Le cyber-espionnage, nouveau visage de l’Intelligence Économique

Retour sur notre table ronde virtuelle au sujet du cyber-espionnage.

https://www.youtube.com/watch?v=Jdw9QIgAh6I

Introduction

Les scandales se sont multipliés ces dernières années : cyber-espionnage de la NSA, cyber-attaque russes, espionnage industriel de la Chine, plus récemment l’affaire PEGASUS. L’espion d’aujourd’hui a plus une allure de geek que de James Bond. Et pour paraphraser Clausewitz, le Cyber-espionnage est la continuation de la Guerre économique par d’autres moyens.

Dans ce contexte, les évolutions technologiques font muter les méthodes d’attaque et de défense. Mais l’enjeu n’est pas uniquement technique. En vérité, les méthodes classiques d’analyse de l’intelligence économique doivent permettre aux organisations de se défendre.

Cependant, ce nouveau contexte fait intervenir des acteurs étatiques qui ont un impact sur les entreprises, qu’elles soient des multinationales ou même de plus petites structures. Mais quelles sont alors les conséquences pour celles-ci, car les entreprises classiques peuvent tout aussi bien être des cibles ? Disposent-elles des moyens pour se prémunir de la menace ? Quels sont leurs leviers d’actions ?

Nous décortiquons cette thématique lors de la Table Ronde Des Experts, en partenariat avec le média en ligne RiskIntel avec les intervenants :

• Arnaud Coustillière – Président du Pôle d’Excellence Cyber. Ancien directeur général du numérique au ministère des armées, ancien commandant de la cyberdéfense des armées
• Charlene Grel – Product Manager Serenety by XMCO
• Cédric Sylvestre – Co-founder, Business Development, Olvid

Ainsi que 2 de nos clients Serenety

• Gabriel De Brosses – Directeur de la cybersécurité, La Poste
• Olivier FRACHON – Group Cybersecurity Officer, Air Liquide

Modératrice : Yasmine DOUADI – CEO & Fondatrice, RISKINTEL

Nous parlons beaucoup des attaques DDOS et des ransomwares, mais le cyber-espionnage est moins présent dans les esprits. Est-ce dû à ses conséquences qui se voient à plus long terme, ou à son impact financier difficilement quantifiable ?

Olivier FRACHON

Il faut distinguer 2 grandes catégories d’attaquants :

• Les premiers sont des cybercriminels qui ont eux aussi fait leur transformation numérique dont le but principal est le gain financier.
• La seconde catégorie concerne les personnes qui sont liées à des états voyous : Iran, Chine, Russie, Corée du Nord. Leur dessein est l’espionnage, obtenir de la propriété intellectuelle dans les domaines politique et militaire par exemple. Ils travaillent par rapport à l’agenda d’un pays. C’est comme s’ils étaient une armée supplémentaire d’un pays.

Ces groupes, qu’on a tendance à appeler des APT, vont rentrer dans des systèmes d’information, pour y rester longtemps, quelques semaines ou mois. Leur objectif est d’obtenir le maximum d’informations. Leurs technologies et compétences sont plus poussées qu’un groupe de criminel classique.
Nous voyons beaucoup plus des groupes d’attaquants qui partagent des informations.

Gabriel DE BROSSES

Nous sommes tous ciblés car les informations sont accessibles et exploitables en masse.
En effet, plus on collecte des informations, plus on est capables d’en tirer des conclusions. C’est l’exploitation de ce qu’on appelle le renseignement en source ouverte qui rend les particuliers et les entreprises des cibles. Si nous faisions un peu plus attention, il serait tout de même difficile d’effacer ces traces numériques.
Finalement, ce sont les capacités de traitement de la donnée fait que ça produit de la valeur ou des infos qui sont exploitables.

