🔴 LE BLACK FRIDAY EN DIRECT !

Cyberespionnage : le fléau expliqué par Paul Rascagnères, chercheur chez Kaspersky

02 novembre 2021 à 19h06
4
Cybersécurité

Le cyberespionnage a occupé une place majeure dans le secteur de la sécurité informatique en 2021. Outre la récurrence des attaques, c’est surtout l’ampleur et les conséquences de ces dernières qui inquiètent. Clubic a développé le sujet avec Kaspersky.

La vulnérabilité ProxyLogon Exchange , l’affaire SolarWinds , le logiciel Pegasus … les affaires de cyberespionnage à la résonance planétaire sont loin de se compter sur les doigts d’une main. Paul Rascagnères, chercheur en cybersécurité et membre du GReAT de Kaspersky, que Clubic a croisé aux Assises de la sécurité, revient sur le fléau du cyberespionnage.

L’interview « cyberespionnage » de Paul Rascagnères, chercheur chez Kaspersky

Clubic - On parle beaucoup de ransomwares. Mais il faut aussi évoquer la déstabilisation, l'espionnage, le cyberespionnage… Des phénomènes qui touchent aussi bien les entreprises que les particuliers.

Paul Rascagnères - Oui, je suis content que vous abordiez le sujet. On a le sentiment que tout le monde parle de ransomware, et on oublie toute cette partie concernant l'espionnage. Pourquoi ? Car il n'y a pas d'impact direct. Le cyberespionnage n'entraîne pas la coupure de votre système d'information et ne vous empêche pas de travailler. Il existe pourtant depuis des années. On voit même de plus en plus de campagnes, et il n'y a aucune raison que cela disparaisse du jour au lendemain.

"Il existe des cas affolants, où parfois deux années peuvent s'écouler avant que l'intrusion soit détectée."

Qui peut se cacher derrière ce cyberespionnage, et dans quelle mesure peut-on le qualifier d'attaque longue ?

Sur les durées, il existe des cas affolants, où parfois deux années peuvent s'écouler avant qu'on détecte l'intrusion, chose qui n'arrive pas dans le ransomware.

À la question du « qui », nous traquons des centaines de personnes ou groupes, en essayant de regrouper ceux qui vont opérer par exemple deux campagnes identiques. Il n'y a pas de profil particulier. Vous pouvez avoir des groupes qui viennent de différentes parties du monde et sur lesquels nous consacrons beaucoup de ressources.

Est-on est dans le vrai si on dit que le cyberespionnage est parallèle à la professionnalisation des attaquants ?

Oui, il y a clairement une professionnalisation. Même d'un point de vue technique, si on remonte au moment où j'ai démarré, il y a une dizaine d'années, il n'y avait que quelques acteurs très avancés. Aujourd'hui, il y en a une quantité. Ils ont su s'outiller, s'améliorer et suivre des process. Certains ont mêmes des « zero day » (une vulnérabilité qui n'est pas encore connue ou corrigée) qu'ils sont capables de revendre plusieurs millions d'euros. On peut imaginer que ces gens ont des ressources, des capacités et une motivation.

"Des attaquants ont trouvé des vulnérabilités dans les VPN pour rentrer par la grande porte, profitant de leur développement durant la pandémiE."

Quels sont les procédés utilisés aujourd'hui par les hackers pour pénétrer dans un système et rester en position dormante pendant des mois, voire des années ?

Je séparerai en deux catégories. On peut cibler des personnes de façon individuelle, où on vise le téléphone pour un cas particulier. Si c'est plutôt orienté sur une organisation, sur une société ou une autre entité, on vise moins les smartphones que les outils informatiques. Cela peut se faire via des campagnes de spearphishing, du hameçonnage ciblé en se faisant passer pour telle personne par e-mail, en rentrant à l'aide d'une pièce-jointe malveillante.

