Apprendre de ses erreurs

No Comments

Ces derniers temps, NotPetya a fait couler beaucoup d’encre. Mais les analyses pertinentes ne sont pas légion, ce qui est un peu désolant, car cela montre qu’au-delà du sensationnel, tous les neurones semblent anesthésiés lorsqu’il s’agit d’analyser des faits cyber.

Heureusement, un article de Libération fournit des éléments d’appréciation intéressants. Ou décourageants, c’est selon, tant il est vrai qu’apprendre de ses erreurs est difficile, y compris en matière cyber.

Source

Il parait qu’il y a eu un avant Struxnet et un après Stuxnet. Un avant TV5 Monde et un après TV5 Monde. Un avant *** et un après *** (que chacun substitue aux étoiles ce qu’il veut).

En fait on se rend compte qu’il n’y a d’avant incident et d’après incident au mieux que pour ceux qui l’ont vécu. Et encore. Souvenons-nous des mots de passe de TV5 Monde affichés en direct à la télé, quelques temps après l’attaque « sans précédents », forcément.

De quoi s’agit-il cette fois ?

De l’Ukraine, encore une fois.

Pourquoi encore une fois ? Parce qu’après les cyberattaques visant sa fourniture d’électricité de décembre 2015 et décembre 2016 (y en a-t-il une en préparation pour décembre 2017, les paris sont ouverts), l’Ukraine semble avoir été la cible principale de NotPetya (appelez-le comme vous voulez…), le célèbre vitrier français n’en étant qu’une victime collatérale, quand bien même son chiffre d’affaires en a subi de fâcheuses conséquences. De ce point de vue (peut-être le seul), le cyber ressemble au nucléaire : une fois qu’on  a frappé, on ne maîtrise pas les retombées. C’est ainsi que Stuxnet a frappé l’Air Liquide…

Revenons à nos moutons.

Le 27 juin est le jour de lancement de NotPetya. C’est aussi le jour où quelques hauts responsables ukrainiens sont passés de vie à trépas dans un mouvement d’ensemble d’une spontanéité époustouflante.

Avec les premières analyses, tout le monde autorisé s’est gaussé de l’amateurisme des attaquants, qui se faisaient payer une misère pour un rançongiciel dont l’adresse pour verser des bitcoins a été rapidement neutralisée. « Des idiots » nous fut-il dit d’autant plus doctement que celui qui proférait ces paroles était (in)expert dans le domaine.

Encore que. « L’impact est rapidement visible. Des banques et des magasins ferment, le métro de Kiev ne peut plus accepter les paiements par carte bancaire, les bureaux de Poste ne fonctionnent pas. A l’aéroport de Boryspil, les panneaux d’affichage des vols sont en carafe. Des chaînes de télévision cessent d’émettre. Le site web du gouvernement est inaccessible. » Par contre, pour une fois la compagnie nationale d’énergie Ukrenergo assure que la distribution d’électricité n’est pas affectée. Miracle ou oubli ?

Et cela a duré. « Le lundi 3 juillet, rapporte Associated Press, la situation est de nouveau normale à Oschadbank, mais à l’aéroport de Boryspil un tiers des ordinateurs ne sont toujours pas fonctionnels. En milieu de semaine, «la plupart des victimes ont à peu près récupéré, mais certaines y travaillent encore, nous indique Sergey Prokopenko, directeur de CyberLab, une société privée de criminalistique informatique. La Banque nationale ne peut toujours pas faire toutes les opérations». » Le 7 juillet, une radio touchée par le maliciel n’avait toujours pas recouvré ses capacités.

A force de se pencher sur le code, certains se sont rendus compte que l’aspect rançongiciel n’était qu’un leurre. Quelque chose sur lequel tout le monde se rue et oublie donc ce qui se passe vraiment. tiens, allez, une petite histoire sans paroles :

Source

Poursuivons. Nous apprenons que NotPetya embarque notamment deux outils développés par la NSA, la puissante agence de renseignement américaine, pour exploiter des failles (corrigées depuis) dans le système d’exploitation Windows de Microsoft, et divulgués en avril par un mystérieux groupe de pirates informatiques, les Shadow Brokers. Mais que fait donc la NSA à collecter (et à ne pas protéger) des failles en tout genre ?

