Le cyberespionnage a occupé une place majeure dans le secteur de la sécurité informatique en 2021. Outre la récurrence des attaques, c’est surtout l’ampleur et les conséquences de ces dernières qui inquiètent. Clubic a développé le sujet avec Kaspersky.
La vulnérabilité ProxyLogon Exchange, l’affaire SolarWinds, le logiciel Pegasus… les affaires de cyberespionnage à la résonance planétaire sont loin de se compter sur les doigts d’une main. Paul Rascagnères, chercheur en cybersécurité et membre du GReAT de Kaspersky, que Clubic a croisé aux Assises de la sécurité, revient sur le fléau du cyberespionnage.
L’interview « cyberespionnage » de Paul Rascagnères, chercheur chez Kaspersky
Clubic - On parle beaucoup de ransomwares. Mais il faut aussi évoquer la déstabilisation, l'espionnage, le cyberespionnage… Des phénomènes qui touchent aussi bien les entreprises que les particuliers.
Paul Rascagnères - Oui, je suis content que vous abordiez le sujet. On a le sentiment que tout le monde parle de ransomware, et on oublie toute cette partie concernant l'espionnage. Pourquoi ? Car il n'y a pas d'impact direct. Le cyberespionnage n'entraîne pas la coupure de votre système d'information et ne vous empêche pas de travailler. Il existe pourtant depuis des années. On voit même de plus en plus de campagnes, et il n'y a aucune raison que cela disparaisse du jour au lendemain.
"Il existe des cas affolants, où parfois deux années peuvent s'écouler avant que l'intrusion soit détectée."
Qui peut se cacher derrière ce cyberespionnage, et dans quelle mesure peut-on le qualifier d'attaque longue ?
Sur les durées, il existe des cas affolants, où parfois deux années peuvent s'écouler avant qu'on détecte l'intrusion, chose qui n'arrive pas dans le ransomware.
À la question du « qui », nous traquons des centaines de personnes ou groupes, en essayant de regrouper ceux qui vont opérer par exemple deux campagnes identiques. Il n'y a pas de profil particulier. Vous pouvez avoir des groupes qui viennent de différentes parties du monde et sur lesquels nous consacrons beaucoup de ressources.
Est-on est dans le vrai si on dit que le cyberespionnage est parallèle à la professionnalisation des attaquants ?
Oui, il y a clairement une professionnalisation. Même d'un point de vue technique, si on remonte au moment où j'ai démarré, il y a une dizaine d'années, il n'y avait que quelques acteurs très avancés. Aujourd'hui, il y en a une quantité. Ils ont su s'outiller, s'améliorer et suivre des process. Certains ont mêmes des « zero day » (une vulnérabilité qui n'est pas encore connue ou corrigée) qu'ils sont capables de revendre plusieurs millions d'euros. On peut imaginer que ces gens ont des ressources, des capacités et une motivation.
"Des attaquants ont trouvé des vulnérabilités dans les VPN pour rentrer par la grande porte, profitant de leur développement durant la pandémiE."
Quels sont les procédés utilisés aujourd'hui par les hackers pour pénétrer dans un système et rester en position dormante pendant des mois, voire des années ?
Je séparerai en deux catégories. On peut cibler des personnes de façon individuelle, où on vise le téléphone pour un cas particulier. Si c'est plutôt orienté sur une organisation, sur une société ou une autre entité, on vise moins les smartphones que les outils informatiques. Cela peut se faire via des campagnes de spearphishing, du hameçonnage ciblé en se faisant passer pour telle personne par e-mail, en rentrant à l'aide d'une pièce-jointe malveillante.
Il y a aussi quelque chose qui a pris une proposition assez élevée : c'est de passer directement sur les services front web, c'est-à-dire dire des services directement connectés à Internet. Ici, je pense notamment aux VPN, massivement déployés depuis la pandémie. Certains attaquants ont trouvé des vulnérabilités sur ces VPN pour rentrer par la grande porte. Vous avez aussi le cas emblématique de cette année ProxyLogon sur les serveurs Exchange.
