Cyber insécurité : Le crypto-crime, enjeu géopolitique majeur du 6ème continent
L’environnement crypto offre beaucoup d’opportunités, mais comporte également des risques. C’est pourquoi l’éducation y est primordiale, un investisseur averti en vaut deux. Dans cette mini-série sur la cyber insécurité – Web2 et Web3 confondus – nous avons d’abord mis en lumière les risques systémiques liés à l’architecture actuelle d’internet. Même des entreprises de renom, spécialisées en cybersécurité sont victimes d’attaques réussies… Nous avons ensuite évoqué les dangers, passés et futurs, qui accompagnent le Web3, ce dernier réutilisant (plus qu’on ne le pense) l’architecture parfois fragile du Web2.
Cette semaine, nous allons nous éloigner et prendre du recul sur le sujet primaire et ses considérations techniques afin de nous demander : Qui ? Et pourquoi ? Pour l’argent évidemment. Mais, aussi vrai que ce dernier fasse tourner le monde, il reste souvent un moyen, et pas une fin. En dézoomant, on s’aperçoit rapidement que la géopolitique est de la partie. Et, que le terme de cyberguerre n’est peut-être pas galvaudé.
Au fil de l’histoire de l’humanité, les champs de batailles ont évolué. Fini les deux armées qui se font face avant que l’assaut ne soit ordonné. Les progrès technologiques aidant (télécommunications, reconnaissance satellite, drones pilotés à distance), la guerre est devenue de plus en plus asymétrique. On peut rétrospectivement trouver une forme de logique à ce qu’internet soit devenu un champ de bataille à part entière. La guerre est désormais menée aussi sur le net.
>> Exposez vous au Bitcoin sur Binance, 10% de réduction des frais avec ce lien (lien commercial) <<
La piste des APT – Mode opératoire
Encore trop discret dans les médias grand public, le sujet mérite une plus grande exposition. Une exposition à la hauteur des défis numériques qui se dressent devant nous. Car si le sujet intéresse peu de monde aujourd’hui, il nous concerne tous depuis hier et pourrait nous causer du tort dès demain. Au fil des recherches, on se rend pourtant compte que ce sujet est documenté et bien connu de nombreux experts en cybersécurité. Malgré tout, seuls les médias spécialisés relaient les informations et pire, saisissent leur aspect crucial pour la cohésion de nos sociétés. En effet, c’est probablement de ça qu’il est question finalement, lorsque l’on gratte le vernis qui recouvre « les attaques » et « les millions volés ou blanchis » par des organisations malveillantes, sponsorisées par des États.
Oui, des Etats. Encore une fois, c’est un phénomène qui est observé par la communauté de la cybersécurité depuis plusieurs années. On sait (à priori) reconnaître les modes opératoires, ce qui permet ensuite de les attribuer à tel ou tel groupe de hackers ayant déjà sévi. Chacun son modus operandi et ses cibles de prédilections (entreprises, administrations, industries, institutions financières). Un réel savoir-faire du crime en ligne s’est développé au cours du XXIᵉ siècle.
À ce niveau de cybercrime, les experts parlent d’APT pour « Advanced Persistent Threat », une attaque informatique avancée et persistante. Le plus souvent ces attaques sont d’une furtivité extrême et le pot-aux-roses est en général découvert des semaines ou mois plus tard. L’exemple de Solarwinds évoqué lors de notre premier épisode en est une parfaite illustration.
Il peut ainsi se passer plusieurs mois avant qu’une faille soit identifiée. Cela laisse le temps à l’attaquant de scanner entièrement le réseau, d’en comprendre le fonctionnement, pour mieux en extraire de la valeur. Ou pour en prendre directement le contrôle. Il y a quelques jours Uber était victime d’une attaque durant laquelle le pirate a montré la preuve qu’il possédait des accès d’administrateurs sur différents services utilisés par l’entreprise. De quoi commettre des dégâts irréparables et menacer toute une économie.
Les APT sont caractérisées par deux choses :
- La sophistication
- La persistance
Certaines attaques d’envergure nécessitent un niveau de sophistication élevé. Tout d’abord dans le savoir-faire des pirates, mais aussi dans leur équipement. En effet, certaines phases (notamment préparatoires) sont très coûteuses et monopolisent aussi bien des ressources humaines, technologiques et financières de premier ordre. Bien que des entreprises comme Microsoft ou Cisco présentent des failles de sécurité, on ne compromet pas ce genre de réseau en deux jours. Il faut des moyens considérables et continus, sur une longue période.
