Stratégie

La terrible année 2015 dans le rétroviseur du Clusif

---

Pour 2015, le Jihad 2.0 côtoie les Bug Bounty, les voitures connectées et la cyber-diplomatie parmi les menaces vedettes de l'année, un mélange de technologies, de détournements du web et de nouvelles menaces.

PublicitéActualité dramatique oblige, le Clusif parle d'abord de Jihad 2, une expression nouvelle. Daesh s'est tout simplement professionnalisé sur Internet et les réseaux sociaux, avec de bons spécialistes capables d'émettre jusqu'à 100 000 tweets par jour dans la mouvance. Ils ont adopté des techniques de dissimulation et de chiffrement et se tournent vers de nouvelles plateformes comme Telegram, dominante en Russie. Autre remarque, les terroristes connaissent visiblement parfaitement les arcanes du darknet. Bref, le web est pour eux un terrain d'attaques.

Les équipes de cyber-attaquants djihadistes sont également mieux identifiées. Elles sont principalement basées en Tunisie, mais également au Maroc, en Iran, en Israël, en Algérie et en Malaisie. La police a donné les noms des équipes concernées : Falloga team (748 cyber-attaques), Arab warrior Team (122), Rebel team hacker (55), hichahm el maghrhibi (47), Aminghost (les Anonymous de Daesh avec 22 atatques). Certaines de ces attaques aboutissent au défacement partiel ou total de sites, publics ou privés. Chacun a en tête celui de TV5 Monde, la grande affaire de l'année. Mais si elle a été médiatisée par son Pdg, d'autres sont peut-être restées dans l'ombre, si l'on en croit les sous-entendus.

Doutes sur les Anonymous

Toujours sur la Toile, François Paget, secrétaire général adjoint du Clusif, observe aussi l'évolution des Anonymous. En rappelant que l'un d'eux est passé chez Daesh, c'est peut être un cas isolé, il a d'ailleurs été éliminé depuis, mais des groupes dissidents des Anonymous se sont aussi créés : Ghost Sec et Ghost security group. C'est Ghost Sec par exemple qui a mis en ligne des données dérobées. Il remarque également que Facebook est un peu lent à fermer les comptes proches des terroristes et que la rumeur sur des attaques venues des Playstations sont fantaisistes. Les réseaux sociaux amènent des élans de solidarité remarquables et cachent aussi des comportements, y compris de la part de grands acteurs, encore très légers, pas à hauteur des attentats survenus en 2015.

Très attendus, les représentants du ministère de l'intérieur ont exceptionnellement apporté quelques informations lors de ce séminaire de rentrée du Clusif. D'abord, pour confirmer qu'au long de l'année, la lutte antiterroriste 2.0 a pris de l'ampleur en France, de la part des forces de l'ordre concernées ou de citoyens, par la plateforme Pharos par exemple. Submergés au départ, les services de police ont pu absorber les deux vagues de signalement, celle de janvier et celle de novembre. On est passé de  4 000 messages par semaine à 10 000 par jour !

Détournements de fonds par le Web

Comme toujours, le Clusif met à jour plusieurs attaques significatives de l'année précédente, par leur ampleur, et si l'on ose dire, par l'ingéniosité de ses auteurs. Egalement par les sommes détournées. Au mois de novembre dernier, une équipe de fraudeurs a piraté des terminaux de paiement aux Etats-Unis, enregistré les transactions et réussi à créditer les sommes correspondantes et à les encaisser en Russie et en Tchéquie. D'autres ont inventé le délit d'initié 2.0 en piratant des communiqués de presse en préparation qui annonçaient des rachats d'entreprise, en particulier chez Boeing, Netflix et Carterpillar. Au total, 100 millions de dollars ont pu être détournés en profitant de  ces informations.

