Le nombre de cyberattaques a explosé en 2020 avec notamment pour cibles les entreprises pharmaceutiques et établissements de recherche liés aux vaccins contre la Covid 19. Derrière ce cyber espionnage se cachent des groupements mandatés par des États.
Jamais les hostilités dans le cyberespace n’ont été aussi nombreuses que depuis le début de la pandémie. La faute à une surexposition médiatique des entreprises travaillant sur des projets de vaccinations porteurs, à une trop grande impatience du monde civil mais aussi à la reconquête d’un Etat, leader mondial. Dans cette guerre virtuelle étatique menée par écran interposé, ce sont les populations qui paient le prix fort !
Le choix d’une priorisation nationale au détriment d’une coopération internationale
Ce glissement de la compétitivité à la rivalité est particulièrement prédominant du côté de la Chine et de la Russie qui se placent en tête de la course aux vaccins, qu’ils ont été les premiers à faire approuver en quantité limitée. L’Iran, qui enregistre le plus grand nombre de morts de la COVID-19 au Moyen-Orient, incarne également une menace. Des tentatives de compromission ont été attribuées à des acteurs associés au pays sans que leur réussite ne soit avérée.
L’ampleur et l’évolution de l’épidémie de COVID-19 ont nourri l’attrait de puissances étrangères et cybercriminels pour l’acquisition d’informations sensibles sur les recherches d’un vaccin, c’est pourquoi certaines cyberattaques se concentrent essentiellement sur la collecte de renseignements. Selon le National Cyber Security Centre (NCSC)[1], le service principal de renseignement russe, le S.V.R. aurait ciblé les réseaux d’institutions de recherche et entreprises pharmaceutiques aux États-Unis, au Canada et au Royaume-Uni à travers le groupe APT29 (akaCozyBear). Néanmoins les États restent muets sur le possible vol avéré de secrets médicaux ni même sur les entitésciblées.
A ce besoin de resserrer le spectre sur le domaine national, vient s’ajouter la guerre idéologique de chaque pays. A titre d’exemple, l’Iran par la voix de l’ayatollah Khamenei a interdit le 8 janvier 2021 l’importation de vaccins américains et britanniques (Pfizer-BioNTech, Moderna, AstraZeneca-Oxford). Les raisons avancées, ou plutôt les prétextes, sont des craintes vis-à-vis de la fiabilité des vaccins. Le guide suprême iranien offre pour explication que les vaccins pourraient être utilisés pour « contaminer les peuples » et cite notamment l’affaire du sang contaminé au VIH en France.
Phishing, passwordspraying, spear-phishing, des techniques fortement utilisées
Si les techniques comme l’intrusion, exploitant les failles logicielles, sont des pratiques couramment utilisées par les cybercriminels, d’autres comme l’ingénierie sociale sont de plus en plus privilégiées. C’est ainsi que les chercheurs œuvrant dans la recherche du vaccin contre la covid-19 font régulièrement l’objet de vastes campagnes de phishingexploitant l’identité d’institutions comme l’Organisation Mondiale de la Santé (OMS). Dans ce type de campagnes, les hackers peuvent exploiter les réseaux sociaux pour dérober des informations aux équipes scientifiques notamment celles s’y connectant depuis leur poste de travail.
Par ailleurs, en novembre dernier, une multiplication d’attaques commanditées par des groupes nord-coréens et russes sur des entreprises françaises, américaines et canadienne ont légitimement obligé les ingénieurs à se pencher sur les cas Lazarus et Cerium. Les informations collectées révèlent que les attaquants ont ciblé des fabricants de vaccins qui se situent à différents stades des essais cliniques. Étonnant donc de voir la Corée du Nord prendre part à ce type de sujet quand on sait qu’elle revendique toujours zéro de cas de covid-19 au sein de sa population ! Les recherches indiqueront néanmoins que le pays est en contact avec plusieurs ambassades afin d’obtenir un vaccin…
Les universités, un point d’entrée aux institutions et laboratoires pharmaceutiques
Outre les attaques frontales, ces groupes malveillants passent aussi par des canaux détournés. Ainsi, les universités ayant établi des partenariats avec les laboratoires pharmaceutiques, sont d’excellents vecteurs d’intrusion. Jugées comme moins sécurisées, elles constituent une excellente faille de sécurité pour accéder aux laboratoires pharmaceutiques. Les techniques employées pour ces compromissions font également écho à celles retrouvées dans les attaques de chaîne d’approvisionnement (supplychainattacks) auxquelles les laboratoires et universités scientifiques sont vulnérables.
A titre d’exemple, l’Inserm, le CNRS, l’université Paris-Descartes ou encore l’Institut Pasteur, ont révélé avoir subi des tentatives de vol de données. Bien que moindre aujourd’hui suite à l’annonce de l’arrêt du projet du vaccin par Pasteur, le niveau de menace pour les laboratoires français demeure fort.
Si le cyber espionnage étatique est une technique des plus connues et des plus facilement utilisables, le sabotage ainsi que l’appât du gain entrent également dans la course et promettent de faire bon nombre de dégâts. Anticiper, observer et détecter le moindre comportement suspect reste plus que jamais de mise.
Par Nicolas Caproni, Directeur de recherche menaces et détection chez SEKOIA
[1]https://www.gov.uk/government/news/uk-condemns-russian-intelligence-services-over-vaccine-cyber-attacks