De nombreux experts estiment que la première cyber-guerre est déjà bien entamée. Il ne s’agit pas exactement une «guerre froide», au sens où la génération précédente l’entendait. Les dommages sont déjà considérables et s’évaluent en milliards de dollars et l’intention hostile des pirates, souvent parrainés par les États, est évidente. Dans le même temps, les organisations, tant publiques que privées, ne se mobilisent pas contre la menace constituée par le cyberterrorisme, et la cyber-sécurité ainsi que la cyber-résilience restent majoritairement négligées au plus haut niveau.
Le cyberterrorisme, c’est quoi?
Selon le dictionnaire Larousse, le cyberterrorisme fait référence à l’ensemble des attaques graves (virus, piratage, etc.) et à grande échelle des ordinateurs, des réseaux et des systèmes informatiques d’une entreprise, d’une institution ou d’un Etat, commises dans le but d’entraîner une désorganisation générale susceptible de créer la panique.
Une caractéristique commune est le caractère le plus souvent politique ou idéologique de ces cyber-attaques. Ces attaques peuvent être perpétrées à la fois par des Etats, des groupes de personnes, des organisations, voire des individus isolés.
Alors le cyberterrorisme, ça existe vraiment?
Le cyberterrorisme existe bel et bien et de nombreux exemples sont là pour nous le démontrer quotidiennement depuis plusieurs années.
En effet, le cyberterrorisme n’est pas un fantasme, et l’Estonie s’en souvient. En 2007, la petite République ex-soviétique devenue hyperconnectée a été visée par une importante cyberattaque qui a bloqué les réseaux informatiques des services publics, mais aussi des banques et de tous les systèmes connectés. Le pays est resté paralysé plusieurs jours.
Plus récemment, en France, juste après la fusillade meurtrière de « Charlie Hebdo », plus de 25.000 sites internet français ont été attaqués par des hackers islamistes. Ces attaques ont, pour la plupart, consisté à remplacer la page d’accueil par un message haineux.
Plus récemment encore, souvenons-nous de l’attaque de TV5 Monde qui a eu lieu le 8 Avril 2015 et qui était en cours de préparation depuis janvier. Six mois plus tard, TV5 Monde ne s’est pas encore complètement remise de cette attaque dont le coût estimé sur France Info, en Juillet 2015, lors d’une interview de Yves Bigot, directeur général de TV5 Monde, s’évalue d’ores et déjà entre 4,3 et 5 millions d’Euros pour l’année 2015 et environ 11 millions d’Euros pour les trois prochaines années.
Petit retour sur la cyberattaque qui a affecté TV5 Monde (source France Info) :
Le 8 avril 2015, TV5 Monde, la chaîne de télévision Française qui émet dans 200 pays, est victime d’une cyberattaque de grande envergure. Les pirates se revendiquent de l’organisation de l’Etat islamique. Au siège parisien de la chaîne, Yves Bigot enregistre un message avec les moyens du bord qu’il diffuse ensuite sur youtube. « Ce piratage a conduit l’ensemble de nos 11 chaînes à virer à l’écran noir et nous avons perdu dans le même temps le contrôle de nos réseaux sociaux et de nos sites internet. L’ensemble de nos équipes travaillent d’arrache-pied pour rétablir les programmes auxquels vous êtes habitués« .Après huit heures d’interruption, les programmes de TV5 Monde seront finalement rétablis le lendemain matin. Selon les premiers éléments de l’enquête, la cyberattaque avait été amorcée dès le mois de janvier 2015, avec l’envoi de faux mails aux personnels de la chaîne, utilisant une technique bien connue d’ingénierie sociale: l’hameçonnage (phishing) permettant aux pirates de s’immiscer dans le système informatique. En juillet 2015, soit trois mois et demi après, les 400 salariés de TV5 Monde étaient toujours dans l’impossibilité de travailler normalement, selon Yves Bigot, invité sur France Info :
« Nous vivons toujours sans wifi, sans pouvoir utiliser de skype ou scanner de document car nous ne pouvons toujours pas nous reconnecter au réseau internet. Il faut attendre que l’agence nationale de sécurité des services d’information finissent ses analyses et que nous construisions la nouvelle architecture de diffusion qui nous protege au maximum. Ce signifie que l’on travaille un peu comme si nous étions les naufragés de ‘Lost’« .
