Encore aujourd’hui, certaines entreprises victimes de cyberattaques graves ont négligé la sécurité informatique
Le 30 Janvier 2020, Bouygues a annoncé que le réseau interne de sa filiale construction était en proie aux attaques d’un logiciel de type Ransomware. Alors que sur son site, l’entreprise se voulait rassurante, annonçant que les activités de chantiers n’étaient “pas affectées”, elle a tout de même dû mettre 3200 salariés de son siège au chômage technique le temps de résoudre les problèmes.
Un ransomware est un logiciel qui parvient à bloquer le système informatique d’une entreprise, à chiffrer ses données, et qui propose de les rendre moyennant rançon. Bouygues Construction est loin d’être la première entreprise victime d’une pareille attaque. Depuis 2019, des groupes comme Eurofins, Altran, Fleury-Michon ou l’industriel norvégien Norsk Hydro ont accusé des pertes de plusieurs dizaines de millions d’euros sous le coup de ces logiciels. Le groupe lyonnais Lise Charmel a même été placé en redressement judiciaire en novembre 2019, après avoir vu son activité complètement paralysée par une attaque massive de ce type.
Alors même que les entreprises victimes de piratages sont de plus en plus nombreuses, le problème paraît souvent négligé voire ignoré par beaucoup. Exemple qui en dit long sur les pratiques à risques courantes : en 2016, Mark Zuckerberg, pourtant largement concerné par les enjeux de sécurité informatique, s’est fait pirater son mot de passe Facebook, qui était en fait aussi celui de ses autres réseaux sociaux. Même problème à l’échelle des entreprises, dans lesquelles la gestion des mots de passe reste bien souvent la faille de sécurité principale : Blackberry a ainsi eu des problèmes sur ses serveurs car un mot de passe administrateur avait été laissé par défaut.
Parmi les failles de sécurité les plus courantes sur les réseaux des entreprises on trouve : les systèmes pas assez confinés, où il suffit d’avoir accès à une machine pour pouvoir infiltrer toutes les autres facilement, des restrictions d’accès trop laxistes voire inexistantes. Les clés USB branchées sans précautions sur des machines connectées au réseau sont aussi une cause classique de piratage. Même dans des réseaux ou la sécurité est étudiée, il est fréquent que certains éléments soient oubliés : l’imprimante, le routeur internet, ou encore un ancien serveur laissé à l’abandon. Pour ces entreprises, un prétendu stagiaire arrivant avec des notions d’informatiques et des mauvaises intentions est souvent en mesure d’exploiter les failles du réseau, avec les conséquences que l’on a vu.
Les entreprises doivent aujourd’hui composer avec de nouvelles menaces
Les entreprises sont ainsi loin d’être à l’abri malgré une attention croissante portée aux failles potentielles de leurs SI et de leurs plateformes. La cybermenace est passée d’actions isolées plus ou moins nocives à des campagnes d’actions complexes. Entre espionnage, déstabilisation, appât du gain et piratage, les objectifs se multiplient et ouvrent le champ des possibles aux acteurs mal intentionnés. Les ransomwares évoluent en effet vers une forme plus nuisible : le “Name and Shame”. Ces logiciels ne chiffrent plus seulement les données mais les dérobent également et menacent l’entreprise ciblée de les divulguer ou de les communiquer à des concurrents. La multiplication des attaques DDos est de même due au développement récent du phénomène de botnets : la constitution d’un réseau de terminaux zombies enrôlant à l’insu des titulaires leur ordinateur devenant attaquants commandés par un serveur maître.
Enfin, l’importance croissante des monnaies numériques a attiré l’intérêt des black hats, provoquant de graves crises qui ont mis en danger la pérennité de cette révolution financière et économique : la plateforme Mt Gox a été piraté en 2014 (les pirates auraient en effet réussi à détourner 744 408 bitcoins, la quasi-totalité a été retrouvé, mais 70 000 Bitcoins ont été définitivement perdus, soit l’équivalent aujourd’hui de plus de 300 millions de Dollars), puis ce fut au tour de Bitfinex en 2016 (120 000 BTC ont définitivement disparu). 8 millions d’euros en Ripple ont été dérobés après le piratage de la plateforme d’échange de cryptomonnaies Gatehub en juin 2019.
