Pour propager virus et malwares, les hackers profitent de failles dans les systèmes IT. Et même si les correctifs existent pour colmater ces brèches, ils demeurent encore trop rarement téléchargés par les utilisateurs.
Un crâne clignotant qui apparaît au moment du démarrage du système d’exploitation Windows et réclame l’équivalent de 300 dollars de rançon. Le scénario n’est pas tiré du dernier film d’espionnage à la mode, mais a été vécu par des milliers de victimes du malware GoldenEye (aussi appelé NotPetya) en juin 2017. Quelques semaines auparavant, un autre rançongiciel, baptisé WannaCry, avait frappé 300’000 ordinateurs dans 150 pays. Parmi les victimes de cette attaque «d’une intensité sans précédent», selon Europol, figuraient le système de santé publique du Royaume-Uni, la compagnie ferroviaire allemande Deutsche Bahn, l’opérateur Telefónica en Espagne ou encore le géant américain de transport de fret FedEx.
Ces deux cyberattaques partagent un point commun de taille: les victimes auraient pu éviter d’être infectées, grâce à une mise à jour plus rigoureuse de leurs systèmes d’exploitation. Autrement dit, en installant les correctifs de lignes de code envoyés par les fournisseurs de systèmes et de logiciels informatiques, qui colmatent les failles présentes dans leurs produits. Les malwares GoldenEye et WannaCry ont en effet exploité une brèche présente chez Windows appelée EternalBlue, un bug corrigé par Microsoft dès mars 2017 dans ses mises à jour régulières. «Le randsomware GoldenEye agit comme un ver, explique Bogdan Botezatu, expert en sécurité au sein de la société roumaine Bitdefender. Il entre grâce à la faille EternalBlue, qui n’a pas été patchée sur de nombreux ordinateurs, et se reproduit grâce à un vecteur de propagation puissant. Ce dernier outil administratif permet au malware de sauter d’un ordinateur connecté à internet à un autre, sans intervention humaine.» Il s’agit d’un mécanisme d’attaque beaucoup plus complexe que la traditionnelle pièce-jointe d’e-mail infectée.
Les retombées de ces incursions malveillantes peuvent être graves. «Dans le cas de GoldenEye, il n’était plus possible en Ukraine de prendre les transports, de fréquenter l’aéroport ou de retirer de l’argent pendant toute une journée. Il y a aussi eu des ruptures de de gaz et de chauffage pendant trois ou quatre jours de suite.» En cas de vol de données, les conséquences sont même plus longues pour les entreprises et les organisations publiques. C’est alors tout une réputation qui est à reconstruire.
100 jours pour patcher
Alors que les menaces sont connues et toujours plus lourdes, pourquoi les entreprises et organisations publiques n’installent-elles pas ces patchs? «Elles ne disposent souvent pas d’un management systématique de leurs patchs à l’interne, explique Maxine Holt, analyste principale au sein de l’organisme indépendant londonien Information Security Forum. Elles choisissent encore trop souvent d’allouer leurs ressources financières et humaines à d’autres dépenses. Un hôpital va souvent préférer acheter une nouvelle machine que de faire du patching et des évaluations de sécurité, parce qu’il en verra l’intérêt immédiat.» Autre frein: certaines structures ne veulent pas risquer d’interrompre leurs systèmes informatiques tournant 24 heures sur 24 le temps d’y installer des mises à jour.
Entre la publication du patch par le développeur et sa mise en service dans une entreprise, une centaine de jours s’écoule en moyenne, selon l’expert de la société de sécurité informatique Bitdefender. «De nombreuses sociétés ont développé à l’interne des applications sur-mesure pour leurs services et leurs produits fonctionnant sur des systèmes d’exploitation de générations précédentes. Elles les ont laissées telles quelles, sur ces systèmes anciens, parce que reconstruire ces applications, les adapter, les tester, coûtait cher. Et quand la menace arrive, l’infrastructure IT n’est pas prête pour le patch.»
La numérisation complexifie également la communication sur l’existence de mises à jour à installer. «Si la mise à jour est plutôt facile sur ordinateur – j’ai une fenêtre pop-up qui me signale de mettre à jour mon système – celle d’un objet connecté à l’Internet des objets (IOT) l’est beaucoup moins, souligne Christian W. Probst, directeur de la section de cybersécurité à la Danmarks Tekniske Universitet. Comment le système me notifiera le patch à installer sur mon réfrigérateur et mon radiateur connectés? J’aurais sans doute oublié que l’interface à mettre à jour se trouve sur mon smartphone ou mon laptop.»
Création de task forces
La seule issue pour Maxine Holt serait de généraliser l’instauration d’équipes dédiées à la gestion des patchs ou «patching management» en anglais. «Le patching management doit gagner en visibilité dans les organisations. La responsabilité doit être partagée entre les services IT, qui fixeront les bugs et les problèmes fonctionnels, et la division sécurité qui fera en sorte que les patchs deviennent la priorité et résoudra les problèmes structurels.»