Les règles de sécurité informatique ont dû être renforcées avec des mots de passe beaucoup plus complexes et modifiés fréquemment. « C’est le coût de la survie de TV5 Monde, » justifiait Yves Bigot, « car les statistiques montrent que 90% des entreprises frappées par ce type d’attaque ferment dans les 2 ans qui suivent. Nous, nous ferons partie des 10 qui survivront, fort heureusement. Mais cela va nous demander un certain nombre d’astreintes« .
Et le Directeur Général de conclure espérer un retour à un fonctionnement normal de la chaîne à la rentrée 2015, soit après plus de 6 mois…
Qui se cache derrière le cyberterrorisme?
Le cyberterrorisme peut être l’oeuvre de n’importe qui. Les piratages cités précédemment sont relativement simples et ont occasionné des dommages limités. Ils se sont revendiqués parfois de soutiens à l’Etat islamique (Daech). A priori, ce sont pour l’instant de petites structures de pirates mais la question est de savoir comment elles vont évoluer. Il peut aussi s’agit, dans certain cas, de cyber-terrorisme d’état.
Aujourd’hui il est clairement plus simple et moins dangereux de lancer une cyber-attaque terroriste qu’une attaque physique telle que nous les connaissons à l’image de la fusillade de Charlie Hebdo ou celle du Pardo à Tunis. Un petit groupe d’individus, dissimulés derrière Internet sont capables de perpétrer des dégâts majeurs en utilisant seulement des connaissances en informatique.
Les objectifs très ciblés permettent d’avoir un effet important, à un moment donné. Par exemple, si un système radar qui sert à faire décoller des avions nous gêne pour une opération dans une zone, c’est mieux de pouvoir l’éteindre à distance que de lâcher une bombe. En 2008, l’explosion d’un pipeline en Turquie serait due à un piratage informatique, fomenté par la Russie dans une bataille pour l’énergie, rapporte Bloomberg. Dans le cas de TV5 Monde, la piste des hackers russes a également été avancée pour expliquer la cyberattaque. Mais les investigations n’ont permis de déterminer ni l’origine géographique de l’attaque, ni le nombre de pirates.
Quels sont les risques véritables?
Aujourd’hui, les groupes terroristes ont de l’argent et peuvent s’en procurer beaucoup plus en ciblant des banques par exemple. La manne peut être quasi illimitée . Il n’y a qu’un pas pour qu’ils se munissent de cyber-armes, surtout qu’il n’y a pas besoin de beaucoup de moyens humains pour les utiliser, quelques dizaines de personnes suffisent pour lancer une attaque massive.
Si certains chercheurs sont capables de prendre le contrôle d’une voiture et de faire s’emballer le moteur pour qu’il explose, alors il n’y a pas de raison pour qu’ils ne puissent pas faire la même chose avec des armes ou des engins militaires.
Un récent rapport de Think Tank Britannique Chatham House (La cyber-sécurité des installations nucléaires civiles: comprendre les risques) met en évidence que les installations nucléaires sont de plus en plus dépendantes des « systèmes numériques, des logiciels commerciaux standards et de la connectivité à Internet», et deviennent donc « plus sensibles à une cyber-attaque « .
Cette sensibilité accrue s’accompagne en toile de fond du « potentiel d »émission de rayonnements radio-actifs ».
De plus, il apparaît totalement improbable que le secteur nucléaire divulgue ce type d’incidents de cyber-sécurité en raison de « sensibilités en matière de sécurité nationale … conduisant le personnel de l’industrie nucléaire à sous-estimer le risque de cyber-attaque.«
En outre, étant parmi les plus récents à adopter les technologies numériques « l’industrie nucléaire dans son ensemble fait actuellement face à des difficultés d’adaptation » et il existe un flagrant «manque de prise de conscience au niveau exécutif des risques encourus« .
Parmi les résultats spécifiques de ce rapport figure le fait que de nombreuses installations nucléaires utilisent maintenant des VPNs et des connexions Internet non documentées, ce qui signifie qu’elles ne sont aussi étanches que les exploitants l’imaginent, et que même là où l’étanchéité est garantie, « cette garantie peut être violée avec un simple lecteur de mémoire flash ».
- Centrale nucléaire d’Ignalina (Lituanie – 1992) – Un technicien « introduit intentionnellement un virus dans le système de contrôle industriel … dans le but de mettre en évidence les vulnérabilités en matière de cybersécurité de ce site ». La centrale a été fermée en 2009
- Centrale nucléaire de Davis-Besse (Ohio – 2003) – Le ver Slammer a infecté le système de supervision de contrôle et d’acquisition de données, et désactivé le système d’affichage des paramètres de sécurité pendant près de cinq heures.
