Des particuliers aux entreprises, des administrations aux Etats, le numérique apporte son lot de menaces qui semble ne cesser de progresser. La thématique de la cybersécurité, et à travers elle la sensibilisation aux virus, malwares et autres ransomwares, touche désormais tout le monde.
Auteurs du livre « Cybersécurité et Malwares – Détection, analyse et Threat Intelligence », Paul Rascagnères et Sébastien Larinier reviennent sur le paysage, les acteurs et les méthodes employés dans le monde de la cybersécurité. Avec quelques conseils précieux…
ENI : La cybersécurité fait régulièrement l’actualité. Derrière les gros titres et ce mot devenu « valise », quel est aujourd’hui l’état de la cybersécurité dans le monde ?
Paul Rascagnères : Si vous me posez la question à moi ou à Sébastien, vous n’aurez pas la même réponse. Car elle est très disparate.
Vous avez des groupes qui vont avoir un bon niveau de maturité, qui savent ce qu’ils font. Et à côté de ça, d’autres qui, y compris à taille et budget similaires, auront un niveau bien moindre et qui vont subir plutôt que d’être « en amont », en capacité d’identifier les problèmes sur les infrastructures. Cette disparité, c’est le point important en 2022.
On entend parler de campagnes d’attaque toutes les semaines, les ransomwares, tout le monde sait ce que c’est… La cybersécurité est partout, même dans le grand public et la presse généraliste. Cela touche tout le monde. Certaines entreprises doivent s’arrêter voire font faillite à cause de ransomwares. On ne touche plus seulement les geeks et informaticiens, tous les corps de métier sont affectés par cette problématique. L’espionnage, l’impact est moindre, on ne s’en rend pas forcément compte. Mais les ransomwares, il y en a partout dans le monde.
Quand j’ai écrit mon premier livre, on parlait vraiment à une niche. Aujourd’hui, le terme est compris par tout le monde.
Sébastien Larinier : C’est aussi le cas du terme virus informatique, avec le traitement médiatique, les nombreux reportages… Avant de parler de cybersécurité, on parlait de sécurité informatique. Fin 2000, début 2010, on a commencé à utiliser cyber à toutes les sauces. Mais en soi, cela fait longtemps que les Etats en font. Il y a tellement de métiers dans la sécurité informatique… Dans le livre, on en dépeint qu’une petite partie.
PR : Vous avez beaucoup d’ouvrages qui parlent du pentest par exemple, test d’intrusion en français, qui est une vision offensive de la cybersécurité. Le but est de faire des attaques contrôlées, voir comment on s’en protège. Notre livre est plus sur l’aspect défensif et l’aspect malware. La cybersécurité c’est très vaste et le terme est vague.
ENI : Il a été beaucoup question de cybersécurité ces derniers temps en France. Ce sont les mêmes préoccupations dans tous les pays ?
PR : Il y a des gros blocs, logiques, géographiques et historiques. Les pays de l’Ouest auront des problématiques bien à eux et idem pour les pays de l’Est. Et cela sera différent en Asie.
On n’utilise pas l’informatique de la même manière partout. Par exemple, dans les pays riche comme à l’Ouest, le taux d’iPhone est énorme. En Afrique ou en Chine, ce ne sera que du Android. Du coup, les attaquants utiliseront eux aussi des outils différents.
Quant aux campagnes d’espionnage, c’est pareil, on n’espionne pas partout pareil dans le monde.
ENI : Dans le livre, vous évoquez le mobile, Android comme iOS. C’est un nouveau monde ?
PR : Plus vraiment en 2022 ! Nous avons fait deux chapitres dédiés aux malwares sur mobile, un sur Android, un sur iOS. Car plus les gens utilisent une technologie, plus les attaquants y passeront du temps. Leur but c’est de compromettre des gens, soit de manière très précise soit tout un ensemble de personnes. Et vu le nombre d’utilisateurs de mobile, il était inévitable que les attaquants ciblent ces plateformes.
ENI : Quelles sont les principales menaces pour les entreprises et administrations françaises ?
SL : On a beaucoup parlé du ransomware. C’est quelques chose de quantifiable car cela paralyse des infrastructures, des services. Il y a un impact direct dans la vie des gens. Donc cela se voit. L’espionnage, c’est plus compliqué car il faut détecter l’attaque puis qualifier la méthode.
Il y a des domaines où on voit bien l’idée, à des fins industrielles, politiques ou économiques. Mais parfois on n’a pas la réponse, cela vient plus tard avec des arrestations, des documents ou des discours politiques… Alors que pour le ransomware, cela finit souvent dans la Presse.
PR : La plupart du temps, il y a toujours quelqu’un pour parler d’une entreprise qui s’est fait piéger. Dans l’espionnage, il faut parfois plusieurs années pour savoir qu’un malware est là à espionner.
SL : Les ransomwares, il y a un aspect palpable. L’espionnage, comme à l’ancienne, il y a la notion de furtivité. Mais les deux menaces existent, l’une est juste plus visible que l’autre.