Fin octobre, Microsoft a mis en lumière une nouvelle offensive de cyber-espionnage contre des organisations occidentales commanditée par le groupe de hackers russe Nobelium. Certains soupçonnent ce groupe d’être directement lié à l’état Russe. Nous pouvons citer d’autres groupes de mercenaires tel que Void Balaur. Ces groupes privés agissent-ils comme des intermédiaires d’une guerre de cyber-espionnage entre des états ? Quels sont les éléments de preuve qui pourraient pointer en ce sens ?

Charlène GREL

Ce sont des éléments délicats à identifier et confirmer. Le groupe NOBELLIUM serait en lien avec des services de renseignements russes. Ce groupe est aussi associé à l’attaque SOLARWIND qui avait ciblé le département de l’intérieur et du commerce.
Au-delà des tensions que cela peut créer dans les relations internationales, il y a également un enjeu d’attribution des attaques.
L’analyse des procédés utilisés par ces groupes peut être intéressante pour dégrossir le trait et identifier à quel groupe et donc quel état nous pouvons attribuer les attaques.

Gabriel DE BROSSES

J’ai passé quelques années dans l’OTAN, en charge de la planification des opérations de cyberdéfense de l’Alliance. Nous étions attaqués par des groupes de hackers : certains d’entre eux étaient des gens très méthodiques puisqu’ils nous attaquaient entre 8h et 17h, heure locale. C’était un métier, qu’ils faisaient pendant des heures de bureau. Nous avons aussi identifié comme des groupes cyber qui se vendent aux plus offrants ou agissent comme des groupes de sponsors. Cela nous donnait une idée assez claire sur qui nous en voulait.

Il y a une capacité des cybercriminels à se mettre au service des États. Nous sommes très vulnérables face à ce type d’attaques, car ils rassemblent des équipes de spécialistes différents pour attaquer les systèmes d’information.

Le cyber-espionnage est-il un risque pour les entreprises, pour les états et les citoyens, ou une réalité protéiforme qui touche tous les types d’organisations, dans tous les secteurs ? Est-on entré dans une ère du cyber-espionnage généralisé ?

Gabriel DE BROSSES

Il faut ça comme une pêche aux informations qui est améliorée avec des outils d’analyse. Ils vont collecter un maximum d’informations pour en tirer des conclusions et faciliter leurs actions.
Ceux qui sont nos alliés, mais pas nos amis nous écoutent aussi. Ils vont embarquer les particuliers, les entreprises, les administrations et la puissance des outils dont ils disposent, grâce à des techniques de big data qui vont leur permettre de faire remonter de cet ensemble du renseignement élaboré. 

Cédric SYLVESTRE

Les cyberattaques sont nombreuses, il est difficile de savoir qui en est le commanditaire. Au-delà de l’espionnage, il y a de véritables attaques d’infrastructures stratégiques, de déstabilisation.

Nous pouvons penser :

• Que la Chine a rattrapé son retard technologique grâce au cyberespionnage
• Au ver malveillant Stuxnet utilisé par les États-Unis et Israël contre les installations nucléaires iraniennes.
• La Corée du Nord avait attaqué des serveurs de Sony Picture qui avait eu la mauvaise idée de diffuser un film très malveillant contre Kim Jon Hun.
• Les campagnes électorales américaines.

Entre le cyberespionnage, l’attaque réelle de serveur et puis toute la gamme de désinformation, de propagande… Les attaques sont plurales et visent tout le monde, même les individus ! Dans l’affaire Pegasus, on estime 50000 numéros de téléphone auraient été contaminés, dont 180 journalistes (affaire Pegasus).

Quand on regarde comment sont relayées ces informations ou ces suspicions dans les médias, on entend souvent « on pense que » « il se pourrait », suivi d’un démenti. Lorsqu’on est en dehors des sphères de cyberespionnage, ce qu’entendent les individus, les citoyens c’est que oui il y a des suspicions, mais elles ne sont pas avérées.

