Guide d’hygiène informatique

Renforcer la sécurité de son système d’information en 42 mesures

L’agence nationale de la sécurité des systèmes d’information a publié en Septembre 2017 sa deuxième version de son guide d’hygiène informatique. Les 42 mesures contenues dans ce guide sont destinées aux entreprises qui souhaitent se conformer à un corpus de bonnes pratiques simples et efficaces permettant d’assurer une sécurité efficace.

Parmi les sites CMS piratés en 2018, 90 % sont des sites WordPress

Le 5 mars 2019, par Bill Fassinou sur www.developpez.com

En 2016, WordPress a été le CMS le plus ciblé par les cyberattaques, selon une étude menée par la société de sécurité Sucuri. En 2018, le CMS a vu le nombre de vulnérabilités qui lui sont liés tripler. Dans l’étude précédente, plusieurs facteurs ont été remis en cause pour leur implication dans la mise à mal de la sécurité, notamment le déploiement, la configuration et la maintenance entreprise par les webmasters ou l’hébergeur. Une récente étude effectuée par Imperva pointe du doigt les plugins comme principale source de vulnérabilités de WordPress. À vrai dire, un CMS maintenu constamment à jour ne constitue pas un problème. C’est quand l’installation est hautement personnalisée qu’il devient difficile de maintenir la sécurité, et en même temps, le risque d’être piraté augmente de façon proportionnelle.

Pour WordPress, le risque est encore plus élevé puisque le CMS propulse près de 30 % des sites de la toile, un pourcentage de taille qui fait qu’il existe un large nombre de victimes potentielles, un facteur important qui attire les hackers de tous poils. En 2018, Imperva a enregistré 542 vulnérabilités associées à WordPress, trois fois plus que le nombre de 2017. Joomla et Drupal combinés ont été affectés par moins de 150 bogues. Un nombre moins élevé de bogues ne reflète pas vraiment le niveau de sécurité d’une plateforme, ça ne veut en aucun cas dire qu’elle est plus sécurisée ou non, la preuve en est les failles importantes qui ont permis aux attaquants de faire des attaques ravageantes contre les sites Drupal, on parle là de Drupalgeddon, Drupalgeddon 2 ou encore Kitty.

Dans un nouveau rapport intitulé « Hacked Website Trend » de l”année 2018, Sucuri a publié les résultats d’une nouvelle analyse des dernières tendances en matière de logiciels malveillants et de sites Web piratés. Ledit rapport est basé sur les données collectées et analysées par l’équipe GoDaddy Security / Sucuri et s’appuient sur les données de l’année précédente et comprend des données mises à jour de janvier à décembre 2018. Le rapport identifie les tendances et les évaluations des risques pour les applications des systèmes de gestion de contenu (CMS) les plus affectées par les compromis sur les sites Web. Le rapport tient compte d’un échantillon représentatif du nombre total de sites Web pour lesquels l’équipe de l’analyse a fourni des services de sécurité en 2018, soit un total d’environ 18 302 sites Web infectés sont analysés dans le rapport.

Les résultats de l’analyse indiquent une augmentation importante des attaques subies par les sites CMS. Les chiffres parlent d’eux-mêmes. La mise à mal de la sécurité dans WordPress est passée de 83 % en 2017 à 90 % en 2018. Les taux d’attaques de Joomla ont chuté de 13,1 % en 2017 à 4,3 % en 2018, tandis que les taux d’attaque subis par Magento sont passés de 6,5 % en 2017 à 4,6 % en 2018, ceux de Joomla ! de 13,1 % en 2017 à 4,3 % en 2018 et ceux de Drupal ont augmenté de 1,6 % en 2017 à 3,7 % en 2018. 

La somme des pourcentages de ce graphique dépasse 100 % du fait que certains sites Web peuvent avoir plusieurs installations CMS. Par exemple, il est courant de voir WordPress et Joomla installés sur le même compte serveur, précise le rapport. L’équipe a suivi de près quatre principales applications CMS à savoir WordPress, Magento, Joomla et Drupal de 2017 à 2018 et a constaté que les menaces les plus notoires pour les CMS proviennent des vulnérabilités introduites par les modules additionnels comme des plugins, des thèmes et des extensions. L’équipe a aussi énuméré quelques causes de ces problèmes de sécurité à savoir un déploiement incorrect des sites, une mauvaise configuration de la sécurité, un manque de connaissances ou de ressources en matière de sécurité, etc.

