Cyberespionnage : le fléau expliqué par Paul Rascagnères, chercheur chez Kaspersky

02 novembre 2021 à 19h06
4
Cybersécurité

Le cyberespionnage a occupé une place majeure dans le secteur de la sécurité informatique en 2021. Outre la récurrence des attaques, c’est surtout l’ampleur et les conséquences de ces dernières qui inquiètent. Clubic a développé le sujet avec Kaspersky.

La vulnérabilité ProxyLogon Exchange , l’affaire SolarWinds , le logiciel Pegasus … les affaires de cyberespionnage à la résonance planétaire sont loin de se compter sur les doigts d’une main. Paul Rascagnères, chercheur en cybersécurité et membre du GReAT de Kaspersky, que Clubic a croisé aux Assises de la sécurité, revient sur le fléau du cyberespionnage.

L’interview « cyberespionnage » de Paul Rascagnères, chercheur chez Kaspersky

Clubic - On parle beaucoup de ransomwares. Mais il faut aussi évoquer la déstabilisation, l'espionnage, le cyberespionnage… Des phénomènes qui touchent aussi bien les entreprises que les particuliers.

Paul Rascagnères - Oui, je suis content que vous abordiez le sujet. On a le sentiment que tout le monde parle de ransomware, et on oublie toute cette partie concernant l'espionnage. Pourquoi ? Car il n'y a pas d'impact direct. Le cyberespionnage n'entraîne pas la coupure de votre système d'information et ne vous empêche pas de travailler. Il existe pourtant depuis des années. On voit même de plus en plus de campagnes, et il n'y a aucune raison que cela disparaisse du jour au lendemain.

"Il existe des cas affolants, où parfois deux années peuvent s'écouler avant que l'intrusion soit détectée."

Qui peut se cacher derrière ce cyberespionnage, et dans quelle mesure peut-on le qualifier d'attaque longue ?

Sur les durées, il existe des cas affolants, où parfois deux années peuvent s'écouler avant qu'on détecte l'intrusion, chose qui n'arrive pas dans le ransomware.

À la question du « qui », nous traquons des centaines de personnes ou groupes, en essayant de regrouper ceux qui vont opérer par exemple deux campagnes identiques. Il n'y a pas de profil particulier. Vous pouvez avoir des groupes qui viennent de différentes parties du monde et sur lesquels nous consacrons beaucoup de ressources.

Est-on est dans le vrai si on dit que le cyberespionnage est parallèle à la professionnalisation des attaquants ?

Oui, il y a clairement une professionnalisation. Même d'un point de vue technique, si on remonte au moment où j'ai démarré, il y a une dizaine d'années, il n'y avait que quelques acteurs très avancés. Aujourd'hui, il y en a une quantité. Ils ont su s'outiller, s'améliorer et suivre des process. Certains ont mêmes des « zero day » (une vulnérabilité qui n'est pas encore connue ou corrigée) qu'ils sont capables de revendre plusieurs millions d'euros. On peut imaginer que ces gens ont des ressources, des capacités et une motivation.

"Des attaquants ont trouvé des vulnérabilités dans les VPN pour rentrer par la grande porte, profitant de leur développement durant la pandémiE."

Quels sont les procédés utilisés aujourd'hui par les hackers pour pénétrer dans un système et rester en position dormante pendant des mois, voire des années ?

Je séparerai en deux catégories. On peut cibler des personnes de façon individuelle, où on vise le téléphone pour un cas particulier. Si c'est plutôt orienté sur une organisation, sur une société ou une autre entité, on vise moins les smartphones que les outils informatiques. Cela peut se faire via des campagnes de spearphishing, du hameçonnage ciblé en se faisant passer pour telle personne par e-mail, en rentrant à l'aide d'une pièce-jointe malveillante.

