De Pirates 2.0 à Hackers du Web3 – Pourquoi le cybercrime n’a pas fini de payer
Cyber-insécurité – Comme à peu près toute activité ayant pignon sur web, le secteur des cryptomonnaies est régulièrement ciblé par des attaques informatiques. La fonction primaire des actifs cryptos étant de permettre des transactions financières, l’écosystème regorge de « poches de liquidités ». Ces véritables trésors sont, pour certains, mal protégées et suscitent l’intérêt d’acteurs malveillants. Les exemples se multiplient, et les bridges semblent être des cibles de choix.
Bien que balbutiant, le marché lié au « web 3 » attire des liquidités et laisse apercevoir sa valeur potentielle. Or, le « web 2 » est déjà une cible de choix pour les pirates. Là aussi, on retrouve des flux financiers à ponctionner, mais le vrai or numérique réside dans les données. Les révélations d’Edward Snowden sur l’espionnage mondial de la NSA, le scandale Facebook – Cambridge Analytica, l’attaque d’ampleur contre Sony et ses services Playstation : toutes ces affaires (liste non exhaustive) ont montré à quel point ces données étaient valorisables, sensibles et convoitées.
Au cours de ce triptyque d’articles, nous allons aborder la cyber-guerre qui fait rage actuellement, probablement bien plus que la sphère publique ne l’imagine. Bien plus que ce que les pouvoirs publics ne veulent l’admettre. Nous évoquerons, dans un premier temps, les attaques contre les institutions nationales et internationales (privées, publiques), puis les failles cryptos encore trop béantes. Finalement, nous nous interrogerons sur le profil des hackers et leurs motivations.
Les cryptos pas encore la priorité des autorités du web ?
La phrase « quand c’est gratuit, c’est vous le produit » est désormais un adage populaire. La collecte massive et quasi incessante de nos données via tous les services informatiques est un fait établi. Inquiétant pour certains, négligeable pour d’autres : la valeur marchande de nos données n’est plus à prouver. Or, si les autorités souhaitent réellement « protéger les citoyens » des dangers du net, les cryptos sont un sujet, mais clairement pas le chantier prioritaire.
Avant de vouloir légiférer sur la gestion et la conservation des actifs cryptos des investisseurs, il serait peut-être judicieux de sécuriser les données que nous sommes déjà obligés de confier à des tiers (publics notamment) ? 3 enquêteurs ont notamment déjà mis en évidence les failles de sécurité de l’application Tous Anti-Covid l’année dernière.
Savoir par où commencer cette série n’est pas une mince affaire, étant donné la multitude d’attaques informatiques opérées lors de la dernière décennie, voire des dernières années. Néanmoins, après quelques recherches, il semble que l’une des récentes vagues d’assaut numérique sorte du lot. Elle se distingue des autres par son ampleur.
>> Tentez de gagner votre ticket pour la Binance Blockchain Week à Paris (lien commercial) <<
SolarWinds : une protection écran total n’aurait pas été du luxe
L’affaire SolarWinds illustre parfaitement les sujets cyber-sécurité et gestion des données d’autrui, ainsi que leur aspect critique. SolarWinds est une société spécialisée dans le développement de logiciels et de solutions informatiques. Ses outils aident plusieurs dizaines de milliers d’entreprises du monde entier à gérer et surveiller leur réseau interne de communication et l’infrastructure qui le sécurise.
En décembre 2020, l’entreprise américaine a révélé que son logiciel Orion avait été piraté. Des hackers y avaient implanté une backdoor (porte dérobée à l’intérieur du code), leur permettant d’en extraire des données, voire d’implanter d’autres logiciels espions. La liste (non exhaustive décidément) des victimes a de quoi faire pâlir. Des organes publics, comme les Département du Trésor des Etats-Unis, Département de l’Énergie des États-Unis, Département de la Sécurité intérieure des États-Unis, aussi bien que des groupes privés, tels que Microsoft ou Cisco, y figurent.
La faille de SolarWinds a été rendue publique fin 2020, mais a vraisemblablement été exploitée à partir de septembre 2019. De quoi laisser le temps aux attaquants de copier/coller quelques informations, voire de s’y implanter durablement, de façon discrète. Il y a des chances que ces pirates aient toujours un accès quelconque à certains maillons de ce réseau. Cette attaque massive semble faire encore des remous à l’heure actuelle, comme nous l’a appris récemment Cisco.
Les Hackers sont comme à la maison chez SolarWinds
Les pirates ont réussi à implanter un code malicieux dans une mise à jour d’Orion. Environ 18 000 clients de SolarWinds ont téléchargé la mise à jour vérolée, faisant entrer le cheval de Troie dans leur système. Cela a ouvert la porte à l’entièreté du système, par ricochet, par interconnexion. En ciblant un maillon plus faiblement sécurisé que les autres, les hackers sont parvenus à s’introduire à l’intérieur de la « chaîne d’approvisionnement » avant de pouvoir accéder aux autres maillons.
Il suffit de quelques minutes pour saisir à quel point les failles de sécurité d’acteurs si importants peuvent avoir des répercussions mondiales. Identité, comptes bancaires, dossiers médicaux… Notre société est globalisée, interconnectée et aspire à le devenir de plus en plus. Le réseau mondial que nous avons créé repose majoritairement sur le réseau internet, qui permet à la planète de communiquer et d’échanger (des informations, des biens et des services).
Cet effet de réseau a permis de grands progrès sociétaux en connectant des gens à travers le monde. Mais ce réseau possède les défauts de ses qualités : l’hyperconnexion. La compromission de l’un de ses éléments peut propager les risques sur toute la ligne. Que ce soit une chaîne, une pyramide, un cycle : peu importe la structure du réseau, l’essentiel étant l’interconnexion de ses nœuds.
