Cyberespionnage : nous entrons dans une guerre froide technologique

Ces derniers mois ont été denses en actualité cyber, avec des attaques par rançongiciels et des révélations d'affaires d'espionnage.

Pour beaucoup, l'espionnage évoque encore la guerre froide et des personnages de films comme James Bond ou Jason Bourne. L’espionnage est une technique parfois utilisée dans le cadre d’une cyberattaque mais ce sont surtout les attaques par ransomwares qui font la une de l’actualité. Pourtant, la situation sur le front de l’espionnage est sérieuse et continue de s'envenimer. Les révélations sur le logiciel Pegasus, qui a infiltré jusqu’au portable d’Emmanuel Macron, lèvent le voile sur la guerre de la cybersurveillance. La Chine de nouveau accusée d'une vaste opération de cyberespionnage est par ailleurs au cœur de l’actualité.

Ce qui distingue le cyberespionnage des autres types de cyberattaques 

L'accent est mis sur les "actions cachées" : contrairement à d'autres types d'attaques comme celles ayant recours à l’usage de ransomwares, le cyberespionnage vise généralement à ne pas être détecté tout au long du processus d'attaque. Les auteurs font de gros efforts pour dissimuler leurs actions, leurs motivations et leurs identités. L'utilisation d'exploits "zero-day" et de logiciels malveillants sur mesure, qui ne peuvent pas être détectés par les antivirus basés sur des signatures et autres solutions de sécurité, est une pratique courante.

Les informations sensibles sont au centre des préoccupations : de nombreux types de cybercriminalité visent les données des clients, les informations financières telles que les numéros de compte ou l'infrastructure numérique que les entreprises utilisent pour leurs activités quotidiennes. Les attaques de cyber espionnage ont généralement un autre objectif : elles visent les secrets jalousement gardés de nations rivales, la propriété intellectuelle et les technologies avancées de concurrents ou les communications privées de dissidents ou d'opposants politiques. Il est intéressant de noter que le type d'informations ciblées par le cyber espionnage n'est souvent pas soumis aux lois sur la notification des violations de données. Par conséquent, ces attaques ne sont pas suffisamment prises en compte dans les statistiques de cybersécurité.

Les attaques de la Supply Chain, moyen de pression pour les groupes de cyber espionnage 

Dans les opérations d’espionnage de grande envergure, les cyber attaquants prennent position sur les réseaux de prestataires afin de récupérer les données, voire d’accéder aux réseaux de leurs clients.

Les attaques de la chaîne d'approvisionnement deviennent ainsi un moyen de plus en plus prisé par les groupes de cyberespionnage sophistiqués. Dans ce type d'attaque, un acteur de la menace cherche à compromettre un vendeur, un partenaire ou un fournisseur de confiance d'une organisation cible. Souvent, cela se fait en introduisant un « code backdoor » dans un produit ou un service déjà utilisé par la cible. Il s'agit d'un moyen très efficace de contourner les cyber défenses les plus avancées et cela rend l’attaque très difficile à détecter. 

L'exemple le plus connu est l'attaque contre le programme de surveillance de réseau SolarWinds. Les attaquants ont ainsi pu obtenir un accès dissimulé aux réseaux sensibles de nombreux ministères américains ainsi que de milliers d'autres administrations.

Des attaques de plus en plus sophistiquées 

Dans le cas d’attaques de type "watering hole", les pirates compromettent un site Web utilisé par la victime avec un logiciel malveillant. Si l'entreprise cible est par exemple une grande entreprise pétrolière et gazière, les pirates pourraient par exemple intégrer un code malveillant dans la page d'accueil d'un magazine spécialisé correspondant. Dans de nombreux cas, une attaque de type "watering hole" est couplée à un exploit "zero-day" qui exploite des vulnérabilités encore inconnues dans un navigateur ou un système d'exploitation donné. La personne ciblée visite un site web et télécharge à son insu un logiciel malveillant spécialement conçu et très performant, qui ne peut très probablement pas être intercepté par un antivirus ou un autre logiciel de sécurité. De telles attaques ont été menées par exemple contre des Ouïghours, cette minorité ethnique et religieuse d'une région du nord-ouest de la Chine.
Le meilleur moyen de mener une campagne de cyber espionnage consiste à inciter les cibles à placer leurs propres appareils sur écoute. Des campagnes d'ingénierie sociale incitent les victimes à télécharger cette application. La plupart du temps, ces programmes se trouvent dans des magasins d'applications tiers, mais dans certains cas, il a été possible de contourner le processus de vérification nécessaire à l'admission dans les magasins d'applications officiels. De nombreuses applications de ce type ont été observées pendant le Covid. Par ailleurs, des versions souvent piratées de logiciels coûteux comme Adobe Photoshop reçoivent depuis longtemps des chevaux de Troie et autres logiciels malveillants cachés.

D’autres types d’attaques telles que le Catfishing où les pirates créent une fausse identité et établissent une relation virtuelle avec leurs cibles pendant des mois, sont également utilisées. 

S'attendre au pire

Face à des attaques toujours plus innovantes et à une situation géopolitique tendue, les entreprises de tous types et de toutes tailles doivent s'attendre à être un jour ou l'autre la cible de cyber espions. Certes, les entreprises d'armement, les fournisseurs de technologie ainsi que les entreprises de biotechnologie et pharmaceutiques sont parmi les principales cibles. Toutefois, les entreprises de taille moyenne disposent souvent elles aussi d'une propriété intellectuelle précieuse qui en fait une cible intéressante. C'est pourquoi tous les responsables de la sécurité devraient adopter une approche "Assume Breach" et partir du principe qu'ils ont déjà été victimes d'une attaque réussie. En se concentrant sur ce qui doit être protégé, c'est-à-dire leurs données confidentielles et sensibles, ils peuvent s'assurer, grâce à une approche centrée sur les données, que les dommages potentiels sont réduits au minimum et que le comportement suspect des utilisateurs est rapidement identifié.

Par essence, l’espionnage se fait alors à distance et exploite des failles chez ses partenaires qui sont censés être de confiance. Lutter contre le cyber espionnage est un combat permanent.

Il existe plusieurs moyens pour contrer le cyber espionnage. Commencer par limiter l'accès aux données selon l'approche du moindre privilège est une règle d’or à respecter. Chaque collaborateur ne doit avoir accès qu'à ce qui est nécessaire pour son travail effectif. De cette manière, les dommages potentiels causés par un compte compromis peuvent être considérablement réduits. Toutefois, la plupart des entreprises n'ont pas une idée claire de qui a accès à quoi dans leurs systèmes. 

C’est pourquoi il est indispensable de mettre en place un programme complet de cybersécurité qui comprend une formation de sensibilisation à la sécurité. C’est en effet, bien souvent la défense la plus efficace contre les attaques d'ingénierie sociale. Apprendre aux employés à repérer les signes de phishing, de pretexting et de catfishing peut réduire les risques d’attaques. 

La culture d'entreprise joue également un rôle important. Dans son Insider Threat Mitigation Guide, l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) souligne en effet l'importance d'éduquer et d'impliquer les employés plutôt que d'adopter une approche restrictive et punitive. Il est essentiel d'obtenir l'adhésion des principales parties prenantes de l’entreprise, pour instaurer une culture de la sécurité au sein de toute organisation. C’est à ce niveau-là que le travail de fond doit s’opérer pour protéger toutes les entreprises du risque de cyberespionnage.