Hackeurs au service de la société

C’est le dernier article sur les mécaniques de la cybermenace où on peut trouver un hackeur qui nous raconte comment il cherche des vulnérabilités grâce aux plateformes comme Yogosha, Yes We Hack ou encore Hacker One. D’autre part, le général d’armée Marc Watin-Augouard souligne que la cybersécurité n’est pas seulement pour les geeks mais aussi pour les philosophes, sociologues, etc, c’est-à-dire qu’il ne faut pas s’arrêter à la notion technique de sciences de l’ingénieur. On a besoin de sciences humaines. En effet, il y a des milliers d’emplois dans la cybersécurité qui ne trouvent pas preneurs.

Killian est ingénieur en cybersécurité la journée et hackeur la nuit. Il n’a que 27 ans et fait partie de la trentaine de hackeurs éthiques français qui pourraient vivre uniquement de cette activité. Un profil rare et très recherché. Son job comme hackeur éthique consiste à trouver des bugs, des failles et pour les trouver, il est récompensé par des primes (« bounty » en anglais). L’exercice s’appelle donc Bug Bounty. On peut rendre un site indisponible en le saturant de demandes, par exemple. C’est le principe d’une attaque dite DDoS, par « déni de service ».

Les hackeurs éthiques sont souvent jeunes, car il faut tenir le rythme, se tenir tout le temps informé. « Attention au burn-out », confie Killian. Mais le mode de vie peut être grisant : en un week-end sur un Bug Bounty réussi, il avait empoché 20 000 dollars. Plusieurs hackeurs éthiques avaient alors collaboré pour trouver les failles d’un jeu vidéo que l’éditeur leur avait demandé de tester. Killian fait aussi des « pentest », des « penetration tests » (test d’intrusion) qui sont parfois de vraies intrusions physiques dans les entreprises.

On arrive à la fin du podcast et vous vous dites peut être que tout cela est bien inquiétant, très technique ou affaire de spécialistes. Et pourtant, le cyber est aussi l’affaire de tous. C’est la conviction du général d’armée Marc Watin-Augouard. Il dirige la session nationale cybersécurité, une année de cours en alternance proposée par l’Etat sur des grandes questions stratégiques à destination de dirigeants d’entreprises ou d’administrations, de militaires, de civils, de chercheurs...

Et le cyber, ce ne sont pas que des institutions publiques, loin de là. C’est un secteur économique très dynamique et très rentable. Il y a un bâtiment flambant neuf de 13 étages à La Défense, près de Paris. La tour a ouvert en mars et réunit tout l’écosystème du cyber. L’idée est de faire naître de nouveaux fleurons industriels français du cyber.

Le campus s’est inspiré d’autres lieux identiques : Beer-Sheva en Israël, ou encore Skolkovo en Russie. Le but est de monter en gamme, avec un incubateur de startups, notamment. En cybersécurité, il y a un concept clé : la résilience. Les cyberattaques font partie du quotidien désormais, il faut y être préparé.

Est-ce que vous voulez travailler comme hackeur éthique ?

La justice face aux cybercriminels

Lors leurs attaques en profitant de l’anonymat du monde numérique, souvent de l’étranger, et font payer leurs victimes en cryptomonnaie, censée perdre les enquêteurs sur la trace de ces flux financiers illégaux. Les cybercriminels ont beaucoup d’atouts de leur côté, mais face à eux, la police, la gendarmerie et la justice se sont elles aussi converties au numérique avec des services spécialisés comme le C3N, le Centre de lutte contre les criminalité numériques, qui appartient à la gendarmerie et basée à Pontoise.

Le service est dirigé par la colonelle Fabienne Lopez qui a dit « on est entre 20 et 30 % d’augmentation chaque année et ce sont des augmentations qui sont régulières. La délinquance et la criminalité évoluent, elles s’adaptent à son époque et on ne peut pas être efficace en police judiciaire si l’on reste sur des vieux constats, de vieilles habitudes. Car la délinquance aujourd’hui est aussi et surtout sur internet. On se doit de se mettre à niveau et de se mettre au goût du jour. Pour les contrer, il faut être sur leur terrain aussi. »

Le C3N met en avant ses résultats, avec par exemple cette opération menée en coopération avec la police ukrainienne en octobre 2021 (avant la guerre) et racontée dans l’Essor, le magazine de la gendarmerie nationale. Une vidéo de l’arrestation a aussi été publiée (ci-dessous).