Les chercheurs ont également examiné si les CMS sont à jour ou pas afin de pouvoir déterminer les tendances de la propagation des attaques. L’équipe a considéré un CMS obsolète si l’environnement n’était pas patché avec la version de sécurité recommandée la plus récente au moment l’analyse. Il s’en sort que 44 % des CMS n’étaient pas à jour. Et parmi les CMS WordPress obsolètes ayant subi d’attaque, 36,7 % ont fait l’objet d’attaque. WordPress a connu une baisse du nombre de versions vulnérables obsolètes au moment de l’analyse. En 2017, 39,3 % des sites WordPress piratés sont des installations obsolètes. En 2018, ce chiffre a légèrement diminué. « Ces données démontrent que le travail que WordPress continue de faire avec les mises à jour automatiques a un impact matériel », indique le rapport.

On remarque que Drupal a connu une baisse de 2,2 % des versions obsolètes par rapport à l’année précédente. Joomla a fortement augmenté de 69,8 % en 2017 à 87,50 % en 2018, un changement de 17,7 %. Selon l’équipe d’analyse, ce qui explique cette forte augmentation des attaques sur Joomla est qu’il « ne possède pas actuellement la fonctionnalité pour les mises à jour automatiques, ce qui contribue à une plus grande fenêtre pour les pirates de cibler les vulnérabilités connues ». Pour les sites Web basés sur le CMS Magento, 83,1 % étaient pour la plupart obsolètes et vulnérables au moment du piratage, en hausse de 2,8 % par rapport à 2017. On remarque également des pourcentages élevés sur d’autres plateformes de commerce en ligne open source obsolètes, dont OpenCart (91,3 %) et PrestaShop (97,2 %). 

« Cette tendance dans les versions dépassées soutient l’idée que les sites de commerce électronique sont réputés pour traîner sur les mises à jour pour éviter de casser les fonctionnalités et de perdre de l’argent. Malheureusement, il s’agit également de systèmes critiques qui constituent l’épine dorsale du commerce en ligne. Il s’agit également de sites gérés par des organisations qui ont l’obligation de se conformer aux normes établies par les normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Les attaquants ont un grand intérêt à cibler les sites Web de commerce électronique avec des données précieuses sur les clients (les renseignements sur les cartes de crédit et les utilisateurs). Il est impératif que ces propriétaires de sites Web mettent à jour leur logiciel pour s’assurer que leurs sites disposent des dernières améliorations de sécurité et des correctifs de vulnérabilité », remarque l’équipe en charge de l’analyse.

Source : Rapport de l’étude

Analyse post-faille de sécurité : les 3 étapes clés

Julien Cassignol, 12 février 2019 publié dans Silicon.fr

Voici trois étapes importantes pour aider les entreprises à transformer leur évaluation post-failles en bonnes pratiques exploitables qui les protégeront contre les attaques futures.

Les entreprises sont très souvent si occupées à mettre en œuvre des mesures pour échapper aux failles de sécurité et éviter de voir leur nom faire les gros titres qu’elles en négligent l’une des étapes sans doute les plus importantes : comprendre exactement ce qui s’est passé après une atteinte à leur sécurité.

La prévention ne constitue en effet qu’une partie de l’équation. Les entreprises commencent à réaliser les avantages offerts par une analyse post-faille de sécurité, notamment la réduction des coûts d’investigation et l’optimisation de la gestion des incidents. Mais, comme pour toute pratique de sécurité, de nombreuses améliorations sont encore possibles.

Étape 1 : Identifier les sources potentielles de données

Suite à un incident, « qui a fait quoi ? » est la question la plus importante à se poser, mais aussi celle à laquelle il est le plus difficile de répondre. Lorsqu’un incident survient, les entreprises cherchent à en déterminer au plus vite la cause première afin de savoir si d’autres données sont à risque et d’éviter leur compromission.

Un examen complet des logs relatifs à la sécurité, aux opérations et aux accès peut les aider à identifier la cause initiale et à remonter le fil des événements. Les équipes commencent généralement par les logs de sécurité, les logs des opérations et les logs des accès à distance créés sur les serveurs, les clients, les systèmes d’exploitation, les bases de données, les réseaux et les dispositifs de sécurité. Mais même les logs ont leurs limites.

Par exemple, les entreprises qui s’appuient uniquement sur les logs courent le risque de passer à côté d’attaques avancées émanant des activités d’utilisateurs privilégiés. De plus, un attaquant habile (ou un administrateur système malveillant) peut facilement supprimer ou modifier des logs pertinents pour brouiller les pistes. Cette perte d’informations peut fausser les investigations et en augmenter le coût, ce qui a pour effet de retarder la réponse, voire d’empêcher la détection d’une faille. Le pire cauchemar des entreprises.

Pour éviter ce problème, les équipes de sécurité peuvent se tourner vers des ressources telles que des audits de session (enregistrement des sessions et visionnage des pistes d’audit) et l’analyse comportementale (détection des activités anormales en fonction des écarts par rapport aux normes établies) afin d’être alertées en cas de détection d’activités utilisateur suspectes et d’obtenir des informations contextuelles complètes à leur sujet.

La biométrie et les données de session, comme les déplacements du curseur, les connexions, les commandes exécutées, les fenêtres consultées et les frappes au clavier au cours d’une session, fournissent des pistes d’audit inviolables qui permettent aux analystes de révisionner ou de reconstituer l’action d’un utilisateur. Couplée aux données des logs, ce type de surveillance met à leur disposition les outils dont ils ont besoin pour comprendre la chronologie des événements, un atout inestimable aussi bien pour les investigations en temps réel que pour celles menées après une faille.

Étape 2 : Recueillir, vérifier et extraire les données sur la faille de sécurité

Une fois les sources potentielles de données identifiées, l’analyste doit recueillir les informations et, plus important encore, vérifier leur intégrité avant de les analyser.

Des outils de gestion des logs peuvent se révéler utiles pour centraliser la collecte, le filtrage, la normalisation et le stockage des données de logs provenant d’un large éventail de sources. Lors d’une enquête sur l’utilisation abusive de privilèges, les analystes ont tout intérêt à inclure dans leur plan de collecte de données les pistes d’audit stockées par les outils d’enregistrement des sessions à privilèges.

Une fois les données recueillies, il est primordial de vérifier leur légitimité et de prouver qu’elles n’ont pas été falsifiées, en particulier si elles doivent servir de preuves légales dans le cadre du plan de réponse aux incidents.

Les outils d’investigation avancés fournissent des données chiffrées, horodatées et numériquement signées qui empêchent toute falsification. Ils peuvent en outre sécuriser les informations sensibles grâce à des règles d’accès granulaires.

Après avoir recueilli et vérifié les données, les analystes doivent les examiner et en extraire des éléments d’information pertinents. L’utilisation d’outils d’investigation permet de remonter rapidement dans le temps jusqu’au moment où l’événement suspect s’est produit. La combinaison des données de logs et des métadonnées de session accélère l’examen des incidents liés à des comptes privilégiés.

Étape 3 : Effectuer une analyse complète

Une fois extraites, les informations pertinentes doivent être analysées afin de parvenir à des conclusions et de répondre à toutes les questions concernant l’atteinte à la sécurité : qui, quoi, où, quand, pourquoi et comment ? Une investigation efficace passe par une approche méthodique permettant de tirer des conclusions pertinentes à partir des données disponibles ou d’éliminer toute autre conclusion.

Il est possible de faire appel aux services de prestataires tiers afin de procéder à toutes sortes d’évaluations, allant de l’évaluation des risques associés aux technologies de l’information et de la vulnérabilité du réseau à des tests de pénétration, le but étant d’identifier les faiblesses à cibler et à éradiquer. Grâce à ces évaluations, les entreprises sont en mesure de définir un protocole et un processus de réponse adéquats pour se protéger des incidents futurs.

Dès lors que les données courent un risque, une faille ou une perte accidentelle surviendra inévitablement. En réalisant une évaluation post-faille approfondie, les entreprises peuvent élaborer un plan de réponse réfléchi qui privilégie l’atténuation des risques, la sécurité des ressources stratégiques et une gestion efficace de la crise.

À l’instar des systèmes, de la technologie ou des menaces, le plan de réponse aux incidents doit évoluer. Les équipes de sécurité doivent mener un audit au moins une fois par an et effectuer des exercices de réponse aux incidents afin de s’assurer que leur plan est encore pertinent, qu’il est régulièrement ajusté pour établir les responsabilités et qu’il leur épargnera ce type d’incidents à l’avenir.

Google wants to kill the URL

Published in https://www.wired.com by Lily Hay Newman 04/09/18

Google’s Chrome browser turns 10 today, and in its short life it has introduced a lot of radical changes to the web. From popularizing auto-updates to aggressively promoting HTTPS web encryption, the Chrome security team likes to grapple with big, conceptual problems. That reach and influence can be divisive, though, and as Chrome looks ahead to its next 10 years, the team is mulling its most controversial initiative yet: fundamentally rethinking URLs across the web.