Le danger est ainsi non seulement devenu de nature plurielle, mais son intensité ne fait que croître. Les malwares utilisés de façon indépendantes ou coordonnées peuvent être qualifiés de menaces mondiales de premier ordre pour les entreprises, les institutions et les administrations, que ce soit Not Petya, Maze, WannaCry ou Adylkuzz.
Quelles solutions face à la recrudescence des cyber-menaces ?
Certaines mesures simples permettent de limiter efficacement les risques : éviter largement, voire interdire l’utilisation de clé USB, travailler les mots de passe, faire des tests de sécurité. Cependant, certaines vastes opérations de déstabilisations peuvent mettre à mal des réseaux solides. Dès lors, l’enjeu, s’il est à la protection, est aussi de trouver le coupable, pour obtenir réparation.
L’identification et l’attribution des méfaits est de plus en plus complexe. Ces trois dernières années ont prouvé l’implication de plus en plus directe des Etats dans certaines attaques. L’unité 26165 du GRU, les services secrets russes, opère depuis un bâtiment du XIXème en plein cœur de Moscou et a été mêlée dans nombre des plus grandes affaires de cyber-espionnage. Un brouillard de guerre s’est répandu au sein duquel opèrent des groupes tels que l’unité 26165 tout comme des pirates de plus faible niveau. Tous ces différents acteurs faussent les attributions, brouillent les pistes et emploient des armes diverses. De même la diffusion et la généralisation de malwares très sophistiqués crée une confusion générale entre attaques étatiques et attaques criminelles traditionnelles. Le cyberespace reste donc une zone extrêmement floue, ou les acteurs agissent masqués, et trop souvent impunément.
L’Etat français tente d’apporter une réponse à cette situation, en faisant évoluer la législation et la protection. Le dépôt de plainte permettant l’identification des auteurs de piratage, leur arrestation et le dédommagement des victimes est de plus en plus facilité. La plateforme Pharos et le projet Thésée témoignent de cette volonté de mettre fin à la relative impunité régnant sur le net. De même, des instruments internationaux de coopération et d’entraide internationale viennent progressivement en aide dans le recueil de la preuve et la poursuite des black hats.
La cybermenace est ainsi non seulement réelle, mais également croissante. Les acteurs économiques vont être de plus en plus amenés à y faire face et beaucoup reste à faire que ce soit en termes de prévention, de connaissance des dangers, ou de capacité à réagir et contre-attaquer.
Le 30 Janvier 2020, Bouygues a annoncé que le réseau interne de sa filiale construction était en proie aux attaques d’un logiciel de type Ransomware. Alors que sur son site, l’entreprise se voulait rassurante, annonçant que les activités de chantiers n’étaient “pas affectées”, elle a tout de même dû mettre 3200 salariés de son siège au chômage technique le temps de résoudre les problèmes.
Un ransomware est un logiciel qui parvient à bloquer le système informatique d’une entreprise, à chiffrer ses données, et qui propose de les rendre moyennant rançon. Bouygues Construction est loin d’être la première entreprise victime d’une pareille attaque. Depuis 2019, des groupes comme Eurofins, Altran, Fleury-Michon ou l’industriel norvégien Norsk Hydro ont accusé des pertes de plusieurs dizaines de millions d’euros sous le coup de ces logiciels. Le groupe lyonnais Lise Charmel a même été placé en redressement judiciaire en novembre 2019, après avoir vu son activité complètement paralysée par une attaque massive de ce type.
Alors même que les entreprises victimes de piratages sont de plus en plus nombreuses, le problème paraît souvent négligé voire ignoré par beaucoup. Exemple qui en dit long sur les pratiques à risques courantes : en 2016, Mark Zuckerberg, pourtant largement concerné par les enjeux de sécurité informatique, s’est fait pirater son mot de passe Facebook, qui était en fait aussi celui de ses autres réseaux sociaux. Même problème à l’échelle des entreprises, dans lesquelles la gestion des mots de passe reste bien souvent la faille de sécurité principale : Blackberry a ainsi eu des problèmes sur ses serveurs car un mot de passe administrateur avait été laissé par défaut.
Parmi les failles de sécurité les plus courantes sur les réseaux des entreprises on trouve : les systèmes pas assez confinés, où il suffit d’avoir accès à une machine pour pouvoir infiltrer toutes les autres facilement, des restrictions d’accès trop laxistes voire inexistantes. Les clés USB branchées sans précautions sur des machines connectées au réseau sont aussi une cause classique de piratage. Même dans des réseaux ou la sécurité est étudiée, il est fréquent que certains éléments soient oubliés : l’imprimante, le routeur internet, ou encore un ancien serveur laissé à l’abandon. Pour ces entreprises, un prétendu stagiaire arrivant avec des notions d’informatiques et des mauvaises intentions est souvent en mesure d’exploiter les failles du réseau, avec les conséquences que l’on a vu.
