Chez Google Cloud, "le Big four de la cybermenace n'a pas changé"
La cybersécurité et le monde du renseignement sur les menaces est étroitement lié au contexte géopolitique. Mais chez Google Cloud, les récentes évolutions de l'administration américaine en la matière ne vont pas révolutionner les choses. "Notre travail est de nous assurer que nous pouvons continuer d'assurer nos missions, peu importe qui est à la Maison-Blanche", assure Sandra Joyce, directrice de la division Google Threat Intelligence Group. "Nous sommes une entreprise privée, nous avons nos propres sources d'information, au final le climat géopolitique n'affecte pas nos capacités", résume David Grout, CTO Emea pour Google Cloud.
Et d'ailleurs quand il s'agit de considérer le paysage des menaces, Google estime que "le Big Four n'a pas changé" : derrière ce terme, on retrouve les principaux pays à l'offensive en matière de cyberattaque, à savoir la Russie, la Chine, la Corée du Nord et l'Iran.
Les faux employés nord-coréens ciblent l'Europe
De leur côté, les attaquants évoluent dans leurs approches. Notamment la Corée du Nord : comme le relevait Google au début du mois d'avril, de plus en plus de sociétés européennes sont visées par la technique du "faux employés" où des pirates nord-coréens postulent sur des offres d'emploi en distanciel. Un phénomène jusqu'alors cantonné aux entreprises américaines : "Nous constatons qu'ils sont de plus en plus actifs en Europe, visant par exemple des sociétés dans le domaine de la défense. L'objectif semble être le vol de propriétés intellectuelles. Nous avons notifié plusieurs entreprises, dont certaines en France", explique David Grout.
Reste que ce phénomène est, de l'aveu même de Sandra Joyce, difficile à quantifier : "C'est compliqué de compter, mais nous constatons certaines choses, comme la revente d'identifiants, qui nous confirment qu'ils sont particulièrement actifs."
Bien évidemment, la Russie n'est pas en reste : "Nous les voyons déployer de plus en plus de logiciels malveillants destructeurs de données, et viser de plus en plus de cibles individuelles sur le champ de bataille", assure Sandra Joyce. Le conflit en Ukraine reste une priorité pour les acteurs cyber alignés avec la Russie : en février Google avait ainsi publié un post de blog détaillant les efforts de la Russie pour cibler les utilisateurs de l'application de messagerie sécurisée Signal afin d'infecter leurs appareils avec des logiciels malveillants.
La Chine en embuscade
Au sein du fameux "big four", la Chine est peut-être l'acteur le plus discret mais aussi celui que Google redoute le plus. "Ils sont devenus extrêmement difficiles à détecter. Ils ont complété leur évolution vers le statut de superpuissance cyber, et ils se concentrent par exemple sur des appareils ou segments du réseau dépourvus de capacités de détection", assure Sandra Joyce.
Autre signe de cette nouvelle approche plus discrète : le recours de plus en plus systématique à des infrastructures éphémères pour mener leurs attaques, ce qui complique la détection, ou l'utilisation croissante de failles 0day depuis 2020. Et la Chine est loin d'avoir abattu toutes ses cartes en matière cyber relève la dirigeante de Google Cloud : "Au sein des principaux acteurs étatiques, ils sont les seuls à ne pas avoir révélé leurs capacités en matière de destruction de données. Ils restent concentrés sur l'espionnage et le positionnement au sein de systèmes critiques, mais ils ont clairement les capacités."
IA : la balle est dans le camp des défenseurs
Alors rien de très neuf dans le paysage cyber ? Sandra Joyce souligne tout de même une évolution, pour une fois plutôt positive, l'apparition des technologies d'intelligence artificielle qui bénéficient plutôt aux défenseurs qu'aux attaquants. "C'est un énorme avantage pour nous. Pour l'instant, les acteurs de la menace n'exploitent pas vraiment ces technologies pour faire des choses que les humains ne pourraient pas faire. En revanche, cela nous permet d'accélérer considérablement des processus qui pouvaient auparavant nous prendre des mois", assure la dirigeante. Et comme dans le domaine de la cybersécurité, les bonnes nouvelles se font rares, les porte-paroles de Google Cloud ne manquent pas de le souligner.