À propos de ce blog

Thèmes Populaires

3 grandes attaques décortiquées par Mikko Hypponen

Guillaume Ortega

06.11.18 6 min de lecture

Stuxnet, Petya-NotPetya, Mirai… et autres anecdotes surprenantes révélées aux Assises de la sécurité et des systèmes d’information !

Lors de sa conférence aux Assises de la sécurité et des systèmes d’information, Mikko Hypponen, Chief Research Officer chez F-Secure, nous a rappelé, notamment au travers de 3 grandes attaques, qu’il faut se préparer au pire et à REAGIR vite… D’autant plus que dans nos sociétés, les activités reposent entièrement sur les systèmes informatiques.

Stuxnet : sabotage ou cyber-guerre ?

En 2010, F-Secure a travaillé sur l’attaque Stuxnet : un malware unique, puissant et complexe qui visait uniquement des sites industriels. Mais chose surprenante, il est apparu que Stuxnet recherchait une empreinte – des convertisseurs de puissance haute fréquence spécifiques, présentant une configuration exacte – et donc un site en particulier.

Durant l’été 2010, alors que le programme nucléaire iranien suscite de vives tensions, les doutes se portent vers une attaque gouvernementale.

Le malware serait donc une arme cybernétique… efficace, abordable et réfutable.

C’est une arme efficace : elle sait son travail. C’est une arme abordable : elle est moins chère que les autres. Et vous pouvez nier toute responsabilité. Il n’existe pas d’armes réfutables, sauf les cyber armes.

Comment savoir quel est le site nucléaire visé ?

Un des collègues allemands de Mikko Hypponen fait alors une découverte surprenante en surfant sur le site web du président iranien de l’époque, Ahmadinejad. Que remarque-t-il ? Des photos du président en visite sur le site nucléaire de Natanz ont été publiées en 2008. La structure des centrifugeuses n’est pas visible sauf… sur une photo où le président se penche sur un ordinateur. En effectuant un agrandissement sur Photoshop, les chiffres apparaissent : 1 1 1 2 2 3 3 4 et correspondent à l’empreinte recherchée par Stuxnet. Il s’agit donc bel et bien de cyber sabotage.

La plupart des attaques gouvernementales font en fait soit du sabotage, soit de l’espionnage. L’espionnage est l’utilisation la plus courante de la cyber force offensive par les gouvernements. Il est utilisé surtout par les agences de renseignement. Et espionner, ce n’est pas faire la guerre.

Petya-NotPetya, that is the question

 Qu’avez-vous entendu (ou que n’avez-vous pas entendu) sur la vague d’attaques Petya et NotPetya ? Qu’a relayé la presse ? L’accent a été mis sur les multinationales ciblées par les variantes du ransomware. Mais selon Mikko Hypponen, il pourrait s’agir de dommages collatéraux d’une cyber guerre menée par la Russie contre l’Ukraine.

En mai ou peut-être au début du mois de juin 2017, la Russie…. hum… des pirates inconnus. Ces pirates inconnus ont violé la protection des serveurs de l’entreprise qui fabrique le logiciel de comptabilité Me.doc. Cette société ukrainienne qui fabrique ce logiciel de comptabilité pour les entreprises ukrainiennes.

Tout a donc commencé avec la mise à jour corrompue d’un logiciel de comptabilité ukrainien : Me.Doc, utilisé partout en Ukraine. Toutes les entreprises qui utilisaient Me.doc le 29 juin 2017 et qui ont reçu la mise à jour étaient infectées par Petya. Les mises à jour sont pourtant censées être l’un des meilleurs moyens d’éviter une attaque !

Beaucoup de multinationales ont été touchées et paralysées comme Maersk, un armateur danois opérant à travers le monde. Portes de navire fermées, communications VoIP bloquées : toute leur activité repose sur l’informatique et a bien failli partir en fumée.

Pourquoi les multinationales ont-elles été touchées ? Parce qu’elles sont partout et traitent avec tous les pays du monde… y compris l’Ukraine. S’agit-il d’un accident, ou d’une menace pour dissuader les occidentaux de faire affaire avec l’Ukraine ?

