Les botnets, très « populaires » au début des années 2000, n'ont pas disparu de la circulation. Pire, ils exploitent à leur avantage la transformation numérique.
On aurait presque pu croire qu'ils avaient disparu... En réalité, les botnets sont plus présents et plus perfides que jamais. Les pirates prennent toujours plaisir à infecter des ordinateurs à distance pour en faire des bots, des zombies utilisés dans les attaques DDoS pour bloquer certains sites. Rencontré à l'occasion du salon Ready For IT à Monaco, Alain Khau, expert en cybersécurité chez CenturyLink (une société aux milliards de dollars de chiffre d'affaires annuel que nous vous présentons en bas de page), nous en dit plus sur l'ampleur actuelle du phénomène et nous fait part de son inquiétude avec l'arrivée de la 5G et l'émergence des objets connectés, tous très exposés. Interview.
Un retour sur investissement recherché par les initiateurs de botnets
Clubic : Les botnets, apparus au début des années 2000, sont un peu des légendes de l'Internet : ils sont non seulement de retour, mais aussi plus que jamais présents...Alain Khau : L'Internet a cela de magnifique : il permet une transformation numérique et crée une grande surface d'attaques, notamment à travers les botnets. D'une manière générale, je constate que les botnets ont évolué en termes d'usages. Les acteurs malveillants les utilisaient, à l'origine, pour infecter des équipements vulnérables, comme des routeurs. Aujourd'hui, ils s'en prennent à l'IoT (Internet des Objets, ndlr.), aux objets connectés, et cela devrait se confirmer encore dans le futur. Les attaquants vont toujours aller au plus simple et trouver les vulnérabilités les plus importantes pour lancer des attaques efficaces et avoir, comme ils disent, un vrai retour sur investissement.
« Une croissance très importante dans les attaques par déni de service à travers ces botnets IoT »
Historiquement, les acteurs malveillants allaient infecter ces équipements pour les rendre victimes dans le cadre de la préparation d'une attaque de grande envergure de style DDoS. Vous connaissez le botnet IoT Mirai, qui a infecté des centaines de milliers de caméras connectées et qui a pu lancer des attaques autour de 1 Tbit/s. Dernièrement, une attaque a établi un nouveau record avec 1,35 Tbit/s. Il y a une croissance très importante dans les attaques par déni de service, à travers ces botnets IoT.
Comment les pirates s'y prennent-ils pour ajouter les PC des utilisateurs au botnet ? Et comment s'en apercevoir lorsqu'on est derrière son ordinateur ?
L'infection se déploie très facilement. Il existe des botnets capables, de manière automatique et intelligente, de trouver les serveurs disponibles pour le lancement des attaques, à travers un algorithme de génération de domaine (DGA) permettant aux serveurs de commande et de contrôle (C2) de trouver un autre C2. Ces serveurs sont les commandants des armées de botnets pour le lancement d'attaques. Les "cerveaux" sont parfois stoppés et rendus indisponibles. Dans ce cas, il n'est pas possible de lancer les attaques. Les hackers, à travers l'intelligence artificielle et le machine learning, vont utiliser toute cette technologie de manière malveillante. C'est un travail du quotidien pour pouvoir détecter et répondre à ces menaces.
« La détection est l'élément phare »
Que ce soit pour les entreprises ou les particuliers, la détection est l'élément phare. Si vous n'avez pas de systèmes, de solutions ou d'outils qui aident à la détection, vous ne saurez même pas qu'aujourd'hui votre société ou votre PC est en train de subir une attaque. Chez CenturyLink, la visibilité est clé, d'autant plus que nous avons une vision unique des cybermenaces, permise par le fait que nous sommes un opérateur internet mondial de premier plan. Nous voyons passer les botnets et les serveurs de commande et de contrôle. À partir de là, nous faisons une corrélation, nous détectons quelles sont les menaces et nous pouvons ensuite les stopper au niveau de notre réseau. Tout cela nous permet d'offrir des services de threat intelligence, et la même visibilité à nos clients. Demain, à travers ce service de cyber threat intelligence (CTI), nous serons capables, si une société souscrit à ce service, de fournir à cette dernière les informations de compromission contre son infrastructure, quasiment en temps réel. Cela est très important pour pouvoir faire de la maintenance prédictive et répondre aux incidents.
Guillaume Poupard (ANSSI) : « Avec la 5G, nous entrons dans le domaine de la sécurité nationale »
Si vous n'avez pas l'information, que vous ne savez pas qui est en train de vous scanner, ni quelles sont les menaces auxquelles vous êtes exposé, il sera très difficile de mettre en place une stratégie de défense. Donc l'information pertinente sur les cybermenaces en temps réel, c'est la clé de la cybersécurité.
Des groupes d'attaquants mieux structurés et financés que par le passé
Qui se cache derrière les botnets ? Retrouve-t-on des mafias, des États, des particuliers ?Il y a plusieurs styles ou catégories d'attaquants, avec des objectifs divers. On peut notamment parler des consortiums, avec les activistes, les espions ; puis les groupes criminels, qui s'intéressent davantage à l'argent. Vous avez aussi les loups solitaires, qui peuvent être un simple étudiant voulant prouver sa capacité à réussir une attaque sur une cible connue, par exemple. Tous sont, selon moi, des groupes de plus en plus performants dans le sens où ils sont de mieux en mieux structurés et financés. Les groupes sont organisés comme des entreprises, dans le sens où ils vont, eux aussi, fournir des services, avec une hotline, un support client, voir même une garantie de succès d'attaque. Tout s'est professionnalisé.