Il y a aussi quelque chose qui a pris une proposition assez élevée : c'est de passer directement sur les services front web, c'est-à-dire dire des services directement connectés à Internet. Ici, je pense notamment aux VPN , massivement déployés depuis la pandémie. Certains attaquants ont trouvé des vulnérabilités sur ces VPN pour rentrer par la grande porte. Vous avez aussi le cas emblématique de cette année ProxyLogon sur les serveurs Exchange.

hacking © B_A / Pixabay
© B_A / Pixabay

Puisque nous parlons des VPN, peut-on faire la distinction aujourd'hui les VPN gratuits et les VPN payants ?

La vulnérabilité, il faut avoir à l'esprit qu'elle est côté serveur, pas du côté du client que vous installez sur votre PC. Pour moi, il existe des solutions gratuites qui fonctionnent très bien, d'autres payantes qui fonctionnent très bien aussi. Le VPN est une porte qui doit être contrôlée, vérifiée et mise à jour. Certains éditeurs ont des mises à jour presque mensuelles. Il faut mettre à jour, mais aussi penser à ces serveurs directement connectés sur Internet, qui sont potentiellement une porte d'entrée s'il y a des problèmes.

"ProxyLogo (…) c'était surréaliste. Il y a eu des serveurs compromis par jusqu'à 5 ou 6 acteurs différents."

Il y a-t-il une actualité marquante autour du cyberespionnage qui a pu récemment vous impressionner ?

Il y en a beaucoup, l'actualité en la matière étant assez chargée. La plus marquante, c'est ProxyLogon avec sa vulnérabilité Exchange où il s'est passé des choses surréalistes vis-à-vis des analystes comme moi. Il y a eu des serveurs compromis par jusqu'à 5 ou 6 acteurs différents. Il y avait tellement d'attaquants sur une même machine qu'il n'était plus possible de savoir lequel faisait quoi. Nous n'arrivions plus à relayer quel outil était utilisé par tel attaquant, parce qu'il y en avait partout. Nous n'avons pas l'habitude de cela.

Le second élément que je retiens pour cette année est tout ce qui est supply chain (chaîne d'approvisionnement), avec Orion qui a beaucoup fait parler dans la presse. Des centaines de fournisseurs ont été touchés, et si vous prenez n'importe quel PC, cela a pu toucher le software, le hardware, l'OS, les logiciels installés, le Cloud etc. Nous sommes sur une problématique complexe, très difficile à gérer.

Pour l'attaquant, il y a deux avantages colossaux. D'abord, si vous avez un système d'information bien protégé et que vous investissez, le hacker a du mal à entrer. Le maillon faible, ce n'est plus la personne qu'il cible directement, mais l'un de ses fournisseurs. Et le seconde avantage est qu'avec une campagne, un investissement pour cibler un fournisseur, l'attaquant va potentiellement compromettre des dizaines de milliers de machines.

Le retour sur investissement pour l'attaquant est colossal. Plutôt que de s'embêter à cibler 20 000 personnes, il en cible une, le fournisseur, qui va déployer à sa place le malware chez tous ses clients.

Stand Kaspersky Assises 2021 © Alexandre Boero pour Clubic
Stand Kaspersky - Assises 2021 (© Alexandre Boero pour Clubic)

Concernant Pegasus, dont on aura beaucoup entendu parler, l'ironie du sort est que ce logiciel est légal. Pourtant, il est à l'origine de nombreux dégâts à cause de l'usage qui en a été fait…

Comme beaucoup de choses, il y a l'outil et l'utilisation de l'outil. Nous ne faisons pas de différenciation. On le traite comme un malware, qu'il soit autorisé ou pas. On fait la détection, on analyse, on procède à une investigation sur les terminaux qui auraient été ciblés. Dans notre manière de travailler, il n'y a pas de distinction.

Kaspersky Total Security 2021
  • Efficacité toujours redoutable
  • Très bonne protection bancaire et ransomwares
  • Impact imperceptible sur les performances

De nombreux éditeurs devraient prendre exemple sur le soin apporté par Kaspersky à tous les détails de son antivirus. L'éditeur russe ne laisse absolument rien au hasard et mériterait pour de nombreuses raisons de figurer en première place de ce comparatif. Mais comme les années précédentes, l'éditeur pèche par son manque de compétitivité commerciale avec des offres trop chères inadaptées à la demande actuelle.