Lorsque l’on voit des mouvements de soldats sur la terre ferme on n’a aucun doute… en revanche, dans le cyberespace ça ne se voit pas. Il suffit d’un démenti d’un homme politique pour que la corrélation ne se fasse pas.

Olivier FRACHON

Pendant longtemps, l’espionnage représentait ce que l’on pouvait lire dans les romans de John Lecarré avec une logique des espions russes contre les Américains.

Aujourd’hui, il faut qu’on prenne le nouveau contexte du cyberespace et plutôt se tourner vers les livres de William Gimpson qui a inventé le cyberpunk dans les années 80. Il avait déjà anticipé cette interconnexion entre les individus, les États, le Metavers que Facebook est en train de nous préparer pour l’avenir.

Pour illustrer ce côté systémique (le fait que tout le monde espionne tout le monde, et que ça peut avoir des conséquences bien au-delà des pays concernés) j’aimerais reprendre l’exemple d’Eternal Blue, une faille qui avait été découverte et transformée par la NSA.
Un groupe de hackers est allé piquer cette information à la Nasa, pour les publier sur le Dark Web, et ça a été récupéré par des groupes affiliés à la Corée du Nord, pour devenir Wannacry en 2017.

Quelque temps après, des groupes russes affiliés à Sandworn et APT28 ont récupéré Wannacry l’ont associé à Petya et l’ont appelé NotPetya. La Russie a ensuite attaqué l’Ukraine, et cela a touché d’autres pays et entreprises.

Les victimes in fine ne sont pas toujours celles qu’on pouvait imaginer au début.

Le cyber-espionnage passe notamment via les failles dans les outils de communication. Dès lors, quelles questions se poser en choisissant un outil de communication ?

Avez-vous des recommandations spécifiques d’outils et de bonnes pratiques en la matière pour les particuliers et les professionnels ?

Arnaud COUSTILLERE

Nous sommes dans un espace dangereux, il faut davantage faire preuve de vigilance. Mais comment réduire les risques de cyberespionnage ?

1. La carte sim : nous pouvons nous intéresser à la couche base (carte sim). Un opérateur mobile qui y répond très bien : Deus Mobil (plutôt pour des professionnels).
2. Les applications : il y a un nombre limité d’entreprises qui sont capables de surveiller ce que va raconter votre application. C’est ce qui est utilisé dans les armées françaises. En France, nous avons la pépite française Pradeo.
3. Les XDR et EDR.
4. Les messageries : leur modèle est basé sur les données. Si vous voulez vraiment vous protéger, il faut utiliser des modèles différents. La meilleure protection concerne ce qui est en Peer 2 Peer, donc très peu de choses restent sur les serveurs. Il y a Olvid, qui est agréé par l’ANSSI et Screed, qui est porté par la mouvance Skyrock. Autrement, il y a des solutions qui laissent des traces sur les serveurs types Thales, Airbus… ou encore Signal.

Gabriel DE BROSSES

Les solutions techniques doivent être précédées par une prise de conscience. Un téléphone a une capacité à capter de l’information. Il faut se demander ce qu’on fait et ce qu’on dit ? Le premier réflexe est de ne pas utiliser un média électronique pour partager une information sensible.

Cédric SYLVESTRE

Il y a 3 questions à se poser lorsque l’on cherche à connaitre son degré de sécurité:

• Où sont stockées les données ?
  Si l’éditeur de la solution stocke des données, ce n’est pas la même chose d’être sur le cloud américain, cloud souverain, On-premise ou directement sur le téléphone. Il peut alors y avoir une imposition des règles extra-territorialité.

• Comment les données sont-elles chiffrées et qui détient les clés ?
  Si le fournisseur détient les clés, il peut à loisir les déchiffrer, à l’insu de l’utilisateur, changer les identités numériques des utilisateurs.
  Dans le cas de Whatsapp et en vertu du Cloud Act, l’État américain peut consulter ce qu’il se passe sur les serveurs.

