Cybercrime : les pirates à l’abordage des entreprises

Cela commence par un courriel reçu sur votre boîte de messagerie professionnelle annonçant la création d’un nouveau réseau de professionnels des télécoms. Après une présentation succincte de ses activités, le courriel invite ses destinataires à en savoir plus en cliquant sur le lien hypertexte dirigeant vers la page d’accueil de leur site. Quelques clics plus tard, alors que le site semble tout à fait authentique, un message “pop up” avec le logo de votre messagerie personnelle vous informe d’une déconnexion impromptue et propose de s’y reconnecter. Dès les premières lettres saisies, un autre message instantané apparaît : « Ce site est un leurre et si vous entrez votre mot de passe, je pourrai accéder à votre boîte e-mail. » Ce piège numérique figure parmi les nombreux outils de démonstration utilisés par Khalil Sehnaoui. Ce “hacker” libanais, l’un des plus renommés parmi la petite communauté libanaise, a, comme nombre de ses homologues étrangers, mis son savoir-faire au service de la protection des données des entreprises en fondant fin 2012 avec Cyrus Salesse la société Krypton Security. « Avec ce genre de procédés, j’attire tout de suite l’attention des dirigeants sur la multiplication des menaces liées au développement du numérique et je leur démontre qu’il ne suffit pas d’installer un antivirus, ce que tous ne font déjà pas, pour se croire à l’abri… », explique-t-il.
Les cyberattaques ne cessent en effet de croître à une vitesse exponentielle : chaque seconde, 18 internautes sont victimes de piratage dans le monde, soit une augmentation annuelle de 42 %, selon l’étude 2012 sur la cybersécurité réalisée par la société états-unienne de sécurité informatique Symantec.

Les PME, cibles privilégiées

Face à cette menace, les entreprises sont en première ligne. En janvier dernier, le géant américain de la distribution Target a annoncé qu’un maliciel indétectable par les antivirus aurait détourné pendant plus de deux semaines plus de 11 Go de données de ses caisses enregistreuses, dérobant ainsi les données personnelles et les données bancaires de plus de 110 millions de clients. Un coût potentiel considérable – estimé à 18 milliards de dollars par le cabinet d’audit Javelin Strategy & Research – pour ce qui représente l’une des violations de données les plus dévastatrices de l’histoire de la Toile. Au-delà de ces spéculations, le dernier volet de l’étude “Cost of Cyber Crime” publiée par la société informatique HP estimait pour sa part le coût annuel moyen de la cybercriminalité par entreprise aux États-Unis à 11,56 millions de dollars en 2013, soit une augmentation de 26 % par rapport à l’année précédente.
Ces chiffres considérables peuvent toutefois s’avérer trompeurs en laissant penser que la menace cybernétique reste essentiellement l’affaire de multinationales ou des sociétés les plus en vue. Les cybercriminels se focalisent en effet davantage sur les petites et moyennes entreprises (PME) et en particulier celles de moins de 250 employés, qui représentaient à elles seules près du tiers des attaques répertoriées par Symantec en 2012, contre 18 % un an plus tôt. « Les grands groupes ont désormais mis en place des dispositifs importants de protection et même si ceux-ci restent par définition vulnérables, les pirates préfèrent se diriger vers des cibles plus faciles. D’autant que ces PME peuvent avoir des partenaires beaucoup plus importants qui seront ensuite attaqués par ricochet », décrypte Philippe Caturegli, l’un des consultants étrangers de Krypton Security.

