Numérique - «La question n’est pas de savoir si vous allez être piratés, mais quand!»

Depuis de nombreux mois, les cyberattaques se multiplient et n’en finissent plus de faire les gros titres. Dernièrement, ce sont les scandales du logiciel espion Pégasus, qui a permis à certains états d’en espionner de nombreux autres, et de SolarWinds, l’une des affaires les plus sophistiquées et les plus amples de la décennie, qui ont secoué la planète.

La semaine passée a même été marquée par le vol le plus important jamais observé dans le secteur, avec les 600 millions de dollars dérobés à la plateforme Poly Network. Quant aux entreprises, elles sont de plus en plus nombreuses à être les victimes de logiciels d’extorsion, à l’instar de Comparis le mois dernier. Doivent-elles payer les rançons?

On a demandé à Paul Such, fondateur et CEO de la société de cybersécurité Hacknowledge SA, à Préverenges, de nous aider à faire le point sur ces questions.

Commençons par parler de ce casse historique de la semaine passée, 600 millions de dollars en cryptomonnaies dérobés à la plateforme Poly Network. Qu’est-ce qui s’est passé?

On n’a malheureusement pas de détail sur déroulement. Poly Network est une plateforme qui se charge de connecter plusieurs blockchains entre elles afin de permettre l’échange de différents types de cryptomonnaies, ce qu’ils appellent une plateforme de finance décentralisée. Quand vous transférez par exemple des Bitcoins en Ethereum, la plateforme opère une étape de transaction automatique et c’est là que le pirate a pu détourner les montants pour les envoyer sur ses propres adresses.

Deux jours après son casse, il décidait de rendre une partie de son butin (338 millions), déclarant qu’il n’était en fait pas intéressé par l’argent… Mais aux dernières nouvelles, il n’a toujours pas rendu le reste. Comment expliquez-vous son comportement?

Déjà, il faut savoir qu’une des cryptomonnaies dérobées était parvenue à rendre inutilisable ses propres jetons volés. Je crois qu’ils parlaient de 30 millions de dollars. Ensuite, les adresses des différents portefeuilles du pirate ont vite été identifiées et divulguées. À mon avis, c’est ça qui l’a poussé à se faire passer pour un hacker éthique et prétendre qu’il cherchait simplement une faille dans le système. Parce qu’on peut sérieusement mettre en doute ses dires.

S’il avait vraiment agi dans une démarche d’évangélisation, il s’y serait pris autrement. Il aurait fait ce qu’on appelle du «Responsible disclosure» (divulgation responsable des vulnérabilités, en français)… Il aurait pris contact avec la plateforme pour lui signaler la faille, aurait attendu que le problème soit corrigé, la société lui aurait éventuellement donné une prime, et seulement ensuite il aurait divulgué l’information publiquement. Là, c’est un peu comme si vous cambrioliez une banque, que vous partiez avec votre butin et qu’une fois en fuite, avec la police à vos trousses, vous leur disiez: «Ah ben non, l’argent ne m’intéresse pas. D’ailleurs, tenez, j’en rends déjà une partie!»

Ce qui est étonnant, c’est que Poly Network lui a offert 500’000 dollars de récompense s’il rend la totalité de l’argent et lui propose même un poste de conseiller en chef de la sécurité!

Oui, c’est fou. Mais ça va maintenant être très compliqué pour lui d’utiliser les jetons volés. L’avantage de la blockchain, c’est que vous gardez l’historique de toutes les transactions. Alors ce que font les pirates, en général, pour couvrir leurs traces, c’est de répartir l’argent en centaines de transactions pour brouiller les pistes. Une fois que l’argent a changé plein de fois de main, ça devient compliqué d’identifier sa provenance. Sauf que là, les adresses des portefeuilles où il a envoyé son butin sont connues… Après, je ne me fais pas de soucis pour lui: il s’est probablement très bien protégé au travers de réseaux type Tor. On ne sait d’ailleurs pas s’il s’agit d’un seul pirate ou d’une organisation.

2021 a été marquée par deux attaques à très grande échelle, celles de SolarWinds et de Pégasus… Qu’est-ce que ces deux cas disent de la cybercriminalité actuelle?

En l’occurrence, il s’agit là d’attaques que l’on peut clairement supposer provenir d’acteurs étatiques. On constate que la cybersécurité devient une arme, qu’elle est utilisée par des pays et des puissances comme moyen offensif et qu’il y a souvent de vrais enjeux financiers et politiques cachés derrière. Mais elle est aussi largement utilisée par des organisations criminelles, type mafia. De plus en plus d’entre elles diversifient leurs activités de cette manière, la cybercriminalité leur permettant de gagner énormément d’argent, au même titre que la prostitution, la drogue ou le trafic d’arme.

On a beaucoup parlé de ces hackeurs opérants de Russie. Joe Biden avait tapé du poing sur la table à ce sujet face à Poutine, à Genève notamment… Pourquoi la Russie?

Il faut rester prudent sur ce sujet car l’attribution des attaques reste extrêmement compliquée à identifier. D’abord parce que c’est techniquement difficile de dire qui se cache vraiment derrière mais surtout parce que les auteurs vont tout faire pour vous amener à penser que c’est quelqu’un d’autre. Il existe plein de cas où des hackers ont volontairement laissé des lignes de code dans d’autres langages ou des signes pouvant faire penser qu’il s’agissait d’une autre puissance.

