Stratégie

Cybersécurité : le Clusif vous aura prévenu

Cybersécurité : le Clusif vous aura prévenu
Jean-Marc Grémy, Président du Clusif a présenté à Paris le 18 janvier le Panorama avant de le faire en région (photo DR).

En tirant les leçons des nombreuses cyberattaques survenues en 2017, le Clusif veut consolider et élargir la vision des RSSI.

PublicitéEn matière de cybersécurité, les rapports et les prévisions se bousculent pour attirer notre attention. Le panorama du Clusif, paru trois jours après le baromètre du Cesin, apporte une autre approche, il se distingue en dressant une rétrospective des principaux évènements de l'année précédente et en livrant une lecture large du sujet, englobant par exemple la politique, ou les sujets sociétaux, note son Président Jean-Marc Grémy. Le Clusif regroupe actuellement 660 membres venus de 360 entreprises différentes.

Dans une synthèse, en forme d'avertissement, Hervé Schauer, consultant et formateur rappelle les attaques marquantes de 2017 et leur impact sur les entreprises. Il en profite pour bien situer chacune des attaques. Petya, qui a débuté fin 2016, est un rançongiciel qui a porté sur un chiffrement de bas niveau. Ses promoteurs le proposent à la demande, en s'octroyant un pourcentage au passage. Les créateurs de PetrWapp, un groupe de hackers nomme Shadow Broker utilisent Petya, pour rançonner leur victimes, après avoir chiffré leurs données.

300 à 400 000 victimes pour WannaCry

WannaCry est sorti le 12 mai au soir, un vendredi, il utilise la faille Ethernal Blue pour attaquer Server Message Block (SMB), le protocole de transport utilisé par les machines sous Windows. Cette faille a été exploitée par Shadow Broker. Hervé Schauer estime entre 300 et 400 000 le chiffre des victimes dans 174 pays, dont une dizaine d'entreprise en France : de grosses PME ou des filiales de grands groupes. Une propagation à hauteur de l'implantation de Microsoft. Elle s'est faite souvent très simplement par une connection WiFi dans un hôtel, elle infecte l'ordinateur du client, à son retour dans l'entreprise ce possesseur de PC infecte toute l'entreprise.

« NotPetya, ressemble à un rançongiciel, en fait c'est un méchant logiciel effaceur et destructeur, apparu au départ dans l'un des deux logiciels de comptabilité homologué par le ministère des finances ukrainiens. Plus virulent que Wanacry, il n'a pas eu un bilan si catastrophique ». Mais plusieurs DSI ont voulu montrer leurs compétences en réagissant très vite et en bloquant des machines de production, donc des développements en cours. Ce qui fournit un autre thème de réflexion.

Beaucoup de bourdes chez les fournisseurs IT

A côté des grandes attaques de 2017, il faut également retenir des inquiétudes persistantes. Par exemple sur la supply chain, souligne Gérôme Billois, ‎Partner Cybersecurity and Digital Trust de ‎Wavestone.  « Depuis quelques années, des attaques viennent des fournisseurs IT qui livrent des logiciels avec des vulnérabilités. Beaucoup de bourdes sont édifiantes ». Certaines concernent Apple avec un portail administrateur, où on pouvait se passer de mot de passe, ou des accès clients à un site AppleStore piratés. HP a laissé un keyloogger (enregistreur de frappes) infecter des centaines de ses PC portables. Certaines vulnérabilités sont plus graves, elles affectent le réseau ou le matériel. L'attaque Krack a rendu vulnérable la norme WPA2, celle censée rendre sécurisé le réseau WiFi. Le dernier duo en date, Meltdown et Spectre a concerné plusieurs milliards de processeurs, « une faille sans précédent qui affecte les données en mémoire », souligne Gérôme Billois.

PublicitéLe piégeage massif par les fournisseurs s'est retrouvé dans plusieurs failles majeures en 2017. NotPetya s'est répandu à partir de l'éditeur ukrainien de logiciels de comptabilité, MeDoc. CCleaner a contaminé par un code malveillant, non seulement les particuliers, mais les entreprises. Cet outil n'est pas validé par les DSI mais vient avec le ByOD. Moins connue en France, mais redoutable, l'attaque Cloud Hopper, perpétré par le groupe de hackers APT 10 a infecté les hébergeurs d'une quinzaine de pays, donc des milliers de PC et de serveurs.

Le phénomène de la cyber-propagande

Loïc Guézo, directeur Europe du sud de Trend Micro, aborde le sujet des élections et de la cyber-propagande. Celle-ci peut-elle influencer des résultats, modifier un vote, permettre une attaque d'un Etat sur un autre ? « Le phénomène de la cyber-propagande est désormais identifié comme tel » note Loïc Guézo. L'influence de la Russie sur le vote lors des présidentielles américaines de novembre 2016 a hanté les esprits. L'élection présidentielle en France a été marquée par une attaque informatique contre En Marche, avec du DDOS et la tentative d'effacement du site. Du tout-venant. Une autre attaque, les Macron Leaks a fait sortir à quelques heures de la fin officielle de la campagne des documents, invérifiables et ne pouvant être contredits faute de temps.

L'incertitude règne sur le vote en faveur du Brexit intervenu en 2016 et les débats ou commentaires vus sur les réseaux sociaux. Certaines études ont montré que ces réseaux ont influencé le vote, d'autres disent le contraire. La question se pose de l'influence d'un Etat sur un autre. Les Etats-Unis accusent officiellement la Corée du nord, d'être l'instigateur de Wanacry, la Russie est soupçonnée d'être à l'origine de NotPetya et de tentatives d'influences sur plusieurs votes en occident. Plus délicate encore, se pose la question d'attaques d'une entreprise sur une autre. Après tout, les groupes de hackers ne se vendent-ils pas au plus offrant ?

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis