Cybersécurité : Mode d'emploi d'une guerre devenue mondiale et sans pitié

Révolution à bien des égards, internet offre aussi de nouvelles techniques au service de l'espionnage industrie, grâce auxquelles les cybercriminels peuvent agir en toute discrétion.

Tout peut commencer par une phase de reconnaissance initiale, avec l'envoi d'un e-mail piégé à des cibles ou en exploitant des vulnérabilités. Une fois ce premier pied dans la porte, les attaquants ne vont pas aller immédiatement au point névralgique, «mais plutôt se déplacer de PC en PC sans exfiltrer tout de suite les données. Ils peuvent même rester dormants pendant plusieurs années, puisque l'objectif est de demeurer le plus longtemps possible dans le système sans se faire remarquer », décrit Gérôme Billois, associé et expert cybersécurité du cabinet Wavestone.

L'infiltration peut se dérouler de manière à la fois cyber et physique, comme en témoigne Livia Tibirna, analyste au sein de la start-up de cybersécurité Sekoia.io, qui a pu constater sur le dark web la corruption d'employés dans des entreprises visées. Quelle que soit la voie d'entrée, ces intrusions sont généralement moins visibles que la cybercriminalité classique : «L'entreprise les détecte parfois, mais sans savoir ce qui s'est passé exactement ni qui a récupéré ses données. D'autres fois, ce sont les services de renseignement qui alertent. De manière générale, les sociétés communiquent peu sur ces attaques », juge Erwan Keraudy, le directeur général de CybelAngel, une start-up spécialisée dans la fuite de données. En cause, l'impact jugé négatif en termes d'image de telles révélations.

Les grands groupes sont davantage conscience du cyber-risque. «Alertés parles premiers cas officiels, il y a dix ans, notamment chez Areva, qui avait constaté qu'un intrus avait infiltré son système pendant deux ans, ils sont aujourd'hui mieux protégés», souligne Loïc Guézo, le vice-président du Clusif, une association qui réunit les experts français en sécurité des systèmes d'information. C'est pourquoi les attaquants visent davantage les partenaires et les fournisseurs, moins structurés dans le domaine de la cyberdéfense. Airbus, par exemple, a accusé la Chine, en 2019, de mener une campagne de cyberattaques contre ses sous-traitants dans le but d'exfiltrer des données stratégiques. La dernière stratégie en date, avertit Livia Tibirna, est le ciblage de «sous-traitants des sous-traitants».

En France, l'Anssi pointe trembler l'espionnage de la Chine

Fait nouveau, un pays, en l'occurrence la Chine, est désormais mis en cause par l'Agence nationale de la sécurité des systèmes d'information (Anssi). L'organisation de référence a lancé une première alerte, en juillet 2021, sur une attaque importante, fondée sur la compromission de routeurs et ciblant «de nombreuses entités françaises».

APT31 (APT signifiant Menace persistante avancée), un groupe de hackeurs œuvrant depuis ce pays, généralement pour le compte de l'État à des fins d'espionnage, en serait à l'origine. Puis, dans son rapport de 2022, l'Anssi a attribué à la Chine «la majorité des cas d'espionnage informatique traités par l'agence », signe d'un «effort continu pour s'introduire dans les réseaux d'entreprises stratégiques françaises». Des accusations à replacer dans un contexte géopolitique plus large. «Il faut s'intéresser à ce que les publications racontent, mais aussi au moment où elles sont publiées, car cela n'est jamais innocent », rappelle Maxime Cartan, spécialiste de la veille sur le risque cyber.

La loi autorise les Etats-Unis au captage de données sans limites

De son côté, en 2023, la Chine a publié un rapport complet sur la menace américaine. «Cela correspond à un moment où XiJinping cherche à réchauffer les relations avec l'Occident. Mon hypothèse est qu'il cherche à négocier en position de force, en montrant que la Chine sait que les États-Unis ciblent aussi leurs alliés », détaille le fondateur de la start-up Citalid.

