Cyberespionnage : le fléau expliqué par Paul Rascagnères, chercheur chez Kaspersky

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 02 novembre 2021 à 19h06

Le cyberespionnage a occupé une place majeure dans le secteur de la sécurité informatique en 2021. Outre la récurrence des attaques, c’est surtout l’ampleur et les conséquences de ces dernières qui inquiètent. Clubic a développé le sujet avec Kaspersky.

La vulnérabilité ProxyLogon Exchange, l’affaire SolarWinds, le logiciel Pegasus… les affaires de cyberespionnage à la résonance planétaire sont loin de se compter sur les doigts d’une main. Paul Rascagnères, chercheur en cybersécurité et membre du GReAT de Kaspersky, que Clubic a croisé aux Assises de la sécurité, revient sur le fléau du cyberespionnage.

L’interview « cyberespionnage » de Paul Rascagnères, chercheur chez Kaspersky

Clubic - On parle beaucoup de ransomwares. Mais il faut aussi évoquer la déstabilisation, l'espionnage, le cyberespionnage… Des phénomènes qui touchent aussi bien les entreprises que les particuliers.

Paul Rascagnères - Oui, je suis content que vous abordiez le sujet. On a le sentiment que tout le monde parle de ransomware, et on oublie toute cette partie concernant l'espionnage. Pourquoi ? Car il n'y a pas d'impact direct. Le cyberespionnage n'entraîne pas la coupure de votre système d'information et ne vous empêche pas de travailler. Il existe pourtant depuis des années. On voit même de plus en plus de campagnes, et il n'y a aucune raison que cela disparaisse du jour au lendemain.

"Il existe des cas affolants, où parfois deux années peuvent s'écouler avant que l'intrusion soit détectée."

Qui peut se cacher derrière ce cyberespionnage, et dans quelle mesure peut-on le qualifier d'attaque longue ?

Sur les durées, il existe des cas affolants, où parfois deux années peuvent s'écouler avant qu'on détecte l'intrusion, chose qui n'arrive pas dans le ransomware.

À la question du « qui », nous traquons des centaines de personnes ou groupes, en essayant de regrouper ceux qui vont opérer par exemple deux campagnes identiques. Il n'y a pas de profil particulier. Vous pouvez avoir des groupes qui viennent de différentes parties du monde et sur lesquels nous consacrons beaucoup de ressources.

Est-on est dans le vrai si on dit que le cyberespionnage est parallèle à la professionnalisation des attaquants ?

Oui, il y a clairement une professionnalisation. Même d'un point de vue technique, si on remonte au moment où j'ai démarré, il y a une dizaine d'années, il n'y avait que quelques acteurs très avancés. Aujourd'hui, il y en a une quantité. Ils ont su s'outiller, s'améliorer et suivre des process. Certains ont mêmes des « zero day » (une vulnérabilité qui n'est pas encore connue ou corrigée) qu'ils sont capables de revendre plusieurs millions d'euros. On peut imaginer que ces gens ont des ressources, des capacités et une motivation.

"Des attaquants ont trouvé des vulnérabilités dans les VPN pour rentrer par la grande porte, profitant de leur développement durant la pandémiE."

Quels sont les procédés utilisés aujourd'hui par les hackers pour pénétrer dans un système et rester en position dormante pendant des mois, voire des années ?

Je séparerai en deux catégories. On peut cibler des personnes de façon individuelle, où on vise le téléphone pour un cas particulier. Si c'est plutôt orienté sur une organisation, sur une société ou une autre entité, on vise moins les smartphones que les outils informatiques. Cela peut se faire via des campagnes de spearphishing, du hameçonnage ciblé en se faisant passer pour telle personne par e-mail, en rentrant à l'aide d'une pièce-jointe malveillante.

Il y a aussi quelque chose qui a pris une proposition assez élevée : c'est de passer directement sur les services front web, c'est-à-dire dire des services directement connectés à Internet. Ici, je pense notamment aux VPN, massivement déployés depuis la pandémie. Certains attaquants ont trouvé des vulnérabilités sur ces VPN pour rentrer par la grande porte. Vous avez aussi le cas emblématique de cette année ProxyLogon sur les serveurs Exchange.