Les gangs qui utilisent des ransomwares veulent un impact fort et visible car plus ce sera le cas, plus la rançon demandée sera importante. Et vu les données critiques qui peuvent être ciblées, dans beaucoup de cas on paie la rançon. C’est la même logique qu’une prise d’otage. On a beau dire que l’on ne paie pas, si ça devient vital, on va payer.
Et puis il y a un effet de mode sur certaines techniques ou vulnérabilités. C’est un autre pan de la cybersécurité, le vulnerability management et le patch management, qui sont primordiaux.
Cybersécurité : la professionnalisation des attaquants
ENI : Vous évoquez les Etats, les grandes entreprises, mais est-ce la même chose pour les plus petites structures ?
PR : En termes d’espionnage non, il y a peu d’intérêt à surveiller le pizzaiolo !! Par contre, pour les ransomwares et autres, tant qu’il y a de l’argent, les criminels y vont.
SL : C’est beaucoup d’opportunisme. La différence c’est la somme demandée.
PR : Et pour cibler les grosses entreprises, les attaquants n’hésitent pas à s’en prendre à leurs fournisseurs, qui peuvent être de petites entreprises. Surtout si vous avez des connexions réseaux. Ils ciblent les maillons les plus faibles. J’ai souvent entendu « mais pourquoi moi ». Mais certains ne se rendent pas compte de l’intérêt pour l’attaquant.
SL : Il suffit d’être le fournisseur d’une société intéressante. Il y a eu un cas avec Solarwind, qui est certes une grosse société. Ils fabriquent des sondes réseaux pour les départements de sécurité américains mais un groupe a compromis leur système de mise à jour et ils ont pu mettre un pied dans le réseau et exfiltrer des données, même dans des endroits où, a priori, il n’y a pas Internet ! C’est ce qu’on appelle les attaques par Supply chain.
ENI : Revenons aux malwares. Quelle sont les récentes évolutions en termes techniques ?
PR : La nouveauté, c’est que les attaquants utilisent tous les nouveaux langages qui peuvent sortir, du Rust, du Go par exemple… Et la difficulté est que l’on a peu d’outils car ces langages sont récents.
Aujourd’hui, énormément d’attaquants utilisent le même malware, Cobalt Strike. Sur le mode opératoire, cela continue toujours un peu pareil. Les bonnes vieilles méthodes fonctionnent donc pourquoi changer ! Mais les attaquants vont désormais vite, ils savent ce qu’ils cherchent. Il y a une professionnalisation, des personnes comme des procédures, comme dans n’importe que métier. C’est une tendance forte des derniers mois voire années.
SL : Comme la défense est de plus en plus mature, les attaquants sont de plus en plus pointus. Les outils sont nombreux et professionnels, même des outils Open Source. Et il y a des objectifs précis derrière, financiers ou autres.
ENI : Il est donc nécessaire de recruter des experts et de prévoir des budgets dans les entreprises pour la cybersécurité ?
PR : C’est le discours que nous avons avec Sébastien depuis 10 ans mais je pense que les attaquants avec les ransomwares ont fait plus que nous en deux ans !
SL : Une chose a beaucoup changé en 10 ans, c’est la prise en compte dans les budgets des entreprises à la fois du matériel et des experts nécessaires à la sécurité.
Il y a aussi une petite musique qui change, le tout automatisé ne fonctionne pas. Il faut des gens qui savent ce qu’ils font derrière les consoles. Et c’est assez neuf. Il y a besoin d’automatisation vu la quantité d’attaques qui peuvent survenir mais il y a ce besoin d’expertise. Un étudiant en cybersécurité aujourd’hui, quel que soit son domaine, n’aura pas de mal à trouver du travail. Dans les écoles comme dans les entreprises, le besoin est identifié. Mais on ne forme pas assez.
ENI : Et l’IA dans tout ça ?
SL : Elle résout des soucis mais il faut savoir la comprendre. Dans mon labo, nous participons à des projets européens sur ces questions et, de plus en plus, on stipule qu’il faut de l’IA collaborative. L’humain doit comprendre ce que fait l’IA et inversement. Pour l’instant, c’est une aide mais le souci, c’est le marketing autour, on veut vendre des solutions magiques qui vont tout résoudre avec le moins de moyens humains possibles mais ça ne fonctionne pas.
« Il faut sensibiliser les salariés »
ENI : Toutes les situations sont spécifiques mais existe-t’il des grands principes pour se prémunir des menaces informatiques ?
PR : Il y a des choses générales en effet que l’on répète là encore depuis des années. Cela peut paraître ridicule mais le premier conseil c’est « mettre à jour ».
Il faut aussi former, sensibiliser les salariés. Montrer les risques d’ouvrir une pièces jointe malveillante.
Rien qu’avec ces deux éléments, on a déjà beaucoup. Il y a des centaines de choses à faire mais les deux plus simples et avec le meilleur « retour sur investissement », ce sont ces deux éléments là. Evidemment, ne pas mettre « mot de passe » comme mot de passe et en avoir des différents à chaque fois est à répéter également.
