Les cyberattaques en tant qu’infraction pénale sont presque aussi vieilles qu’Internet lui-même. Ce qui est nouveau, en revanche, les attaques à grande échelle qui paralysent le fonctionnement des institutions, celles-ci commencent à devenir monnaie courante dans le monde entier, et sont perçues comme des « menaces nationales ». Tellement menaçantes, que pour la première fois, les dirigeants gouvernementaux considèrent le recours à la force physique en réponse à une attaque comme une option sérieuse. L’exemple le plus marquant à ce jour : les États-Unis.
« Une guerre à balles réelles » : ce sont les mots qu’a prononcé le président américain Joe Biden. A propos de la récente série d’attaques contre des institutions privées et publiques du pays, les doutes planent sur ce que pourraient devenir à l’avenir les cyberattaques.
Une cible, des milliers de victimes
Fin 2019, SolarWinds a été piratée. Les hackers ont eu accès à son réseau et ont méticuleusement injecté un code malveillant dans Orion (un logiciel de SolarWinds pour la surveillance des performances informatiques), pendant près de 6 mois. Orion est utilisé par des milliers d’entreprises dans le monde entier. Ce qui a suivi l’injection de code est l’une des plus grandes cyber-violations du 21e siècle.
À partir de mars 2020 environ, ces organisations ont reçu de SolarWinds un paquet de mise à jour de routine pour Orion, qu’elles ont déployé sans méfiance (comme elles le feraient normalement, car elles n’étaient pas au courant du code compromis). Environ 18 000 clients de SolarWinds ont été touchés par l’installation de ce paquet de mise à jour contenant du code malveillant (un Trojan). Ce qui est encore plus alarmant, c’est que le premier rapport n’a fait surface qu’en décembre 2020 – et que la violation est passée presque inaperçue pendant plusieurs mois. Ces pirates informatiques ont pu accéder aux systèmes, aux réseaux et aux données de ces organisations- le tout en se cachant à la vue de tous pendant des mois, voire même des années.
La particularité de cette attaque est que les hackers ont pu affecter un nombre astronomique d’organisations en ciblant un seul fournisseur. Ce type d’attaque est également appelé « attaque de la chaîne d’approvisionnement ». Mais ce ne sont pas les seules attaques criminelles, certaines le sont davantage.
Colonial Pipeline – une cyberattaque par ransomware
Les ransomware ne sont pas nouveaux. En mai 2021, un des plus grands oléoducs raffinés des États-Unis, Colonial Pipeline, a dû interrompre ses activités pendant cinq jours. Pour la première fois en 57 ans d’existence. Les pirates ont eu accès au réseau de l’entreprise par le biais d’un VPN, qui ne disposait apparemment pas d’une MFA – authentification à plusieurs facteurs-. Cette barrière qui devient pourtant la norme aujourd’hui, aurait pu éviter une des attaques par ransomware les plus marquantes des dernières années.
Selon le New York Times, Colonial Pipeline a payé environ 4,4 millions de dollars sous forme de bitcoins (après avoir reçu une demande de rançon) pour récupérer les données volées. Bien que la BBC ait rapporté un mois plus tard que près de 2,3 millions de dollars avaient été récupérés en retraçant les comptes, le mal était déjà fait.
JBS – le ransomware attaque à nouveau
Moins d’un mois après Colonial Pipeline, une autre attaque par ransomware a frappé un géant de la transformation de la viande au Brésil – JBS – en juin 2021. L’attaque a gravement paralysé les opérations de JBS. L’entreprise fournit plus de 20 % des besoins en viande bovine des États-Unis.
Le réseau de JBS ayant été piraté, l’entreprise a été contrainte de payer une rançon de 11 millions de dollars et ses activités aux États-Unis, en Australie et au Canada ont été temporairement interrompues. JBS n’a pu rétablir sa chaîne d’approvisionnement qu’après avoir payé la rançon demandée en bitcoins.
Poly Network – un hold-up étrange
En août 2021, une plateforme de cryptomonnaies, Poly Network, a été piratée et un montant gigantesque de 610 millions de dollars a été dérobé, comme le rapporte CNBC. Ce qui a surpris, c’est que le pirate a affirmé avoir piraté la plateforme pour « s’amuser ». Pour ajouter à la surprise, le pirate a rendu la quasi-totalité de l’argent volé. Bien qu’environ la moitié de l’argent soit encore bloquée dans le compte (dont la clé est apparemment détenue par le pirate et Poly Network), le reste de la somme a été rendu à Poly Network.