Puisque nous parlons des VPN, peut-on faire la distinction aujourd'hui les VPN gratuits et les VPN payants ?

La vulnérabilité, il faut avoir à l'esprit qu'elle est côté serveur, pas du côté du client que vous installez sur votre PC. Pour moi, il existe des solutions gratuites qui fonctionnent très bien, d'autres payantes qui fonctionnent très bien aussi. Le VPN est une porte qui doit être contrôlée, vérifiée et mise à jour. Certains éditeurs ont des mises à jour presque mensuelles. Il faut mettre à jour, mais aussi penser à ces serveurs directement connectés sur Internet, qui sont potentiellement une porte d'entrée s'il y a des problèmes.

"ProxyLogo (…) c'était surréaliste. Il y a eu des serveurs compromis par jusqu'à 5 ou 6 acteurs différents."

Il y a-t-il une actualité marquante autour du cyberespionnage qui a pu récemment vous impressionner ?

Il y en a beaucoup, l'actualité en la matière étant assez chargée. La plus marquante, c'est ProxyLogon avec sa vulnérabilité Exchange où il s'est passé des choses surréalistes vis-à-vis des analystes comme moi. Il y a eu des serveurs compromis par jusqu'à 5 ou 6 acteurs différents. Il y avait tellement d'attaquants sur une même machine qu'il n'était plus possible de savoir lequel faisait quoi. Nous n'arrivions plus à relayer quel outil était utilisé par tel attaquant, parce qu'il y en avait partout. Nous n'avons pas l'habitude de cela.

Le second élément que je retiens pour cette année est tout ce qui est supply chain (chaîne d'approvisionnement), avec Orion qui a beaucoup fait parler dans la presse. Des centaines de fournisseurs ont été touchés, et si vous prenez n'importe quel PC, cela a pu toucher le software, le hardware, l'OS, les logiciels installés, le Cloud etc. Nous sommes sur une problématique complexe, très difficile à gérer.

Pour l'attaquant, il y a deux avantages colossaux. D'abord, si vous avez un système d'information bien protégé et que vous investissez, le hacker a du mal à entrer. Le maillon faible, ce n'est plus la personne qu'il cible directement, mais l'un de ses fournisseurs. Et le seconde avantage est qu'avec une campagne, un investissement pour cibler un fournisseur, l'attaquant va potentiellement compromettre des dizaines de milliers de machines.

Le retour sur investissement pour l'attaquant est colossal. Plutôt que de s'embêter à cibler 20 000 personnes, il en cible une, le fournisseur, qui va déployer à sa place le malware chez tous ses clients.

Stand Kaspersky - Assises 2021 (© Alexandre Boero pour Clubic)

Concernant Pegasus, dont on aura beaucoup entendu parler, l'ironie du sort est que ce logiciel est légal. Pourtant, il est à l'origine de nombreux dégâts à cause de l'usage qui en a été fait…

Comme beaucoup de choses, il y a l'outil et l'utilisation de l'outil. Nous ne faisons pas de différenciation. On le traite comme un malware, qu'il soit autorisé ou pas. On fait la détection, on analyse, on procède à une investigation sur les terminaux qui auraient été ciblés. Dans notre manière de travailler, il n'y a pas de distinction.

Kaspersky Plus

Efficacité toujours redoutable
Très bonne protection bancaire et ransomwares
Impact imperceptible sur les performances

9 / 10

Voir le site

Lire le test

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Gweegoo

Perso j’aimerais bien comprendre (sans sombrer dans la politique internationale est-ouest svp), comment un pays fait-il pour en accuser un autre d’espionnage informatique.
L’informatique est quand même un domaine très factuel, donc lorsqu’un pays accuse un autre de “soupçons” d’espionnage, de quoi parle-t-on exactement? Je n’ai pas encore vu (ou suis passé à côté) un cas où un pays donne les raisons concrètes de l’accusation.
Pour Pegasus, personne ne s’en rendait compte avant que cela ne surgisse mais d’une manière autre qu’informatique.

komawok

On reste sur des « soupçons » car il est assez courant de faire passer ses attaques par différents serveurs, relais, passerelles, à travers le globe. De là, si enquête il y a, il faut remonter toute la chaine, et quand bien même on arrive à la « source », celle-ci peut se trouver être des serveurs zombies, une intrusion externe inconnue et autre. Mais on recoupe avec les moyens ($), la méthodologie etc pour arriver à savoir qui fait quoi sur le temps.