Les entreprises doivent aujourd’hui composer avec de nouvelles menaces
Les entreprises sont ainsi loin d’être à l’abri malgré une attention croissante portée aux failles potentielles de leurs SI et de leurs plateformes. La cybermenace est passée d’actions isolées plus ou moins nocives à des campagnes d’actions complexes. Entre espionnage, déstabilisation, appât du gain et piratage, les objectifs se multiplient et ouvrent le champ des possibles aux acteurs mal intentionnés. Les ransomwares évoluent en effet vers une forme plus nuisible : le “Name and Shame”. Ces logiciels ne chiffrent plus seulement les données mais les dérobent également et menacent l’entreprise ciblée de les divulguer ou de les communiquer à des concurrents. La multiplication des attaques DDos est de même due au développement récent du phénomène de botnets : la constitution d’un réseau de terminaux zombies enrôlant à l’insu des titulaires leur ordinateur devenant attaquants commandés par un serveur maître.
Enfin, l’importance croissante des monnaies numériques a attiré l’intérêt des black hats, provoquant de graves crises qui ont mis en danger la pérennité de cette révolution financière et économique : la plateforme Mt Gox a été piraté en 2014 (les pirates auraient en effet réussi à détourner 744 408 bitcoins, la quasi-totalité a été retrouvé, mais 70 000 Bitcoins ont été définitivement perdus, soit l’équivalent aujourd’hui de plus de 300 millions de Dollars), puis ce fut au tour de Bitfinex en 2016 (120 000 BTC ont définitivement disparu). 8 millions d’euros en Ripple ont été dérobés après le piratage de la plateforme d’échange de cryptomonnaies Gatehub en juin 2019.
Le danger est ainsi non seulement devenu de nature plurielle, mais son intensité ne fait que croître. Les malwares utilisés de façon indépendantes ou coordonnées peuvent être qualifiés de menaces mondiales de premier ordre pour les entreprises, les institutions et les administrations, que ce soit Not Petya, Maze, WannaCry ou Adylkuzz.
Quelles solutions face à la recrudescence des cyber-menaces ?
Certaines mesures simples permettent de limiter efficacement les risques : éviter largement, voire interdire l’utilisation de clé USB, travailler les mots de passe, faire des tests de sécurité. Cependant, certaines vastes opérations de déstabilisations peuvent mettre à mal des réseaux solides. Dès lors, l’enjeu, s’il est à la protection, est aussi de trouver le coupable, pour obtenir réparation.
L’identification et l’attribution des méfaits est de plus en plus complexe. Ces trois dernières années ont prouvé l’implication de plus en plus directe des Etats dans certaines attaques. L’unité 26165 du GRU, les services secrets russes, opère depuis un bâtiment du XIXème en plein cœur de Moscou et a été mêlée dans nombre des plus grandes affaires de cyber-espionnage. Un brouillard de guerre s’est répandu au sein duquel opèrent des groupes tels que l’unité 26165 tout comme des pirates de plus faible niveau. Tous ces différents acteurs faussent les attributions, brouillent les pistes et emploient des armes diverses. De même la diffusion et la généralisation de malwares très sophistiqués crée une confusion générale entre attaques étatiques et attaques criminelles traditionnelles. Le cyberespace reste donc une zone extrêmement floue, ou les acteurs agissent masqués, et trop souvent impunément.
L’Etat français tente d’apporter une réponse à cette situation, en faisant évoluer la législation et la protection. Le dépôt de plainte permettant l’identification des auteurs de piratage, leur arrestation et le dédommagement des victimes est de plus en plus facilité. La plateforme Pharos et le projet Thésée témoignent de cette volonté de mettre fin à la relative impunité régnant sur le net. De même, des instruments internationaux de coopération et d’entraide internationale viennent progressivement en aide dans le recueil de la preuve et la poursuite des black hats.
La cybermenace est ainsi non seulement réelle, mais également croissante. Les acteurs économiques vont être de plus en plus amenés à y faire face et beaucoup reste à faire que ce soit en termes de prévention, de connaissance des dangers, ou de capacité à réagir et contre-attaquer.