Sites Inria

Le 07.09.2016
Par :
Philippe Vion-Dury

La cybercriminalité, nouveau défi des entreprises et organisations (partie 2)

En 2014, une étude menée par le cabinet d’audit et de conseil PwC estimait que dans le courant de l’année écoulée, les entreprises avaient essuyé 42,8 millions d’attaques, soit 117 339 attaques quotidiennes. En France, une autre étude publiée en mars dernier par le même cabinet révélait que chaque entreprise subissait en moyenne vingt-et-une attaques par jour, tandis que plus de la moitié des fraudes déclarées aux autorités étaient de type cybercriminel. Montant des pertes estimé en 2015 ? 3,36 milliards…
© Inria / Photo H. Raguet

Internet : un nouveau champ de bataille

Parce que la valeur de nos données attise toujours davantage de convoitises, les défenses informatiques sont soumises à une pression toujours plus intense. Loïc Guézo, stratégiste cybersécurité chez Trend Micro, le confirme : « la cybercriminalité est un phénomène en très forte hausse, en France comme dans le monde. On assiste à une véritable professionnalisation des groupes criminels, dont certains n’hésitent plus à recruter des mercenaires informatiques ». Pour l’expert en cybersécurité, c’est l’affaire Stuxne, du nom du virus à l’origine de la destruction des installations d’enrichissement d’uranium iranien, qui a marqué un vrai basculement dans la cyberguerre en faisant pour la première fois « la démonstration d'une attaque de grande ampleur conduite par un État ». Ce genre d’épisodes reste toutefois ultra-minoritaire, les attaques étant principalement conduites par des entreprises ou des groupes de hackers.

Vincent Strubel, sous-directeur de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) identifie schématiquement au moins trois catégories de menaces : le sabotage, le cyberespionnage et la cybercriminalité. Le cyberespionnage, phénomène devenu très courant, peut être politique ou économique. Si Vincent Strubel déplore les révélations d’agents du renseignement comme Edward Snowden qui « ont eu le grand mérite de sensibiliser les gens », c’est qu’elles ont aussi « l’effet pervers de focaliser tout l’imaginaire collectif sur les États et les attaques de très haut niveau ». L’espionnage économique est quant à lui bien plus courant et orchestré par « des organisations cherchant du profit par la revente de secrets commerciaux ou industriels. » Le sabotage, de son côté, reste la menace « la plus inquiétante, mais aussi la moins probable », précise-t-il encore. « Il peut consister à faire dysfonctionner des infrastructures critiques sur le territoire national : barrages, centrales électriques, etc. ». Peu probable, mais pas impossible : en décembre 2015, l’Ukraine était privée d’électricité pendant plusieurs heures suite à un piratage informatique,une première mondiale. Le terme cybercriminalité désigne quant à lui le vol de données personnelles. Il n’est rien d’autre que du « crime organisé transposé dans l’espace numérique ».


« La messagerie est le vecteur d’attaques numéro 1 »

Mais comment les cybercriminels déjouent-ils les systèmes de sécurité des entreprises ? Pour Loic Guézo, pas de mystère : « La faille humaine est omniprésente. Il s'agit généralement d'attaques plus ou moins ciblées effectuées via un premier mail envoyé à un collaborateur », explique l’expert en cybersécurité. « Celui-ci doit ouvrir une pièce jointe qui lance l'installation d'un « malaware » chargé d’effectuer des tâches néfastes : exfiltration du login et du mot de passe pour une pénétration ultérieure par un humain ; introduction d'un "malware" ; mise en place d'une exfiltration lente (et donc furtive) des données qui va prendre des jours sans être détectée. » Laurent Heslault, directeur de la stratégie sécurité de Symantec, le confirme, « la messagerie est le vecteur d’attaques numéro 1 ». Selon le spécialiste, « le contexte du mail est de plus en plus travaillé et l’attaque de plus en plus ciblée ». Il ne s’agit plus d’envoyer des messages génériques, mais de faire en sorte que ces vecteurs de malwares n’éveillent pas la méfiance des cibles : un travail de longue haleine… « Il y a d’abord une phase de reconnaissance où l’on collecte des informations sur la cible, puis une phase dite d’incursion où l’on envoie le mail et la pièce jointe infectée. Vient ensuite une phase de découverte, c’est-à-dire une cartographie du réseau et un repérage des données visées. Enfin, intervient la phase d’attaque pour procéder au vol, à la destruction ou au chiffrement des données, et si vol il y a, une éventuelle phase d’exfiltration de ces données ». L’infection via l’ordinateur ou la boîte mail d’un employé ou un collaborateur est un scénario classique et un manque de formation ou de discipline de la part de ces personnels peut coûter cher à leur entreprise. Mathieu Cunche souligne également que « avec le "Bring Your Own Device" [le fait d’utiliser du matériel personnel sur son lieu de travail, ndlr], on laisse des appareils non-administrés par le service informatique se brancher aux serveurs de l'entreprise, ce qui peut causer de graves problèmes de sécurité en exposant ceux-ci à des virus ou à des chevaux de Troie. »