Uniform Resource Locators are the familiar web addresses you use every day. They are listed in the web’s DNS address book and direct browsers to the right Internet Protocol addresses that identify and differentiate web servers. In short, you navigate to WIRED.com to read WIRED so you don’t have to manage complicated routing protocols and strings of numbers. But over time, URLs have gotten more and more difficult to read and understand. As web functionality has expanded, URLs have increasingly become unintelligible strings of gibberish combining components from third-parties or being masked by link shorteners and redirect schemes. And on mobile devices there isn’t room to display much of a URL at all.

The resulting opacity has been a boon for cyber criminals who build malicious sites to exploit the confusion. They impersonate legitimate institutions, launch phishing schemes, hawk malicious downloads, and run phony web services—all because it’s difficult for web users to keep track of who they’re dealing with. Now the Chrome team says it’s time for a massive change.

“People have a really hard time understanding URLs,” says Adrienne Porter Felt, Chrome’s engineering manager. “They’re hard to read, it’s hard to know which part of them is supposed to be trusted, and in general I don’t think URLs are working as a good way to convey site identity. So we want to move toward a place where web identity is understandable by everyone—they know who they’re talking to when they’re using a website and they can reason about whether they can trust them. But this will mean big changes in how and when Chrome displays URLs. We want to challenge how URLs should be displayed and question it as we’re figuring out the right way to convey identity.”

If you’re having a tough time thinking of what could possibly be used in place of URLs, you’re not alone. Academics have considered options over the years, but the problem doesn’t have an easy answer. Porter Felt and her colleague Justin Schuh, Chrome’s principal engineer, say that even the Chrome team itself is still divided on the best solution to propose. And the group won’t offer any examples at this point of the types of schemes they are considering.

The focus right now, they say, is on identifying all the ways people use URLs to try to find an alternative that will enhance security and identity integrity on the web while also adding convenience for everyday tasks like sharing links on mobile devices.

“I don’t know what this will look like, because it’s an active discussion in the team right now,” says Parisa Tabriz, director of engineering at Chrome. “But I do know that whatever we propose is going to be controversial. That’s one of the challenges with a really old and open and sprawling platform. Change will be controversial whatever form it takes. But it’s important we do something, because everyone is unsatisfied by URLs. They kind of suck.”

The Chrome team has been thinking about URL security for a long time. In 2014, it tried out a formatting feature called the “origin chip” that only showed the main domain name of sites to help ensure that users knew which domain they were actually browsing on. If you wanted to see the full URL, you could click the chip and the rest of the URL bar was just a Google search box. The experiment garnered praise from some for making web identity more straightforward, but it also generated criticism. Within a few weeks of showing up in a Chrome pre-release, Google paused the origin chip rollout.

“The origin chip was Chrome’s first foray into the space,” Porter Felt says. “We discovered a lot about how people think about and use URLs. [But] frankly, the problem space proved harder than we expected. We’re using the feedback that we received back in 2014 to inform our new work.”

Similarly, Tabriz notes that the team faced a lot of pushback for its HTTPS web encryption initiative. Chrome’s transition to treat encrypted websites as standard and call out unencrypted sites as insecure seemed radical at first. But the team collaborated with other browsers and tech companies to spread the change across the web and promote encrypted connections that protect user privacy. “Something as basic as HTTPS, everyone in the security community agrees it’s good,” Tabriz says. “But you make a change and people freak out. So whatever we do here I know it’s going to be controversial. It just takes a long time.”

Porter Felt says the group will be more ready to talk publicly about its ideas this fall or in the spring. And the group notes that the goal isn’t to upend URLs haphazardly, but to enhance a vision that is already in place, given that entity identification is foundational to the overall security model of the web. But coming from a company as influential as Google, and one with such powerful vested interest in how people browse and use the web, community scrutiny of any proposal Google puts forth will be crucial.

As Emily Stark, a technical lead at Chrome puts it, the project is the URLephant in the room.

