Face à l’emballement médiatique d’annonces régulières de nouvelles cyberattaques, Loïc Guézo, Cybersecurity Strategist de l’éditeur japonais Trend Micro, revient sur les plus récentes, Wannacry et NotPetya.
Peut-on encore parler de cybersécurité sereinement quand on voit ces attaques de grande ampleur s’enchaîner ?
Loïc Guézo. C’est plus que jamais nécessaire ! Notre conviction est de favoriser les approches factuelles, à partir du travail que nos cellules de R&D font en termes de veille et de rétro-ingénierie des malwares par exemple. L’idée est de ne pas en rajouter en permanence en termes d’analyse dans l’urgence. Après le 27 juin [et la découverte de NotPetya, NDLR], en quelques jours, on a pu lire tout et son contraire. Les chercheurs ont fait marche arrière après leur première interprétation, qui avait déjà été largement reprise par les médias…
Quelle confusion cela apporte-t-il ?
Loïc Guézo. Nous avons dénombré presqu’une trentaine de dénomination et d’angles différents pour qualifier l’attaque, malgré son caractère très récent et le nombre d’inconnues qui subsistaient fin juin. Cette cyberattaque a été qualifiée de « massive et mondiale » dans la presse. Les deux adjectifs peuvent paraître un peu galvaudés quand on y regarde de plus près. Certes, il y a eu des cas un peu partout, mais dans les faits, 70 % des machines atteintes étaient en Ukraine. La chaîne de contamination semble y commencer à travers le logiciel Me.doc notamment. C’est donc un pays en particulier qui a été touché, avec des effets de bord venant des filiales de groupes internationaux, à l’image de Saint-Gobain en France par exemple.
Finalement, cette attaque était-elle « massive » ?
Loïc Guézo. Ce sont environ 20 000 machines qui ont été touchées. Par le passé, nous avons eu des attaques qui en ont concernés jusqu’à 10 millions. Ce n’est pas vraiment le même ordre de grandeur. Le chiffre reste important, mais quitte à insister sur un qualificatif, il aurait sans doute fallu souligner le caractère soudain, diffus et mal compris de cette attaque. Avec du recul, malgré cet écran de fumée médiatique, il faut s’intéresser de près à ces attaques, car elles peuvent donner des clés aux entreprises qui veulent anticiper l’avenir. L’aspect positif de la répétition de tels évènements, c’est qu’ils font progresser les grands groupes, sur la gestion de crise, la maîtrise de leurs réseaux, les audits de précaution ou, encore, la mise à jour de leurs systèmes.
Ces attaques leur permettent-elles de mieux évaluer le niveau de risques ?
Loïc Guézo. Nous n’avons encore jamais assisté à un vrai cataclysme cyber, mais on a eu des preuves supplémentaires récemment sur les liens écosystémiques très forts qui existaient entre les acteurs, poussant des attaques à avoir des conséquences beaucoup plus larges que ce que l’on imaginait au départ. Par exemple, le Port de Los Angeles a été paralysé quand Maersk, le plus grand transporteur de porte-conteneurs au monde, a été touché par NotPetya, à travers sa filiale ukrainienne. Cette attaque est inquiétante, non pas pour ses effets directs que parce qu’elle incarne la preuve que les cartes ont été rebattue entre l’ancienne séparation entre attaquants « étatiques » et « criminels ». En effet, derrière NotPetya, on a avant tout la perte d’un arsenal d’armes « cyber » de l’Etat américain, à travers les actions du groupe Shadowbroker en 2016-2017, qui les a mises sur le marché. Avec l’affaire Snowden, on a découvert les attaques de « classe NSA », mais rares étaient les entreprises à se sentir concernées. NotPetya a changé le message en montrant une conséquence directe de cette nouvelle prolifération d’armes cyber.
