toutes imbriquées, nous permettrons de maintenir à flot les SIH, même en pleine tempête.

Rendez-vous en septembre pour la suite de notre dossier ….