Gweegoo

Merci @komawok
Mais justement ça me semble faible comme raisonnement si c’est tout ce qu’il faut pour accuser un autre état: on n’est pas sûr d’être au bout de la chaîne quand on a remonté les serveurs et les moyens mis en œuvre peuvent effectivement indiquer la taille/puissance de l’organisation mais sans correlation donc avec la localisation des serveurs.
En résumé, on peut dire que le moyens mis en œuvre sont ceux accessibles au niveau d’un pays et qu’au dernier Ping sur l’adresse IP on arrivait à tel pays spécifiquement. Et ça suffit pour accuser officiellement tel ou tel pays et envenimer les relations, prendre des mesures et restrictions sans que les organismes de régulation OMC et autres ne s’inquiètent de l’usage de tels méthodes?
Ca ne me surprendrait pas. Ce qui me surprend est que les pays accusés ne contre argumentent/attaquent pas et simplement disent “c’est pas nous”.
Sur un exemple similaire, la décision américaine de faire la guerre en Irak sur la base de présomption d’enrichissement d’uranium avait été fortement critiquée publiquement et à l’ONU.

TAURUS31

Comme pour d’autres affaires dans le monde concret, je penses que donner des preuves pourrait donner une idée, des techniques, moyen utilisés…
Le fait de dire on soupçonne plutôt que de prouver permet de dire que l’on sait tout en restant dans le flou du comment, en envoyant l’info à l’état concerné, qu’on a les moyens de savoir. Ou alors je me fais un film😂

Winston

Tu ne pourras jamais comprendre sans l’avoir étudié et toutes les réponses qui seront faites sans l’aborder seront au mieux très largement incomplètes et au pire t’induiront en erreur (ce qui est le but).

Gweegoo

Au contraire, pour étudier un sujet, il faut aussi savoir l’isoler. Le sujet de ma question était la preuve informatique.
Parler du fait qu’elle soit largement utilisée dans les relations internationales et faire des références à la Chine, aux USA, la Russie ou Israël puis dérouter vers une discussion partisane … ne m’aurait pas permis de savoir si à la base la preuve informatique est bidon ou non.

Winston

C’est justement le but, te faire croire qu’il y a une preuve informatique , 99% du lectorat n’ira pas chercher la véracité de l’affirmation par paresse et/ou par incompétence.

Partir d’un postulat faux pour tirer des conclusions mène à l’ignorance.

Gweegoo

Content que ce ne soit pas mon cas alors.

Winston

Comme tu as pu le constater , il n’y a même pas besoin de preuve ou d’affirmation allant dans ce sens, il suffit d’une rumeur pour accuser.
Un titre racoleur (et mensonger) suffit pour convaincre 99% du lectorat.
C’est une méthode très efficace pour formater l’opinion.

Gweegoo

Je suis d’accord avec toi. Mais en même temps, je n’ai jamais connu une opinion qui ne soit pas divisée. À la rigueur, je me demande si donner des preuves de ce qui est avancé changerait qqch. On dit par exemple qu’un vaccin permettrait d’éradiquer une maladie, avec des preuves des résultats obtenus, tout en donnant le choix… et certains sont pour, certains sont contre.
Outre l’opinion, il y a quand même le droit. Je trouvais surprenant que les pays accusés ne porte pas la question auprès des institutions internationales, concernant le fait d’être régulièrement soupçonnés sans preuve réelle. Et de demander l’arrêt d’une politique toxique et l’arrêt de sanctions commerciales lorsque la preuve n’est pas faite.
Macron se demandait à quoi sert de payer 1 milliard d’euros pour faire partie de l’OTAN si les décisions sont prises en dehors. C’est aussi vrai pour l’OMC, l’ONU … Je ne comprends pas pourquoi les pays accusés en font tjs partie si c’est pour ne pas être traité sur un pied d’égalité. Une sorte de présomption d’innocence.