Malware industriels : une nouvelle forme de criminalité?

Une interview de Alain Hubrecht * et François Gaspard **, à la tête de l'ECCRP, European Center for Critical Resources Protection.

OGC : Les mafias ont elles investi dans la cyber-criminalite ?

[Are_PayPal_LoginPlease]

Alain Hubrecht et François Gaspard : Les mafias sont des groupes très bien organisés et il est difficile d’en savoir beaucoup sans les infiltrer. Cependant, il ne faut pas être devin pour se rendre compte que les mafias utilisent elles aussi les nouvelles technologies d’information. La principale différence avec des autres groupes comme des états ou des terroristes est que les mafias sont plus attirées par l’appât du gain que par la destruction d’une infrastructure critique, comme un centre nucléaire. La plupart des exemples récents concernant les mafias et la cyber criminalité proviennent de Russie. Là bas, des groupes spécialisés opèrent dans le détournement d’argent à l’aide des technologies de l’information. Ces groupes clonent de fausses cartes de crédits ou infiltrent des jeux en ligne rapportant de gros gains, comme des casinos. Récemment, avec le cas appelé TJX dans les médias, des hackeurs résidant aux USA ont été engagés par des groupes provenant des pays d’Europe de l’Est pour voler les données de millions de cartes de crédit. On évoque des pertes allant jusqu'à des milliards. Une fois les cartes de crédits volées, il existe des réseaux parallèles spécialisés dans la revente de numéros de carte de crédit. C’est ici clairement de la criminalité organisée.

Quelle pourrait être l’évolution de cette criminalité ?

Le terrorisme est une menace floue, incertaine, difficilement quantifiable mais qui peut faire très mal quand elle frappe. Récemment nous avons vu un nouveau type de menace représenté par le malware Stuxnet. Un malware est un programme informatique destiné a perturber ou détruire des infrastructures informatiques, le plus souvent des logiciels. Cependant, le malware stuxnet, qui a juste été découvert il y a quelques mois, est le premier malware qui s’attaque aux infrastructures critiques. On entre vraiment ici dans une autre dimension de dégâts possibles.

Le complexité de Stuxnet mais surtout son caractère effrayant en ont vite fait la vedette des médias de par le monde. Les médias, experts en sécurité en tout genre et même politiciens débattent sur le qui, comment et pourquoi de Stuxnet. Rapidement, Stuxnet a été considéré comme la première cyber arme du 21e siècle. Son potentiel destructeur très élevé provient du fait qu’il s’attaque a des infrastructures critiques comme des centrales nucléaires. Les concepteurs de Stuxnet, peu importe qui ils sont, avaient indéniablement des intentions mauvaises. Il ne s’agit plus ici d’un étudiant développant un logiciel dans sa chambre lors de son temps libre mais bien d’un état ou d’un groupe criminel qui développe des armes de nouvelle génération.

Les attaques de ressources critiques peuvent avoir des conséquences financières et civiles dramatiques. Il n’est pas exclu que ce type de menace soit utilisé par des réseaux criminels structurés pour réaliser des crimes financiers de grande envergure ou des opérations de chantage.

Est-on capable aujourd’hui de détecter qui fabrique ces malware ? Qui les utilise, qui est visé ?

Il est toujours très difficile de savoir qui a développé ces malwares. Un peu comme du terrorisme plus traditionnel, tout va dépendre de l’expérience et connaissances de son auteur. Si il ne sera pas trop compliqué d’identifier un étudiant développant un malware dans sa chambre pendant son temps libre, il sera beaucoup plus compliqué d’identifier quel état ou groupe criminel a développé un malware sophistiqué. De plus, avec Internet il est très facile de développer un malware dans un pays et de le faire attaquer un autre pays sans pour autant se déplacer de chez soi. Les nouvelles technologies d’informations font que les cyber attaques sont très difficile à détecter.

Les pays impliqués dans la fabrication et l’utilisation ont-ils des typologies de modus operandi ou des « branding » reconnaissables ?