 

Les criminels s’affranchissent des frontières, les polices doivent donc coopérer et développer également des compétences très pointues. Le major Florent Peyredieu est le chef de la section ASTAD (pour Atteinte aux services de traitement automatisé des données). Il travaille avec cinq écrans d’ordinateur sur son bureau et il a des graphiques qui retrace le trajet d’une rançon entre la victime et son bénéficiaire final. C’est très compliqué mais on y voit qu’un paiement en crypto-monnaie ne rime pas forcément avec anonymat.

Des cryptomonnaies pas forcément intraçables. On est capable de dire que la rançon a été payée et que l’argent tend à être dissimulé par le biais de mixeurs. Ce sont des outils qui ont vocation à effacer le trajet des flux financiers. Mais toutefois, on arrive à les démixer grâce à les gens formés qui sont capables de retrouver le lien, à partir d’algorithmes et de schémas mathématiques. Finalement, on arrive à suivre la rançon jusqu’à des bascules, des swaps : ce sont des changements de monnaie.

Le montant des rançons varie en fonction du type d’attaque. On en distingue deux principales. Celles menées au chaland, qui ne visent pas de cibles en particulier : de quelques centaines à quelques centaines de milliers d’euros tout de même. Et celles qui visent des cibles en particulier, qui prennent beaucoup de temps à préparer : jusqu’à 70 millions de dollars, par exemple, demandé par le gang Cybercriminels REvil à une entreprise américaine en 2021.

Qu’est-ce que vous pensez de payer la rançon avec de la cryptomonnaie ?

Les nouvelles technologies : atouts & dangers

Je travaille comme ingénieur informatique depuis 12 ans où on vend toujours les dernières innovations technologiques. En effet, je brûle pour la technologie parce que, dans le bureau, on peut voir tous les atouts que le numérique apporte à la société. Par exemple, grâce aux nouvelles technologies on a de meilleurs médicaments. Non seulement on a amélioré la santé mais en plus la connaissance et l’accès aux informations à travers d’Internet.

En dépit de tous les avantages du numérique, il y a aussi des dangers qu’il faut prendre en compte. Bien que l’accès à beaucoup de services d’Internet soit gratuit, le plus souvent, on paie avec nos données. Les réseaux sociaux sont un exemple de cela où les entreprises utilisent nos goûts et nos recherches pour proposer des produits adaptés à notre profil social. Ainsi donc, Facebook ou Twitter prennent toutes nos données pour montrer des annonces selon nos habitudes d’achat.

À mon avis, la technologie a plus d’atouts que de risques. Même si les dangers sont là, les avantages que le numérique a déjà apporté à notre mode de vie sont notablement évident. Malheureusement, on a beau dire sur les menaces des nouvelles technologies, il y aura toujours des victimes et des cyberattaquants.

Les victimes de cyberattaques

Dans le troisième épisode de la mécanique de la cybermenace on peut écouter les conséquences d’une cyberattaque très grave à Dax où un hôpital a subi une cyberattaque totale qui a impacté l’intégralité des données. La directrice-adjointe de l’hôpital et le chef informatique nous racontent comment l’hôpital ne savait pas quoi faire parce que les données avaient été chiffrées et les patients y arrivaient mais l’hôpital ne savait rien des malades, s’ils venaient en consultation, pour êtres opérés, ou pour quoi.

Ça commence comme une panne. Car au début, une cyberattaque n’a rien de forcément très spectaculaire. Dans la nuit du 8 au 9 février 2021, les standardistes de l’hôpital de Dax constatent que leur téléphone ne répond plus et que leurs sessions d’ordinateur ne s’ouvrent plus. L’astreinte informatique est alertée, mais l’agent n’arrive pas non plus à se connecter à distance et il constate surtout la présence d’un petit fichier : RYK, du nom d’un logiciel de rançon bien connu. Ryuk, à l’origine de la plupart des cyberattaques contre les hôpitaux français pendant la pandémie de Covid-19.

Déjà confronté au Covid, l’hôpital fait face à un second virus, mais informatique. Pour éviter une propagation, internet est coupé, tout comme les connexions aux autres hôpitaux et à la médecine de ville. Les urgences sont alors réorientées vers d’autres hôpitaux mais la principale inquiétude concerne les patients soignés pour un cancer en radiothérapie. Ils sont suivis en cure pendant une cinquantaine de séances et le traitement ne doit absolument pas être arrêté. Ils sont eux aussi envoyés vers d’autres hôpitaux.