De nombreux éditeurs devraient prendre exemple sur le soin apporté par Kaspersky à tous les détails de son antivirus. L'éditeur russe ne laisse absolument rien au hasard et mériterait pour de nombreuses raisons de figurer en première place de ce comparatif. Mais comme les années précédentes, l'éditeur pèche par son manque de compétitivité commerciale avec des offres trop chères inadaptées à la demande actuelle.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
4
Gweegoo
Perso j’aimerais bien comprendre (sans sombrer dans la politique internationale est-ouest svp), comment un pays fait-il pour en accuser un autre d’espionnage informatique.<br /> L’informatique est quand même un domaine très factuel, donc lorsqu’un pays accuse un autre de “soupçons” d’espionnage, de quoi parle-t-on exactement? Je n’ai pas encore vu (ou suis passé à côté) un cas où un pays donne les raisons concrètes de l’accusation.<br /> Pour Pegasus, personne ne s’en rendait compte avant que cela ne surgisse mais d’une manière autre qu’informatique.
komawok
On reste sur des «&nbsp;soupçons&nbsp;» car il est assez courant de faire passer ses attaques par différents serveurs, relais, passerelles, à travers le globe. De là, si enquête il y a, il faut remonter toute la chaine, et quand bien même on arrive à la «&nbsp;source&nbsp;», celle-ci peut se trouver être des serveurs zombies, une intrusion externe inconnue et autre. Mais on recoupe avec les moyens ($), la méthodologie etc pour arriver à savoir qui fait quoi sur le temps.
Gweegoo
Merci @komawok<br /> Mais justement ça me semble faible comme raisonnement si c’est tout ce qu’il faut pour accuser un autre état: on n’est pas sûr d’être au bout de la chaîne quand on a remonté les serveurs et les moyens mis en œuvre peuvent effectivement indiquer la taille/puissance de l’organisation mais sans correlation donc avec la localisation des serveurs.<br /> En résumé, on peut dire que le moyens mis en œuvre sont ceux accessibles au niveau d’un pays et qu’au dernier Ping sur l’adresse IP on arrivait à tel pays spécifiquement. Et ça suffit pour accuser officiellement tel ou tel pays et envenimer les relations, prendre des mesures et restrictions sans que les organismes de régulation OMC et autres ne s’inquiètent de l’usage de tels méthodes?<br /> Ca ne me surprendrait pas. Ce qui me surprend est que les pays accusés ne contre argumentent/attaquent pas et simplement disent “c’est pas nous”.<br /> Sur un exemple similaire, la décision américaine de faire la guerre en Irak sur la base de présomption d’enrichissement d’uranium avait été fortement critiquée publiquement et à l’ONU.
TAURUS31
Comme pour d’autres affaires dans le monde concret, je penses que donner des preuves pourrait donner une idée, des techniques, moyen utilisés…<br /> Le fait de dire on soupçonne plutôt que de prouver permet de dire que l’on sait tout en restant dans le flou du comment, en envoyant l’info à l’état concerné, qu’on a les moyens de savoir. Ou alors je me fais un film😂
Winston
Gweegoo:<br /> sans sombrer dans la politique internationale est-ouest svp<br /> Tu ne pourras jamais comprendre sans l’avoir étudié et toutes les réponses qui seront faites sans l’aborder seront au mieux très largement incomplètes et au pire t’induiront en erreur (ce qui est le but).
Gweegoo
Au contraire, pour étudier un sujet, il faut aussi savoir l’isoler. Le sujet de ma question était la preuve informatique.<br /> Parler du fait qu’elle soit largement utilisée dans les relations internationales et faire des références à la Chine, aux USA, la Russie ou Israël puis dérouter vers une discussion partisane … ne m’aurait pas permis de savoir si à la base la preuve informatique est bidon ou non.
Winston
