A qui la faute ?

Bonne question ! L'attribution d'une attaque est un des problèmes récurrent et quasi-insoluble auquel est confronté la communauté de la sécurité informatique. Il va de soi qu'on souhaite toujours savoir qui nous attaque, mais à l'inverse des attaques militaires (quoique...), il est en pratique très difficile de savoir d'où vient la menace.

Plusieurs équipes sont spécialisées dans cette recherche, mais les résultats sont rarement définitifs : ils sont très souvent accompagnés d'un degré de vraisemblance, qui est très variable en pratique.

L'attaque des JO d'hiver de 2018

Les jeux olympiques d'hiver de 2018 ont été la cible d'attaques informatiques[1][2], presque comme tous les grands événements ai-je envie de dire. Cette attaque, bien que peu visible, avait pour but de perturber l'ouverture des Jeux en bloquant les systèmes informatiques par une attaque de déni de service.

Mais savoir qui était derrière tout ça relève d'une enquête complexe et technique, dont le résultat ne sera (probablement) jamais certain ni définitif[3]. La Russie a été pointée du doigt dès l'origine, non pas en raison de preuves techniques, mais pour le mobile du crime, assez crédible, qui est d'avoir subi une lourde sanction en raison de pratiques généralisées[4][5] de dopage. La Russie a bien sûr démenti[6].

Dissimulation

Les attaquants ont bien compris que l'attribution d'une attaque pouvait avoir des répercussions importantes sur les relations entre organisations, sociétés, états, etc. ainsi que sur leur activité : être sous le feu des projecteurs n'est pas toujours une bonne publicité pour les groupes d'attaquants ; parfois, c'est l'inverse : faire savoir qu'on existe est un moyen de pression.

La plupart du temps, les pirates cherchent à se dissimuler, et les chercheurs tentent de les identifier. Ce travail étant complexe, ils se basent souvent sur des marqueurs, des similitudes de mode opératoire, de code, etc.

Les pirates les plus expérimentés connaissent les méthodes d'attributions, et s'en servent pour se dissimuler. Pour l'attaque des JO 2018, des chercheurs (notamment Kaspersky[7]) ont trouvé des marques attribués à certains groupes d'attaques nord-coréens, mais sans rapport avec d'autres éléments de l'attaque[8][9]. Cela conduit donc à penser que les attaquants sont d'une autre origine, et cela montre surtout qu'il sera toujours difficile d'être définitif sur l'attribution certaine d'une attaque.

[...] attribuer des attaques, [...] reste quelque chose de très complexe, relève généralement d'une décision politique et comporte toujours un risque de se faire manipuler (G. Poupard, directeur général de l'ANSSI, cité sur sciencesetavenir.fr)

Un cas d'école : NotPeya

Ce ransomware présumé est un cas très intéressant qui montre bien la difficulté d'attribution d'une attaque. L’actualité de début 2017 s'est révélée très riche, car à peine avait-on passé WannaCry qu’une nouvelle attaque s’abattait sur le monde libre et civilisé (voire même ailleurs) : Petya[10]. Or not Petya. Reprenez les failles de WannaCry, ajoutez quelques ingrédients et voilà la nouvelle cybermenace du moment. Et hop : volà un nouveau ransomware. Quoique...

Quoique finalement on s'est rendu compte qu'il était assez mal écrit, tout comme WannaCry[11] après analyse[12]. Toutefois il est plausible que cette piètre qualité soit plutôt la signe d’une tentative de camouflage, afin de faire penser qu’il s’agit d’un ransomware alors que le but est purement destructif[13][14], comme le pense également Matt Suiche[15]. Tout est possible : soit ce sont des pieds nickelés qui ont programmé un ransomware qui ne marche pas, soit ce sont des pieds nickelés qui ont tenté maladroitement de cacher leur wiper en ransomware.