Pourquoi ces attaques peuvent devenir une crise existentielle pour les organisations
SolarWinds a dépensé la somme conséquente de 18 à 19 millions de dollars au cours du premier trimestre de 2021, uniquement pour comprendre l’ampleur de l’attaque et pour contrôler les dégâts après la brèche. Selon un rapport de CRN, cet événement aurait pu coûter environ 90 millions de dollars aux sociétés de cyber-assurance. C’est l’évaluation de l’impact direct sur les coûts, mais il y a d’autres aspects alarmants à prendre en compte.
Certaines grandes entreprises comme Microsoft et Cisco ont été prises au dépourvu par cette violation. Il n’est donc pas surprenant que des institutions gouvernementales américaines comme le Département d’État, la Sécurité intérieure, le Trésor et même la NSA soient passées à côté. Selon un rapport de Verge, environ 250 agences gouvernementales ont été touchées. Les détails exacts de ce sur quoi les pirates ont pu mettre la main sont encore inconnus et font l’objet d’une enquête. Certaines agences ont affirmé que les pirates ont pénétré dans des comptes de messagerie et des réseaux, et qu’ils n’ont pu accéder qu’à des informations « non classifiées ».
Les institutions publiques prises dans la tempête des cyberattaques
Cette nouvelle a attiré l’attention du monde entier, mais elle est restée sur le carreau en raison des élections présidentielles qui se déroulaient à cette époque. L’attaque du Colonial Pipeline a été différente, quelques mois seulement après la prise de fonction de Joe Biden. Cette attaque a eu un impact sur les entreprises privées, et aussi sur les entreprises publiques. Plus de dix États ont été touchés. Les autres conséquences de l’attaque du Colonial Pipeline ont été les suivantes : une pénurie d’essence sur le marché, des achats de panique, une modification des itinéraires de vol et une hausse soudaine des prix de l’essence.
L’annonce par Joe Biden que des mesures extrêmes pourraient être prises si ces attaques devaient se poursuivre a été tout aussi importante que l’attaque. Les systèmes gouvernementaux étant de plus en plus vulnérables, les mesures de sécurité sont renforcées aux États-Unis. Le processus a déjà été lancé avec l’introduction dans le pays du « Cyber Incident Notification Act » qui oblige les entreprises à informer le gouvernement en cas de cyber-attaque. Les récents événements ont prouvé que les institutions publiques et les agences gouvernementales sont tout aussi sensibles aux cyberattaques. Ces attaques ne sont pas limitées aux États-Unis, mais sont devenues un phénomène mondial.
L’un des nombreux exemples est l’attaque DDoS (déni de service distribué) contre plus de 200 organisations en Belgique (gouvernement, universités, parlement, etc.). Aucun vol de données n’a été signalé apparemment, mais de telles attaques exposent les vulnérabilités. Plus récemment, le conflit entre la Russie et l’Ukraine donne lieu à des cyberattaques contre les institutions gouvernementales ukrainiennes, par DDoS également, et aussi un « data wiper ».
L’Allemagne donne le La
Il est évident que l’attitude des acteurs publics change, la sécurité informatique devenant un domaine d’intérêt. Par exemple, la Sarre est le premier État allemand à introduire une solution de chiffrement conforme à la norme BSI pour l’échange d’informations classifiées sur l’ensemble de son territoire. Cette solution est dotée d’un système de chiffrement E2E qui permet d’échanger des documents et des courriers électroniques au sein du réseau de données sans qu’ils puissent être interceptés par des personnes non autorisées, tout en conservant des performances et une vitesse optimales.
En coopération avec T-Systems et la société de sécurité Rohde & Schwarz Cybersecurity GmbH, la Sarre a été le premier État allemand à mettre en oeuvre un système de chiffrement moderne, flexible et complet pour les autorités de l’État, conformément aux exigences de la BSI en matière d’informations hautement confidentielles. Avec son état d’esprit en matière de cybersécurité, la Sarre a créé un modèle à suivre pour les autres institutions publiques. Comme l’explique Ammar Alkassar, CIO de la Sarre :
« Avec cette solution, la Sarre ne se contente pas de mettre en oeuvre de manière cohérente sa stratégie de digitalisation « Cybersecurity First ». Elle constitue également un modèle pour l’Allemagne et montre comment un chiffrement complet peut être mis en oeuvre dans toutes les autorités de l’état. Néanmoins, il reste encore beaucoup à faire : la cybersécurité ne se limite pas au chiffrement et les défis pour l’informatique publique vont continuer à augmenter »
Ammar Alkassar, DSI de la Land de la Sarre
À cette fin, les solutions de sécurité avancées aident les organisations dans leur parcours de numérisation sans avoir à être sur le fil 24 heures sur 24 et 7 jours sur 7. Comme les niveaux de sensibilisation augmentent, la cybersécurité est renforcée et des mécanismes de réponse sont formulés par les organisations – ce qui est bon signe.