Le deuxième élément qui qualifie une APT réside dans la persistance de la menace. Les pirates harcèlent le réseau et ses serveurs aussi bien que les employés des entités visées, jusqu’à ce que l’infrastructure ne cède, ou qu’une erreur humaine ne soit commise (ouverture d’un lien de phishing par exemple). Il faut donc pouvoir mobiliser de gigantesques moyens pendant plusieurs mois à plusieurs années. La communauté des cyber experts réussit désormais à attribuer certaines attaques à différents groupes dont les méthodes ont été disséquées. On attribue ainsi un numéro à chaque APT, une APT étant considérée comme attribuable à une équipe dédiée à tel ou tel type d’attaque.
La firme spécialisée en sécurité Mandiant tient sur son site une liste des APT identifiées jusqu’à maintenant. On peut y lire les spécialités de chaque APT, mais aussi l’État auquel elle est ou serait rattachée :
- APT34 : espionnage long terme, dont le butin profiterait à l’État iranien. Cet APT s’est entre autres servi d’une vulnérabilité de Microsoft Office (CVE-2017-11882) pour y déployer ses logiciels espions.
- APT33 : cible les secteurs aérospatiaux et énergétiques, au profit supposé de l’Iran également.
- APT41 : assimilée à un groupe proche de l’Etat Chinois, cette cellule de hackers s’est attaquée à 14 pays au moins, ciblant les secteurs de la haute technologie, du médical et des télécommunications. On lui attribue un intérêt pour la propriété intellectuelle et le vol de brevets.
- APT38 : vraisemblablement rattachée à la Corée du Nord, cette APT est particulièrement active et virulente. D’après Mandiant, c’est le groupe ayant réalisé les plus gros cyber-braquages observés à ce jour. Elle vise notamment des institutions financières internationales.
- APT37 : également attribuée au régime nord-coréen, cette APT se focalise essentiellement sur la Corée du Sud, mais aussi le Japon, le Vietnam et une partie de l’Asie centrale. Aucune industrie n’est épargnée : automobile, chimique, électronique, manufacture, aérospatial…
Cette liste, comme toutes celles publiées au cours de cette série sur la cyberinsécurité, est non exhaustive. La Russie et l’Ukraine sont également très présentes sur la scène du cybercrime.
>> Exposez vous au Bitcoin sur Binance, 10% de réduction des frais avec ce lien (lien commercial) <<
L’argent est un moyen pas une fin – Le cas luna
De son côté, la Corée du Nord n’est pas en reste non plus. Elle hébergerait même l’APT ayant le tableau de chasse le plus fourni : l’APT38, surnommé Lazarus Group. Cette unité alimente régulièrement notre rubrique portant sur les « hacks crypto ». Le dernier exemple en date étant celui du bridge de la blockchain Harmony. Ils avaient également donné des sueurs froides au Ronin Bridge d’Axie Infinity en début d’année.
Les activités criminelles de Lazarus ciblent en priorité la Corée du Sud, le voisin et rival historique depuis 1945. Le sud de la péninsule a embrassé depuis, un mode de vie consumériste « occidental » pendant que le nord s’enferme dans une dictature communiste très autoritaire. Une fois prise la mesure des cyberattaques et des dégâts qu’elles peuvent causer, on saisit l’importance politique qu’elles peuvent revêtir pour certains pays, la Corée du Nord en tête.
Les chercheurs du groupe Shadow Chaser révélaient en mai dernier avoir identifié des traces d’intérêt de l’APT38 pour l’écosystème Terra Luna…
Comme nous l’avons évoqué lors des épisodes précédents, le phishing est une technique très prisée des pirates sur internet. Ce procédé est redoutablement efficace et réussit même à piéger des experts en cybersécurité.
Terra Luna est un protocole crypto sud-coréen, fondé par Do Kwon, également sud-coréen. L’ascension fulgurante du jeton LUNA a précédé une chute aux enfers encore plus rapide, suite au dépeg de son « stablecoin » UST. Malgré les forks et multiples tentatives de bouche-à-bouche, la blockchain Terra Luna a vu son quart d’heure de gloire passer.
L’éclipse de LUNA a entrainé dans sa chute les économies de centaines de milliers de sud-coréens. Certains investisseurs ont mis fin à leurs jours suite à ce crash… Car l’effondrement d’un écosystème, affecte tous les agents qui y évoluent. Aussi bien le Capital-Risqueur qui a investi pendant les levées de fonds, que le petit porteur passé par un exchange pour acheter ses jetons après le listing public. En touchant de grandes entités financières, on peut déclencher des risques systémiques.
Le fonds Hashed a vu 3,5 milliards de dollars s’envoler en mai dernier. Or l’APT38 a fait des institutions financières étrangères une cible de choix.