Et on apprend que la cible principale était l’Ukraine, l’infection ayant été effectuée via un logiciel de comptabilité et de fiscalité ukrainien, M.E.Doc. C’est une mise à jour de ce dernier, modifiée par les attaquants, qui a servi de rampe de lancement au malware. Et comment cela a-t-il pu se produire ? Des intrus se sont procuré les identifiants d’un responsable informatique, puis ont pu agir d’autant plus aisément que les règles les plus élémentaires n’étaient pas respectées… «La connexion au serveur de mise à jour n’était même pas sécurisée !» soupire Vlad Styran, de Berezha Security. En résumé, M.E.Doc, massivement utilisé, était une passoire. Un client idéal pour ce que les experts nomment une «supply-chain attack» : une «attaque par la chaîne d’approvisionnement». Reconnaissons que personne n’a jamais alerté sur les sécurisations élémentaires. Dans un excellent livre que je ne cesse de recommander, il est largement question des téléopérations et de leurs problèmes potentiels… Et dans un précédent article, je mentionne les configurations par défaut…

Or quelque temps avant l’attaque, l’alerte avait été donnée : le logiciel devait être sécurisé. Pas grave à l’époque. Et maintenant ? «J’ai bien peur que les attaquants aient la carte de toute l’économie ukrainienne», s’inquiète le consultant Victor Zohra. Comme le disait Bossuet

Et le fait de divulguer ainsi son savoir faire laisser penser que les attaquants ont eu ce qu’ils voulaient et pouvaient laisser cet os à ronger. L’avantage de procéder ainsi, c’est que tout le monde va se focaliser sur ce qui est arrivé, laissant ainsi les pirates préparer l’avenir. Classique, et redoutablement efficace.

Il apparaît donc que l’Ukraine est ainsi devenue un terrain d’entraînement pour pirates en tout genre. L’État étant aux abonnés absents, ils s’y donnent donc à cœur joie. L’Estonie en son temps sut réagir à une attaque moins longue mais tout autant dévastatrice, l’Ukraine procède autrement, et devient tout doucement les « marches informatiques » du monde entier (D’après wiki… Au haut Moyen Âge, une marche est un fief créé dans une zone frontalière, soit après conquête soit par détachement d’un autre territoire, et auquel le souverain attribue une fonction particulière de défense contre les territoires voisins.) L’inconvénient, c’est que personne ne semble défendre cette marche.

Nous voyons, encore une fois à l’aide de cet exemple qu’il est vraiment difficile d’apprendre de ses erreurs. Car tous les « fondamentaux » de la catastrophe y sont : pas de veille, des configurations par défaut, peu (ou pas) d’intérêt des dirigeants pour le cyber, une précipitation sur les dégâts apparents, et sûrement d’autres qui n’apparaissent pas dans l’article.

Oui mais c’est loin, c’est en Ukraine, cela ne peut arriver chez nous… Voire ! Toujours dans le cadre de l’apprentissage difficile, deux exemples :

  • les objets connectés qui peuvent faire n’importe quoi : Avec l’autorisation du propriétaire, les chercheurs ont réussi à accéder au système, à fermer les portes intérieures de la station et y ont coincé un véhicule. Ils ont également piraté le bras mécanique qui lave les voitures.
  • une panne (encore) à la SNCF. Peut-être apprendrons nous qu’elle est d’origine informatique, mais pour l’instant, on cherche… A moins que ce ne soit un coup monté à l’occasion de la journée de l’amitié pour forcer nos concitoyens à faire ami-ami avec des inconnus ?

L’apprentissage peut parfois sembler infini…

Bonnes vacances quand même !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *