L’industrie visée par le cyber-terrorisme

Stuxnet, Duqu, PoisonIvy : les coupables ont un nom

Au mois d’août dernier, McAfee publiait un rapport explosif sur une gigantesque vague de cyber-attaques portant le nom ShadyRAT, touchant diverses institutions internationales et industries, notamment de l’armement. 72 de ces cibles ont été découvertes, pour une infiltration qui aurait débuté en 2006 et obligeant plusieurs compagnies ou l’ONU a revoir leur politique de sécurité. Depuis, il ne se passe pas une semaine sans que de nouvelles alertes concernant la sécurité industrielle ne tombe sur les fils d’actualité : cyber-attaques au Japon visant les usines d’armement, centrales nucléaires ou le gouvernement, infiltration d’Areva ou d’usines chimiques…Et des découvertes.
Par exemple, le ver Duqu a été désigné comme le digne héritier de Stuxnet. Ce malware est plus évolué et surtout très discret, il a été pensé comme un outil précis et rapide (il s’autodétruit au bout de 36 jours) pouvant enregistrer des informations confidentielles, communiquer avec un serveur distant et s’infiltrer dans le système Windows, exploitant une faille de type « Zero day » (qui n’a pas encore été comblée). Duqu utilise en partie le code source de Stuxnet et pourrait viser le même type d’infrastructure. Dernière révélation dans ce domaine, Symantec vient de mettre en lumière l’opération Nitro et son cheval de Troie PoisonIvy, une attaque d’au moins 48 sociétés oeuvrant dans le secteur automobile, l’équipement militaire ou la chimie.

Qui se cache derrière les cyber-attaques industrielles?

Après chaque attaque, les spécialistes de la sécurité-le plus souvent mandatés par les éditeurs d’antivirus- analysent les malwares ainsi que les procédures d’infiltration. Ils parviennent ainsi à remonter, à la manière de détectives, vers les points d’origine, le plus souvent localisés en Asie, plus précisément en Chine et supposément sous l’égide de l’Etat. Il est difficile de prouver que le gouvernement Chinois se cache derrière ces cyber-attaques (le ministre des Affaires Etrangères nie toute accusation) et la Chine n’est pas en reste, ayant été prise pour cible à de nombreuses reprises. En revanche, la question de la motivation peut se poser.
Quel serait l’intérêt pour un hacker malintentionné de s’infiltrer dans les systèmes de grandes sociétés dans des secteurs de pointe ? Les données récoltées ne seraient utiles qu’à des acteurs ayant les moyens de les exploiter, et sont difficilement vendables comme tel sur le marché noir. Si un acteur étatique est envisageable, l’espionnage industriel constitue une bonne motivation, surtout en ces temps de crise et d’ultra concurrence où tous les moyens sont bons pour perturber le marché.
La conclusion rejoint celle établie par les experts sur la sécurité en entreprise : 71% des entreprises françaises ont subi une cyber attaque ces derniers mois (source : Symantec) et même si elles étaient pour la plupart correctement protégées, 92% d’entre elles ont accusé des pertes. Les protections antivirus ne suffisent plus et les pirates utilisent des techniques évoluées de Social Engineering et d’infiltration. En fait, le véritable point faible d’un système demeure l’utilisateur, mal informé et naïf, qui peut se laisser manipuler et qui néglige certains aspects importants, comme la gestion des mots de passe ou la confiance portée aux pièces jointes des emails.