Plus encore que les années précédentes, la sensibilisation des entreprises aux risques cyber est passée par une longue litanie d’annonces de nouvelles attaques et compromissions. Retour sur une année 2017 médiatique pour la sécurité numérique.
| Cet article fait partie du dossier « Cybersécurité : 2018, année de changements ? »
JANVIER – EyePyramid espionne l’Italie
Sans doute la moins connue des attaques listées, Eye Pyramid a été médiatisée par l’arrestation de ses créateurs par le FBI en janvier 2017, et par son originalité : ce malware amateur a été développé en famille par un frère et une sœur, et utilisé depuis 2010 pour espionner 16 000 victimes, parmi lesquels de hauts responsables gouvernementaux et économiques en Italie. L’objectif ? Utiliser les informations récoltées pour améliorer les investissements familiaux. La simplicité de l’attaque a été pour beaucoup dans sa longévité.
MARS-AVRIL – Wikileaks et Vault7, les Shadow Brokers et Eternal Blue… : fuites à la CIA et à la NSA
Le 7 mars, Wikileaks publie des milliers de documents sur les activités de la CIA, qui dévoilent les piratages dont l’agence est capable et listant de très nombreux outils et technologies compromises : smartphones Android et iPhone, téléviseurs connectés, ordinateurs sous Windows… Pour sa part, le groupe de hackers nommé Shadow Brokers (« courtiers de l’ombre »), très actif en 2016, dévoile le 14 avril une série d’outils subtilisés à l’agence de renseignement la plus puissante au monde, la NSA des Etats-Unis. Le groupe rend également public de nombreuses failles, dont EternalBlue sur Windows. Microsoft déclare avoir corrigé la faille avant la publication, mais les machines qui n’auront pas effectué leur mise à jour souffriront dès le mois suivant.
MAI – Wannacry fait la Une
Le nom est resté célèbre et est utilisé dans tous les argumentaires de responsable de sécurité à leur direction générale. Wannacry est la conséquence directe de l’exploitation de la faille EternalBlue, rendue publique quelques semaines plus tôt. Ce sont environ 200 000 ordinateurs, non mis à jour, qui sont bloqués, à la manière des ransomwares, dans plus d’une centaine de pays. Bien que d’autres attaques ait été beaucoup plus importantes par le passé, le témoignage d’hôpitaux britanniques pris en otage par le malware a contribué à attirer l’attention sur le potentiel coût humain de telles attaques.
Au même moment, en France, la campagne présidentielle s’achève avec un coup de théâtre : la publication de milliers d’emails issus des équipes de campagne du candidat Emmanuel Macron. Encore une fois, la simplicité du « hack » est contrebalancée par sa potentielle influence, à la veille d’une élection. La réponse maîtrisée de l’équipe de campagne de En Marche est, elle, saluée.
JUIN – Confusions autour de NotPetya
Bis repetita. Moins d’un mois après Wannacry, un nouveau malware exploite la faille EternalBlue et se propage depuis l’Ukraine par la mise à jour d’un logiciel de comptabilité (légitime mais infecté). La communication des spécialistes est brouillonne et les noms différents attribués à l’attaque se succèdent. NotPetya s’avère finalement destiné à détruire les données, le paiement de la rançon demandée à la manière d’un ransomware étant tout simplement impossible. L’entreprise danoise de transport Maersk et l’industriel français Saint-Gobain témoigneront largement par la suite des coûts qu’ont représentés pour eux cette attaque.
SEPTEMBRE – Equifax
Le 7 septembre, l’une des plus importantes agences d’évaluation de crédits américaines, Equifax, révèle avoir été victime d’une attaque qui a compromis les données personnelles de ses clients. Au-delà de l’agression elle-même, c’est la manière catastrophique avec laquelle l’entreprise réagit et communique qui attire l’attention. A la confusion succède la colère des clients de l’agence, de voir que le sujet n’est pas pris au sérieux, alors même qu’Equifax a attendu près de 2 mois après avoir pris connaissance de la compromission. Les procureurs de plusieurs Etats américains se saisissent de l’affaire et des « class actions » sont lancées par les clients victimes.
OCTOBRE – Yahoo
Habitué ces dernières années des classements sur les « top des cyberattaques », Yahoo remet le couvert. Le géant du web, dont une partie des activités ont entretemps été rachetée par l’opérateur télécom américain Verizon, reconnaît à l’automne que ce sont finalement la totalité des comptes e-mails de ses utilisateurs – près de 3 milliards – qui ont été compromis suite à une attaque datant de 2013. En 2016, Yahoo avait déjà revu à la hausse ses premières estimations, déjà importantes, évoquant 500 millions puis 1,5 milliards de comptes concernés. Encore une fois, le décalage entre la date réelle de la compromission et la publication des informations pointe du doigt un double problème : la difficulté des entreprises à s’apercevoir qu’elles ont été espionnée ou volée, et leur réticence en en faire part, malgré les conséquences que cela peut avoir pour leurs clients.
NOVEMBRE – Uber déçoit
C’est une nouvelle fois le défaut de réaction qui est épinglé alors que la célèbre firme de VTC Uber admet s’être fait dérobée les données de 57 millions de ses clients et de chauffeurs. Non seulement la direction de l’entreprise a pris connaissance du problème un an plus tôt, mais en plus, elle a accepté de payer 100 000 dollars à ses agresseurs pour qu’ils gardent le silence sur le sujet. Le nouveau PDG d’Uber, Dara Khosrowshahi nommé durant l’été, a pris le parti de dévoiler le pot au rose aux autorités et aux clients… deux mois plus tard, et après avoir prévenu la firme japonaise Softbank, qui s’apprêtait à investir massivement dans la société. En réaction, plusieurs législateurs américains ont souhaité que soit introduite une loi punissant de telles dissimulations.
JANVIER 2018 – Meltdown et Spectre et les autres… fragilisent le cœur de nos machines
Après une année 2017 riche en émotion pour les responsables de sécurité de tous les pays, la trêve des confiseurs aura été de courte durée. Dès le 3 janvier, les équipes de Google Zero, appuyées par d’autres chercheurs, ont publié deux rapports épinglant des problèmes majeurs affectant les processeurs au cœur de nos ordinateurs et smartphones. Meltdown et Spectre, expliquées de manière simple par Google, sont des failles très techniques, au cœur de nos technologies – qui ne contribuent pas forcément à la compréhension et à la confiance du grand public et des collaborateurs. Heureusement, pour le moment, il n’existe pas de preuve de leur exploitation à des fins malveillantes… le terme cyberattaque est donc abusif. Mais demain ?