Diversité des profils

Une autre grande source d’inquiétudes pour les entreprises vient du fait que la menace est désormais ubiquitaire et diversifiée dans ses motivations. Au départ, « une cyberattaque répond généralement à deux grands objectifs pouvant éventuellement être combinés. Le premier est le vol de données : il peut concerner des fichiers clients qui seront revendus sur des plates-formes spécialisées ou des renseignements vitaux tels que des brevets. Mais les attaques peuvent aussi avoir pour but d’endommager, partiellement ou totalement, le système informatique et de production de l’entreprise, à travers par exemple des attaques dites de “déni de service” (DDoS), qui peuvent bloquer ou ralentir le fonctionnement d’un site ou des attaques de “défacement” qui modifient les pages pour endommager l’image de l’entreprise visée », résume Stéphane Bazan, coordinateur du master “Web Science” et économie numérique de la Faculté des sciences économiques de l’Université Saint-Joseph.
Ces attaques peuvent être l’œuvre d’organisations criminelles comme d’individus isolés, qui peuvent revendre les informations dérobées ou faire du chantage aux victimes. Au-delà de l’appât du gain, les motivations des pirates peuvent être également terroristes, criminelles ou idéologiques et du fait de groupes aussi divers que la nébuleuse Anonymous, des concurrents peu scrupuleux, voire des États, comme dans le cas des attaques Stuxnext, qui a notamment endommagé le système d’enrichissement iranien en 2010, ou Gauss qui a visé principalement les banques libanaises en 2012 (voir p. 46). Un phénomène d’autant plus inquiétant que les pratiques se démocratisent : un simple tour sur le “darknet”, qui désigne les sites et forums spécialisés dans les activités illégales, permet de se procurer – moyennant quelques centaines de dollars – des kits d’attaque clés en main, permettant à un utilisateur lambda doté de compétences moyennes en informatique de lancer une attaque souvent basique mais pouvant s’avérer très nocive si la société visée n’est pas suffisamment protégée.
« La communauté des hackers est néanmoins très structurée, et les vrais professionnels représentent à peine le dixième de l’ensemble et tous ne sont pas des “black hats” mus par des motivations criminelles », nuance Khalil Sehnaoui. Reste que ce noyau dur constitue une sorte d’avant-garde développant des techniques toujours plus variées et sophistiquées (voir encadré). De fait les analystes de Symantec relèvent que les attaques de masse, se traduisant parfois par l’envoi de milliards de courriers indésirables par jour, cèdent progressivement la place aux attaques bien plus ciblées, avec par exemple l’envoi de messages forgés sur mesure pouvant contenir, comme dans la démonstration de Khalil Sehnaoui, une pièce jointe ou un lien Internet correspondant à ses centres d’intérêts.
L’explosion des réseaux sociaux ou des terminaux de poche constitue également un catalyseur. D’abord parce que les sociétés comme les employés tendent à livrer eux-mêmes de très nombreuses informations, considérées à tort comme anodines, à travers ces nouveaux outils de communication et livrer ainsi des clés d’accès potentielles aux pirates. Ces derniers s’adaptent aussi aux nouveaux usages en termes d’équipement : contrairement à une légende tenace, les Macs ne sont plus à l’abri des attaques (600 000 répertoriées en 2012 par Symantec) que les PC et celles contre les smartphones ne cessent d’augmenter – 4 500 applications malveillantes y ont ainsi été détectées, quasi exclusivement sur Android. Dépourvus de système de protection efficace, ces appareils peuvent ensuite, une fois synchronisés avec l’ordinateur de bureau, infecter tout le réseau interne de l’entreprise.

Pas de législation spécifique au Liban

« La problématique de la cyberprotection doit être envisagée globalement et porter tout autant sur les systèmes logiciels que sur l’infrastructure matérielle et les ressources humaines, qui se révèlent être une cible de plus en plus prépondérante. C’est donc l’ensemble de la chaîne qui doit être protégée », plaide Stéphane Bazan. Un conseil que ne cesse de prodiguer Jayson Street, un autre consultant de Krypton Security : « La faille humaine est de loin la plus importante. Cela va de la gestion des mots de passe, qui sont beaucoup trop souvent communs voire laissés sous le clavier à la vue de tous, au manque de vigilance dû à une méconnaissance des menaces. Or les pirates efficaces investissent de plus en plus dans un long travail de reconnaissance de l’entreprise, de son secteur d’activité, de ses concurrents et de ses employés… Si l’on vise une cible particulière, pourquoi se heurter aux systèmes de protection informatique quand on peut s’introduire grâce à un employé, directement ou par correspondance ? » Selon Symantec, ce procédé dit d’“ingénierie sociale” était déjà présent dans le quart des attaques recensées en 2012.
Les entreprises libanaises sont-elles armées pour faire face à de telles menaces ? En l’absence de données chiffrées sur la cybercriminalité au Liban, difficile d’aller au-delà des déclarations de principe de la part des principaux intéressés ou du diagnostic de terrain des experts en sécurité. Et pour ces derniers, le constat est implacable : « Le niveau de prise de conscience du danger dans la région est très préoccupant. À mon avis, ce qui préserve le Liban et plus largement le Moyen-Orient est que pour l’instant les pirates n’ont pas pris conscience du niveau de vulnérabilité des entreprises locales. Quand ce sera fait, il sera trop tard : cela va être un vrai carnage ! » prophétise Khalil Sehnaoui. D’autant que mis à part certains secteurs spécifiques, tels que le secteur public ou le secteur bancaire, les entreprises ne peuvent pas s’appuyer sur des dispositions légales sur la cyberprotection.
« La sécurité des infrastructures informatiques du secteur privé repose sur leurs seuls efforts individuels et aucune autorité de réglementation ne régit cet aspect. Pourtant l’Autorité de régulation des télécoms (ART) possède tous les moyens administratifs, techniques et humains pour jouer ce rôle, mais en l’absence de loi, nous nous en tenons à la sensibilisation des décideurs et du grand public sur les menaces informatiques et la cybercriminalité en particulier », se désole Imad Hoballah, directeur de l’ART. Pour remédier à ce néant juridique, il plaide activement pour la mise en place d’un cadre juridique efficace et la création d’une autorité ad hoc pour défendre le cyberespace libanais. À l’heure où le pays du Cèdre ambitionne de s’imposer comme un futur pôle numérique régional, cela semble être le moins…