Trop longtemps exposé, trop tard pour la biafine ?
Des institutions publiques ou privées centralisées incapables de protéger les données plus ou moins sensibles de leurs citoyens voudraient que les « crypto bros » abandonnent leurs « portefeuilles non-hébergés » pour confier tous leurs actifs à des acteurs centralisés ?
N’est-ce pas mettre la charrue avant les bœufs ? Si la protection de l’utilisateur est bel et bien le combat des régulateurs, alors elle doit commencer avec le web 2, sur lequel repose une immense partie du PIB mondial (évalué à 84 724 milliards de dollars en 2018), tandis que les cryptos ont pesé tout au plus 3 000 milliards de dollars fin 2021.
Exploitée depuis 2019, puis officialisée en 2020, la faille de SolarWinds continue d’infecter des serveurs sensibles. Une note datant d’avril 2021, publiée sur le site du Parlement européen, le confirme :
« L’équipe d’intervention en cas d’urgence informatique des institutions, organes et agences de l’UE (CERT-EU) est consciente que 14 institutions, organes ou agences (EUIBA) utilisent le produit SolarWinds Orion et qu’au moins 6 d’entre elles ont été affectées par le piratage. Pour les personnes concernées, le niveau de compromission varie considérablement, allant d’aucun impact à un impact significatif. »
Côté états-unien, plusieurs agences nationales ont été touchées, après que SolarWinds ait fourni une porte d’entrée dérobée. Rassurons-nous ! « Le logiciel malveillant de deuxième phase aurait touché moins de 10 agences », comme le rapporte ZDNet. Doit-on comprendre ici que 9 entités nationales l’ont été ?
Un problème officiellement sous-estimé
Parmi les divers documents épluchés, une constante semble revenir avec insistance. Chacune de ces annonces de hacks, qu’elles émanent d’organes publics ou privés, ont tendance à euphémiser chaque incident. Les entités touchées minimiseraient-elles l’impact ainsi que l’ampleur des failles ?
C’est ainsi que Microsoft voyait les choses à propos d’une faille « zero-day » qui n’a reçu de patch que 2 ans après sa révélation, comme le rapporte le Journal du Geek. L’exploit a permis au pirate de prendre le contrôle total des machines Windows 10 et Windows 11.
« Tel que c’est décrit, cela ne peut pas être considéré comme une vulnérabilité. Aucune limite de sécurité n’est contournée. La preuve de concept n’augmente en aucune façon les autorisations et ne fait rien que l’utilisateur ne puisse déjà faire. »
Déclaration de Microsoft
Les éléments de langage sont là, mais les faits aussi. Pourtant, c’est la réponse que Microsoft donne à l’époque. La sémantique les préoccupait visiblement plus que le fond du propos et la prévention. À l’époque, ZDNet appelait déjà à faire preuve de prudence face à ce phénomène qui n’a clairement pas désempli depuis.
Face à ce type de déclaration, certains membres de la communauté des experts en cyber-sécurité restent perplexes ; d’autant plus au vu de l’architecture actuelle du web et des services construits dessus. En effet, des analystes signalent régulièrement des bibliothèques de codes open source, soit vulnérables, soit déjà compromises. Ouverts à tous par définition, ces « repositories » sont régulièrement copiés, réutilisés ou modifiés.
Une logiciel malicieux implanté dans du code utilisé par des dizaines de milliers d’acteurs expose directement ces derniers… et les données qui leur sont confiées par les utilisateurs au passage.
Un spectre d’attaques qui touchent le web traditionnel
Même l’internet « privé » repose énormément sur du code « open source » libre. Par définition, le code libre est à disposition de la communauté de développeurs, sans contrepartie financière, malgré le travail fourni pour mettre aux points les algorithmes.
Or, du code, c’est comme tout. Ça s’entretient. La technologie évolue et les pirates avec. Le code informatique nécessite des mises à jour. Les développeurs ne reçoivent aucune incitation économique à maintenir ce code à flot. De fait, ils peuvent tarder à effectuer les mises à jour, voire ne jamais les coder, faute de moyens et de soutien financier.
On se retrouve alors avec des bibliothèques de code vulnérables, reprises ça et là sur internet… parfois pour construire des services financiers, des services médicaux, d’identification de citoyens… vulnérables.
La sécurité en ligne est un enjeu majeur des années et décennies à venir. Les cyber-pirates semblent avoir une longueur d’avance. De leur côté, ils ne manquent pas de « mécènes » pour financer leurs efforts. Thème que nous aborderons lors du dernier épisode de cette série.
Au XXIe siècle, la guerre se mène aussi sur internet. Ce formidable moyen de communication est désormais responsable d’une économie tout entière. Une cible de choix pour des acteurs malveillants qui font leur beurre aussi bien sur le web 2 que sur le web 3. Le butin y est enrichissant dans les 2 cas, bien que de nature légèrement différente. Les institutions traditionnelles, telles que les banques, agences de renseignements ou encore les hôpitaux, attisent les convoitises. Elles renferment des montagnes de données qui, elles-mêmes, ont une valeur stratégique et financière.
De son côté le secteur crypto est lui aussi « logiquement une cible » du fait de sa valorisation et du manque de robustesse de nombreux protocoles. L’écosystème est lui aussi largement perfectible en termes de sécurité. La cryptomonnaie cible privilégiée des pirates 3.0, à paraître la semaine prochaine sur le Journal du Coin.
Envie de découvrir le web3 ? Inscrivez-vous dès maintenant sur Binance. Le JDC vous offre 5 tickets d’entrée d’une valeur de 880€ par tirage au sort à la Binance Blockchain Week. Cet événement exceptionnel aura lieu à Paris du 14 au 16 septembre 2022 (lien commercial).