L'Usine Nouvelle - Avez-vous eu connaissance d’entreprises en France touchées par le logiciel d’espionnage Pegasus élaboré par la société israélienne NSO?
Loic Guézo - Au niveau de notre association, nous n’avons pas connaissance de victimes parmi nos membres ou d’autres entreprises. Sur l'échantillon analysé pour la France dans le cadre des révélations apportées par la plate-forme Forbidden Stories, il n'y aurait que 65 chefs d'entreprises sur les 1000 numéros français identifiés. C'est cohérent avec l'idée que cet outil est aux mains de service de renseignements, qui travaillent plutôt sur des volets diplomatiques, militaires ou étatiques, politiques, plutôt que sur la sphère économique privée pure. Sauf à très haut niveau, ponctuellement par exemple sur des négociations de gros contrats, qui de fait retombent dans la sphère politique. Les entreprises ne doivent pas sombrer dans une paranoïa inutile car à mon sens, elles ne sont pas la cible naturelle de tels outils de surveillance.
Pourquoi de tels outils ne seraient pas mis à profit pour effectuer du cyberespionnage économique et industriel ?
Ca coûte tellement cher et ça demande tellement d’efforts qu’il paraît peu imaginable qu’une organisation cybercriminelle classique fasse un tel investissement pour développer un outil comparable ou l’acheter. Typiquement, ce qui fait la force de NSO, c’est l’accès aux vulnérabilités zero-day. Ces vulnérabilités, qui ne sont pas encore connues par la communauté informatique, sont exploitées par les pirates pour entrer dans le système d’information de leurs victimes.
Il y a deux façon de les obtenir, et à chaque fois le ticket d’entrée est considérable. Soit en disposant d’une batterie de chercheurs dans ce domaine - et c’est le cas de la société israélienne NSO -, soit en les achetant auprès de hackers préalablement missionnés. Il y a des sociétés comme Zerodium (ex Vupen, société française qui s’est installée aux Etats-Unis, ndlr) qui a mis en place une plate-forme d’achat et de revente de zero-days. Certaines se monnaient jusqu’à 2,5 millions de dollars. Pour qu’un broker soit prêt à mettre un tel prix, cela signifie qu’il a un marché de revente identifié et connu.
Les entreprises peuvent-elles toutefois se protéger d'attaques similaires ?
A mon sens, l’attaque de type Pegasus est quasiment indécelable, notamment car le mode opératoire change en permanence. C'est une partie de la valeur de l'offre de NSO. Si un haut dirigeant d’entreprise est ciblé, il n’y a pas de véritable parade. Toutefois, on commence à mieux comprendre la façon de fonctionner de Pegasus. Certaines sociétés revendiquent maintenant de mettre sur le marché des outils de protection capables de détecter ce type d’attaque, ou au moins l’infection provoquée, comme la société française Tehtris.
C’est uniquement lorsque l’attaque produit ses effets que l’on peut espérer détecter des signaux faibles de compromission. L’équipement de l’utilisateur commence alors à se comporter de manière anormale : exportation de données en gros volume, communication avec des serveurs qui sortent du périmètre d’usage habituel… Mais quand on s’en rend compte, il peut être déjà trop tard.
Quels enseignements les entreprises peuvent-elles tirer de l‘affaire Pegasus en matière de cybersécurité ?
Cette attaque envoie un signal clair aux entreprises. Ces techniques très haut de gamme, réservées aujourd’hui aux services d’Etat, risquent se démocratiser. A moyen terme, ce type de technologies va être répliqué plus ou moins bien par des cybercriminels. Clairement, les smartphones et les équipements de mobilité sont devenus des vecteurs d’attaque. Ils vont être encore plus privilégiés dans les années à venir par les attaquants. Depuis leur diffusion dans les entreprises, les smartphones sont moins bien protégés que les PC. Or, les téléphones portables n’ont plus rien à leur envier en termes de capacité de traitement et tournent avec des systèmes d’exploitation similaires. Avec une particularité aggravante en terme de cybersécurité : à côté de leurs applications professionnelles, les utilisateurs téléchargent des applications et manipulent des données personnelles. Il faut les intégrer pleinement dans la politique de sécurité informatique et dans la gouvernance de cyberdéfense. Cette affaire Pegasus doit une piqure de sensibilisation sur le risque numérique qui pèse sur les grosses organisations, jusqu’au niveau du top management.