Nous ne savons pas si c’était un accident ou si c’était un message. Ce que nous savons, c’est qu’il s’agissait du cyber incident le plus coûteux de l’histoire. Le cyber incident le plus coûteux de l’histoire, plus coûteux que n’importe quelle épidémie de malware, plus coûteux que n’importe quel piratage, plus coûteux que n’importe quelle fuite de données.

Mirai ou l’indifférence

Durant les cinq dernières années, le nombre de botnets infectant des objets connectés n’a cessé de progresser : caméras de sécurité, sonnettes de porte intelligentes, imprimantes ou appareils électroménagers intelligents… C’est ce qu’a révélé Mirai sans pour autant réveiller les consciences.

En 2016, l’équipe de F-Secure a trouvé 40 versions différentes du bonet Mirai utilisées pour infecter les objets connectés, créer un réseau de robots zombis et faire tomber des serveurs racines DNS.

Les caméras ont été les objets les plus utilisés dans ce cas. Pourquoi ? Parce que les caméras de sécurité reposent sur des serveurs Linux aux capacités importantes, en puissance et en bande passante, idéales pour lancer une attaque par déni de service. Beaucoup de caméras et d’autres objets connectés détournés se trouvaient dans des entreprises. Mikko Hypponen a donc passé quelques appels pour les alerter.

L’appel se déroulait de la manière suivante :

« – Bonjour

– Bonjour

– Je suis Mikko de chez F-Secure.

– Enchanté

– Avez-vous une pompe à chaleur Hitachi dans votre bureau ?

– Oui, elle est juste là, posée le long du mur.

– Nous pensons que votre pompe à chaleur fait actuellement partie d’un botnet mondial qui, en ce moment même, est en train de détruire les serveurs DNS racines d’Internet. »

Vous savez ce que mon interlocuteur répondait ?

 « Ah oui ? Cool. »

Ce n’est pas vraiment la réponse à laquelle on s’attend, n’est-ce pas ?

Tant que cela ne les impacte pas, les entreprises n’ont pas l’air de prendre conscience du danger que représentent ces objets connectés.

Moralité

Que nous apprennent ces 3 histoires ? Elles nous montrent à quel point nos sociétés sont dépendantes des systèmes informatiques et à quel point les pirates sont ingénieux… bien plus que les appareils que l’on qualifie de smart ou d’intelligents : smartphone, smartwatch, smartcity, voiture intelligente…

Je suis le père de la loi Hypponen, qui vous dit que tout objet décrit comme « smart » ou « intelligent », est également « vulnérable ».

Que faut-il faire ? Il faut bien entendu continuer à bâtir des « coffres -forts » : sécuriser le réseau en mettant en place des firewalls, des mécanismes de prévention des intrusions, des filtres, des proxys et des antivirus…

Mais aujourd’hui, ce n’est plus suffisant. Il faut partir du principe qu’un cambrioleur réussira tôt ou tard, si ce n’est pas déjà fait, à s’introduire dans votre « coffre-fort » et mettre en place des détecteurs de mouvements internes.

Le temps de détection d’une attaque est en moyenne de 200 jours. Répondre le plus rapidement possible est le nouvel avantage concurrentiel des entreprises. F-Secure Rapid Detection Service réduit ce temps à 30 minutes…

Il y a ces 3 histoires passionnantes… et il y a celles que vous retrouverez en visionnant dans son intégralité la conférence de Mikko Hypponen aux Assises de la sécurité et des systèmes d’information 2018.

 

 

 

Guillaume Ortega

06.11.18 6 min de lecture

Leave a comment

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

Article mis en avant

Publications connexes

Newsletter modal

Merci de votre intérêt pour F-Secure. Vous recevrez bientôt un email pour confirmer votre abonnement à la newsletter.

Gated Content modal

Félicitations – Vous pouvez maintenant accéder à votre contenu en cliquant sur le bouton ci-dessous.