• Comment on accède à la donnée ?
  Les logins/mdp, la 2FA signifient qu’il faut faire confiance au service. C’est pourquoi il se pose toujours la question de la personne morale, qui est soumise à certaines règlementations.

Bonnes pratiques :

Les charges virales arrivent par des pièces jointes, qui vont exploiter une faille de la librairie. Il faut donc se méfier des messages que vous recevez.

1. Le problème dans la sphère du numérique c’est l’identité numérique des internautes.
2. Si vous pensez qu’un attaquant peut vous en vouloir, il faut faire l’effort de réinitialiser son téléphone par exemple. Il faut avoir une politique d’hygiène.
3. Quand vous avez des choses sur votre téléphone, il ne sert à rien de garder un historique de plusieurs années : « On ne laisse pas trainer tous les bijoux de famille sur sa messagerie ».

Il faut savoir avec une politique de rétention et d’hygiène.

Quels critères faut-il avoir en tête pour se prémunir du cyber-espionnage lorsqu’on choisit un type de technologie pour son organisation ?

Charlène GREL

Ce qui est utilisé par les groupes d’attaquants ce sont les techniques de Phishing ou l’exploitation des failles de sécurité qui sont sur les systèmes d’information. Les attaquants récupèrent tout ce qui est exposé sur internet et donc accessible depuis l’extérieur.  
Il faut donc mettre en place une veille importante interne et externe, pour avoir une connaissance des menaces cyber, exploits, patchs, versions à mettre à jour.

Le 2^e axe à mettre en avant est le facteur humain, il y a une prise de conscience au contact des clients qui a évolué. Cette question se pose notamment dans les questions de recrutement, il faut regarder le profil des personnes que l’on va recruter.

Enfin, nous pouvons citer l’exfiltration des données via des clés USB, les intrusions physiques, les PC qui restent dans des chambres d’hôtel lors de grand rassemblement d’entreprises… même si on s’éloigne du volet cyber…

Gabriel DE BROSSES

80% des compromissions de données sont la conséquence d’un utilisateur légitime qui va donner accès à de l’information. Ce sont les utilisateurs qui ouvrent la porte aux attaquants (via une prise de contact par email, avec de l’engineering sociale par exemple). Les intrusions peuvent venir par la porte de nos prestataires. On peut essayer de protéger ces VIP, mais on s’aperçoit très vite que c’est l’affaire de tous.

Pouvez-vous nous expliquer ce qu’est la Cyber Threat Intelligence ? Quels outils sont utilisés ? Est-ce indispensable pour se prémunir du cyber-espionnage ?

Gabriel DE BROSSES

On a besoin d’informations pour protéger l’information

1. Situational awareness, savoir ce qu’il se passe.
2. Information sharing
3. Consequence management

Il faut agréger un maximum de sources pour savoir ce qui peut nous menacer. L’idée c’est de collecter les informations sur les menaces, en lien avec notre activité (attaques de masse et ciblées) pour pouvoir se prémunir des tentatives.

Charlène GREL

La CTI c’est le renseignement sur la menace. Nous nous devons de connaitre ses attaquants pour anticiper les menaces qui pèsent sur nous.

Il y a 3 niveaux dans la CTI

1. Stratégique : l’idée est d’avoir une compréhension des enjeux géopolitiques, locaux pour savoir quels acteurs ou pays peuvent procéder à une attaque.
2. Tactique : il s’agit d’élargir l’analyse et faire la corrélation entre les typologies d’attaque. Le but est d’identifier les chronologies, comment ils ont fait pour se maintenir sur le SI.
3. Opérationnel : il s’agit de collecter des informations et traces laissées par les attaquants. Ex : nom de domaines, urls, outils, documents.

Olivier FRACHON 

Il y a un déséquilibre entre attaque et défense et la Cyber Thret Intelligence donne le maximum d’éléments pour se défendre et essayer de combler ce déséquilibre.