Des techniques toujours plus pointues Pour cibler les entreprises, les pirates disposent de toute une panoplie de techniques, plus ou moins sophistiquées. Voici les plus courantes. L’envoi de logiciels malveillants (virus, cheval de Troie, ver) Ces maliciels sont conçus pour exécuter des actions à l’insu de l’utilisateur dans le but d’espionner ses habitudes, de dérober des informations ou de détruire des données spécifiques. Le plus courant de ces maliciels est le virus informatique qui se propage dans le système à travers des programmes “hôtes”. Le ver obéit au même principe, mais exploite les différentes ressources de l’ordinateur pour assurer sa reproduction, sans besoin de programmes tiers. Le cheval de Troie sert, quant à lui, généralement de passerelle pour permettre à un pirate de prendre à distance le contrôle de l’ordinateur et, contrairement aux virus et aux vers, il ne se réplique pas. Les véhicules utilisés pour ces maliciels sont très variés : des pages Web aux pièces jointes des courriels en passant par les réseaux Internet Wi-Fi ou les clés USB… L’hameçonnage Cette technique repose généralement sur l’envoi d’un courriel déguisé à un internaute, pouvant lui faire croire qu’il s’agit de sa banque ou d’un magasin dans le but d’usurper son identité. Il contient généralement un lien vers une page demandant une confirmation de mot de passe ou des numéros de carte bancaire. Le pirate n’a plus qu’à les récupérer pour s’en servir ou les revendre sur la Toile. Les attaques par déni de service (Distributed Denial of Service Attack, DDoS) Ces attaques consistent à inonder un réseau afin d’empêcher son fonctionnement, ou bien perturber les connexions entre deux machines, ou encore en obstruer les accès. Certains pirates spécialisés dans ce type d’attaques disposent généralement d’une armée de “zombies”, des ordinateurs infectés (par des chevaux de Troie par exemple), qu’ils peuvent ensuite louer à d’autres pirates. Ces attaques peuvent parfois être un préalable à d’autres, comme des chantages au déblocage ou une offensive d’ingénierie sociale. L’ingénierie sociale (Social Engineering) Ce terme désigne une méthode consistant à utiliser les failles humaines au sein d’une société ciblée comme levier pour briser les barrières de sécurité protégeant ses systèmes informatiques. Concrètement, le pirate utilise sa force de persuasion en se faisant passer pour un membre de l’entreprise, de son entourage ou un client de la personne approchée (par téléphone, courriel ou contact direct). Une tactique éprouvée consiste à bloquer un service par DDOS puis de se présenter comme le technicien chargé d’y remédier pour récupérer des données sensibles. Les rançongiciels (Ransomware) Ce terme désigne un type particulier de logiciel malveillant chargé de « prendre en otages » des données personnelles. Se propageant comme un ver, il chiffre des données ou bloque l’accès de l’utilisateur d’une machine ; le pirate n’a alors plus qu’à demander une rançon à leur propriétaire en échange de la clé de déchiffrement ou de l’outil de déblocage. Apparu en Russie, ce type d’attaque devient de plus en plus en vogue dans le reste du monde.