Car nos amis américains n'ont jamais été en reste question espionnage industriel, et internet offre à la première puissance économique mondiale un nouveau terrain de jeu. «Les fournisseurs de logiciels sont tous américains et les États-Unis possèdent un cadre juridique, le Foreign intelligence surveillance act », rappelle Lucien Lagarde, le responsable renseignement et investigations d'Intrinsec. Cette loi de 1978, amendée en 2008, permet la collecte extraterritoriale, sans mandat, de données auprès des prestataires de services de communication électronique, notamment dans le cloud. Si les données recueillies sont officiellement celles «relatives à la défense nationale» des États-Unis, le texte, estime Lucien Lagarde, est «suffisamment flou pour ouvrir la voie à de l'espionnage économique».

Un cadre juridique auquel les autres pays, dont la Chine, n'ont pas accès, ce qui explique le recours à des techniques plus furtives. Dans le cas chinois, elles sont, selon plusieurs experts, au service d'une véritable «industrialisation» de l'espionnage industriel, visant en particulier les ruptures technologiques. L'objectif ? Permettre au pays de devenir rapidement la première puissance économique mondiale, en contournant notamment les sanctions américaines

Une maquette industrielle volée puis présentée lors d'un salon

Loïc Guézo rapporte le cas d'un fabricant de balayeuses de rue qui s'apprêtait à lancer un prototype innovant, et qui, une semaine avant un grand salon mondial, a été victime d'une attaque qui a détruit l'ensemble de ses données : «La PME a vu, sur le salon, la concurrence chinoise présenter une maquette très inspirée par sa R&D.» Un cas dans «un quotidien qui n'est fait que de ça », affirme le président du Clusif. Et si l'attribution du piratage est toujours compliquée, un «faisceau d'indices » est parfois très parlant, souligne Lucien Lagarde. «Constater qu'un attaquant ne travaille jamais les jours fériés chinois et a recours à des malwares utilisés exclusivement par des cybercriminels de Chine permet de tirer certaines conclusions», indique ce dernier.

Pour récupérer des cas plus détaillés, c'est du côté des nombreuses accusations lancées par les États-Unis qu'il faut se tourner. L'une des dernières date de septembre, lancée à l'initiative des agences américaines (Cisa, FBI et NSA) et japonaises (Nisc et NPA). Leur rapport affirme qu'un groupe APT nommé BlackTech et soutenu par la Chine aurait modifié le microcode des routeurs Cisco pour en contourner la sécurité.

Les puissances moyennes développent aussi leur arsenal

Une intrusion via des logiciels malveillants personnalisés, modifiés pour trouver des portes dérobées dans divers équipements du réseau et transférer des données vers des serveurs contrôlés par les pirates eux-mêmes. Une accusation doublement intéressante. «Siles États-Unis sont en mesure d'apporter des informations aussi précises, c'est peut-être qu'ils ne sont pas en reste question espionnage », souligne Arnaud Pilon, chargé du pôle de réponse aux incidents de Synacktiv.

Du côté de la Russie, très active dans le domaine de la cybercriminalité, les attaques ciblent davantage des institutions ou des ONG. Également citée régulièrement, la Corée du Nord espionnerait notamment les technologies nucléaires et aéronautiques, mais aussi les banques et les plateformes d'échange de cryptomonnaies pour tenter de récupérer de l'argent et d'assurer la survie du régime. Et alors que des logiciels ultra-sophistiqués comme Pegasus, de la société israélienne NSO, décuplent les possibilités d'infiltration, la menace pourrait encore s'étendre : «Ce logiciel est déjà utilisé par des puissances moyennes comme le Maroc à des f ins d'espionnage politique. Pourquoi ne pourrait-il pas servir, demain, à pallier des carences en R &D ?», interroge Emmanuel Le Bohec, le dirigeant de la division cybersécurité industrielle de Nomios. Des perspectives qui invitent à cesser de pécher par naïveté.

Vous lisez un article de L'Usine Nouvelle 3725 - Décembre 2023

Lire le sommaire