Le cyber-espionnage, un risque majeur à apprivoiser
août 2024 par Sébastien Viou, directeur cybersécurité & management produits chez Stormshield
A la fin du mois de juillet, la procureure de Paris, Laure Beccuau, a annoncé le lancement d’une vaste opération de désinfection pour contrer un logiciel soupçonné d’avoir causé plusieurs millions de victimes dans le monde, notamment à des fins d’espionnage. Une façon de nous rappeler que l’espionnage continue d’être très présent dans le paysage cyber actuel ; un fait confirmé par l’ANSSI dans son Panorama de la cybersécurité 2023. De l’entreprise privée à l’Etat-Nation, de nombreux acteurs s’adonnent à ces pratiques, que ce soit pour des motifs économiques, stratégiques ou géopolitiques.
Pour Sébastien Viou, directeur cybersécurité & management produits chez Stormshield, le cyber-espionnage doit être mieux compris, et ses techniques davantage connues par les entreprises, pour limiter les fuites de données aux conséquences parfois désastreuses :
« Le cyber-espionnage est principalement une action d’écoute et de recueil d’informations, actif ou passif, sur un système d’information (SI), pouvant être suivi de campagnes malveillantes. Ces actions ont pour but de déstabiliser une activité ou un service sensible. L’espionnage a toujours existé, simplement il se déplace depuis plusieurs décennies sur le champ cyber avec un objectif similaire : obtenir un avantage significatif sur l’organisation visée, concurrentiel dans le cas du cyber-espionnage industriel, stratégique d’un point de vue géopolitique, allant de la sécurité nationale à l’économie, en passant par l’influence politique et sociale.
Du fait de ces deux principaux types d’espionnage, industriel et géopolitique, deux catégories d’acteurs dans le domaine du cyber-espionnage cohabitent : criminels et étatiques. Toutefois, il n’est pas rare de les voir travailler ensemble, ou, pour le moins, dans le cadre d’une relation de client à fournisseur. En effet, certains groupes de cybercriminels, qui peuvent parfois être des sociétés privées, sont notoirement affiliés à des gouvernements ou des services de renseignements, auxquels ils transmettent les informations qu’ils obtiennent.
On peut distinguer quatre grandes techniques de cyber-espionnage : les ransomware, l’exploitation de vulnérabilité (0-days en général), l’introduction de backdoor et l’espionnage physique. Il n’est pas rare de voir ces techniques combinées pour mener une action de déstabilisation d’état.
L’exemple le plus frappant de la "collaboration" criminel/état sont les attaques par ransomware. Si les cybercriminels faisant usage de ransomware le font avant tout pour des raisons pécuniaires, afin de générer un profit rapidement. Ces groupes malveillants sont en réalité souvent liés à des gouvernements étrangers. La raison est simple, d’une part cela permet de générer des revenus pour financer des opérations "illégales" (blackops), et d’autre part, la quantité de données exfiltrées constitue une manne d’informations exploitables pour des opérations de déstabilisation ou d’influence. Enfin, ces ransomwares sont également un bon moyen de placer des agents logiciels dormant dans des systèmes d’information afin de déclencher, le moment venu, une opération de grande ampleur comme une panne généralisée.
Une autre approche exploitée dans le cadre du cyber-espionnage est la recherche et l’exploitation de faille 0-days. Cela implique de trouver des vulnérabilités dans des logiciels ou des systèmes qui ne sont pas encore connues des développeurs ou du public, et une fois trouvées, elles peuvent être utilisées pour infiltrer des systèmes informatiques sans être détectées. Quoi de plus efficace que d’exploiter une vulnérabilité encore inconnue ? Il n’existe en effet aucune protection ou correctif contre elles, rendant ainsi leur exploitation extrêmement puissante pour les attaquants. C’est pourquoi les États sont prêts à payer des sommes considérables pour les obtenir, car elles leur donnent un avantage significatif dans le domaine du cyber-espionnage, leur permettant d’accéder à des informations sensibles, de compromettre des systèmes adverses, ou de mener d’autres opérations cyber de manière efficace.
La corruption de logiciels ou matériels privés avec l’introduction de backdoors, volontaire ou non, constitue également une méthode largement exploitée dans le cyber-espionnage. Une backdoor, qui permet un accès non autorisé et souvent indétectable à un système informatique, peut être bien plus efficace qu’une simple vulnérabilité connue. Les preuves de l’utilisation de ces pratiques sont nombreuses, impliquant divers gouvernements à travers le monde, que ce soit en tant qu’instigateurs de ces intrusions ou en tant que victimes de telles attaques.
L’espionnage physique reste par ailleurs très efficace, et encore plus lorsqu’on le combine à la dimension cyber. Ainsi, il est commun de trouver des clés USB contenant des virus sur des sites sensibles, ou de voir des espions physiques poser des équipements dans des salles de serveurs protégées. Ethan Hunt n’est pas qu’un personnage de fiction. Les applications de smartphone sont également très utiles pour mener des opérations d’espionnage hybride. L’espionnage peut émaner d’une application pirate, installée à distance, ou encore cachée dans des jeux mobiles. De telles applications peuvent avoir accès à toutes les données, mais aussi mettre en place des écoutes téléphoniques, lire les messages reçus et envoyés, avoir accès à la géolocalisation de l’appareil et dérober les identifiants et mots de passe de la victime. Or, dans un monde où les terminaux sont hybrides, les informations liées à la vie privée et à la sphère professionnelle d’un individu se retrouvent sur son portable. Ainsi, il est nécessaire de toujours télécharger les applications depuis les plateformes officielles afin de ne pas accidentellement installer un logiciel espion ou un malware dans son téléphone mobile, qui pourrait ensuite conduire à un cas d’espionnage.
Cette recommandation n’est cependant pas suffisante et doit s’accompagner d’une utilisation en connaissance de cause du numérique, il est déjà arrivé que des applications légitimes soient détournées à des fins d’espionnage. Par exemple, certains militaires utilisent des applications de running connectées pour faire leur footing. Si leur géolocalisation est partagée, elle peut être exploitée pour définir où se situent les bases militaires à l’étranger, ou pour identifier des individus. Ce risque est très important car il peut permettre à des ennemis de perpétrer des attaques sur ces lieux normalement secrets ou réaliser du chantage ou des meurtres ciblés. C’est pourquoi la rigueur est de mise dès que des données sont partagées en ligne, surtout lorsque toutes les activités peuvent être exploitées à des fins malveillantes.
Face à ces nombreux risques, il n’existe pas de recette miracle. Cependant, l’application des bonnes pratiques de sécurité est fondamentale, parmi lesquelles :
Connaître son réseau, ses systèmes et ses logiciels afin de déceler des modifications anormales ;
Utiliser des solutions auditées, par l’ANSSI notamment, garant d’un certain niveau de robustesse et d’intégrité ;
Protéger son système d’information avec des solutions antivirales, et de détection d’intrusion, puis gérer finement les droits d’accès de ses collaborateurs ;
Se protéger personnellement, appliquer des règles d’hygiène strictes dans l’usage de ses outils numériques. Pour ce faire, il est nécessaire de ne pas installer n’importe quel logiciel, d’être attentif à ses équipements physiques, le vol restant un acte d’espionnage simple ; comme en témoigne le vol d’ordinateurs dont a récemment été victime un sous-traitant d’EDF spécialisé dans le nucléaire.
Ainsi, sans tomber dans la paranoïa, il est important de savoir que l’espionnage est courant, et qu’il est quotidien avec des conséquences importantes même si nous n’en avons pas conscience, et donc de prendre toutes les mesures nécessaires pour empêcher sa réussite. »