Il y a aussi quelque chose qui a pris une proposition assez élevée : c'est de passer directement sur les services front web, c'est-à-dire dire des services directement connectés à Internet. Ici, je pense notamment aux VPN , massivement déployés depuis la pandémie. Certains attaquants ont trouvé des vulnérabilités sur ces VPN pour rentrer par la grande porte. Vous avez aussi le cas emblématique de cette année ProxyLogon sur les serveurs Exchange.

hacking © B_A / Pixabay
© B_A / Pixabay

Puisque nous parlons des VPN, peut-on faire la distinction aujourd'hui les VPN gratuits et les VPN payants ?

La vulnérabilité, il faut avoir à l'esprit qu'elle est côté serveur, pas du côté du client que vous installez sur votre PC. Pour moi, il existe des solutions gratuites qui fonctionnent très bien, d'autres payantes qui fonctionnent très bien aussi. Le VPN est une porte qui doit être contrôlée, vérifiée et mise à jour. Certains éditeurs ont des mises à jour presque mensuelles. Il faut mettre à jour, mais aussi penser à ces serveurs directement connectés sur Internet, qui sont potentiellement une porte d'entrée s'il y a des problèmes.

"ProxyLogo (…) c'était surréaliste. Il y a eu des serveurs compromis par jusqu'à 5 ou 6 acteurs différents."

Il y a-t-il une actualité marquante autour du cyberespionnage qui a pu récemment vous impressionner ?

Il y en a beaucoup, l'actualité en la matière étant assez chargée. La plus marquante, c'est ProxyLogon avec sa vulnérabilité Exchange où il s'est passé des choses surréalistes vis-à-vis des analystes comme moi. Il y a eu des serveurs compromis par jusqu'à 5 ou 6 acteurs différents. Il y avait tellement d'attaquants sur une même machine qu'il n'était plus possible de savoir lequel faisait quoi. Nous n'arrivions plus à relayer quel outil était utilisé par tel attaquant, parce qu'il y en avait partout. Nous n'avons pas l'habitude de cela.

Le second élément que je retiens pour cette année est tout ce qui est supply chain (chaîne d'approvisionnement), avec Orion qui a beaucoup fait parler dans la presse. Des centaines de fournisseurs ont été touchés, et si vous prenez n'importe quel PC, cela a pu toucher le software, le hardware, l'OS, les logiciels installés, le Cloud etc. Nous sommes sur une problématique complexe, très difficile à gérer.

Pour l'attaquant, il y a deux avantages colossaux. D'abord, si vous avez un système d'information bien protégé et que vous investissez, le hacker a du mal à entrer. Le maillon faible, ce n'est plus la personne qu'il cible directement, mais l'un de ses fournisseurs. Et le seconde avantage est qu'avec une campagne, un investissement pour cibler un fournisseur, l'attaquant va potentiellement compromettre des dizaines de milliers de machines.

Le retour sur investissement pour l'attaquant est colossal. Plutôt que de s'embêter à cibler 20 000 personnes, il en cible une, le fournisseur, qui va déployer à sa place le malware chez tous ses clients.

Stand Kaspersky Assises 2021 © Alexandre Boero pour Clubic
Stand Kaspersky - Assises 2021 (© Alexandre Boero pour Clubic)

Concernant Pegasus, dont on aura beaucoup entendu parler, l'ironie du sort est que ce logiciel est légal. Pourtant, il est à l'origine de nombreux dégâts à cause de l'usage qui en a été fait…

Comme beaucoup de choses, il y a l'outil et l'utilisation de l'outil. Nous ne faisons pas de différenciation. On le traite comme un malware, qu'il soit autorisé ou pas. On fait la détection, on analyse, on procède à une investigation sur les terminaux qui auraient été ciblés. Dans notre manière de travailler, il n'y a pas de distinction.

Kaspersky Total Security 2021
  • Efficacité toujours redoutable
  • Très bonne protection bancaire et ransomwares
  • Impact imperceptible sur les performances

De nombreux éditeurs devraient prendre exemple sur le soin apporté par Kaspersky à tous les détails de son antivirus. L'éditeur russe ne laisse absolument rien au hasard et mériterait pour de nombreuses raisons de figurer en première place de ce comparatif. Mais comme les années précédentes, l'éditeur pèche par son manque de compétitivité commerciale avec des offres trop chères inadaptées à la demande actuelle.

