juin 16, 2020
Quel groupe de pirates informatiques s’en prend au réseau de mon entreprise ? Ne jouez pas aux devinettes, vérifiez !
Il y a environ quatre ans, la cybersécurité devenait un pion de l’échiquier géopolitique. Alors que les politiques de tous les partis et de toutes les nationalités se montraient du doigt et se rejetaient la faute d’opérations hostiles de cyber-espionnage, en parallèle, et apparemment sans aucun signe d’ironie, ils augmentaient la réserve d’armes outils offensifs informatiques de leur pays. Les entreprises indépendantes de cybersécurité, prises entre deux feux à cause de ces manigances géopolitiques, ont toutefois les capacités et le culot courage de révéler toutes ces absurdités très dangereuses.
Pourquoi ? C’est très simple.
Tout d’abord, » cyber » a été et est depuis le début un terme cool, romantique, glamour, hollywoodien et lié à la science-fiction. Il est vendeur, même lorsqu’il s’agit de journaux d’abonnements à des journaux en ligne. Il est populaire, même auprès des politiques. C’est aussi une distraction utile, grâce à son côté cool et tendance, lorsqu’il faut détourner l’attention, et c’est souvent le cas.
Ensuite, » cyber » est vraiment un terme geek. La plupart des gens ne comprennent pas en quoi il consiste. Par conséquent, les médias, lorsqu’ils doivent couvrir une actualité ayant un lien avec ce sujet, ou lorsqu’ils cherchent à obtenir plus de visites sur leur site, peuvent écrire tout et n’importe quoi, et la plupart des choses qu’ils racontent ne sont pas vraiment exactes (ou sont complètement fausses). Peu de lecteurs s’en rendent compte. Vous avez donc de nombreux articles dans la presse qui disent que le groupe de pirates informatiques de tel ou tel pays est responsable d’une certaine cyberattaque embarrassante, coûteuse, préjudiciable ou encore scandaleuse. Y-a-t-il quelque chose de vrai dans tout cela.
En général, il est difficile de discerner le vrai du faux. Cela étant dit, est-il vraiment possible d’attribuer avec précision une cyberattaque à tel gouvernement ou à une organisation en particulier ?
La réponse se divise en deux parties…
D’un point de vue technique, les cyberattaques possèdent un ensemble de caractéristiques spécifiques, mais le système d’analyse impartial ne peut que déterminer à quel point une attaque ressemble au travail de tel ou tel groupe de pirates informatiques. En revanche, lorsqu’il s’agit de dire si tel ou tel groupe de pirates informatiques en est à l’origine… comme les renseignements militaires de la sous-unité 233, le groupe pour les projets de recherche avancée de défense ou l’unité opérationnelle des capacités stratégiques conjointes et de la réduction des menaces (toutes ces institutions sont factices, inutiles de faire une recherche sur Google)… cela relève de la politique. Dans ce cas, l’éventualité d’une manipulation des faits s’approche des 100 %. L’attribution peut être technique, établie à partir de preuves et tirée de conclusions exactes, ou bien… relever de la voyance, en lisant les lignes de votre main ou le marc de café. C’est pourquoi nous laissons les médias s’en occuper. Nous restons bien l’écart. En attendant, le pourcentage d’insectes politiques qui se passent de la pommade à base de faits de cybersécurité pure se multiplie lorsque la date de certains événements politiques clés approche. Oh, exactement comme celui prévu dans cinq mois !
Donc oui, nous évitons à tout prix l’attribution politique. Nous nous en tenons à la partie technique. En réalité, c’est notre devoir et c’est ce que nous faisons en tant qu’entreprise. Nous le faisons mieux que n’importe qui, en toute modestie. Nous suivons de près tous les grands groupes de pirates informatiques et leurs opérations (plus de 600 d’entre elles) et ne faisons pas attention à leur éventuelle orientation politique. Un voleur reste un voleur et sa place est en prison. Maintenant, plus de 30 ans après être entré en jeu et avoir collecté en continu de nombreuses données sur les actes numériques répréhensibles, nous sommes enfin prêts à partager tout ce que nous avons obtenu, de façon convenable.
L’autre jour, nous avons lancé un nouveau service exceptionnel pour les experts en cybersécurité. Il s’agit de Kaspersky Threat Attribution Engine (KTAE). Ce produit analyse les fichiers suspects et détermine quel groupe de pirates informatiques pourrait être à l’origine de la cyberattaque. Le combat est beaucoup plus facile si nous connaissons l’identité du cybercriminel puisque cela nous permet de prendre des décisions de contre-mesures informées, d’élaborer un plan d’action, d’établir les priorités et, de façon générale, de déployer une réponse aux incidents sans encombre et avec un risque minimum pour l’entreprise.
Comment est-ce possible ?