Les pirates informatiques utilisant des logiciels d'extorsion de données personnelles représentent une menace toujours plus importante pour l'infrastructure dite «critique» des pays occidentaux. Selon la dernière analyse d'experts en sécurité, cette menace concerne également la Suisse.
Leur rapport publié lundi par la Cyber Threat Intelligence Team d'Accenture (ACTI), indique que les «acteurs de ce danger dont les motivations sont pleinement financières» se «divisent progressivement en fractions idéologiques». En raison de l'actuelle guerre en Ukraine, les pirates informatiques pro-russes viseraient davantage l'Occident.
Mais finalement, ne le faisaient-ils pas déjà de toute façon? Cet article aborde les principales questions du point de vue suisse, avec les estimations de Marc Ruef, expert en sécurité informatique.
Les principaux forums clandestins du darknet sur lesquels les pirates criminels s'échangent des informations sont russophones. Parmi les plus compétents et les plus respectés dans le domaine, et des logiciels d'extorsion de données (aussi dit «ransomwares») en particulier, une portion vient également de Russie.
Sur ces forums clandestins, on publie des offres d'emploi, on vend et transmet des informations privilégiées. Autrefois, ces plateformes appliquaient une politique stricte excluant ce type d'activité «dans les pays de la Communauté des États indépendants (CEI)». Les hackers devaient donc épargner la Russie et les Etats alliés et concentrer leurs attaques sur l'Ouest.
Après l'invasion de l'Ukraine par la Russie le 24 février, le milieu criminel en ligne s'est petit à petit divisé en deux camps: ceux en faveur de la Russie et ceux pour l'Ukraine.
Les querelles entre ces deux groupements, notamment au sein du célèbre groupe de ransomware Conti, ont fait la Une des journaux avant de subitement déboucher sur une fuite inattendue: un chercheur en sécurité pro-ukrainien, agacé par une déclaration pro-russe du groupe, a publié plusieurs gigaoctets de données internes confidentielles.
L'équipe Cyber Threat Intelligence d'Accenture a tenu à souligné la gravité du problème: pour la première fois depuis plus de 10 ans que l'on suit les activités sur le darknet, on constate que les «acteurs de la menace motivés par des raisons financières» se sont divisés en fractions idéologiques. En d'autres termes, les pirates informatiques ne cherchent plus seulement à réaliser un maximum de bénéfices. Ils ont d'autres objectifs avec un schéma d'attaque très ciblé. Ce qui signifie que:
Malheureusement, la vieille devise «United we stand, divided we fall» («unis nous nous soutenons, divisés nous tombons») ne s'applique pas aux groupes criminels, constatent les experts en sécurité d'Accenture dans leur rapport. Ces divisions dues à la guerre en Ukraine auraient conduit les acteurs pro-russes à s'unir contre les objectifs occidentaux.
Ce qui impacte également le niveau de menace en Suisse. En effet, le pays figure sur la liste officielle des Etats que la Russie a classés comme «hostiles».
Ces dernières semaines, plusieurs experts en sécurité informatique ont mis en garde contre des cyberattaques menées par des acteurs pro-russes à l'encontre d'entreprises et d'organisations occidentales.
Dans leur rapport, les chercheurs en sécurité d'Accenture décrivent les observations faites sur les forums clandestins. Ils tirent des conclusions quant à la nature de la menace.
Ci-dessous, watson se concentre sur deux points intéressants du point de vue suisse. Le média donne également la parole à Marc Ruef, un expert en sécurité informatique expérimenté. Le Zurichois est également un fin connaisseur du commerce en ligne et de ce que l'on appelle: les exploits. Des instruments d'attaque pour les pirates informatiques.
Selon Accenture, il est probable que les acteurs pro-russes renoncent aux attaques contre les institutions non occidentales afin de concentrer leurs efforts et leurs ressources. Cela serait important dans la mesure où, depuis 2020, le trafic d'accès à des réseaux étrangers est devenu un pilier central de la cybercriminalité clandestine.
Il faut savoir, à ce sujet, qu'il existe des «Initial Access Brokers». En clair, des criminels spécialisés dans la compromission de réseaux d'entreprises. Leur but est de revendre ces réseaux à d'autres groupes criminels, souvent des groupes de ransomware.
De tels courtiers ont permis aux groupes de ransomware d'étendre considérablement leurs activités, écrit Accenture. On constate, depuis, une nette augmentation et même quelques excès de prix dans le commerce des exploits.
D'après les informations délivrées par ce document, les acteurs pro-russes chercheraient davantage d'accès à des «infrastructures critiques» en Europe occidentale/aux Etats-Unis. On offrirait jusqu'à 500 000 dollars pour intégrer au réseau et jusqu'à 10 millions de dollars US pour des exploits «zero-day» sur des forums de pirates. Par «zero-day», comprenez des attaques informatiques qui dont les ingénieurs n'avaient aucune connaissance avant leur diffusion.
C'est ce que pense l'expert en sécurité informatique Marc Ruef, copropriétaire de la société suisse de sécurité informatique Scip AG:
Le collectif d'hacktivistes Anonymous a réalisé un certain nombre d'actions depuis la déclaration de guerre à Poutine: des attaques de surcharge des serveurs ont mis temporairement hors ligne des sites internet russes. Des vols de données et des actions de protestation très médiatisées, comme l'affichage d'informations non censurées pour les téléspectateurs russes, ont également été réalisés.
Mais en comparaison avec les hacktivistes, les groupes de ransomware sont beaucoup plus puissants. Ils utilisent des failles de sécurité logicielles inconnues dans leurs attaques (One-Day ou Zero-Day-Exploits). Ils disposent d'un niveau technique relativement plus élevé et de budgets plus importants (généralement sous forme de bitcoin). Ils semblent par ailleurs mieux organisés. Ceci leur permettant de «perturber» les entreprises de manière plus efficace et sur une plus longue période.
Lors de leurs recherches sur le darknet, les experts en sécurité d'Accenture ont découvert plusieurs acteurs qui auraient expressément formulé le souhait d'attaquer des infrastructures critiques occidentales pour soutenir la Russie.
C'est ce que pense l'expert en sécurité informatique Marc Ruef:
En ce qui concerne la dangerosité des gangs de ransomwares connus comme Conti ou ALPHV, Thomas Uhlemann de la société de sécurité informatique slovaque Eset affirme que «la plupart des gens ne sont pas conscients de la dangerosité de ces logiciels d'extorsion de données»:
L'avenir nous dira si les attaques de ransomware contre des organisations gouvernementales et des entreprises économiques importantes se multiplieront dans les semaines qui viendront.
Reste à noter qu'il y a pratiquement tous les jours de nouvelles informations sur des attaques de pirates informatiques ainsi que sur des vols de données et des tentatives d'extorsion liés.
A ce sujet, Marc Ruef a un avis tranché:
Traduit de l'allemand par Nicolas Varin