Ou alors il ne s'agit que d'un leurre servant à détourner l'attention d'une autre attaque, ou bien il s'agit tout simplement d'une action d'effacement des traces d'une attaque : supprimer un fichier (en passant par le système d'exploitation) n'est en général pas suffisant pour en supprimer tout le contenu, alors que chiffrer un fichier sans conserver la clé de chiffrement revient à faire disparaître complètement son contenu...

KillDisk

KillDisk est également un cas intéressant, car si son code avait pour objet d'effacer le Master Boot Record des disques durs infectés, des chercheurs de Trend Micro[16] se sont rendus compte que ce malware ciblait des établissements bancaires en vue de perpétrer une attaque contre le réseau SWIFT[17], probablement pour détourner l'attention des équipes de sécurité. La Corée du Nord[18] pourrait être à l'origine de ce genre d'attaque (à Mexico[19] ou au Chili[20]).

Conclusion

Déjà il est difficile d'attribuer avec certitude l'auteur (au sens large) d'un programme malveillant, alors imaginez quand celui-ci tente de brouiller les pistes !

Sources

Références

  1. Martin Untersinger, « Les Jeux olympiques de Pyeongchang victimes d’une attaque informatique », sur lemonde.fr,
  2. Dominique Filippone, « Le début des JO 2018 perturbé par une cyberattaque », sur Le Monde Informatique,
  3. Julien Bergounhoux, « Les jeux olympiques de Pyeongchang ont été la cible d'une cyberattaque », sur Usine Digitale, (consulté le 8 mars 2018)
  4. « JO 2018 : la Russie suspendue pour avoir organisé un dopage d'État », Source AFP, sur Le Point,
  5. « JO-2018: La Russie suspendue pour un dopage d'état, ses sportifs sous drapeau olympique », sur Capital,
  6. Rédaction, « Cyberattaque : les JO 2018 de Pyeongchang n’y échappent pas », sur Silicon,
  7. (en) GReAT, « The devil’s in the Rich header », sur SecureList (Kaspersky Lab),
  8. (en) « Sophisticated False Flags Planted in Olympic Destroyer Malware », sur www.securityweek.com (consulté le 9 mars 2018)
  9. « False flag olympique : comment le malware Olympic Destroyer a été conçu pour tromper la communauté de la cybersécurité », sur Global Security Mag Online (consulté le 9 mars 2018)
  10. Futura, « Ransomware Petya : une cyberattaque déguisée contre l’Ukraine ? », sur Futura (consulté le 20 mars 2018)
  11. Vincent Hermann, « WannaCrypt : de nombreuses erreurs dans le code du ransomware », (consulté le 20 mars 2018)
  12. (en) Anton Ivanov, Fedor Sinitsyn, Orkhan Mamedov, « WannaCry mistakes that can help you restore files after infection », sur SecureList,
  13. (en) Anton Ivanov, Orkhan Mamedov, « ExPetr/Petya/NotPetya is a Wiper, Not Ransomware », sur SecureList,
  14. Benjamin Ferran, « Cyberattaque Petya : le but du virus serait de détruire les fichiers », sur Le Figaro,
  15. Matt Suiche, « Petya.2017 is a wiper not a ransomware », sur Comae Technologies, (consulté le 20 mars 2018)
  16. (en) Trend Micro, « New KillDisk Variant Hits Latin American Financial Organizations Again », sur blog.trendmicro.com, (consulté le 14 juin 2018)
  17. (en) « Banco de Chile Wiper Attack Just a Cover For $10M SWIFT Heist », sur threatpost.com,
  18. (en) « North Korea to blame for string of Latin America bank hacks, insiders say », sur cyberscoop.com, (consulté le 19 juin 2018)
  19. (en) « Mexico Foiled a $110 Million Bank Heist, Then Kept It a Secret », sur Bloomberg,
  20. (en) « Bank of Chile trading down after hackers rob millions in cyberattack », sur Reuters,