Les grandes entreprises, qui restent une cible prioritaire des cybercriminels, doivent aussi se méfier de leurs partenaires et sous-traitants qui, selon Loïc Guézo, « sont moins protégés et ont un accès privilégié au système informatique de l’entreprise ». En avril 2014, Orange a ainsi détecté une intrusion qui a touché près de 1,3 million de clients et prospects, mais a reporté la responsabilité sur ses sous-traitants. La CNIL puis le Conseil d’État ont donné tort à l’entreprise qui aurait dû faire des audits de sécurité chez ses sous-traitants. Enfin, une énorme proportion des attaques se passe de malwares. Il suffit souvent que les employés se soient servi de mots de passe faibles ou qu’ils aient conservé le mot de passe "admin" du constructeur, pour qu’un hacker puisse pénétrer directement dans les serveurs d’une organisation. Ainsi, on retrouve en tête des mots de passe les plus populaires "123456", "password" ou encore "qwerty".


Se défendre : une opération pas si compliquée

Les parades à ces attaques ne manquent pourtant pas et sont souvent plus simples qu’on ne pourrait le croire. Un équipement informatique et logiciel de qualité et à jour est incontournable. Pour cela, entreprises et organisations peuvent se tourner vers des professionnels de la sécurité ou les organismes publics compétents. « L’ANSSI fournit également tout un panel de documentation, un catalogue de produits et de prestataires labellisés (des pare-feu, par exemple). L’agence peut également attester la sécurisation d'un produit » précise Vincent Strubel. Mais pour le sous-directeur de l’ANSSI, « l’essentiel reste la prévention, c’est-à-dire une hygiène informatique et des bonnes pratiques. » Des mots de passe respectant des règles de difficulté, une séparation des boîtes mails professionnelle et personnelle ou encore l’interdiction de connecter des appareils étrangers aux serveurs de l’entreprise sont des mesures très efficaces contre les tentatives d’intrusion. Il est aussi possible de faire certifier un système informatique aux normes de la famille ISO27000, qui aide les organisations à assurer la sécurité des informations. Enfin, il est essentiel de nommer une personne au sein de l’organisation pour porter la responsabilité de la sécurité informatique et mener une vraie gouvernance. Pour Loïc Guézo, « si la politique de sécurité est diluée, cela ne fonctionne pas, et l’on se retrouve à surprotéger des données non-capitales et à sous-protéger des données essentiellesC'est pour cela qu'il faut un arbitre pour estimer l'importance stratégique des données », ajoute-t-il.

Une organisation peut ensuite aller plus loin et se tourner vers des technologies de chiffrement afin d’ajouter encore une mesure de protection en rendant les données illisibles et donc inutilisables. Anne Canteaut, responsable de l’équipe-projet Secret à Inria – Paris, qui se consacre à la cryptographie, confirme que « les algorithmes et la cryptographie eux-mêmes font rarement l'objet d‘attaques. ». Autrement dit : repérer et exploiter une faille dans les défenses informatiques ou utiliser la "force brute" pour briser un chiffrement relèvent de cas exceptionnels. Le chiffrement n’en reste pas moins une course dans laquelle il est préférable de ne pas prendre de retard : si le chiffrement est très robuste, les techniques pour le casser progressent également. « Aujourd’hui nous nous consacrons à la conception d'algorithmes résistant à l'apparition d'un ordinateur quantique, » explique la spécialiste. En effet, si ce super-ordinateur venait à être conçu, « il serait capable d'attaquer de nombreux systèmes cryptographiques actuels, et il nous faut donc anticiper et agir préventivement. » De quoi conclure que ces défenses-là demeurent aujourd’hui quasi inviolables… mais pour combien de temps encore ?

 

Propulsé par