Il y a les stratégies de guerre habituelles qu’on retrouve aussi dans le cyber space. Pour donner un exemple, on pourrait imaginer l’Inde qui développe un malware destinés à attaquer les infrastructures de l’Iran, mais décide de lancer son malware à partir de la Russie. Impossible de savoir que le malware provient d’Inde puisque il a été lancé à partir de la Russie. La Russie et l’Iran se retrouve dans un cyber conflit qui a été provoqué par l’Inde.

Pour ce qui est des « branding » de reconnaissance, encore une fois c’est très difficile. Il est bien sur possible de reconnaitre quelques signatures dans les malwares mais jamais assez pour dire qui a développé le malware de manière précise. La traque des auteurs de malwares se fait généralement plus avec de l’infiltration des milieux cyber criminels.

Quelles ont été les grandes étapes de cette nouvelle forme de criminalité ?

Même avant qu’Internet devienne utilisé par le grand public, il existait déjà des personnes qui bidouillaient les réseaux de téléphones pour avoir le téléphone gratuit. Internet n’a fait qu’accentuer cela. Les années 90 ont vu toute une foule de hackers s’intéresser aux nouvelles technologies. Ces hackers étaient cependant plus des personnes intéressé par le challenge de comprendre comment les technologies marchaient qu’autres choses. A part quelques exceptions, à cette époque on pouvait encore dire que ces hackers étaient presque inoffensifs.

Les années 2000 ont été différentes. Avec un plus grand nombre de pays disposant d’un accès à Internet, certains hackers se sont tournés vers l’appât du gain comme clonage de carte de crédit ou le vol d’identité. D’autres ont suivis, comme les mafias qui ont amenés cette cyber criminalité à une autre échelle notamment pour ce qui concerne le vol et revente de carte de crédit. D’autres groupes plus orientés vers le vandalisme se sont mis à attaquer des sites webs d’autres pays pour faire passer leurs revendications. On citera en exemple les cybers guerres entre Georgie et Russie avec des groupes de chaque coté modifiant les sites webs de l’autre.

Les sociétés n’ont pas été inactives aussi. L’intelligence économique à l’aide des nouvelles technologies est aussi de la partie. On ne compte plus les sociétés qui font appel à des cabinets de sécurité spéciaux pour récupérer des brevets des concurrents ou intercepter des communications d’un concurrent lors d’une négociations de contrat a l’étranger.

Les états, eux, ont toujours été plus discrets. Même si il était évident que les états modernisaient leurs stratégies de guerre à l’aide des nouvelles technologies, très peu de personnes savaient ce qui se faisait vraiment à l’intérieur des services des gouvernements. 2010 et Stuxnet ont changé la donne. Sans pour autant savoir quel état a développé Stuxnet, on a maintenant une preuve tangible qu’un groupe ou états à développer un malware pour attaquer des infrastructures critiques. 1990, 2000, 2010, que nous réserves les 10 prochaines années ? Les infrastructures critiques sont clairement la prochaine grosse cible.

Quels sont les différents risques auxquels seraient exposés les infrastructures critiques ?

Les risques dépendent du type d’attaque et du type d’infrastructure que l'on peut décliner en trois catégories :

- Les infrastructures ponctuelles sont des aéroports, le siège de l’OTAN, des terminaux gaziers, des installations portuaires, etc. Ces infrastructures sont tout autant symboliques que fonctionnelles. Leur mise hors d’état aura un fort impact sur le public, les media auront des images spectaculaires à montrer, les dégâts seront imités et les services plus ou moins rapidement remis en état.

- Les infrastructures interconnectées comprennent aussi bien les nœuds que les « arcs » de leur réseau, les nœuds étant par exemple des centrales électriques ou des banques, et les arcs les câbles hautes tensions ou les réseaux propriétaires utilisés par les banques. Ces interconnexions peuvent permettre la création d’effet boule de neige, comme la chute en cascade de plusieurs centrales électriques. L’aspect transnational des réseaux électriques complexifie énormément la maître des phénomènes inhabituels.