Une compagnie d’assurance considère NotPetya comme un « acte de guerre » et refuse de payer

Publié le 3 février 2019dans developpez.com par Stan Adkenss

La vaste campagne de cyberattaque qui a prévalu en juin 2017 n’a pas encore fini de parler d’elle. Mais cette fois-ci, elle implique les attributions de la cyberassurance. Zurich Insurance Group a refusé de régler 100 millions de dollars de dommages-intérêts suite à la réclamation d’assurance de Mondelez, géant espagnol de l’alimentation, relativement à une cyberattaque de NotPetya. Ce refus a poussé Mondelez à intenter une action en justice contre son assureur devant le tribunal du comté de Cook en Illinois pour refus de paiement suite à la cyberattaque de 2017.

De l’avis des experts en sécurité, NotPetya ne serait rien d’autre qu’un wiper déguisé en ransomware, dont l’objectif est de détruire les données de ses victimes. En juin 2017, les machines de ses victimes ont été infectées en utilisant les vulnérabilités déjà exploitées par les pirates lors de l’attaque du ransomware WannaCry, une précédente campagne mondiale de cyberattaque. Se propageant comme un ver, NotPetya a infecté de nombreuses entreprises et organisations, notamment TNT, des banques ukrainiennes, des sociétés énergétiques, des aéroports et le géant maritime Maersk.

Mondelez, l’une des principales victimes de l’attaque de NotPetya à l’époque, a vu ses usines perturbées et la production s’est arrêtée alors que le personnel luttait pour reprendre le contrôle de leurs ordinateurs, selon Sensei Enterprises, Inc. Les marges bénéficiaires de Mondelez auraient été affectées à cause de la cyberattaque qui a frappé dans plusieurs pays, y compris la France dont la cellule nationale d’alertes aux menaces informatiques, CERT-FR, a pu identifier quelques capacités de propagation du wiper.

La compagnie d’assurance Zurich a opposé un refus au paiement réclamé par Mondelez au motif que l’attaque de NotPetya de juin 2017 était un acte de cyberguerre et n’était donc pas couverte par la police d’assurance de son client, d’après un article de Sensei. Toutefois, selon Mondelez, sa police d’assurance cybernétique auprès de Zurich couvrait spécifiquement « tous les risques de perte ou de dommage physique » et « tous les risques de perte ou de dommage physique aux données, programmes ou logiciels » dus à « l’introduction malveillante d’un code machine ou d’instructions ». Selon Sensei, le libellé de la police d’assurance de Mondelez est suffisamment large, non seulement, pour couvrir son cas d’attaque par le logiciel malveillant NotPetya, mais également, pour protéger l’entreprise en cas de tout attaque ou de piratage informatique.

Les dommages causés par NotPetya et relevés par la demande d’assurance de Mondelez comprenaient la perte de 1 700 serveurs et 24 000 ordinateurs portables, ainsi que de la perte de milliers de références d’utilisateurs, de commandes en souffrance et autres pertes économiques liées à l’atteinte à la sécurité. Soit des dommages d’un montant de 100 millions de dollars.

Selon Sensei, la compagnie d’assurance a indiqué, au départ, qu’elle pourrait payer 10 millions de dollars, soit environ 10 % du montant total de la réclamation, avant d’invoquer une clause spéciale de « cyberguerre » et de déclarer qu’elle ne paierait rien de la créance. Selon Zurich, la compagnie d’assurance n’est pas responsable du paiement de la créance si NotPetya était en fait « un acte hostile ou guerrier en temps de paix ou de guerre », a rapporté Sensei. Zurich considère la cyberattaque de NotPetya contre Mondelez comme une « cyberguerre », car selon elle, l’attaque a été lancée par des pirates russes travaillant directement avec le gouvernement russe pour déstabiliser l’Ukraine.

Selon Sensei, Zurich, pour soutenir sa décision, a évoqué les déclarations officielles des responsables de la sécurité nationale des gouvernements britannique, canadien et australien, qui ont tous blâmé la Russie pour la cyberattaque de février 2018. « Le gouvernement du Royaume-Uni juge que celui de Russie, spécifiquement l’armée russe, était responsable de la destructive cyberattaque au wiper NotPetya de juin 2017 », a déclaré Lord Ahmad, membre de la Chambre des lords du Royaume-Uni. La CIA avait également conclu en novembre 2017 qu’une direction générale des renseignements de l’État-Major des Forces armées de la Fédération de Russie (GRU) est à l’origine de le NotPetya, même su la Russie a nié tout lien avec NotPetya. De plus, tous ces gouvernements occidentaux ont spécifiquement noté que la première attaque de NotPetya s’est produite en Ukraine avant de s’étendre dans le monde entier pour toucher des entreprises comme Mondelez.