Même s’il paraît encore difficile d’affirmer que Lazarus est directement impliqué dans la chute de Terra Luna, plusieurs incongruités et éléments (traces de phishing auprès d’employés Terra, timing) semblent pointer vers Lazarus.
>> Exposez vous au Bitcoin sur Binance, 10% de réduction des frais avec ce lien (lien commercial) <<
Des enjeux géo-prolifiques
Nous l’avons longuement évoqué, la guerre se passe aussi sur internet. La première des raisons étant qu’il n’y personne à envoyer directement au front, ce qui limite les pertes humaines. De plus, cela permet d’avancer masqué et de côtoyer l’ennemi au plus près, depuis l’intérieur. Une fois entrés dans le système, les hackers peuvent extraire des montagnes de données. Cela revêt un caractère stratégique indéniable quand on sait à quel point l’information est un enjeu crucial de nos jours.
Selon les cibles visées, les données sont plus ou moins « pertinentes », mais toujours utiles. Par exemple, l’Iran se focalise sur le renseignement et le secteur énergétique. Nous savons ô combien la question du nucléaire iranien est critique (pour l’Iran comme ses opposants). Sous embargo international depuis des années, le pays est fatalement freiné dans son développement technologique. La guerre en ligne lui a permis de contourner les sanctions internationales et d’accéder notamment à des brevets et travaux scientifiques liés au nucléaire. Sans APT l’Iran n’aurait pas eu les moyens de mettre ces technologies au point ou alors dans un laps de temps trop long, alors que l’accès à la dissuasion nucléaire est un enjeu de survie pour le régime de Téhéran.
Bien sûr, les plans d’un réacteur nucléaire sont plus « sensibles » que le dossier médical de Madame Michu pour un pirate sponsorisé par un État. Mais, ce type d’information en apparence moins stratégique reste valorisable. Accumulés par millions ces éléments peuvent être revendus sur la partie sombre d’internet, servir à un fichage massif, à l’entraînement d’algorithmes de machine learning via des données réelles et non des données simulées. Or, on sait la place que prend déjà l’intelligence artificielle et à quel point la data est un bien monétisable à l’ère du numérique.
La question sécuritaire
Si l’espionnage entre alliés existe aussi, les efforts des pirates semblent majoritairement dirigés contre des ennemis politiques, dans le but de nuire, mais pas exclusivement sur le plan financier. L’APT38, parmi les groupes de hackers les plus prolifiques d’après Chainalysis, est responsable de vols de centaines de millions de dollars. Ce butin finance les cyber opérations mais peut également être réinjecté dans d’autres circuits et déployé sur d’autres champs de bataille, une fois blanchi.
La Corée du Nord est également coupée du monde, ce qui ralentit considérablement son développement. Ainsi le vol de millions de dollars (400 millions en 2021 d’après Chainalysis) et l’extraction de brevets scientifiques ou autres données sensibles représentent une opportunité rêvée de porter un coup à ses adversaires tout en s’enrichissant.
Au fur et à mesure que les guerres sont devenues asymétriques, l’information a pris une place majeure dans la géo-stratégie et le combat permanent que se livrent les Etats du monde entier. Au point que les budgets autrefois alloués à l’armement sont désormais répartis aussi sur des équipements de reconnaissance et d’information. Ceux-là même permettront un usage encore plus optimal des armes, canons et autres missiles.
Cette guerre pour l’information est incessante et certains systèmes informatiques internationaux sont déjà compromis depuis plusieurs années. De quoi avoir le temps de se fondre dans le réseau, l’étudier, l’infecter et l’observer pour réutiliser les mécaniques intéressantes à son propre compte. Ou pour nuire à la cible et tous les maillons rattachés à celle-ci à un niveau systémique, car tous nos services modernes ou presque reposent sur internet. L’argent est l’une des motivations des APT mais ils sont également là pour la tech’ (vol de brevets). Plus sérieusement, la manne financière générée par les hacks (web2 et web3 confondus) est une menace. Tout d’abord, parce qu’elle entretient l’effort de guerre, mais ce n’est pas la finalité. Le réel enjeu repose sur la souveraineté et la supériorité numérique, économique, géopolitique, or celle-ci s’acquiert sur le sixième continent : Internet.
Le temps de l’intérêt des États pour Bitcoin est venu. Et vous, que faites-vous pour préparer l’avenir ? Commencez à vous familiariser avec ce monde passionnant, et n’attendez plus pour vous créer un compte sur Binance, l’exchange Bitcoin et crypto de référence. Vous économiserez 10% sur vos frais de trading en suivant ce lien (lien commercial).