Gweegoo:<br /> Le sujet de ma question était la preuve informatique.<br /> C’est justement le but, te faire croire qu’il y a une preuve informatique , 99% du lectorat n’ira pas chercher la véracité de l’affirmation par paresse et/ou par incompétence.<br /> Partir d’un postulat faux pour tirer des conclusions mène à l’ignorance.
Gweegoo
Winston:<br /> 99% du lectorat n’ira pas chercher la véracité de l’affirmation par paresse et/ou par incompétence<br /> Content que ce ne soit pas mon cas alors.
Winston
Comme tu as pu le constater , il n’y a même pas besoin de preuve ou d’affirmation allant dans ce sens, il suffit d’une rumeur pour accuser.<br /> Un titre racoleur (et mensonger) suffit pour convaincre 99% du lectorat.<br /> C’est une méthode très efficace pour formater l’opinion.
Gweegoo
Je suis d’accord avec toi. Mais en même temps, je n’ai jamais connu une opinion qui ne soit pas divisée. À la rigueur, je me demande si donner des preuves de ce qui est avancé changerait qqch. On dit par exemple qu’un vaccin permettrait d’éradiquer une maladie, avec des preuves des résultats obtenus, tout en donnant le choix… et certains sont pour, certains sont contre.<br /> Outre l’opinion, il y a quand même le droit. Je trouvais surprenant que les pays accusés ne porte pas la question auprès des institutions internationales, concernant le fait d’être régulièrement soupçonnés sans preuve réelle. Et de demander l’arrêt d’une politique toxique et l’arrêt de sanctions commerciales lorsque la preuve n’est pas faite.<br /> Macron se demandait à quoi sert de payer 1 milliard d’euros pour faire partie de l’OTAN si les décisions sont prises en dehors. C’est aussi vrai pour l’OMC, l’ONU … Je ne comprends pas pourquoi les pays accusés en font tjs partie si c’est pour ne pas être traité sur un pied d’égalité. Une sorte de présomption d’innocence.
Winston
Ton message parle quasiment que de politique <br /> Tu devrais t’y intéresser ,c’est beaucoup plus intéressant que de savoir comment on a pu déterminer techniquement d’où vient l’attaque (ça se réduit à des suppositions et des constats du genre «&nbsp;il y a du texte cyrillique&nbsp;» ou «&nbsp;l’adresse IP est russe&nbsp;» donc c’est la Russie, comme si à ce niveau là les fausses pistes n’étaient pas de mise).
Gweegoo
Je m’y intéresse effectivement. Lorsque je demandais d’éviter de sombrer dans la “politique internationale est-ouest svp”, je voulais faire référence à d’autres discussions un peu trop lobbyistes dans lesquelles on pouvait voir systématiquement les mêmes commentaires sur la propagande américaine, la souveraineté Taïwanaise, la répression chinoise …. et à la fin, il y a 2 pages de commentaires en mode Ping-pong et pas de réponse à ta question.
Winston
Tu trouveras ici un rapport qui répondra peut être à ta question (mais je pense plutôt qu’il va créer des interrogations )<br /> FireEye<br /> [RAPPORT SPÉCIAL] DOUBLE DRAGON : APT41 : MI-ESPIONS, MI-ESCROCS<br /> Social Sharing<br />
Voir tous les messages sur le forum

Derniers actualités

Amazon UK laisse échapper les prix des prochains processeurs Intel de 13e génération
Elon Musk a de bonnes intentions, mais Starlink ne sert probablement à rien en Iran
Edward Snowden est officiellement russe, sur ordre de Vladimir Poutine
À son tour, pCloud lance son gestionnaire de mots de passe
Un bug sur Google Photos semble endommager aléatoirement des photos qui y sont stockées
Meta voulait un talkie-walkie pour Facebook... Cela va lui coûter 174 millions de dollars pour violation de brevet
Cette offre spéciale French Days sur la caméra Blink est incroyable !
Samsung dévoile la liste de ses smartphones qui recevront Android 13 d'ici la fin de l'année
Chouette, les influenceurs vont aussi pouvoir gagner de l’argent sur YouTube Shorts
Amazon termine les French Days en beauté avec 7 promos folles
Haut de page