Toutefois, Marsh & McLennan, cabinet international de services professionnels, n’est pas du même avis que Zurich. Selon le cabinet, lorsque NotPetya a frappé des cibles non militaires qui opéraient « dans des endroits éloignés du lieu ou du sujet de la guerre », les dommages causés étaient purement économiques plutôt que de causer des pertes en vies humaines ou des blessures, et « le chaos causé par NotPetya ressemblait davantage à une action de propagande qu’à une action militaire destinée à la « coercition ou à la conquête », à laquelle l’exclusion de la guerre était destinée à résoudre. »

Les dirigeants de Mondelez consternés, ont qualifié les actions de Zurich d’actions « sans précédent », et les initiés de l’industrie de l’assurance ont eux aussi dit que les actions de Zurich pourraient créer un « méchant nouveau précédent » sur ce que couvre la cyberassurance. Le différend Mondelez-Zurich a directement impliqué le domaine de la cyberassurance et beaucoup s’inquiètent maintenant du fait que chaque fois qu’il y a une cyberattaque ou une atteinte à la protection des données, une compagnie d’assurance offrant de la cyberassurance puisse simplement prétendre qu’elle est due à un « acte de cyberguerre » et rejeter la réclamation, a écrit Sensei.

Toutefois, selon Sensei, il revient maintenant à Zurich de réunir les preuves que NotPetya était effectivement un acte de cyberguerre afin de se défendre devant le tribunal du comté de Cook en Illinois. Et ce ne sera pas chose facile selon Sensei, car bien que la Russie ait été blâmée après les cyberattaques au NotPetya, aucune preuve n’a été fournie par les entités dénonciatrices.

Le domaine de la cyberassurance est fortement indexé dans cette affaire aussi pour une autre raison. En effet, en plus du cas Mondelez, le géant maritime Maersk, après évaluation des dommages causés à son activité par NotPetya, les pertes consenties cumuleraient à environ 300 millions de dollars, tandis que le géant mondial de la logistique FedEx affirme que ses pertes seraient également de l’ordre de 300 millions. 

Sensei a supposé que si des attaques similaires se produisaient chaque mois contre des grandes entreprises qui détiennent d’énormes quantités de données telles que Maersk et FedEx, ceci entrainerait la chute de toute l’industrie de l’assurance, ou du moins, l’industrie de la cyberassurance. Selon Sensei, les compagnies d’assurance pourraient commencer à refuser de souscrire des polices de cyberassurance pour de grandes organisations qui traitent des données et renseignements personnels.

Toutefois, Matthew McCabe, vice-président sénior de Marsh a déclaré, qu’ « Alors que la gravité des cyberattaques ne cesse de croître, les assureurs et les acheteurs d’assurance réexamineront la question de savoir si l’exclusion liée à la guerre devrait s’appliquer à un cyberincident ».

Airbus a détecté un « incident de cybersécurité » dans sa division d’avions commerciaux

Publié par Le Monde avec AFP et Reuters le 30/01/2019

Le groupe aéronautique européen Airbus a annoncé, mercredi 30 janvier, avoir détecté un « incident de cybersécurité » dans les systèmes informatiques de sa division aviation civile. Le groupe aéronautique européen précise, dans son communiqué, que ceci n’a eu toutefois « aucun impact » sur ses opérations commerciales.

Cet incident a « entraîné un accès non autorisé aux données de l’entreprise », poursuit Airbus, ajoutant qu’il fait l’objet d’une analyse approfondie de la part de ses experts.

« Des investigations sont en cours afin de déterminer si certaines données particulières étaient ciblées. Il est cependant d’ores et déjà établi que certaines données à caractère personnel ont été consultées. »

Selon le géant aéronautique, il s’agit de « coordonnées professionnelles et d’identifiants informatiques d’employés d’Airbus en Europe ».L’entreprise a précisé être « en contact avec les autorités réglementaires et les autorités de protection des données compétentes conformément au Règlement général sur la protection des données ».

Le RGPD, une règlementation européenne entrée en vigueur fin mai, oblige notamment les entreprises victimes d’une intrusion ou d’une cyber-attaque à alerter, dans les quarante-huit heures après la découverte d’une fuite de données personnelles, les autorités de leur pays et les personnes affectées.

L’annonce d’Airbus intervient deux jours après qu’Altran Technologies, le spécialiste français des services d’ingénierie et de recherche et développement, a dit avoir été victime d’une attaque informatique jeudi dernier. Airbus, qui a réalisé 59 milliards d’euros de chiffre d’affaires en 2017, emploie près de 130 000 personnes dans le monde et est présent non seulement dans le secteur des avions de ligne mais également dans la défense, l’industrie spatiale et les hélicoptères.

Quelle est la bonne équation pour pacifier le cyberespace ?

Analyse publiée le 29/01/2019 par Martin Untersinger dans le journal Lemonde.fr

La France tente de définir une doctrine pour survivre dans un monde où les cyberarmes ne servent plus à espionner, mais à détruire.

« La guerre cyber a commencé », a averti le 18 janvier la ministre de la défense, Florence Parly, lors de la présentation de la doctrine offensive sur Internet de l’armée française. Si cette « guerre » n’a, pour l’instant, pas fait – officiellement – de victime de chair et de sang, cet avertissement martial fait écho à un alarmisme grandissant de la part des autorités et de certains cercles d’experts de la sécurité informatique.

Cela fait plus de dix ans qu’est évoquée la perspective d’un « Pearl Harbor numérique », un scénario où un virus informatique sèmerait le chaos et la destruction. Il relève encore, heureusement, de la mauvaise science-fiction.

« Un baril de poudre »

Plusieurs facteurs contribuent cependant à une instabilité croissante et réelle de l’espace numérique, qui fait craindre à court terme des dégâts d’ampleur. D’abord, un monde de plus en plus informatisé et interconnecté, des réseaux de transport ou d’énergie aux « smart cities », en passant par un nombre croissant d’usines et de chaînes de production. Ensuite, ce que la chercheuse Frédérick Douzet, titulaire de la chaire Castex de cyberstratégie, décrivait dans les colonnes du Mondecomme « une véritable course aux cyberarmes », à savoir la volonté d’un nombre croissant de pays de se doter de capacités hostiles sur Internet, d’une augmentation de leur savoir-faire et de la volonté d’une poignée d’entre eux de croiser le fer, en dépit des embryons de règles internationales en la matière.

Depuis plusieurs mois, le responsable de la cybersécurité de l’Hexagone, Guillaume Poupard, tire la sonnette d’alarme. Il l’a de nouveau fait, la semaine dernière, à Lille, lors du Forum international sur la cybersécurité (FIC) :

« Ce qui nous préoccupe le plus aujourd’hui, ce sont des attaques où l’on ne voit pas quel est l’objectif. Ce n’est pas de l’espionnage, du détournement de données personnelles. Ce n’est pas encore du sabotage, [mais] des gens de très haut niveau qui préparent les conflits de demain. »

En se défendant de toute « exagération », celui qui dirige les 600 experts de l’Agence nationale de sécurité des systèmes d’information (ANSSI) y voit le « prépositionnement de charges »« Ceux qui sont derrière ne sont pas des petits pirates ou des cybercriminels, mais des services [étatiques], avec des moyens financiers et techniques importants s’inscrivant dans la durée. Si on place des charges explosives sous toutes les piles de pont du monde au cas où cela serve un jour, ça va exploser. On est en train de constituer un baril de poudre », a-t-il encore averti.

Un discours à l’unisson de celui de la ministre de la défense, Florence Parly, lors de la présentation de la nouvelle doctrine offensive française. Le cyberespace, a-t-elle lancé, est un « lieu d’immense violence » dans lequel « tous les coups sont permis » et où « nous n’avons encore rien vu »« Le cyber est une arme d’espionnage, mais [c’]est aussi une arme que des Etats utilisent pour déstabiliser, manipuler, entraver, saboter », a martelé la ministre.

De plus en plus d’exemples dans la nature

De fait, les experts en sécurité informatique découvrent de plus en plus fréquemment des logiciels malveillants qui ont pour objectif non pas d’espionner, mais de détruire des données et de perturber gravement le fonctionnement de systèmes entiers.

En décembre 2015, au cœur de l’hiver, le logiciel malveillant BlackEnergy privait de courant des milliers de foyers ukrainiens. Un an plus tard – même lieu, même saison – le virus Industroyer, plus précis et plus évolué que son prédécesseur, mettait à l’arrêt un transformateur au nord de Kiev. Moins de six mois plus tard, le rançongiciel WannaCry se répandait comme une traînée de poudre et infectait des milliers d’entreprises et d’organisations, le système de santé britannique au premier chef. Rebelote un mois plus tard, lorsque le logiciel NotPetya partait d’Ukraine pour se répandre dans le monde entier, occasionnant, selon les estimations les plus conservatrices, plus d’un milliard de dollars de dégâts. En 2017 apparaissait Triton, un logiciel conçu spécifiquement pour s’attaquer aux mécanismes de sûreté industrielle. L’année suivante, des chercheurs mettaient la main sur OlympicDestroyer, un programme malveillant destiné à perturber le fonctionnement des Jeux olympiques de Pyeongchang. Peu de temps après, à la veille de la Ligue des champions (en Ukraine, encore), les mêmes chercheurs retrouvent la trace de VPNFilter, capable de « couper l’accès à Internet à des centaines de milliers de victimes ».

« On n’est pas en guerre, mais on n’est plus en paix » – Loïc Guézo, de Trend Micro

Les logiciels destructeurs « étaient plutôt rares et déployés dans des contextes spécifiques, mais ces cinq dernières années la tendance s’est accentuée. De plus en plus d’Etats recourent à cette technique »,éclaire Saher Naumann, experte des logiciels destructifs chez BAE Systems« Les nouvelles attaques sont beaucoup plus impactantes que les premières. Il y en a de plus en plus, car c’est un moyen rapide et efficace de perturber un environnement », explique aussi Thomas Roccia, qui a également analysé ce type de logiciels pour l’entreprise McAfee. « Dans certains cas, la capacité destructive d’un logiciel malveillant est présente, mais n’est pas utilisée, comme s’il s’agissait d’envoyer un message sur ses capacités », précise Mme Naumann. « On n’est pas en guerre, mais on n’est plus en paix. Les Etats sont en permanence en train de tester leurs frontières. Ce sont comme les avions qui passent une frontière pour évaluer les capacités de détection et de réaction », compare Loïc Guézo, directeur de la stratégie de l’Europe du Sud de l’entreprise Trend Micro.

« Il faut élever nos défenses »

C’est pour parer à cette instabilité, en tentant de décourager ses adversaires de s’en prendre à elle, que la France a voulu afficher très publiquement les grandes lignes de sa doctrine militaire, alors que Paris mène des opérations offensives depuis une dizaine d’années. Quitte à contribuer, en retour, à cette instabilité ? Absolument pas, selon la ministre, pour qui l’usage de cette nouvelle arme satisfera aux exigences « de proportionnalité, de distinction et de nécessité » et respectera « le droit international ».

Là où Américains et Britanniques accusent, la France règle ses différends à l’abri des regards

C’est que la France, comme de nombreux pays, est encore à la recherche de la bonne équation pour pacifier le cyberespace. Contrairement à certains de ses alliés, comme les Etats-Unis, la Grande-Bretagne ou l’Allemagne, la France a jusqu’ici refusé de pointer publiquement du doigt des Etats responsables de cyberattaques. Là où Américains et Britanniques accusent, la France règle ses différends à l’abri des regards. Désormais, on montre un peu plus de muscles afin de décourager les attaques. Lors de la présentation de la doctrine militaire, la ministre de la défense a fait un deuxième geste en ce sens, plus discret mais tout aussi parlant. Elle a accusé directement le groupe de pirates informatiques Turla d’une attaque contre le ministère des armées. Une allusion bien plus signifiante qu’elle n’en a l’air : chez les experts qui étudient depuis des années ses victimes et son mode opératoire, il ne fait guère de doute que ce groupe est piloté depuis Moscou.

Une telle annonce constitue « une mise en tension, c’est très clair », a décrypté Guillaume Poupard lors d’une conférence de presse donnée dans le cadre du Forum international de la cybersécurité de Lille. « Il faut élever nos défenses et en même temps mettre une certaine pression sur ceux qui sont à l’origine de l’attaque, préconise-t-il. La doctrine française est d’éviter l’attribution trop publique pour conserver des espaces de dialogues pour la désescalade. Mais cela peut changer. »

L’autre volet de la difficile pacification de l’espace numérique n’est ni technique ni militaire, mais diplomatique et juridique. L’assemblée générale de l’ONU vient de créer deux instances qui pourront reprendre des discussions interrompues en 2017 au sujet de normes de comportement dans le cyberespace. A la fin 2018, Emmanuel Macron a présenté l’Appel de Paris, un texte non contraignant qui vise à relancer ces négociations sensibles et complexes. Il a été signé, selon un récent décompte, par soixante-quatre Etats. Les Etats-Unis et la Russie manquent encore à l’appel.