Cyrille Badeau, Sourcefire : "les cyberattaques s'organisent"

Cyrille Badeau, directeur Europe du Sud de l'éditeur de sécurité Sourcefire, fait le point sur la cybercriminalité. Il note que les cyberattaques se professionnalisent et ont une visée industrielle.

Bonjour Cyrille Badeau. Pouvez-vous nous dire comment a évolué la cybercriminalité dernièrement ?

On observe depuis quelques trimestres des attaques menées dans le cadre de campagnes ciblées sur un secteur d'activité. Par exemple, pendant plusieurs mois, on peut relever des attaques contre l'industrie pharmaceutique ou aéronautique. Ces attaques ne sont pas menées par trois individus depuis un garage mais sont le fruit d'une organisation, d'un financement conséquent et bien sûr d'un professionnalisme. Avant on parlait du méchant hacker mais là on fait face à des bras armés d'entités qui passent des commandes, qui sont financées. On observait beaucoup moins cela avant.

Comment peut se dérouler une attaque par exemple ?

D'abord les hackers cherchent des informations sur la cible. Pour cela ils font du « social engineering ». En gros vous avez deux manières d'obtenir des informations. Par exemple, soit vous prenez mon ordinateur portable mais il est chiffré et vous passerez du temps à percer les défenses pour retirer ce que vous voulez. Soit vous m'invitez à boire des bières et là vous aurez plus de chances d'obtenir quelque chose.

Ensuite les attaques peuvent être détournées. Ce n'est plus l'entreprise qui est attaquée frontalement, mais l'employé. Si je veux entrer dans votre IT, ça n'est pas facile. Mais si un employé est par exemple webmaster d'un site en dehors de son travail, je vais pouvoir m'attaquer à lui. On imagine qu'il va utiliser sa station pro pour administrer son site, ouvrant une brèche pour que l'attaque puisse descendre.

Une fois le point d'ancrage effectué par le logiciel malveillant, c'est le début de l'attaque. On découvre le réseau et on installe les relais pour faire ressortir l'ensemble de la recherche et atteindre la cible. Le malware lui n'intervient que sur le point d'ancrage. Le but est de rester dans la non-détection le plus longtemps possible pour exfiltrer un maximum d'informations sans que la personne ne s'en aperçoive.

Qui sont les hackers à l'origine de ces opérations de cyberattaque ?

Il existe beaucoup de forums de hackers où l'on peut échanger dans l'illégalité. Dessus, on y trouve des hackers qui autrefois étaient juste des petits malins qui exploitaient des failles pour se faire connaître. Aujourd'hui, lorsqu'ils ont trouvé un exploit sous Internet Explorer par exemple, ils proposent leurs services au plus offrant. Là, des structures plus grosses, des cybermafias, payent ces hackers.

Les estimations varient quant à l'importance du business que représente les malwares. À titre d'exemple, « Paunch », le concepteur du programme malveillant « Blackhole » - composé de vulnérabilités destinées à cibler les systèmes d'information non mis à jour - est censé offrir une prime de 100 000 dollars pour chaque nouvelle attaque 0-day créée dans Java, Flash, IE, etc.

Combien est-ce que ça peut rapporter à un hacker pour chaque vulnérabilité ?

Pour chaque vulnérabilité, ces cybercriminels sont prêts à débourser une certaine somme d'argent. Une faille Adobe Reader peut se négocier entre 5 000 et 30 000 dollars. Comptez entre 20 000 et 50 000 dollars pour Mac OS X. Découvrir une faille Android peut rapporter de 30 000 à 60 000 dollars. Une faille dans un navigateur Web peut atteindre 200 000 dollars et comptez jusqu'à 250 000 dollars pour iOS.

Ces mafias achètent des compétences sur le marché gris. Si bien que cela brasse des sommes d'argent colossales. Martin Roesch, le fondateur de Sourcefire, estime même que le marché mondial de la cybercriminalité génère plus de chiffre d'affaires que celui de la sécurité, tous éditeurs confondus. Il y a quelques années ce marché n'existait pas mais à l'heure actuelle tout le monde sait ce que c'est.

Si les hackers veulent gagner de l'argent, que veulent les cybercriminels derrière ?

Je pense qu'une grande partie de la cybercriminalité est de l'espionnage industriel. Et il s'est professionnalisé et organisé pour en tirer des profits. Imaginons que je veuille monter une entreprise et que je dispose de 1 million d'euros. Soit j'utilise ces fonds pour monter mon projet, mais si je suis sur un gros marché, ce sera difficile, d'autant plus si je dois dépenser en recherche et développement.

Ou bien alors j'alloue cette somme à de l'espionnage industriel. Pendant neuf mois, des hackers vont récupérer 25 ans de recherche et développement d'acteurs installés dans le secteur visé. Moi j'aurai perdu mon million, mais j'aurai acquis un actif bien plus précieux, que je pourrai faire valoir auprès d'investisseurs. Seulement ces cas, on ne peut jamais vraiment les prouver, mais on les suppose.

Mais n'est-ce pas un peu gros de venir sur un marché après que ses concurrents ont été attaqués ?

Il n'y a jamais rien de choquant lorsqu'un nouvel acteur s'installe dans une industrie, gagne des parts de marché, et finit même par dominer ses concurrents. Ça a déjà été le cas dans l'univers des télécoms.

Dans la téléphonie mobile, où les lignes ont énormément bougé ces dernières années, il n'y a pas de soupçons de malveillance car les choses évoluent naturellement. Si on mixe ça avec du cyberespionnage, ça ne choque pas. Pour moi deux éléments tendent à prouver que la cybercriminalité est liée à l'espionnage industriel : l'organisation en campagnes, et l'argent que cela brasse sur Internet. À ce stade, ça n'est plus du hasard mais du crime organisé.

Ce mois-ci, Sourcefire a annoncé son rachat par Cisco. Est-ce une bonne chose ?

Pour l'instant je ne connais pas les détails de l'opération mais je pense que vu la capacité de Cisco, cela sera bénéfique. En fait on découvre aujourd'hui que certains de nos revendeurs sont déjà partenaires de Cisco. Je pense qu'il y aura une complémentarité évidente entre la partie datacenter de Sourcefire et la partie cœur de réseau de Cisco.