PublicitéD'autres  ont réussi  à pirater X-Code, l'environnement de développement applicatif d'Apple, dans une partie qui n'est pas hébergée par Apple. Des malwares ont été implantés qui ont infecté des téléchargements. Plutôt rare. Insolite, un fusil calibre 300 dont la lunette est reliée au WiFi s'est vu piratée, une démonstration en fait, où le fusil a pu être pris en main à distance et totalement passer sous contrôle externe ! On est à la limite de l'anecdote, mais cet exemple montre aussi que tout ce qui est connectable est susceptible d'être piraté.

Zéro Day à vendre

Hervé Schauer, du cabinet HSC Consultants / Deloitte, a mis le focus sur un domaine moins directement perceptible celui des plateformes, clandestines ou publiques. Les premières permettent la revente de failles zéro days (les failles de sécurité non corrigées). Les plateformes du marché comme The Real Deal permettent de revendre ces zéro days. Qui achète ces failles ? Réponse de Hervé Schauer : des gouvernements pour faire de l'espionnage, écouter, contrôler des projets.

Deuxième type de plateformes, celles montées par de grandes sociétés, de l'IT ou non, afin de demander à des hackers de tester leurs systèmes et  déceler d'éventuelles failles. Les hackers sont alors rémunérés. Pour une faille sur un site de e-commerce, c'est 2 000 dollars, mais Mozilla propose de 3 à 10 000 dollars, Microsoft 15 0000 pour une faille sur Edge. United Airlines propose  jusqu'à 1 millier de points miles à qui découvrira des failles. Zerodium pour une faille iOS 9.1 met sur la table   un million de dollars. Et, nouveauté 2015, Tesla se prend au jeu pour découvrir des failles sur ses voitures connectées. Ces procédés sont appelés des Bug Bounty.

Autre phénomène marquant, plus impalpable, celui de la cyber-diplomatie, dont Loïc Guézo, directeur Europe du sud chez Trend Micro, a tracé un tableau étonnant où les rapports entre les Etats-Unis et la Chine peuvent être replacés sous l'angle de la cyber-diplomatie. Des hackers chinois sont-ils arrêtés ? C'est à la veille de la visite du n°1 chinois aux Etats-Unis, donc un geste de bonne volonté. L'organisme de gestion des personnels de l'administration américaine est-il piraté ? C'est une attaque chinoise affirment les Etats-Unis. Une autre forme de guerre et surtout de pression où l'on peut menacer l'autre en lui montrer l'ampleur de son savoir-faire. La France est entrée dans le club des pays utilisant la cyber-diplomatie, avec la nomination d'un ambassadeur spécialisé, David Martinon (connu naguère pour avoir été porte-parole de l'Elysée). 

Piratage de voitures connectées

On ne peut même pas tabler sur la voiture connectée pour aborder un sujet plus léger. Gerome Brillois du cabinet Solucom  (en se basant sur une étude de deux chercheurs Miller et Valasek) a montré le premier piratage d'une voiture connectée avec désactivation des freins, ouverture des portes à distance, arrêt de la voiture en pleine route. Une voiture comprend deux systèmes, l'un de confort assez simple, l'autre pour la  conduite, les deux étant piratables. Aujourd'hui, la liste des véhicules connectés les plus vulnérables est publique, l'impact considérable dans les médias et en termes financiers. GM  a constat qu'1,4 million de ses véhicules étaient piratés. Ses clients n'avaient pas à se déplacer au garage, pour cette réparation a tenu à rassurer le constructeur. Mais GM leur a envoyé, par la poste, une clé USB pour se connecter et effacer le piratage. Peut-être pas le moyen le plus sécurisant à employer !

2015 a vu se multiplier les attaques sur les objets connectés, les poupées Barbie, les Vtech, des télé connectés, des pompes à insuline contrôlée à distance. A tel point que des réflexions sont menées sur un nouveau critère boursier basé sur la cybersécurité offerte par les sociétés cotées.

Article rédigé par

Didier Barathon, Journaliste

Partager cet article