Tous les soignants évoquent un sentiment de révolte. Mais heureusement, l’attaque n’a pas fait de morts, contrairement à ce qui est arrivé à Düsseldorf, en Allemagne, en septembre 2020. Là bas, une femme n’a pas survécu à son transfert dans un autre hôpital lors d’une cyberattaque. À Dax, le groupe cybercriminel a bel et bien demandé la rançon.

La rançon était réclamée en bitcoins, cryptomonnaie réputée intraçable. L’Hôpital de Dax a refusé de payer, mais ne communique pas sur le montant qui a été demandé, ni sur la faille informatique exploitée par les rançonneurs. Un an après, la quasi-totalité des données a pu être récupérée. L’hôpital estime le coût financier de cette cyberattaque à environ 2 millions d’euros.

Et dans bien des cas, les conséquences sont dramatiques : entre 50 % et 80% des PME dont les données sont bloquées lors d’une cyberattaque finissent par faire faillite, estime un rapport du Sénat publié en juin 2021, citant des sources américaines et britanniques. Entre 2020 et 2021, le nombre d’attaques aux logiciels de rançon a été multiplié par quatre d’après l’Anssi, l’Agence nationale de sécurité des systèmes d’information, qui a envoyé une équipe à Dax pour aider l’hôpital.

Qu’est-ce que vous pensez sur les conséquences du logiciels de rançon ?

Merci! À bientòt!

La démocratie dans le viseur

J’ai écouté le deuxième podcast ce weekend de la mécanique de la cybermenace dans franceculture.fr. C’est une bonne chance d’apprendre le français et aussi d’être mis à jour sur la cybersécurité. Cet épisode parle de la démocratie et la cybersécurité, comme les cyberattaques reçues aux États-Unis et en France par la Russie avant l’élection présidentielle en 2016 et 2017. Donc, les autorités françaises ont créé une nouvelle agence face aux ingérences numériques étrangères : Viginum.

C’est ce qu’on appelle aujourd’hui une attaque hybride qui, à l’époque, avait été très mal anticipée. En 2016, un mois avant l’élection présidentielle américaine, les directeurs de la Sécurité intérieure et du renseignement national accusent publiquement la Russie d’ingérence dans le processus démocratique. Les comptes email du Parti démocrate ont été piratés et publiés ensuite par WikiLeaks, avec l’intention initiale de nuire à Hillary Clinton ou en tout cas de saper la confiance dans l’élection et dans les institutions démocratiques.

C’est la méthode du « hack and leak », le vol de données, puis la diffusion de ces informations parfois manipulées. Méthode utilisée en France l’année d’après, à l’avant-veille du second tour de l’élection présidentielle : ce qu’on l’appelle « Macron Leaks ». En tout, 20000 emails sont publiés et mêlés à des faux mais la manipulation arrive trop tard pour avoir un impact. La France n’accuse pas officiellement la Russie mais des responsables américains du renseignement le font à demi-mot le 9 mai 2017, lors d’une audition au Congrès : « Nous nous sommes aperçus d’activités russes dont nous avons parlé à nos homologues français, et nous avons partagé nos informations avec eux », déclare le directeur de la NSA Michael Rogers. Cinq ans plus tard, le risque, cette fois, est clairement identifié par les autorités.

Avant la présidentielle et les législatives de 2022, tous les candidats et leurs partis ont été sensibilisés par l’ANSSI, l’Agence nationale de sécurité des systèmes d’information et par une nouvelle agence créée en octobre 2021, chargée de lutter contre les ingérences numériques : Viginum. Une réunion avec tous les représentants des partis politiques a eu lieu le 14 octobre 2021, confirme Cédric O.

Pour contrer ce qu’on appelle la Lutte informatique d’influence (L2l), Viginum est dotée d’une soixantaine d’agents et chapeautée par le Secrétariat général à la défense et à la sécurité nationale (SGDSN), dirigé par Stéphane Bouillon. Ce dernier était auditionné à l’Assemblée nationale le 2 juin 2021 à ce propos. L’objectif est de détecter les fausses informations et les manipulations étrangères avant qu’elles ne déstabilisent l’État ou la vie politique.

Qu’est-ce que vous pensez de ce type d’agence ? Tous les pays devraient avoir une agence comme Viginum ?

Merci! À bientòt!