Ce nouveau paradigme est d’ailleurs renforcé par la nature de l’attaque elle-même…
Loïc Guézo. On avait déjà de gros doutes sur la nature de « véritable » ransomware de Wannacry en mai dernier : 200 000 machines avaient était touchées, et seuls 150 000 dollars de rançon récolté. C’est anecdotique ! Pour comparaison : une entreprise coréenne a accepté de payer une rançon d’un million de dollars pour récupérer l’usage de ses données. Autrement dit, le modèle de Wannacry était vraiment inefficace d’un point de vue « business criminel »…
Mais était-ce bien son objectif ?
Loïc Guézo. Pour NotPetya, dès le départ, un hébergeur allemand a bloqué l’adresse e-mail utilisé par les pirates, rompant tout moyen de communiquer avec eux. Impossible donc de payer la rançon ! Or, bien souvent, le « service client » est souvent un point fort des modèles ransomware aboutis. Par la suite, l’analyse technique sur la nature du malware a vite attiré l’attention : des cas comme FedEx tendent à montrer qu’on est sur une attaque qui vise la destruction. Cela évoque d’autres affaires célèbres comme Aramco, Shamoon et Shamoon 2.0 contre l’Arabie Saoudite. Nous assistons à des bras de fer entre acteurs étatiques ou para-étatiques, de plus en plus clairs.
Que nous réservent les prochains mois ?
Loïc Guézo. Il va sans doute continuer à y avoir une escalade avec des nouvelles adaptations dans les formes, et de nouveaux « écrans de fumée », généré soit par la presse, soit par les discours marketing des acteurs du marché. Si l’on considère que les auteurs de ces attaques médiatisés sont étatiques, même indirectement, il s’agit sans doute de démonstration de force. On va donc assister à une accélération d’intensité, puis entrer – on peut l’espérer – dans des logiques de dissuasion, avec une multiplication de réunions multilatérales pour trouver un point d’équilibre dans les années à venir. Il y aura je pense autour de 2020 des doctrines beaucoup plus claires et aux contours mieux définis sur les sujets de la souveraineté cyber et de la dimension offensive notamment.
Quels problèmes cela posent-ils aux entreprises ?
Loïc Guézo. Cela leur pose quoiqu’il en soit un problème épineux. Comment défendre des assets privés contre des initiatives étatiques ? Imaginez le parallèle dans le monde physique… Ce serait comme demander à une entreprise de sécuriser l’accès à ses locaux, non pas à des vagabonds, mais à des troupes d’intervention type GIGN. L’asymétrie est importante.
Concrètement, que peuvent-elles faire ?
Loïc Guézo. Il y avait déjà urgence à faire évoluer les pratiques de sécurité dans les organisations, avant même ces deux attaques ! Sur la protection des données notamment, que ce soit sur des aspects techniques, légaux (RGPD) ou stratégiques. C’est donc un encouragement fort à mettre en place des doctrines claires en interne. Du fait des conséquences potentielles de ces incidents, on se rapproche toujours plus des enjeux de sûreté, de protection de l’humain, de l’environnement… C’est un bon cadre de gouvernance auquel intégrer la cyber-sécurité.
De manière plus tactique, chaque attaque est l’occasion de refaire passer un certain nombre de messages et de recommander des actions très concrètes. Avec Wannacry puis NotPetya, nous avons pu clairement mettre en avant des bonnes pratiques. Pour n’en citer que deux : éviter d’avoir des réseaux « à plat » et non cloisonnés qui vont faire subir à tout un groupe ce qui devrait être limité à une filiale ; et minimiser l’usage des outils et services d’administrations ouverts qui – bien que pratiques – peuvent faire perdre le contrôle rapidement. Au-delà des couches de défenses technologiques, ce sont bien ces sujets autour de la gouvernance des réseaux et, plus généralement, de la place de la sécurité dans l’entreprise qu’il faut adresser au plus vite.
Retrouvez cet article dans l’extrait sécurité à télécharger ici.