10 janvier, 2022

Comment le contre-espionnage sensibilise les entreprises aux attaques informatiques

La direction du renseignement et de la sécurité de la défense s’appuie sur Centaure, une plateforme de démonstration d’attaques informatiques, pour mieux sensibiliser les acteurs de l’armement à leur cybersécurité.

 

LIEN DE L’ARTICLE : L’USINE DIGITALE

Mieux vaut prévenir que guérir. Parce qu’il est toujours compliqué pour une victime de se dépêtrer d’une attaque informatique, la direction du renseignement et de la sécurité de la défense mène des actions de sensibilisation auprès de l’armement français. Soit pas moins de 4000 entreprises et 2000 structures publiques de recherche d’intérêt défense. Et pour mieux convaincre, ce service de renseignement chargé de la contre-ingérence a mis au point il y a environ cinq ans une plateforme de démonstration, Centaure, qui vient seulement d’être dévoilée à la presse.

Concrètement, cet outil se matérialise simplement sous la forme de deux ordinateurs, l’un de l’attaquant, l’autre à la victime. Grâce à la projection des écrans, cela permet de montrer en temps réel comment des attaques informatiques peuvent se produire. L’exercice reste assez théorique : on ignore les défenses informatiques de la cible, les fichiers sensibles sont rangés dans un dossier “important” bien visible sur le bureau virtuel et les modalités techniques sont très largement passées sous silence. Mais qu’importe, l’objectif est d’abord pédagogique. Il s’agit de montrer à des membres de comité exécutif, des ingénieurs ou des agents dans les ressources humaines qu’une attaque informatique arrive très vite après quelques clics malencontreux.

PRÉVENTION ET CURATION DE CYBERATTAQUES
Cette action de prévention, déclinée sous la forme de sensibilisations et d’inspections, est l’un des deux piliers de la mission de lutte informatique défensive de la DRSD, basée au fort de Vanves, à quelques kilomètres de Paris. Outre ce travail de prévention, ce service de contre-ingérence qui compte 1550 agents intervient également dans l’analyse de cyberattaques, de soutien à la remédiation et la reprise d’activité. Le service est également impliqué dans la mise sur pied, avec l’Anssi, le cyberpompier de l’État, et le Comcyber, le commandement de la cyberdéfense français, d’une capacité de veille et de réponse aux incidents cyber.

Avec Centaure, les agents de la DRSD peuvent marquer les esprits en jouant sur une palette de scénarios d’attaques, tous issus de cas réels constatés par le service. Dans le premier scénario présenté, l’attaquant a ciblé la représentante commerciale d’une entreprise du secteur de la défense. Au cours d’un salon professionnel, elle reçoit une clé usb piégée. C’est en fait une clé Rubber ducky. Cet outil très connu, l’un des “plus puissants disponibles sur le marché,” selon la société de cybersécurité Advens, permet à l’attaquant de se simuler la présence d’un clavier. Et donc lancer des commandes pour prendre le contrôle du poste informatique.

Dans cet exemple, l’attaquant a utilisé la clé piégée pour copier vers sa cible des images compromettantes de stupéfiants ou de sexe. “La personne visée va peut-être passer un sale quart d’heure lors de son prochain passage à la douane”, suggère l’une des agents du service de contre-ingérence.

LES RANÇONGICIELS, L’UNE DES PRINCIPALES MENACES
Assez classiquement, le second scénario de sensibilisation présenté par la DRSD tourne autour de l’attaque par rançongiciel, l’une des principales menaces déplorées par le service de contre-ingérence. Ici, c’est une secrétaire d’une société qui est visée, avec une pièce-jointe alléchante : le planning des congés à venir. L’ouverture du fichier vérolé entraîne l’extinction de l’ordinateur cible. A son redémarrage, ce dernier affiche en page d’accueil une demande de rançon, signe que le rançongiciel maison développé par la DRSD s’est bien activé.

Enfin, le troisième scénario d’attaque s’appuie sur un outil d’accès à distance (remote access tool) détourné à des fins malveillantes. L’attaquant a repéré un échange sur les réseaux sociaux de membres de l’entreprise cible, qui échangent à propos d’articles du code civil. Dans un mail où il usurpe dans l’en tête l’adresse d’une personne de cette société, l’attaquant envoie un fichier word contenant justement différents articles de ce code.

Un vrai document, que l’on peut ouvrir et consulter, mais qui contient une macro, soit une série de commandes et d’instruction qui va permettre de prendre le contrôle du poste visé. Avec dès lors un panel assez large d’actions possibles : activation de la caméra, du micro, récupération des mots de passe, ou encore activation d’un keylogger, un enregistreur de frappe du clavier.

GADGETS D’ESPIONNAGE
Les opérations de sensibilisation du service de contre-ingérence ne s’arrêtent toutefois pas à Centaure. Les contre-espions ont toute une série de gadgets électroniques à présenter, comme ce petit boîtier, de la taille de deux sucres, qui peut enregistrer et transmettre des conversations pendant huit heures. Ou comme cette anodine bouteille d’eau qui dissimule, sous son emballage, un capteur vidéo.

Reste un dernier outil dans la palette des agents de la DRSD : un film vidéo qui présente quatre scénarios d’attaques d’entreprises du secteur de la défense. Le premier montre un attaquant qui usurpe l’identité d’un ancien administrateur système pour envoyer à sa cible une charge virale dissimulée dans un document de sensibilisation – ici le guide actualisé de l’Anssi sur les recommandations liées au télétravail.

On découvre également comment la création de faux profils linkedin peut aboutir à l’envoi d’un cv piégé. Ou comment, après l’achat d’une base de données qui a fuité sur internet, on peut retrouver facilement des mots de passe à partir de leur empreinte grâce à l’outil Search-that-hash. Et pourquoi il faut se méfier des SMS piégés, ici un lien vérolé chromopost à l’orthographe très proche du (vrai) service de livraison Chronopost.

Autant de rappels, certes bien connus des spécialistes, bienvenus alors que la menace cyber est toujours aussi forte. En témoigne la revendication récente d’un affidé du rançongiciel LockBit 2.0 d’une cyberattaque contre Thales. Une allégation que le groupe d’électronique et de défense juge infondée pour le moment d’après ses investigations en cours.