Toutes ces infos pourront nourrir les différentes briques du SI, Firewall, SIEM, équipe de sécurité spécialisée. C’est ce qui permettra de réaliser si on s’est fait attaquer ou si on va se faire attaquer. Sans ce type de mécanisme, c’est difficile de ne pas s’en prémunir.

Nous pouvons aussi nous abonner à des flux d’informations privés (mendiant, fireeye, kaspesky,…) On peut aussi avoir ses propres feeds publiques (blogs de chercheurs, showdan, …). Il y a aussi la possibilité de s’interconnecter au sein d’une même verticale pour partager des IOC.

La limite de la CTI reste plutôt réactive et cela s’accompagne d’autres pratiques. Avec le Threat Hunting et le Purple Tealing (reprendre les méthodes d’attaque et essayer de rentrer par cette méthode) c’est tout ça qui permet de s’améliorer de manière continue.

Le cyber-espionnage est-il un enjeu de puissance pour les états ? Pouvez-vous nous expliquer comment il est appliqué des nouveaux rapports de force géopolitiques, et notamment la concurrence entre la Chine et les États-Unis ?

Arnaud COUSTILLERE

Oui, le numérique n’est pas un monde de bisounours. Il repose sur la domination de celui qui a la donnée par rapport aux autres. C’est le même combat pour les états. Le numérique amplifie et complexifie les réalités : nous sommes dans la prolongation du rapport de force qui fait que les États-Unis veulent rester la première puissance.

Olivier FRACHON

Oui, c’est un enjeu de puissance. Le cyber-espionnage est pour certains le moyen de maintenir son retard ou combler son retard. C’est aussi la possibilité d’exister politiquement ou encore de semer le chaos de manière permanente. Désinformation, déstabilisation, disruption et destruction, certains préfèrent que tout le monde souffre pour continuer à exister.

Il n’y a pas de convention ni de retour de bâton en cas d’attaques. Il peut y avoir des coalitions entre les polices, mais ça n’aboutit pas forcément. De cela en découle un sentiment d’impunité.

La guerre existe dans de nombreux domaines tels que l’IA, la 5G, les ordinateurs quantiques, les sujets autour de l’espace (missiles hypersonic).

Quelles sont les cibles des attaques de cyber-espionnage ?
S’agit-il uniquement des grandes entreprises des secteurs stratégiques ?
Les PME doivent-elles aussi maintenir un haut niveau d’alerte ?

D’autant plus qu’elles peuvent être des sous-traitants, et donc des portes d’entrée pour cibler des entreprises stratégiques ? Existe-t-il une typologie claire de la victime ?

Charlène GREL

C’est toujours difficile d’identifier un cas de cyber-espionnage car les attaques sont longues et pas forcément identifiées. Nous ne sommes pas non plus sur des sujets qui sont facilement traitables d’un point de vue public. Voici les typologies de victimes :

1. Très grandes entreprises, grands groupes de l’industrie, des nouvelles technologies
2. Des petites entreprises qui sont sur des secteurs stratégiques. Elles sont plus simples à cibler car pas elle ne sont pas encore matures. Elles sont souvent la cible d’attaque par rebond.

Il peut aussi d’agir d’entreprises qui déploient des logiciels chez leurs clients (centrion, caseia).

On sait que le renseignement français utilise une technologie développée par la société américaine Palantir pour traiter un grand nombre de données. Dans ce cadre, l’utilisation de technologies étrangères pose-t-elle un risque de cyber-espionnage et de souveraineté pour l’État Français ?

Arnaud COUSTILLERE

Palantir ce n’est pas de la technologie. Palantir avale la couche fonctionnelle, il n’a pas besoin d’avoir accès aux données.

Cédric SYLVESTRE

Dès que vous êtes à risque, vous êtes à la merci des gens qui y travaillent, de la législation… la tentation c’est de parler de souveraineté et de prendre des solutions françaises. Je pense que la tendance va être de sortir du débat de la nationalité pour aller vers le Privacy By Design.