SL : Pour les professionnels, c’est dans le développement des solutions logicielles qu’il faut prendre en compte la sécurité dès le début. C’est plus compliqué car avoir des développeurs qui développent correctement tout en travaillant l’aspect sécurité, cela prend du temps et coûte de l’argent.
Mais moins il y a de vulnérabilités dans ce que l’on met sur Internet, plus on rend la tâche de l’attaquant difficile.
PR : Dans le monde du ransomware, parmi les différentes cibles, l’attaquant va privilégier les plus faibles. Il faut donc leur mettre des bâtons dans les roues pour qu’il aille voir ailleurs.
ENI : Il y a tout un chapitre sur le Reverse engineering. Pouvez-vous nous décrire cette pratique et son intérêt en matière de cybersécurité ?
PR : On l’utilise peu mais le mot français c’est rétro-conception. Les malwares sont des fichiers dont on n’a pas le code source. Si vous voulez comprendre ce que fait ce binaire, quel type de fichier il essaie de voler, etc., vous n’avez pas le choix, il faut le décompiler pour récupérer le code assembleur. C’est ce qui est lu par votre CPU.
Le Reverse engineering est un domaine compliqué. On revient 20-30 ans en arrière puisqu’on doit donc se plonger dans ce langage. L’intérêt c’est de comprendre ce qu’il s’est passé. Ce n’est pas inaccessible mais cela demande du temps si on n’a pas l’habitude. C’est un langage que l’on apprend plus à l’école.
ENI : La France a présenté son plan Cybersécurité pour 2023 il y a peu. Globalement, que pensez-vous de la situation du pays ?
PR : Je suis très pragmatique : plus on met de l’argent sur la table, plus on forme, plus les choses vont avancer. Par rapport à certains, on en est en avance et en retard comparé à d’autres. Mais historiquement, la France n’est pas une nation technique. Aux USA, qui est un à l’opposé, tous les techniciens sont mis sur un pied d’estale. Avec ces plans-là, j’espère que les choses vont changer. Et l’autre difficulté sera de garder les gens formés.
SL : Sur certains projets annoncés, il y a des choses utiles car cela répond à des besoins spécifiques comme avec la plateforme pour la gendarmerie. Le souci est que l’on essaie de résoudre des problèmes par l’outil, la technique mais il manque le volet humain, la formation. Est-ce parce que l’on manque de personnes qualifiées que l’on choisit cette réponse « simple » ?
Car si on forme des gens, les retombées seront dans 5-10 ans et c’est un temps trop long pour les politiques. Donc on n’en parle pas vraiment.
PR : Imaginons que l’on met 1 million d’euro pour développer un projet. Si les gens qui le développent ne sont pas compétents, l’outil sera vulnérable.
SL : Dans l’aviation, les gens qui travaillent sur ce type de projet sont des experts, tous à leur niveau. C’est pour cela que ça fonctionne. Ce n’est pas encore pareil dans l’informatique.
ENI : Pour vous Sébastien, c’est votre premier livre. Comment l’avez-vous vécu ?
SL : J’avais déjà écrit des articles techniques et académiques mais ce n’est pas du tout le même exercice. C’est plus intense et prenant. Avec Paul, nous avons l’habitude de travailler ensemble et pour ce premier livre son expérience d’auteur a été utile. On ne se rend pas compte de la quantité de travail.
C’est une expérience que j’ai adorée. J’ai appris à structurer mon propos dans ce cadre, à synthétiser ce que l’on fait habituellement de manière automatique, dans notre jargon. Là, nous avons vulgarisé tout en allant loin dans le détail. Nous sommes contents du résultat. À tel point que je vais m’en servir pour mes cours.
Paul RASCAGNERES, tout au long de sa carrière, a créé en Europe diverses équipes de réponses à incidents, il a également réalisé de nombreuses analyses de codes malveillants complexes pour un éditeur d’anti-virus. Il travaille aujourd’hui dans une équipe de Cyber Threat Intelligence, au sein de laquelle il a pour mission l’analyse de malwares lors d’incidents de sécurité ou lors de projets de recherche. Il participe également activement à la communauté anti-malware et est l’auteur de nombreuses publications. Conférencier à l’international (Europe, Asie, Amérique) sur l’analyse de malwares, il partage dans ce livre ses connaissances dans ce domaine de la sécurité.
Sébastien LARINIER a commencé sa carrière dans les équipes de SOC à faire de la détection d’intrusion et a créé le CERT Sekoia. Aujourd’hui Enseignant-chercheur à l’ESIEA et consultant indépendant en Threat Intelligence, il contribue à de nombreux projets open source comme MISP et Yeti. Il est également auteur de nombreux articles, conférencier à l’international et enseignant sur l’analyse de malwares, l’investigation numérique et la Cyber Threat Intelligence à l’ESIEA.
Pour aller plus loin
Livre
Détection, analyse et Threat Intelligence (4e édition)
Coffret
Attaques, menaces et contre-mesures (3e édition)
Livre
De l’attaque à la défense du système d’information
Vidéo
Les bonnes pratiques pour l’utilisateur
POUR LES ENTREPRISES
Découvrez nos solutions de formation pour vos équipes et apprenants :
En e-learning avec
notre offre pour les professionnels
