Une récente étude du cabinet de conseil Deloitte met en avant que nombre de leurs clients s’inquiètent des risques de cyberattaques liés au déploiement des réseaux 5G. Accroissement des risques, ou simplement évolution des us et coutumes des pirates, les interrogations sont nombreuses et légitimes. Afin d’éclaircir ce sujet, Siècle Digital a rencontré Pierre Delcher, aujourd’hui chercheur chez Kaspersky, une entreprise russe spécialisée dans la sécurité informatique, et qui est riche d’une expérience d’une dizaine d’années auprès du gouvernement français.

Aujourd’hui, les projecteurs sont braqués sur les advanced persistent threat (APT), soit une menace persistante avancée. Une APT est une « cyberattaque ciblée et prolongée au cours de laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une période importante. L’objectif d’une attaque APT est généralement de surveiller l’activité du réseau et de voler des données plutôt que d’endommager le réseau ou l’organisation », détaille Oracle sur son site internet. Aujourd’hui les cyberattaques prennent, dans la majorité des cas, deux formes : le rançongiciel et l’espionnage. Vulgairement, le premier concerne un vol de documents qui sert de monnaie d’échange en vue d’une rançon, alors que le deuxième, se caractérise par une intrusion du réseau à des fins d’espionnage.

5G : « Il n’y a pas de raison pour que ce soit plus dangereux, mais cela nécessite des efforts »

Si les risques liés à la cybersécurité suscitent de plus en plus des débats publics, ils ne sont pas nouveaux. Alan Turing, qui a créé l’ancêtre de l’ordinateur, avait aussi des activités de hacker. Pendant la Seconde Guerre mondiale, il a déchiffré les messages de la machine allemande Enigma, donnant ainsi un avantage déterminant aux Alliés. Si les APT intéressent les spécialistes de la sécurité, le chercheur de l’équipe Global research & Analysis Team (GReAT) de Kaspersky affirme qu’elles les occupaient déjà dans les années 1990 – 2000. Ce qui change, ce sont les méthodes de défense et d’attaques qui évoluent avec les technologies, défiant toujours plus les entreprises de cybersécurité, que le chercheur qualifie de « pompiers et hôpitaux de la sécurité informatique ».

L’étude de Deloitte le met en avant : les entreprises s’inquiètent des conséquences sécuritaires du déploiement de la 5G. Pour le chercheur de Kaspersky, ce n’est pas le réseau en lui-même qui va augmenter les risques, mais son usage. En effet, la 5G va marquer l’essor de l’internet des objets (IoT). Des équipements qui auparavant étaient isolés des réseaux vont être interconnectés. « Une plus grande surface de vulnérabilité est ouverte », avertit Pierre Delcher. Grossièrement, là où avant il fallait se déplacer au sein d’une usine pour contrôler ou pirater un appareil, avec la 5G tout pourra se faire à distance. « Ça expose des systèmes qui ne l’étaient pas avant », conclut le chercheur de Kaspersky, qui ne s’alarme pas pour autant : « Il n’y a pas de raison pour que ce soit plus dangereux, mais cela nécessite des efforts ».

Les données sensibles des hôpitaux attire les hackers

La frontière entre les rançongiciels et l’espionnage s’affine. Pour « les moyens de défense, beaucoup vont en commun », affirme Pierre Delcher. En effet, tous deux demandent une protection de la périphérie du réseau. Néanmoins, la finalité du travail des équipes de sécurité varie selon l’attaque. Dans le cas d’un rançongiciel, l’objectif est de reprendre le contrôle des données le plus rapidement possible. Alors que dans celui de l’espionnage économique, l’enjeu est d’identifier ce que recherchait le pirate, ou encore depuis combien de temps il a établi sa surveillance. Il y a donc un intérêt, et même un besoin d’observation.

