(par Massimiliano D'Elia) Les attaques de hackers de 2017 semblent provenir d'un film américain d'action et d'espionnage. Si 2017 a été marquée par l'escalade et la prolifération des cyberattaques, tout le monde se demande ce qui va se passer en 2018?
L'attaque dite de WannaCry en mai a été le début de la peur d'attaques massives et à grande échelle.
L'idée que nous pourrions voir des pirates - peut-être liés à la Russie - voler le code de la National Security Agency américaine, le publier, puis faire en sorte que les pirates nord-coréens le réutilisent avant de l'utiliser pour supprimer une partie importante de la base de données nationale de la santé Service britannique, cela semblerait de la science-fiction, mais c'est arrivé.
L'hypothèse la plus crédible de WannaCry est que l'attaque était en fait un stratagème rémunérateur qui a mal tourné, s'est répandu beaucoup plus rapidement que prévu et a préparé le terrain pour les pirates.
Il a montré comment un ransomware - en bloquant une machine - pouvait être utilisé comme une arme, et en y réfléchissant, à quel point de nombreuses parties de notre société sont vulnérables à ce type de menace.
La crainte pour l'avenir est que l'exemple de WannaCry peut être répliqué à grande échelle vers des organisations de plus en plus sophistiquées avec l'échange inévitable de données à des fins criminelles.
Après WannaCry, l'autre attaque très médiatisée est survenue le mois suivant.
NotPetya a détourné le service de mise à jour d'une société ukrainienne de logiciels fiscaux qui devait être utilisé par toute personne faisant des affaires dans le pays, puis s'est propagé à travers les réseaux d'entreprise, bloquant à nouveau les ordinateurs avec un ransomware. Le but ici était d'interrompre, plutôt que de gagner de l'argent, car la clé pour décrypter les fichiers n'était même pas accessible.
Conséquences du monde réel
Il est rapidement devenu clair que toute entreprise ayant une succursale ou un bureau connecté à l'Ukraine pouvait être touchée, et l'attaque s'est étendue à tous les niveaux, avec des pertes commerciales estimées à des centaines de millions de dollars.
Cette attaque a été attribuée aux Russes qui avaient auparavant également visé une centrale électrique qui a ensuite été mise hors ligne.
L'expert en cybersécurité Sean Kanuck souligne également que le piratage de la US Security and Exchange Commission était un autre événement majeur, en raison de la capacité à utiliser les informations pour des délits d'initiés et des manipulations de marché.
La prolifération des capacités
Les cyber-intrusions chinoises contre les États-Unis ont diminué après un accord conclu par l'administration Obama, bien qu'une attaque contre des fournisseurs de services technologiques appelés Cloud Hopper et liés à la Chine ait été sous-estimée compte tenu de sa capacité à profitez de l'accès à de nombreuses autres entreprises.
Les agences de renseignement de surveillance des menaces disent avoir vu une augmentation de l'activité de l'Iran et avertissent que c'est peut-être le pays à surveiller en 2018. Il a été blâmé pour une attaque du Parlement britannique cette année, qui avait des systèmes hors ligne compromis pour la maintenance du système, et des attaques destructives encore plus graves ont suscité des inquiétudes.
La géopolitique est étroitement liée au cyber-comportement
L'aggravation des tensions avec la Corée du Nord pourrait conduire à davantage d'activités cybernétiques.
«Le secteur financier - en particulier les marchés boursiers, les grandes entreprises - et les infrastructures énergétiques seront des cibles possibles, déclare Cameron Colquhoun, de Neon Century Intelligence, dans un article de la BBC.
La Corée du Nord "a piraté la crypto-monnaie de la Corée du Sud. La détérioration de la situation régionale au Moyen-Orient et la fin potentielle de l'accord nucléaire iranien pourraient également conduire Téhéran à faire plus, et les analystes ont vu des acteurs liés à l'Iran. explorer les infrastructures essentielles.
FireEye dit avoir vu récemment augmenter l'activité de deux groupes de pirates informatiques liés à l'Iran (connus sous le nom d'APT 33 et 34) avec une possible reconnaissance dans les secteurs de la finance, de l'énergie et des télécommunications.
Plus généralement, un certain nombre de pays du Moyen-Orient, dont le Qatar, les Émirats arabes unis et l'Arabie saoudite, peuvent être plus disposés à s'engager dans différents niveaux de cyberattaque à mesure qu'ils développent leurs capacités.
L'utilisation du cyber-piratage à des fins d'ingérence politique a également connu un développement important
États-Unis: des informations ont été divulguées au siège du Parti démocrate des États-Unis et de certains responsables d'Hillary Clinton en 2016.
Russie: comme s'il s'agissait d'un "nuage" sur la Maison Blanche de Trump, une enquête appelée Rissiagate, sur une ingérence possible dans les élections présidentielles.
France: La campagne Macron en France a connu une activité similaire en 2017.
Angleterre: Dans son discours au Mansion House en novembre, la Première ministre britannique Theresa May a également averti que la Russie "essayait d'armer l'information", même si jusqu'à présent les preuves de l'ingérence russe au Royaume-Uni sont plus limitées et la Russie a nié toutes les allégations d'ingérence et de cyber-piratage.
Et en décembre, le ministre des Affaires étrangères, Boris Johnson, et son homologue russe Sergueï Lavrov se sont affrontés à Moscou pour des cyberattaques présumées contre des pays occidentaux.
La question de l'interférence politique a également marqué un changement dans la compréhension que le cyber ne concerne pas seulement le cyber.
Dans le cas de l'Amérique, les informations du DNC - l'organe directeur du Parti démocrate - ont été piratées, puis diffusées via divers canaux et diffusées via les médias sociaux.
En d'autres termes, l'élément de piratage n'était qu'une partie d'une opération plus large.
L'approche de la cybersécurité court un risque limité de perdre la mesure dans laquelle la Russie, en particulier, l'a intégrée dans un plus large éventail d'activités, qui entrent souvent dans la catégorie de la «guerre hybride».
Cela fait partie d'une tendance plus large à utiliser l'information comme une arme. Et ce ne sont pas que des États.
Infrastructure à risque
Les entreprises et les acteurs non étatiques cherchent de plus en plus à voler des données et à diffuser ou façonner des flux d'informations pour les adapter à leurs programmes (ou parfois simplement pour gagner de l'argent en déplaçant l'attention des marchés financiers).
Le problème ici est la manipulation des flux d'informations, dont la «cybersécurité» n'est qu'un aspect.
La crainte est que la tendance croissante des attaques destructrices - et la prolifération de ceux qui sont capables de les mener - pourraient créer de graves problèmes de sécurité pour des pays et des continents entiers. En particulier, il peut y avoir plus de ciblage des infrastructures essentielles.
Dans le passé, la plupart des attaques étaient concentrées dans le pré-positionnement de code malveillant afin que nous puissions mener une attaque à l'avenir, mais maintenant nous pouvons subir des attaques en temps réel sur des centres stratégiques tels que les télécommunications, les aéroports et les centrales électriques.
Les cyberattaques deviennent un sujet de politique étrangère et de défense et sont de plus en plus utilisées de manière agressive et concrète. Sans aucun signe de vouloir fixer des normes convenues sur ce qui est - ou non - un comportement acceptable dans le cyberespace, préparez-vous à des surprises encore plus dramatiques en 2018.