- Centrale nucléaire de Browns Ferry (Alabama – 2006) – Un dysfonctionnement des deux pompes de recirculation du réacteur et du contrôleur de condensation conduisaient à l’arrêt manuel de l’Unité 3 pour éviter la fusion du réacteur.
- Centrale nucléaire de Hatch (Georgie – 2008) – L’installation d’une mise à jour logicielle sur le réseau de gestion de la centrale, par un ingénieur, provoque la réinitialisation du système de commande de la centrale pour permettre la resynchronisation des deux systèmes entraînant des dysfonctionnements du système de refroidissement et conduisant à arrêt automatique de l’Unité pendant 48 heures.
- Site nucléaire de Natanz et centrale de Bouchehr (Iran – 2010) – Le ver Stuxnet, probablement transmis par des clés USB infectées, endommage deux installations nucléaires en Iran, « détruisant partiellement autour de 1.000 centrifugeuses à Natanz« . Un site russe dont le nom reste secret a également été affecté par Stuxnet à peu près en même temps.
- Réseau commercial de Korea Hydro & Nuclear Power Co. (Corée du Sud – 2014) – Utilisant un email d’hameçonnage (phishing), les pirates ont pu accéder au réseau commercial de la société qui exploite 23 réacteurs nucléaires en Corée du Sud. Les plans et les manuels de deux réacteurs ont été volés et divulgués via Twitter, accompagnés de demandes de rançon, en exigeant que l’entreprise ferme trois de ses réacteurs.
Sans vouloir paraître inutilement alarmiste, il est important d’avoir conscience que l’éventualité d’un accident nucléaire dû à l’absence, volontaire ou pas, de mise en œuvre des contrôles de cyber-sécurité appropriées existe bel et bien, et que la menace augmente considérablement comme le révèle DELL, dans son rapport annuel sur les menaces de sécurité publié en Mai 2015, montrant que les attaques contre les infrastructures essentielles – y compris les installations nucléaires – ont doublé en l’espace d’un an.
Alors, que peut-on faire?
Yukiya Amano, directeur de l’Agence Internationale de l’Energie Atomique (AIEA), a déclaré lors la première conférence internationale de l’AIEA en juin dernier :
Les ordinateurs jouent un rôle essentiel dans tous les aspects de la gestion et de l’exploitation sûre et sécuritaire des installations nucléaires, y compris le maintien de la protection physique. Il est extrêmement important que tous ces systèmes soient correctement protégés contre les intrusions malveillantes.
La menace cyberterroriste touche aujourd’hui toutes les organisations, et pas seulement les installations nucléaires. Le secteur des banques, de la finance, militaire, aéronautique, du transport, et bien d’autres sont particulièrement à risque.
Les failles de sécurité dans les logiciels « sur étagère » du commerce, dans les plates-formes CMS, dans les applications et les plugins sont continuellement découvertes et exploitées par les pirates criminels opportunistes qui s’appuient sur des outils de scan automatisé pour identifier les cibles. Cela signifie que toute organisation connectée à Internet est à risque. Quel que soit votre secteur d’activité, combler les lacunes en matière de sécurité et corriger les vulnérabilités dès qu’elles sont connues est essentiel pour garder vos réseaux sécurisé et vos informations d’entreprise toute sécurité.
L’implémentation de contrôles de sécurité performants et d’un Système de Management de la Sécurité de l’Information (SMSI) basé sur ISO 27001 vous seront sans aucun doute d’un grand soutien, mais il est tout aussi important de sensibiliser vos personnels (et pas seulement les informaticiens) sur les risques et les mesures de sécurité qui doivent être respectées par chacun et de planifier la continuité business de votre entreprise grâce à des référentiels de cyber-résilience tels que RESILIA, le guide de bonnes pratiques de cyber-résilience publié récemment par AXELOS®.
N’oubliez jamais que de nombreuses attaques opportunistes pourraient facilement être évitées grâce à une bonne gestion de votre sécurité. Si vous vous sentez préoccupé par la vulnérabilité de votre organisation aux cyber-attaques, AB Consulting vous propose un ensemble de services sur mesure et nous vous recommandons d’utiliser un test de pénétration pour évaluer votre vulnérabilité afin que des mesures puissent être prises. Nous vous proposons également une gamme de formations accréditées et certifiantes notamment sur les référentiels RESILIA (Sensibilisation, Foundation et Practitioner) ainsi que sur ISO 27001 (Foundation, Practitioner et Lead auditor), ISO 27002 (Foundation et Advanced) et ISO 27005 (IT Risk Manager).
N’hésitez pas à poster vos commentaires et vos questions.