Puisque nous parlons des VPN, peut-on faire la distinction aujourd'hui les VPN gratuits et les VPN payants ?
La vulnérabilité, il faut avoir à l'esprit qu'elle est côté serveur, pas du côté du client que vous installez sur votre PC. Pour moi, il existe des solutions gratuites qui fonctionnent très bien, d'autres payantes qui fonctionnent très bien aussi. Le VPN est une porte qui doit être contrôlée, vérifiée et mise à jour. Certains éditeurs ont des mises à jour presque mensuelles. Il faut mettre à jour, mais aussi penser à ces serveurs directement connectés sur Internet, qui sont potentiellement une porte d'entrée s'il y a des problèmes.
"ProxyLogo (…) c'était surréaliste. Il y a eu des serveurs compromis par jusqu'à 5 ou 6 acteurs différents."
Il y a-t-il une actualité marquante autour du cyberespionnage qui a pu récemment vous impressionner ?
Il y en a beaucoup, l'actualité en la matière étant assez chargée. La plus marquante, c'est ProxyLogon avec sa vulnérabilité Exchange où il s'est passé des choses surréalistes vis-à-vis des analystes comme moi. Il y a eu des serveurs compromis par jusqu'à 5 ou 6 acteurs différents. Il y avait tellement d'attaquants sur une même machine qu'il n'était plus possible de savoir lequel faisait quoi. Nous n'arrivions plus à relayer quel outil était utilisé par tel attaquant, parce qu'il y en avait partout. Nous n'avons pas l'habitude de cela.
Le second élément que je retiens pour cette année est tout ce qui est supply chain (chaîne d'approvisionnement), avec Orion qui a beaucoup fait parler dans la presse. Des centaines de fournisseurs ont été touchés, et si vous prenez n'importe quel PC, cela a pu toucher le software, le hardware, l'OS, les logiciels installés, le Cloud etc. Nous sommes sur une problématique complexe, très difficile à gérer.
Pour l'attaquant, il y a deux avantages colossaux. D'abord, si vous avez un système d'information bien protégé et que vous investissez, le hacker a du mal à entrer. Le maillon faible, ce n'est plus la personne qu'il cible directement, mais l'un de ses fournisseurs. Et le seconde avantage est qu'avec une campagne, un investissement pour cibler un fournisseur, l'attaquant va potentiellement compromettre des dizaines de milliers de machines.
Le retour sur investissement pour l'attaquant est colossal. Plutôt que de s'embêter à cibler 20 000 personnes, il en cible une, le fournisseur, qui va déployer à sa place le malware chez tous ses clients.
Concernant Pegasus, dont on aura beaucoup entendu parler, l'ironie du sort est que ce logiciel est légal. Pourtant, il est à l'origine de nombreux dégâts à cause de l'usage qui en a été fait…
Comme beaucoup de choses, il y a l'outil et l'utilisation de l'outil. Nous ne faisons pas de différenciation. On le traite comme un malware, qu'il soit autorisé ou pas. On fait la détection, on analyse, on procède à une investigation sur les terminaux qui auraient été ciblés. Dans notre manière de travailler, il n'y a pas de distinction.
- Efficacité toujours redoutable
- Très bonne protection bancaire et ransomwares
- Impact imperceptible sur les performances
Référence incontournable du marché de la sécurité grand public, la suite antivirus de Kaspersky constitue un modèle du genre. Bien que ce millésime n'ait que peu évolué, elle demeure dans le top 3 des suites de sécurité que cela soit pour sa protection de haut niveau, sa richesse fonctionnelle, ou son interface.
Référence incontournable du marché de la sécurité grand public, la suite antivirus de Kaspersky constitue un modèle du genre. Bien que ce millésime n'ait que peu évolué, elle demeure dans le top 3 des suites de sécurité que cela soit pour sa protection de haut niveau, sa richesse fonctionnelle, ou son interface.
Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)
Lire d'autres articles