Alors effectivement, certaines sont connues pour avoir investi massivement dans l’arsenal cyber: la Chine, la Corée, la Russie, Israël… Mais aussi les États-Unis. Souvenez-vous du cas Sun Microsystems, à Genève, il y a 20 ans. Il avait été prouvé que cette société américaine avait cassé les prix sur certains équipements pour en faciliter l’achat à des clients ciblés, notamment l’Université de Genève, et que ce matériel contenait volontairement des portes dérobées pour permettre aux Américains d’y avoir accès. Il y a aussi les révélations de l’an passé sur Crypto, cette entreprise de Zoug qui vendait à différents états des moyens de chiffrement en réalité «troués» qui permettaient à la CIA d’y avoir accès.

En juillet dernier, le comparateur en ligne suisse Comparis avait vu ses données bloquées par une cyberattaque et payé une rançon de 400’000 dollars. Elle avait pourtant d’abord nié avoir payé. Pourquoi selon vous?

Évidemment, dans ces cas-là, la recommandation est de ne pas payer la rançon. Sinon, vous enrichissez le crime organisé… Mais je reconnais que c’est plus facile à dire qu’à faire, surtout quand c’est une question de vie ou de mort pour la société. Après, dans ce cas précis, je ne sais pas pourquoi elle a agi de cette manière. Mais il faut savoir que ce type d’attaque est généralement bien construit: les hackers arrivent avec une rançon salée mais adaptée aux ressources de la victime, sachant ce que la société peut payer. Et puis souvent, le prix augmente après 24 h, et à nouveau 24 heures plus tard… Plus vous attendez, plus c’est cher.

Selon Digital Switzerland, un quart des entreprises suisses auraient été la cible de pirates. Et un tiers de celles-ci seraient passées à la caisse… C’est énorme!

Je ne connais pas ces statistiques. Ça me semble effectivement beaucoup. Je pense qu’ils doivent inclure les particuliers. Ce qui est sûr, c’est que les attaques sont de plus en plus nombreuses et que l’on met toujours autant de temps à se rendre compte qu’on a été infecté. En Suisse, la moyenne est de l’ordre de 100 à 150 jours avant de constater un piratage.

Ce n’est donc pas la demande de rançon qui marque cette prise de conscience?

Non, une attaque ne se limite pas à ça. Parfois, les pirates vont utiliser votre entreprise comme moyen de rebond, pour atteindre leur véritable cible: on va pirater la machine d’un client pour avoir accès à une autre depuis celle-ci. Il y a aussi beaucoup de cas où les pirates veulent simplement prendre le contrôle d’un maximum d’ordinateurs, soit pour lancer des attaques par déni de service (pour paralyser un système en demandant à des milliers d’entre eux de se connecter en même temps), soit pour utiliser le temps de calcul des machines afin de faire du minage pour fabriquer de la cryptomonnaie, ce qui demande de fortes puissances de calcul et énormément d’énergie. En gros, je prends le contrôle de votre ordinateur, qui va continuer de fonctionner à peu près normalement, pour utiliser ses performances et ne pas payer l’électricité. C’est l’un des cas de piratage les plus courants en Suisse.

Pourquoi les sociétés n’ont-elles pas encore réussi à prendre les mesures nécessaires pour se protéger?

Les choses évoluent peu à peu. Il y a en tout cas maintenant une vraie prise de conscience. Les gens commencent à comprendre que même si vous êtes un fleuriste ou un garagiste, vous êtes une cible potentielle. Il faut juste maintenant y mettre les moyens pour se protéger correctement. Alors oui, c’est cher. Mais dans le monde d’aujourd’hui, ça devient obligatoire. C’est comme si vous envisagiez de circuler en voiture sans assurance de responsabilité civile.

Les pirates ont-ils un modus operandi?

On distingue principalement deux cas de figure: les attaques ciblées – comme ça semble être le cas avec Poly Network – où le pirate se concentre pour trouver une faille sur une société bien précise; et les attaques plus opportunistes – comme c’est visiblement le cas avec Comparis – où le hacker trouve une faille exploitable sur un système précis et va rechercher toutes les sociétés utilisant celui-ci, en se focalisant sur celles qui ont suffisamment d’argent pour payer une rançon. C’est le plus dangereux pour les petites entreprises. Si vous prenez un carrossier à Morges, je doute qu’un pirate à l’autre bout de la planète choisisse d’en faire sa cible spécifique. Par contre, si ce hacker vise toutes les sociétés utilisant un système particulier et que ce carrossier fait partie du lot, oui, il est une victime potentielle.

À quoi devons-nous nous attendre ces prochaines années? L’escalade de cybercriminalité actuelle va-t-elle continuer sur la même lancée?

Malheureusement, on ne va pas vers une amélioration. D’autant plus qu’on doit gérer de plus en plus d’objets connectés. La sécurité s’améliore mais pour l’instant, nous ne sommes pas parvenus à inverser la courbe. Aujourd’hui, la question n’est pas de savoir si une société va se faire pirater ou non, mais plutôt de savoir quand elle va l’être.

Ce qu’il faut, c’est anticiper le problème: être capable d’identifier l’intrusion le plus vite possible, minimiser l’impact et corriger le problème au plus vite. Si vous êtes victime d’un pirate mais que grâce à votre back-up vous ne perdez que les données d’une seule journée, parce que vous êtes parvenu à identifier rapidement le problème, contrairement aux 150 jours en moyenne que l’on évoquait plus haut, ce n’est pas très grave.

Mais ce n’est pas qu’une question de technologie. Une grosse société aura beau déployer tout le matériel dernier cri possible, si l’un de ses employés utilise 1234 comme mot de passe, c’est un échec. On doit travailler sur toutes les couches possibles. C’est comme ça qu’on arrivera à inverser la pente, à défaut d’enrayer vraiment le mécanisme.