Cyrille Badeau, directeur Europe du Sud de l'éditeur de sécurité
Sourcefire, fait le point sur la cybercriminalité. Il note que les
cyberattaques se professionnalisent et ont une visée industrielle.
Cyrille Badeau, Sourcefire Europe du Sud
Bonjour Cyrille Badeau. Pouvez-vous nous dire comment a évolué la cybercriminalité dernièrement ?
On observe depuis quelques trimestres des attaques menées dans le cadre
de campagnes ciblées sur un secteur d'activité. Par exemple, pendant
plusieurs mois, on peut relever des attaques contre l'industrie
pharmaceutique ou aéronautique. Ces attaques ne sont pas menées par
trois individus depuis un garage mais sont le fruit d'une organisation,
d'un financement conséquent et bien sûr d'un professionnalisme. Avant on
parlait du méchant hacker mais là on fait face à des bras armés
d'entités qui passent des commandes, qui sont financées. On observait
beaucoup moins cela avant.
Comment peut se dérouler une attaque par exemple ?
D'abord les hackers cherchent des informations sur la cible. Pour cela ils font du «
social engineering ».
En gros vous avez deux manières d'obtenir des informations. Par
exemple, soit vous prenez mon ordinateur portable mais il est chiffré et
vous passerez du temps à percer les défenses pour retirer ce que vous
voulez. Soit vous m'invitez à boire des bières et là vous aurez plus de
chances d'obtenir quelque chose.
Ensuite les attaques peuvent être détournées. Ce n'est plus l'entreprise
qui est attaquée frontalement, mais l'employé. Si je veux entrer dans
votre IT, ça n'est pas facile. Mais si un employé est par exemple
webmaster d'un site en dehors de son travail, je vais pouvoir m'attaquer
à lui. On imagine qu'il va utiliser sa station pro pour administrer son
site, ouvrant une brèche pour que l'attaque puisse descendre.
Une fois le point d'ancrage effectué par le logiciel malveillant, c'est
le début de l'attaque. On découvre le réseau et on installe les relais
pour faire ressortir l'ensemble de la recherche et atteindre la cible.
Le
malware lui n'intervient que sur le point d'ancrage. Le but
est de rester dans la non-détection le plus longtemps possible pour
exfiltrer un maximum d'informations sans que la personne ne s'en
aperçoive.
Qui sont les hackers à l'origine de ces opérations de cyberattaque ?
Il existe beaucoup de forums de hackers où l'on peut échanger dans
l'illégalité. Dessus, on y trouve des hackers qui autrefois étaient
juste des petits malins qui exploitaient des failles pour se faire
connaître. Aujourd'hui, lorsqu'ils ont trouvé un exploit sous Internet
Explorer par exemple, ils proposent leurs services au plus offrant. Là,
des structures plus grosses, des cybermafias, payent ces hackers.
Les estimations varient quant à l'importance du business que représente les
malwares.
À titre d'exemple, « Paunch », le concepteur du programme malveillant
« Blackhole » - composé de vulnérabilités destinées à cibler les
systèmes d'information non mis à jour - est censé offrir une prime de
100 000 dollars pour chaque nouvelle attaque 0-day créée dans Java,
Flash, IE, etc.
Combien est-ce que ça peut rapporter à un hacker pour chaque vulnérabilité ?
Pour chaque vulnérabilité, ces cybercriminels sont prêts à débourser une
certaine somme d'argent. Une faille Adobe Reader peut se négocier entre
5 000 et 30 000 dollars. Comptez entre 20 000 et 50 000 dollars pour
Mac OS X. Découvrir une faille Android peut rapporter de 30 000 à 60 000
dollars. Une faille dans un navigateur Web peut atteindre 200 000
dollars et comptez jusqu'à 250 000 dollars pour iOS.
Ces mafias achètent des compétences sur le marché gris. Si bien que cela
brasse des sommes d'argent colossales. Martin Roesch, le fondateur de
Sourcefire, estime même que le marché mondial de la cybercriminalité
génère plus de chiffre d'affaires que celui de la sécurité, tous
éditeurs confondus. Il y a quelques années ce marché n'existait pas mais
à l'heure actuelle tout le monde sait ce que c'est.
Si les hackers veulent gagner de l'argent, que veulent les cybercriminels derrière ?
Je pense qu'une grande partie de la cybercriminalité est de l'espionnage
industriel. Et il s'est professionnalisé et organisé pour en tirer des
profits. Imaginons que je veuille monter une entreprise et que je
dispose de 1 million d'euros. Soit j'utilise ces fonds pour monter mon
projet, mais si je suis sur un gros marché, ce sera difficile, d'autant
plus si je dois dépenser en recherche et développement.
Ou bien alors j'alloue cette somme à de l'espionnage industriel. Pendant
neuf mois, des hackers vont récupérer 25 ans de recherche et
développement d'acteurs installés dans le secteur visé. Moi j'aurai
perdu mon million, mais j'aurai acquis un actif bien plus précieux, que
je pourrai faire valoir auprès d'investisseurs. Seulement ces cas, on ne
peut jamais vraiment les prouver, mais on les suppose.
Mais n'est-ce pas un peu gros de venir sur un marché après que ses concurrents ont été attaqués ?
Il n'y a jamais rien de choquant lorsqu'un nouvel acteur s'installe dans
une industrie, gagne des parts de marché, et finit même par dominer ses
concurrents. Dans l'univers des télécoms, Huawei a réussi à devenir
numéro un des équipementiers en peu de temps alors que c'était un marché
pourtant établi. L'entreprise a été attaquée et des doutes planent
encore sur elle mais sa réussite ne choque pas.
Dans la téléphonie mobile, où les lignes ont énormément bougé ces
dernières années, il n'y a pas de soupçons de malveillance car les
choses évoluent naturellement. Si on mixe ça avec du cyberespionnage, ça
ne choque pas. Pour moi deux éléments tendent à prouver que la
cybercriminalité est liée à l'espionnage industriel : l'organisation en
campagnes, et l'argent que cela brasse sur Internet. À ce stade, ça
n'est plus du hasard mais du crime organisé.
Ce mois-ci, Sourcefire a annoncé son rachat par Cisco. Est-ce une bonne chose ?
Pour l'instant je ne connais pas les détails de l'opération mais je
pense que vu la capacité de Cisco, cela sera bénéfique. En fait on
découvre aujourd'hui que certains de nos revendeurs sont déjà
partenaires de Cisco. Je pense qu'il y aura une complémentarité évidente
entre la partie datacenter de Sourcefire et la partie coeur de réseau
de Cisco.