- Les infrastructures à effet domino peuvent de manière non intuitive à priori occasionner des dégâts important dans un autre secteur, comme par exemple l’arrête de l’alimentation électrique d’une centrale d’épuration d’eau et les conséquences sur la population lorsque l’eau de distribution ne sera plus traitée. Toute la population risque de contracter le choléra ou d’autres maladies tout aussi mortelles.

- Dans quelle mesure le fait qu’Internet soit le vecteur d’attaque complique-t-il la détection et la lutte ? Les criminels sont-ils plus ou moins pistables que lorsqu’ils utilisent d’autres vecteurs ?

Le principal attrait d’Internet pour un attaquant est son aspect mondial. Il est possible de lancer une attaque à partir de n’importe où tant qu’on dispose d’une connexion Internet. Si l’attaquant connait bien son sujet, il va utiliser un, deux, dix ou cinquante proxy avant d’atteindre sa cible, un proxy étant un ordinateur relais. Comme pour le de la criminalité financière, plus il y a de proxy plus c’est compliqué de remonter à la source. Spécialement quand les proxys se retrouvent des pays différent. De ce point de vue, Internet rends les auteurs moins pistables.

Maintenant, il y a de plus en plus de coordinations entres les pays pour ce qui est de la lutte contre la cyber criminalité. L’Internet avec ses forums, blogs ou ses sites devient de plus en plus surveillé par les services anti-criminalités et il est parfois possible d’identifier des auteurs de malwares avant qu’ils n’agissent. Il est aussi primordial de bien former les personnes sur la notion de sécurité. A la place de placer toute son énergie dans la traque d’auteurs de malware, il est tout aussi important de bien sécuriser ses infrastructures. Et pour ce faire, il faut bien comprendre les enjeux et aboutissants de la problématique.

----------

** François Gaspard est expert en sécurité des infrastructures informatiques. Il donne des conférences internationales et a écrit de nombreux articles sur la sécurité des infrastructures critiques, de la prochaine génération de guerre cybernétique, de la recherche d’information à l’aide d’intelligence artificielle et de l’espionnage industriel via Internet.

* Alain Hubrechtest expert en gestion de projets industriels par ordinateur, en réalité virtuelle et en conception 3D d’installations industrielles. Il est aussi expert industriel en protection des infrastructures critiques et Homeland Security pour l’OTAN, et expert européen en High Performance Computing.

Tous deux ont fondé l'ECCRP

Basé à Bruxelles, l'ECCRP (acronyme anglais pour « Centre Européen de Protection de Ressources Critiques ») est un centre de protection des ressources de types centrales électriques, centrales de gestion des eaux, banques, télécoms, réseaux électriques… Trainings, démonstrations, conférences y sont dispensés par des experts internationaux et un simulateur 3D Visiospace, capable de représenter une ville ou un pays en réalité virtuelle.

OGC : En quoi le logiciel VisioSpace est-il unique ?

 VisioSpace est le produit-phare d’ECCRP. C’est un simulateur de réalité virtuelle très puissant, capable de représenter une ville ou un pays en 3D virtuel et pour lequel toutes les ressources critiques ont été représentées. Les utilisateurs peuvent interagir avec des éléments comme les réseaux électriques (SmartGrid), les communications bancaires, les sociétés de télécommunication, etc. Ils peuvent ensuite attaquer et défendre ces ressources critiques et observer les résultats en 3D. Un aspect spécifique est la capacité de visualiser des éléments complexes comme des réseaux bancaires ou des systèmes de contrôles industriels sans devoir sortir du monde virtuel.

[/Are_PayPal_LoginPlease]

Posted in Analyses / n°2, Criminalités n°2 - novembre / décembre 2011, Interviews, Interviews écrites, Les Analyses - trimestrielles -, Revue Criminalités and tagged , .

Laisser un commentaire