Un espion se repose de ses aventures en buvant un cocktail après avoir ingénieusement déjoué la sécurité du quartier général de ses ennemis et dérobé des documents confidentiels. C’est ce que font les espions dans les films. Dans le monde réel, ils utiliseraient plutôt un clavier.
L’espionnage consiste à collecter des informations. Lorsque les informations étaient toujours écrites sur du papier, un espion devait physiquement se déplacer pour les voler. Aujourd’hui, les informations sont des données qui résident sur des ordinateurs et des réseaux. L’espionnage moderne utilise donc souvent des logiciels malveillants. Les cyberespions utilisent des chevaux de Troie (« trojans » et des portes de service « backdoors ») pour infecter les ordinateurs de leurs cibles, et accéder aux données depuis l’autre bout du monde.
Qui investit dans l’espionnage ? Les entreprises et les nations. Lorsque les entreprises y ont recours, cela s’appelle de l’espionnage industriel. Lorsque les nations y ont recours, c’est tout simplement de l’espionnage.
Dans la plupart des cas, les attaques sont effectuées par courrier électronique vers des individus soigneusement sélectionnés, un seul individu ou des entreprises. Les cibles reçoivent ce qui ressemble à du courrier électronique ordinaire avec un document en pièce jointe, provenant souvent d’une personne qui leur est familière. En réalité, la totalité du message est une contrefaçon. Les coordonnées de l’expéditeur du message sont contrefaites, et le document joint, apparemment sans danger, contient le code de l’attaque. Si le destinataire ne réalise pas que le message est une contrefaçon, l’attaque passera inaperçue.
Des fichiers programmes tels que les fichiers EXE de Windows ne passant pas au travers des pare-feux et des filtres, les cybercriminels utilisent donc couramment des fichiers PDF, DOC, XLS et PPT comme pièce jointe. Ils ont également plus de chances d’être reconnus comme étant des documents sans danger par les destinataires. Dans leur forme habituelle, ces types de fichiers ne contiennent pas de code exécutable binaire ; les cybercriminels exploitent donc les vulnérabilités d’applications telles que Adobe Reader et Microsoft Word pour infecter l’ordinateur.
La structure de ces fichiers d’attaque a été délibérément modifiée pour entraîner le disfonctionnement de l’application de bureautique utilisée pour les ouvrir, et exécuter simultanément le code binaire situé à l’intérieur du document. Ce code crée habituellement deux nouveaux fichiers sur le disque dur et les exécute. Le premier est un document sain qui s’ouvre à l’écran de l’utilisateur et détourne son attention du disfonctionnement.
Le second est une porte de service (« backdoor ») qui se lance immédiatement et se cache dans le système, souvent à l’aide de techniques de rootkits. Il établit une connexion depuis l’ordinateur infecté vers une adresse réseau spécifique située quelque part dans le monde. Avec l’aide de cette porte de service, le cybercriminel accède aux informations situées sur l’ordinateur cible, ainsi qu’aux informations situées dans le réseau local auquel la cible accède.
Les attaques utilisent souvent des programmes de porte de services tels que Gh0st RAT ou Poison Ivy pour surveiller leurs cibles à distance. De tels outils leurs permettent d’effectuer toutes les opérations qu’ils souhaitent sur la machine cible, y compris enregistrer les frappes au clavier pour collecter des mots de passe, et un gestionnaire de fichiers distant pour rechercher des documents au contenu intéressant. Les cybercriminels espionnent parfois leur cible en contrôlant le microphone de l’ordinateur infecté à distance.
Je surveille les attaques ciblées depuis qu'elles ont été observées pour la première fois en 2005. Les cibles sont de grandes entreprises, des gouvernements, des ministères, des ambassades et des associations à but non lucratif, telles que celles qui font campagne pour la liberté du Tibet, soutiennent les minorités en Chine ou représentent la religion Falun Gong. Il serait facile de pointer du doigt le gouvernement chinois. Mais nous n’avons pas de preuve. Personne ne peut prouver avec certitude l’origine de ces attaques. En fait, nous devons considérer que plusieurs gouvernements s’adonnent aux mêmes attaques.
Il est également clair que ce que nous avons vu jusqu’à présent n’est que le début. L’espionnage en ligne ne peut que devenir un outil important de collecte d'informations dans le futur. La protection contre de telles attaques peut s’avérer très difficile.
La méthode la plus efficace pour protéger des données contre le cyberespionnage consiste à traiter les informations confidentielles sur des ordinateurs dédiés non connectés à Internet. Les infrastructures vitales devraient être isolées des réseaux publics. Mais isolation ne signifie pas pare-feu : cela signifie déconnexion. La déconnexion est pénible, compliquée et onéreuse, Mais elle est également la solution.
[ Mikko Hyppönen, Directeur des Laboratoires de recherche chez F-Secure ]
|
