Le piratage du gouvernement allemand ne devrait surprendre personne
La nouvelle a éclaté hier : le gouvernement allemand vient d’être piraté. Les intrusions informatiques concernent les systèmes informatiques du ministère de l’Intérieur et du ministère de la Défense. D’après plusieurs sources, Berlin attribue ces attaques à Sofacy (un groupe de pirates également connu sous les noms de Fancy Bear, APT28, et plus encore). Ce groupe, spécialisés dans les cyber attaques persistantes avancées, est bien souvent considéré comme étant soutenu par le gouvernement russe.
Sofacy est bien connu des experts de la cyber sécurité. Plusieurs attaques tristement célèbres ont été attribuées à ce groupe : celles de l’Agence mondiale antidopage, du Comité national démocratique et des groupes impliqués dans les élections de 2017 en France et en Allemagne.
Compte-tenu de la « notoriété » de Sofacy, il n’est pas surprenant que cette nouvelle attaque lui soit imputée. Pour certains experts comme Tom Van de Wiele, Principal Security Consultant chez F-Secure, une telle nouvelle n’a rien de déconcertant. La probable implication de la Russie ne devrait pas non plus surprendre.
« Ces attaques n’ont rien de vraiment nouveau. Les gouvernements font régulièrement face à des cyber menaces. Le secteur de la cyber sécurité est coutumier de ce fait », explique-t-il. « Des tendances claires, des régularités s’observent, rendant les attaques visant les gouvernements prévisibles. Pour autant, les hackers disposent encore de nombreux avantages sur leurs opposants, ce qui leur permet de continuer à sévir. »
Voici quelques tendances expliquant pourquoi les cyber attaques gouvernementales ne faiblissent pas.
Déterminer l’auteur de l’attaque est difficile
Attribuer des attaques spécifiques à un individu, à un groupe, à un mouvement ou à un pays, à une époque où les hackers peuvent acheter des kits d’attaques clé-en-main, n’a rien d’évident. Déterminer qui exécute ou finance ces attaques tient du jeu de hasard.
« Les adresses IP espagnoles attribuées à des ordinateurs espagnols et lançant des cyber attaques ne sont pas nécessairement soutenues ou approuvées par le gouvernement espagnol. Elles ne représentent pas non plus une politique officielle », affirme Tom. « Il existe peut-être des preuves établissant un lien entre le piratage du gouvernement allemand et Sofacy ou la Russie, mais je n’ai rien vu de public qui puisse être utilisé pour confirmer ou réfuter cette thèse. Il est facile pour l’auteur de l’attaque de nier toute implication. Les cyber attaques constituent de facto un outil idéal pour l’espionnage, le vol de données et plus encore. »
Grâce aux anciens systèmes, les plus vieilles astuces des pirates continuent de fonctionner.
Les vieux logiciels, le matériel ancien, ou encore les services pour lesquels des contrats longue durée ont été signés sans obligation de sécurisation posent problème. Le piratage de l’OPM en 2015 constitue un cas d’école : les anciens systèmes avaient été identifiés comme l’une des causes sous-jacentes de l’attaque.
« Les gouvernements disposent de véritables budgets informatiques. Pourtant, les systèmes ne sont pas nécessairement protégés contre toutes les cyber menaces susceptibles de toucher telle ou telle structure », explique Tom.
Certains niveaux de défense font souvent défaut
Une fois divulguées, les vulnérabilités doivent être corrigées au plus vite. Débute alors une course contre la montre : les organisations pourront-elles remédier au problème avant que les pirates ne développent des exploits ? Dans la plupart des cas, la réponse est non. La plupart du temps, il n’est pas possible de mettre en place un process rentable permettant de corriger chaque vulnérabilité. Comment, alors, doivent-elles opérer ?
« Par la compartimentation du réseau, le durcissement des applications et des systèmes d’exploitation, les mécanismes de journalisation et d’alerte. Mais en pratique, les organisations ne recourent pas assez à ces méthodes », explique Tom. « Les stratégies de confinement ne fonctionnent pas très bien sans ces niveaux de protection. Résultat : les actifs de base d’une organisation comme les infrastructures de sauvegarde ou de cloud computing, le courrier électronique ou les répertoires actifs, peuvent être corrompus. »
Un nombre d’experts en cybersécurité insuffisant pour faire face aux cyber attaques
Ce n’est un secret pour personne : le secteur de la cyber sécurité fait face à une grave pénurie de spécialistes.
« Tant que le secteur public aura de la difficulté à suivre le rythme du secteur privé en matière de sécurité de l’information – en termes d’expérience, de salaires et de compétences – il sera difficile pour les gouvernements et pour l’ensemble du secteur public de recruter de nouveaux talents capables de protéger leurs systèmes informatiques », affirme Tom. « Sans ces changements, les efforts des gouvernements en matière de conception, de mise en œuvre et de maintien de la sécurité de l’information produiront des résultats médiocres. »
Les employés font partie intégrante de la surface d’attaque
« Le secteur public s’efforce de renforcer sa capacité à repérer les attaques de phishing ou d’autres attaques de base. Pour autant, les employés ne sont généralement pas en mesure de repérer des menaces plus sophistiquées comme les APT », explique Tom. « Il serait peu réaliste de dispenser une formation de pointe en cyber sécurité à tous les employés possédant une adresse électronique et disposant d’un accès aux ressources vitales du réseau interne. En mettant en place des niveaux de sécurité adéquats, les entreprises peuvent avancer plus sereinement, car dans ce cas, la sécurisation de leurs actifs ne repose plus seulement sur la protection des postes de travail ».
Les attaques WannaCry et NotPetya de l’année dernière ont démontré l’importance de ces niveaux de sécurité. Après l’attaque WannaCry, Tom a suggéré aux organisations de considérer les employés occupant des postes en lien avec l’extérieur comme des zones démilitarisées : ils doivent être isolés des parties les plus critiques du réseau.
Les organisations devraient miser davantage sur les registres et sur l’intervention en cas de cyber incidents
Savoir ce qui constitue ou non un incident de sécurité est essentiel afin de pouvoir détecter les attaques et intervenir en cas de problème. Malheureusement, les solutions de détection et d’intervention des cyber attaques ne constituent pas, aux yeux des organisations, une priorité au même titre que la prévention.
« Les organisations misent généralement sur les options par défaut pour se connecter aux systèmes d’exploitation et aux périphériques réseau. Ça n’est pas suffisant. Il leur faut consacrer plus d’efforts à la surveillance de leurs réseaux mais des solutions rapides, comme le logging central off-box, sont souvent négligées » explique Tom. « Une surveillance centralisée de la sécurité de l’infrastructure informatique par un spécialiste est indispensable. Sans cela, une organisation n’est pas en mesure de suivre la progression des attaques. Elle se trouve dans l’incapacité de répondre rapidement et efficacement aux attaques. Personne n’est présent, non plus, pour signaler à la direction les situations requérant davantage de ressources. »
Catégories