A la lecture des dernières affaires de cybercrime nous vient un doute quant aux analyses des experts en sécurité des systèmes d'information, en particulier le classement des pays proposé par Symantec. Ainsi que sur l'étonnante absence de la Russie dans le discours politique... Voilà qui pourrait cacher des menaces et nous préparer à un avenir dangereux !

Ces dernières semaines, un épiphénomène est venu troubler le paysage du cybercrime. L'attaque subie par Sony – le SI hacké de Sony Entertainment se serait soldé par le vol de plusieurs dizaines de téra octets de données - suivi par le chantage réussi qui a bloqué la sortie d'un film, font trembler les organisations du monde entier et leurs RSSI. Au point que nous pouvons affirmer (nous lire) « Sécurité – Il y aura un avant et un après Sony... ».

L'affaire, avec son volet The Interview, pointe directement la Corée du Nord. La cyber-guerre qui se déroule devant nous, et dont Sony n'est que le dernier évènement révélé, est engagée, et les belligérants sont connus : l'occident, rangé derrière les Etats-Unis, face à la Russie, la Chine, et désormais la Corée du Nord. Quant aux armées numériques, il suffit de creuser un peu pour découvrir les forces en présence.

Nous vous invitons à consulter notre article sur les forces en présence en Corée du Nord : « Quelle est cette cyber-armée de la Corée du Nord qui menace le monde ? ». Ainsi que le remarquable avis d'expert en quatre parties d'un de nos membres : « La Cyber-menace est-elle la nouvelle arme de la diplomatie ? ».

Le doute émerge

Mais voici que certains observateurs et experts commencent à douter de ce portrait. En particulier, des experts américains du cyber-crime mettent en doute les affirmations du FBI, qui a bien rapidement pointé la Corée du Nord. Ainsi, Sam Glines, le CEO de Norse, interrogé par nos confrères de TechCrunch, affirme aujourd'hui « Il est clair pour nous, sur la base de preuves médico-légales que nous avons recueillies, que la Corée du Nord n'est pas responsable de l'organisation ou d'avoir lancé l'attaque sur Sony ».

Voilà qui devient fâcheux, car de pointer la responsabilité de la Corée du Nord dans cette affaire de cybercrime arrangeait bien tout le monde, à la fois sur le mobile, le film The Interview qui en fait un motif grossier mais bien peu politique, et pour disposer d'une cible facile et 'politiquement correcte' en occident. Or, la Corée du Nord n'a jamais figuré très haut sur la liste des nations à l'origine des attaques informatiques ou par déni de service. Par exemple, le pays ne figure pas au Top 20 Symantec des pays à l'origine de la cyber-criminalité, tandis que la France figure en 8ème position et la Corée du Sud en 14ème !

D'ou viennent les attaques ?

Si la Corée du Nord n'est pas à l'origine du hacking, d'où vient-il ? Nos experts américains citent systématiquement 5 pays : la Chine, la Russie, l'Inde, l'Iran et l'Irak. Surprise, si la Chine occupe la seconde place pour l'origine des cyberattaques, l'Inde est en 11, la Russie en 12, Iran et Irak n'y figurent pas, ainsi nous l'avons vu que le Corée du Nord.

Il y a quelque chose de perverti dans l'analyse que nous fournit le classement Symantec, et ceux de ses concurrents qui sont très proches : les Etats-Unis 's'offrent' la plus grande part du gâteau, avec 23 % des attaques qui proviennent de ce pays. La Chine est en seconde position (9%). Les pays européens se 'portent bien', Allemagne (6%) en 3, la Grande-Bretagne (5%) en 4, l'Espagne (4%) en 6, l'Italie (3%) en 7, France (3%) en 8. Mais les pays pointés du doigt, hors la Chine, sont loin dans le classement ou n'y figurent pas !

RGPD

Quels sont les critères de classement des pays ? Symantec fait appel à 6 facteurs : part de l'activité informatique malveillante, rang du code malveillant, rand des mails zombies, part du phishing, rang des botnets (réseaux de PC zombifiés), et l'origine des attaques. Si l'on décortique ces facteurs, ils mélangent allègrement attaquants, relais et victimes. Ce qui au final permet aux vrais auteurs des attaques de figurer sous le radar…

L'attaque vient de l'Est...

Nos amis américains pourraient dire « l'attaque vint de l'Ouest »… Décortiquons un peu plus le discours de nos experts. Il est une chose qui revient presque systématiquement sur le tapis : la Russie. L'affaire Sony a permis de tourner les yeux vers la Corée du Nord, et d'esquisser le rôle probable de son 'amie' la Chine. Mais ce n'est pas vers l'Asie que se tournent les regards des experts, mais bien vers la Russie, aux portes de l'Europe.

Nonobstant le discours des autorités américaines, les Russes joueraient un rôle essentiel dans la cyber-criminalité et le piratage. Les hackers russes bénéficieraient de fortes compétences, reconnues (ne serait-ce que par certains éditeurs de solutions de sécurité !). A preuve la sophistication de certaines attaques ou d'outils et services de piratage, qui proviennent de sites russes et en partie documentés en russe.

Vers la fin de l'état de grâce ?

Un autre motif de tourner nos regards vers l'Est, c'est la 'bienveillance' des autorités russes qui ferment les yeux tant que ce ne sont ni les administrations ni le système bancaire russes qui sont attaqués. Le gouvernement et l'armée russes favoriseraient même le recrutement et la formation des hackers, voire hébergeraient certains d'entre eux. Les lodèles chinois et nord-coréens sont proches.

En revanche, cette situation 'équilibrée', favorable aux hackers, pourrait ne pas perdurer. La Russie connaît une crise qui s'annonce monstrueuse, qui au-delà des apparatchiks du parti et de ses riches entrepreneurs sympathisants touche toutes les couches sociales du pays, en particulier la récente classe moyenne. Dans ces conditions, les besoins économiques s'exacerbent, ce qui favorise les dérives. Nous en voulons pour preuve la révélation, ces derniers jours, d'une attaque massive contre les institutions gouvernementales et bancaires russes. Une attaque qui venait de l'intérieur...

Remonter la Russie au classement... et s'inquiéter car le pire est à venir !

Faut-il revoir le classement de la cybercriminalité par pays ? Oui, mais pour cela il suffit de revoir les facteurs mesurés. Et en particulier prendre plus en compte la sophistication des attaques. Reprenons l'exemple russe : certes les Russes produisent moins d'attaques en volume ; en revanche, ils sont les auteurs d'attaques hautement sophistiquées et donc plus dangereuses.

Mais ce qui nous paraît le plus dangereux, c'est d'imaginer le danger que représentent des organisations cyber-criminelles lorsqu'elles sont politisées. Notre article sur les forces en présence en Corée du Nord (le lien vers l'article est en haut de cette page) démontre une stratégie construite, organisée, et disposant de moyens étatiques. S'il se révèle que les Nord-Coréens ont une faible ou pas de responsabilité dans les attaques sur Sony, de quels moyens disposent les organisations, dont certaines peut-être étatiques, à l'origine de l'attaque ?

La cyber-guerre et la cyber-criminalité se croisent, avec des moyens qui s'annoncent massifs. Tout comme les dangers qui nous menacent ? Il est temps de s'inquiéter car le pire est sans nul doute à venir...