Sur des données de santé, peuvent se jouer la vie et la mort. Les hôpitaux ne peuvent pas se permettre de ne pas récupérer leurs données. Par conséquent, ils représentent une cible idéale pour un hacker désirant se faire de l’argent rapidement par le biais d’un rançongiciel. Ils incarnent donc une cible facile : ils manquent souvent de moyens, qu’ils soient temporels, techniques, ou financiers, ce qui amène à des vulnérabilités de leurs infrastructures.

En outre, depuis de nombreuses années, le secteur s’appuie sur la technologie, mais pas toujours de manière suffisamment maîtrisée. Cela a notamment conduit à un “empilement” de technologies, rendant leurs systèmes encore plus faciles d’accès. Au-delà des rançongiciels, les laboratoires de recherche médicale peuvent également être la cible d’espionnage économique, afin de suivre et de s’inspirer des recherches de ses concurrents, comme dans le cas de la course au vaccin contre la Covid-19.

Pendant la pandémie de SRAS-CoV-2, les systèmes de santé de la France, de l’Italie, ou encore la République Tchèque ont été visés par des cyberattaques. Face à cette situation préoccupante, Kaspersky a donné à certains hôpitaux un accès gratuit à des licences de sécurité pour une période de 6 mois. Un geste altruiste qui s’apparente, a minima, à une stratégie de communication bien ficelée, « Kaspersky n’est pas encore une fondation ou une association », plaisante son chercheur.

Une entreprise de cybersécurité victime d’une cyberattaque : le risque 0 n’existe pas

Le secteur de l’éducation pourrait également subir un nombre grandissant de cyberattaques. La crise de la Covid-19 démocratise les cours à distance, et de manière plus générale les formations en ligne, et donc l’usage des plateformes connectées et de logiciels. De ce fait, les possibilités de cyberattaques augmentent. Les APT ne sont pas les plus à craindre, les risques concernent majoritairement des campagnes de phishing. En accédant à un plus grand nombre de données, elles sont plus performantes. En effet, ces attaques utilisent la crédulité de leurs cibles afin de les faire cliquer sur des liens malveillants. Une meilleure connaissance des victimes permet aux hackers une plus grande personnalisation de ces messages. S’il existe des campagnes de sensibilisation à ce sujet, comme “Avant de cliquer”, les pirates profitent d’un public encore trop peu sensibilisé.

Les services éducatifs peuvent également faire l’objet d’attaques au rançongiciel, et de vols de données personnelles afin d’accéder à des services en ligne. Dans des cas plus rares, il peut y avoir des APT sur des profils particuliers, comme le « prochain chercheur sur le nucléaire iranien », illustre Pierre Delcher.

En outre, comme en témoigne la récente attaque du mastodonte de la cybersécurité, FireEye, les cyberattaques n’épargnent pas le secteur de la sécurité informatique. Si peu de détails sont connus sur l’objet de cette attaque, pour Pierre Delcher il est évident que ce type de structure, au même titre que le GReAT, intéresse les hackers. Et ce, tout simplement pour adapter leurs stratégies aux avancées des recherches sur la cybersécurité. « On a le sentiment que c’est le secteur tout entier qui est concerné », déplore Pierre Delcher.

Le cloud et les services des géants de la tech, synonymes d’une meilleure protection ?

Le cloud, cet espace encore abstrait pour de nombreuses personnes, bénéficie à la sécurité des organisations n’ayant pas d’énormes moyens à allouer à la protection de leurs réseaux. Il va sans dire qu’AWS, Microsoft Azure, ou encore le cloud de Google ont largement plus de ressources que la majorité des entreprises pour garantir une sécurité.

Si un hébergement cloud protège les données des organisations face aux hackers, il induit également un partage des données avec l’entreprise prestataire, qui est soumise aux lois de son pays. Ainsi, le Conseil d’État a récemment émis un avertissement sur le partenariat entre Health Data Hub, une plateforme française d’open data basée sur des données de santé, et le cloud de Microsoft. « Si le risque ne peut être totalement exclu que les services de renseignement américains demandent l’accès à ces données, il ne justifie pas, à très court terme, la suspension de la Plateforme, mais impose de prendre des précautions particulières, sous le contrôle de la CNIL », convient le Conseil d’État dans un article.

La création discrète du Health Data Hub en novembre 2019, suivie de la signature d’un contrat avec Microsoft le 15 avril 2020, sur une prestation cloud avait suscité de vives réactions auprès d’une dizaine d’associations qui « accusent les autorités françaises d’avoir donné à leurs homologues américaines l’accès à des données médicales par le biais d’une entreprise basée aux États-Unis », souligne Le Monde. Les inquiétudes de ces associations ont abouti à une saisie du Conseil d’État, et ont conduit à l’exclusion de Microsoft comme prestataire cloud. En outre, les associations mettent en avant qu’une centralisation des données de santé, qui à leur essence sont issues de données personnelles, pourrait permettre un traitement de masse. Si aujourd’hui un accent est mis sur les pirates malveillants, il a déjà été démontré que l’utilisation de services américains pouvait servir l’établissement d’une surveillance mondiale. Hackers ou États, dans les deux cas le droit à la vie privée demeure bancal.

« Dans le paysage des acteurs de la cybersécurité, on [Kaspersky] fait preuve de transparence »

Bien que Kaspersky demeure peu connu du grand public qui reste peu sensibilisé sur les questions de cybersécurité, l’entreprise a suscité l’attention des gouvernements occidentaux. En 2015, l’administration Trump accusait l’entreprise d’avoir volé des données à la NSA, via un outil Kaspersky installé dans l’ordinateur d’un sous-traitant de l’agence américaine, pour le compte du Kremlin. Si ces propos ont été démentis par Eugène Kaspersky, le fondateur de l’entreprise qui a fait ses armes à l’Institut de cryptographie, de télécommunications et de sciences informatiques, de la faculté technique du KGB, cela n’a pas convaincu l’ensemble des alliés des États-Unis. Ainsi, la Lituanie, les Pays-Bas et la Hongrie ont pris des mesures pour interdire les logiciels Kaspersky sur leurs réseaux gouvernementaux. Bien qu’en 2019 la Commission européenne ait reconnu n’avoir aucune preuve, en juin 2018, le Parlement européen a adopté une résolution non contraignante demandant à ses États membres de bannir les logiciels Kaspersky.

Pourtant, l’entreprise russe se revendique à 100% privée et indépendante du Kremlin. Depuis novembre 2020, les données des utilisateurs européens, ainsi que celles de certains clients d’Asie-Pacifique, comme l’Australie, la Nouvelle-Zélande, la Corée du Sud, le Japon et l’Inde, sont stockées à Zurich, en Suisse. Le choix de ce pays, qui n’est pas membre de l’Union européenne, vient de son statut de neutralité, et de son expertise dans le secteur bancaire. En effet, ce dernier demande également une grande sécurisation des données. En outre, le chercheur met en avant que la Suisse incarne un emplacement technique de premier choix, grâce à une très bonne connexion réseau. Pierre Delcher affirme qu’aujourd’hui aucune donnée personnelle stockée en Suisse ne transite par la Russie. Toutefois, à des fins statistiques, comme pour déterminer les attaques les plus récurrentes, des données anonymisées peuvent être traitées en Russie.

« Dans le paysage des acteurs de la cybersécurité, on fait preuve de transparence », soutient Pierre Delcher. Même si cela reste trop peu commun, le numérique a les moyens d’en faire preuve, notamment grâce à l’open source. C’est ce que fait Kaspersky auprès de ses clients, en leur donnant accès aux codes sources de leurs outils. À l’évidence, leur activité est incompatible avec une diffusion publique de leurs codes sources. S’ils l’étaient, les hackers pourraient y avoir accès, et cela reviendrait à faire entrer le loup dans la bergerie… après des semaines de jeûne.