De nombreux éditeurs devraient prendre exemple sur le soin apporté par Kaspersky à tous les détails de son antivirus. L'éditeur russe ne laisse absolument rien au hasard et mériterait pour de nombreuses raisons de figurer en première place de ce comparatif. Mais comme les années précédentes, l'éditeur pèche par son manque de compétitivité commerciale avec des offres trop chères inadaptées à la demande actuelle.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
4
Gweegoo
Perso j’aimerais bien comprendre (sans sombrer dans la politique internationale est-ouest svp), comment un pays fait-il pour en accuser un autre d’espionnage informatique.<br /> L’informatique est quand même un domaine très factuel, donc lorsqu’un pays accuse un autre de “soupçons” d’espionnage, de quoi parle-t-on exactement? Je n’ai pas encore vu (ou suis passé à côté) un cas où un pays donne les raisons concrètes de l’accusation.<br /> Pour Pegasus, personne ne s’en rendait compte avant que cela ne surgisse mais d’une manière autre qu’informatique.
komawok
On reste sur des «&nbsp;soupçons&nbsp;» car il est assez courant de faire passer ses attaques par différents serveurs, relais, passerelles, à travers le globe. De là, si enquête il y a, il faut remonter toute la chaine, et quand bien même on arrive à la «&nbsp;source&nbsp;», celle-ci peut se trouver être des serveurs zombies, une intrusion externe inconnue et autre. Mais on recoupe avec les moyens ($), la méthodologie etc pour arriver à savoir qui fait quoi sur le temps.
Gweegoo
Merci @komawok<br /> Mais justement ça me semble faible comme raisonnement si c’est tout ce qu’il faut pour accuser un autre état: on n’est pas sûr d’être au bout de la chaîne quand on a remonté les serveurs et les moyens mis en œuvre peuvent effectivement indiquer la taille/puissance de l’organisation mais sans correlation donc avec la localisation des serveurs.<br /> En résumé, on peut dire que le moyens mis en œuvre sont ceux accessibles au niveau d’un pays et qu’au dernier Ping sur l’adresse IP on arrivait à tel pays spécifiquement. Et ça suffit pour accuser officiellement tel ou tel pays et envenimer les relations, prendre des mesures et restrictions sans que les organismes de régulation OMC et autres ne s’inquiètent de l’usage de tels méthodes?<br /> Ca ne me surprendrait pas. Ce qui me surprend est que les pays accusés ne contre argumentent/attaquent pas et simplement disent “c’est pas nous”.<br /> Sur un exemple similaire, la décision américaine de faire la guerre en Irak sur la base de présomption d’enrichissement d’uranium avait été fortement critiquée publiquement et à l’ONU.
TAURUS31
Comme pour d’autres affaires dans le monde concret, je penses que donner des preuves pourrait donner une idée, des techniques, moyen utilisés…<br /> Le fait de dire on soupçonne plutôt que de prouver permet de dire que l’on sait tout en restant dans le flou du comment, en envoyant l’info à l’état concerné, qu’on a les moyens de savoir. Ou alors je me fais un film😂
Voir tous les messages sur le forum

Lectures liées

Avec ces offres Black Friday, s'équiper d'un antivirus performant chez Intego n'a jamais été si facile
Surfshark VPN fait couler ses tarifs : faut il craquer pour ce VPN prometteur ?
Après le scandale Pegasus, Israël recule sur les logiciels espions et réduit la liste des pays autorisés
Le Black Friday continue chez Bitdefender, le bon moment pour choisir un antivirus efficace !
Black Friday VPN : votre futur VPN se trouve sûrement dans une des offres de Cyberghost, NordVPN ou Surfshark !
37 % des smartphones Android auraient une puce vulnérable et pourraient se faire espionner à leur insu
Le Black Friday bat son plein chez NordVPN, le moment idéal pour un abonnement à prix choc !
Cyber-espionnage d'État : comment Apple veut informer les utilisateurs ciblés
Windows Defender montre les dents ! Il est parmi les meilleurs antivirus de 2021 selon AV-TEST
Antivirus pas cher pendant le Black Friday : pourquoi céder aux offres d'Avira jusqu'à -60% ?
Haut de page