La pénurie de talents en cybersécurité et, justement, d'experts comme vous, ne contribue-t-elle pas à renforcer la cybercriminalité ?
La pénurie d'experts en sécurité est établie, surtout par rapport aux besoins réels. Une fois que les entreprises parviennent à recruter des experts en cybersécurité, il est aussi difficile de les fidéliser, de leur offrir des challenges excitants pour combattre les menaces. Il faut avoir toute une équipe de sécurité, bâtir un vrai programme de gouvernance, de sécurité, de défense, et trouver les meilleurs partenaires pour palier à cette pénurie.
« La 5G et les botnets ? Plus la bande passante utile déployée est importante, plus les risques seront importants »
Vous parliez tout à l'heure de l'IoT. Nous savons justement que le nombre d'objets connectés va exploser ces prochaines années, or ils font un peu office de cibles idéales : un réfrigérateur connecté n'aura pas une défense extraordinaire, pour prendre un exemple grossier. C'est cette faiblesse du niveau de protection de l'IoT actuelle qui fait que les objets connectés sont plus exposés ?
À la base, l'objet connecté n'a pas de sécurité forte et possède un système d'authentification extrêmement faible. Ce sont deux grosses failles de sécurité. L'attaquant va toujours, nous le disions, aller au plus simple. Il n'y a pas que les réfrigérateurs connectés qui sont très exposés (rires). On peut aussi évoquer les sites industriels connectés ou les chaînes de production, pour lesquels les menaces sont beaucoup plus importantes. Une simple faille peut mettre à genoux toute une chaîne de production. Les attaquants n'ont besoin que d'une seule attaque réussie, alors que le défenseur doit toujours être alerte à 100% pour défendre ses infrastructures.
Comment peut-on imaginer la décennie qui arrive pour les botnets, qui vont devoir faire avec l'arrivée de la 5G ?
Nous allons continuer sur ce tableau un peu noir. Le succès d'une attaque, à travers les botnets, est d'utiliser la bande passante pour transporter le plus grand nombre d'attaques. La 5G, c'est justement cette bande passante importante, couplée à la mobilité. Cela représente un risque majeur. Plus la bande passante utile déployée est importante, plus les risques seront importants.
Nous parlons de smart city... Imaginez qu'un pirate puisse s'introduire et trouver une faille au sein d'une ville intelligente via la 5G, les conséquences pourraient être désastreuses.
Pour vous, la 5G est trop peu sécurisée pour être déployée aujourd'hui ?
La 5G, c'est une vraie révolution des usages. L'impact que cela peut avoir au niveau personnel et professionnel doit nous inciter à continuer la sensibilisation envers les entreprises, qui prennent de plus en plus conscience, par exemple, de l'importance d'avoir un mot de passe fort. Le risque humain reste le facteur n°1. L'éducation et une véritable hygiène informatique sont donc primordiales.
CenturyLink, un poids lourd mondial des télécoms
Pouvez-vous nous en dire plus sur CenturyLink et sur son domaine d'activité ?Nous sommes un opérateur de télécommunications de premier rang, un opérateur majeur qui transporte une grande partie du trafic internet mondial. Fin 2017, la société a racheté Level 3 Communications. Grâce à cette opération, nous formons un opérateur de taille très importante. Mais c'est aussi, surtout, une entreprise technologique qui accompagne ses clients dans leur transformation numérique à travers des services de réseaux cloud, IT, sécurisés.
Le groupe représente 52 000 employés dans le monde avec un chiffre d'affaires de 24 milliards de dollars. En termes de cybersécurité, nous avons des SOC (Security Operations Center) regroupant des experts en sécurité hautement qualifiés, certifiés et entraînés. Nous en avons huit basés en Amérique du Nord, en Amérique latine, en Europe et en Asie. La cybersécurité est une activité qui est dans notre ADN.
Cependant, le métier de base de CenturyLink, c'est la fibre. Nous sommes l'un des réseaux les plus fibrés. Nous avons plus de 725 000 kilomètres de fibre à travers la planète, ce qui est colossal.
Quel est l'impact au quotidien, pour un utilisateur lambda, des activités menées par Century Link ?
Nous ne sommes pas connus au niveau du grand public, notamment en Europe. La société est plus populaire aux États-Unis, où elle est un fournisseur d'accès à Internet Mais ce qu'il faut savoir, c'est que CenturyLink est un opérateur d'opérateurs. Derrière les offres d'accès à Internet destinées au grand public, on retrouve le réseau de Century Link, qui va transporter, à un moment précis, des données d'un point A à un point B. Le FAI local va marketer une offre d'accès à Internet à large bande (« broadband »), mais derrière, la grande majorité de ce trafic va transiter par le réseau de notre société.
Un grand merci Alain pour vos passionnantes explications.
Merci à vous.