Bogdan Botezatu estime également que toutes les organisations devraient avoir des équipes dédiées aux IT, qui valident les mises à jour sur leurs applications. «Elles doivent opérer des tests de sécurité («risk assessment» en anglais) pour voir si leurs applications résistent ou non aux malwares.» Il faut aussi qu’elles acceptent de changer leurs systèmes d’exploitation pour des versions plus récentes et qu’elles créent de nouvelles applications. «Il est important de ne pas rester bloqué quelque part dans le passé avec de vieux outils.»
Autre mesure plus radicale pour réduire sa vulnérabilité face aux malwares: déconnecter d’internet les systèmes vitaux d’une organisation. «Même en patchant, le risque zéro n’existe pas. Hors du réseau, le risque d’être infecté sera vraiment minime, relève Christian W. Probst. En tant qu’usager lambda, il est important de faire un pas en arrière et de se demander s’il est par exemple vraiment utile et sage d’avoir accès à sa base de données depuis son smartphone.»
Des régulations semblables à l’aviation
Pour éviter de nouveaux WannaCry, différents acteurs peuvent aujourd’hui faire pression sur les usagers privés et publics afin qu’ils installent les patchs. Le premier est bien entendu l’éditeur de logiciel qui publie la réparation. «Il communique l’existence du correctif et explique comment le déployer correctement», précise le collaborateur de Bitdefender. Des prestataires de sécurité vont ensuite éventuellement notifier l’installation de ces patchs et faire des tests de pénétration. «Suite à ces simulations d’attaques, ils repèrent les vulnérabilités et informent les organisations dans un rapport de sécurité.» Les médias, en présentant les incidents, leurs magnitudes et en envoyant une invitation à agir, peuvent aussi avoir un impact positif, selon l’expert. Tout comme les spécialistes en sécurité rédigeant des blogs, des alertes sur Twitter ou Facebook à propos des menaces en cours.
Les gouvernements peuvent aussi agir en sonnant l’alerte. Le Centre européen de lutte contre la cybercriminalité d’Europol (EC3) à la Hague a été notamment fondé dans ce but par l’Union européenne en 2013. Il a ainsi créé avec d’autres partenaires publics et privés la plateforme «No More Ransome» afin de perturber les activités des cybercriminels en lien avec les rançongiciels. Concrètement, ce site internet propose des conseils de prévention, des outils de déchiffrement ou encore un formulaire pour signaler une infraction.
«Le centre joue un rôle important pour organiser les échanges de connaissances, de points de vue et d’informations entre les états membres et Europol», relève Christian Probst. Cette initiative européenne est aussi cruciale pour le chercheur dans le sens où elle constitue une interface entre les différents acteurs et inclut toutes les facettes des activités criminelles en ligne: fraude en ligne, exploitation sexuelle des enfants et cybercrimes. «Le centre est un succès, car il a eu un impact significatif sur les opérations menées dans ces domaines depuis sa création.»
Davantage de régulations européennes et internationales semblent également nécessaires pour forcer les fabricants de logiciels et les organisations détenant nos données à avoir des systèmes plus sûrs et à jour, et ce dès la construction de leurs produits. «La sécurité est primordiale dans de nombreux domaines. Prenez l’aviation par exemple: il faut être certifié pour construire des avions. Ces engins doivent être vérifiés avant la vente à la compagnie aérienne. Puis, ils sont inspectés très régulièrement. Il y a encore un contrôle de sécurité avant chaque vol. Et c’est grâce à toutes ces précautions que nous ne connaissons que peu d’accidents aériens. Je propose que nous ayons quelque chose de similaire pour les logiciels.»
_______
Lexique des cybercrimes
Logiciel malveillant
Programme contenant tout type de code source utilisé pour attaquer un ordinateur, tel que les virus informatiques, les vers informatiques, les chevaux de Troie, les logiciels de rançon, les logiciels espions et autres logiciels intrusifs.
Logiciel de rançon
Programme qui menace de bloquer ou de publier des données si la victime ne paie pas une rançon. En cas d’attaques sophistiquées, les documents de la victime sont chiffrés et deviennent irrécupérables.
Logiciel espion
Programme de surveillance furtive des victimes. Dans certaines versions, il peut enregistrer toutes les frappes du clavier et ainsi déceler les mots de passe.
Ver
Programme autonome qui se propage dans un réseau après s’y être introduit en profitant de ses vulnérabilités, à la différence des virus dont la propagation dépend d’un fichier hôte infecté. Un ver peut avoir pour but de collecter des données personnelles.
Virus
Programme tributaire d’autres programmes ou fichiers hôtes pour se propager. Il se cache dans les mémoires des systèmes informatiques et peut ainsi accéder à tout type de fichier pour exécuter son code.
Cheval de Troie
Programme qui induit les utilisateurs en erreur sur ses intentions réelles. Il mène ses tâches intrusives en arrière-plan, à l’insu de la victime.
Attaque par force brute
Tentative de récupération d’un mot de passe en essayant des combinaisons de caractères jusqu’à trouver la bonne.
Attaque par déni de service
Envoi de grandes quantités de données à un réseau dans le but de le surcharger et ainsi le rendre indisponible.
_______
Une version de cet article est parue dans le magazine Technologist (no 14).