Écosystème des programmes malveillants et présentation des travaux de recherche au Loria dans le cadre du PEPR cybersécurité - compte-rendu de la journée RGPD de la CNIL du 12/06/24 à Nancy

Dans un contexte de numérisation de la société, la Commission Nationale de l’Informatique et des Libertés (CNIL) - autorité de contrôle des données personnelles en France - a deux objectifs principaux : apporter de la sécurité juridique et créer de la confiance. En effet, son but est de redonner aux citoyens le contrôle sur leurs données en rendant les systèmes d’information moins opaques et plus transparents. Pour cela, elle a notamment décidé d’organiser des évènements récurrents ayant lieu partout en France, à diverses périodes, pour parler des actualités en droit du numérique : les journées RGPD (journées dédiées au règlement général sur la protection des données - RGPD -, mais pas que !)

Le 12 juin dernier, la CNIL a animé une journée RGPD à Nancy, en collaboration avec l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP). Au programme, plusieurs thématiques ont été abordées, que nous déclinerons sous forme de 6 publications :

Dans ce dernier article relatif à la journée RGPD de la CNIL à Nancy, concentrons-nous sur l’écosystème des programmes malveillants et la présentation des travaux de recherche au Loria (Laboratoire lorrain de Recherche en Informatique et ses Applications) dans le cadre du PEPR (Programme et équipements prioritaires de recherche) cybersécurité.

Introduction

Les attaques de données sont de plus en plus présentes dans un monde en proie au numérique. Elles peuvent avoir de nombreuses conséquences dramatiques pour les entreprises et pour le marché économique. À titre d'exemple, en juillet 2023, le port de Nagoya a subi une attaque de rançongiciel, qui a entraîné une cessation des activités du port pendant 3 jours. Cette menace informatique va notamment déborder sur la vie quotidienne des individus car le port est un lieu d’échange.

D’autres attaques ont eu lieu notamment dans le domaine de la santé. Plusieurs hôpitaux ont déjà été victimes de cyberattaques. Ces attaques s’étalent dans le temps. Ce fut notamment le cas de celle d’un système de santé en Irlande. En effet, le début de l’attaque commence en mars 2021 permettant aux criminels d’infiltrer le système informatique sans voler de données. Puis, ils vont commencer à s’attaquer aux données seulement à partir du mois de mai en détruisant et chiffrant les données. Les pirates ont donc eu accès au système informatique et étaient présents pendant plusieurs jours dans le système pour détruire des informations pour demander une rançon par la suite.

Les données sont devenues un moyen de gagner de l’argent mais aussi de contrôler les informations. Elles prennent une place de plus en plus conséquente notamment avec l’intelligence artificielle. En effet, ce sont les données qui permettent d'entraîner les nouvelles technologies. Les vols de données concernent plus particulièrement les données de santé. Notamment par le fait que ce sont des données sensibles mais aussi qu'elles peuvent faire l'objet de trafic sur le darknet. Il y a donc tout un marché sur les données de santé dans le monde.

Mais qu’est-ce qui est attaquable ? Tout peut être attaqué. Par exemple, une box internet, une caméra, un téléphone, une montre connectée, etc. Le dangers des objets connectées est qu’il est possible pour un hacker d’attaquer plusieurs objets connectés à partir d’un seul. Ces attaques en chaîne peuvent s’expliquer par l’utilisation d’un même mot de passe sur plusieurs sites ou objets connectés.

I/ Écosystème des programmes malveillants

A) Un manque d’informations concrètes

Concernant les cyberattaques, l’on constate un manque d’informations concrètes. En effet, il y a beaucoup d'informations, certaines étant mal renseignées voire inexistantes. Par exemple, les chiffres de la police sont faussés, notamment parce qu’ils ne prennent pas en compte les personnes victime de cyberattaques qui n’ont pas porté plainte. Il est donc complexe de rendre compte exactement de l’ensemble des cyberattaques.

B) L’organisation des attaques

Le cas de contileaks met en avant une certaine organisation des cyberattaques. En effet, Contil était un groupe de ransomware russophone composé de 100 personnes. Les hackeurs fonctionnaient comme une véritable entreprise avec une hiérarchie mise en place afin de coordonner et d’organiser les attaques. Ils allaient jusqu’à appeler leurs victimes : leurs “clients”. Au sommet de la hiérarchie, il y a les chefs de service dont leur rôle est d'opérer les attaques.

D’autres groupes ont des missions diverses comme vendre des techniques pour compromettre un système informatique. Ex : vente de mot de passe, cookies, information des ports de l’entreprise.

Par la suite, il faut disposer de plusieurs outils afin d’attaquer un système informatique et pour exfiltrer des données de façon non bruyante. Et il faut mettre en place des services de négociations pour que les pirates puissent arnaquer les victimes.

Souvent, ce ne sont pas les pirates eux-mêmes qui attaquent un service informatique : ils passent généralement par des profils et des affiliés. Ces derniers sont des personnes qui vont contracter avec les pirates. Lorsqu’une attaque est réussie, ils prennent 30% de la rançon.

C) La pénétration dans un système

Pour entrer dans un système, le hacker doit disposer des mots de passe et toute information pour se connecter à distance. Les pirates prennent aussi en considération les vulnérabilités sur un système informatique, comme par exemple, les bugs.

Lors d’une attaque d’un système informatique, le pirate commence bien souvent par exfiltrer les données et plus particulièrement les données sensibles.

Ensuite, le pirate arnaque sa victime en exposant les données qu’il a volé sur un “leaked data” — “mur de la honte” en français — en demandant une rançon. Si la victime ne paye pas, alors les données seront rendues publiques. Les systèmes de négociation se font via des chats ou appel. Dans 70% des cas, les victimes payent la rançon.

D) Le retrait de la rançon

Le paiement de la rançon se fait généralement par de la crypto-monnaie (bitcoin). Une fois que la victime a payé la rançon, les bitcoins doivent être dans un portefeuille de crypto-monnaies.

Pour éviter que les pirates se fassent repérer par la police, ils doivent transférer cet argent en le mixant avec d’autres transactions. Le versement de l’argent de la rançon aux pirates se fait donc au compte goutte.

Pour contrer le versement de l’argent, les forces de l’ordre emploient plusieurs techniques, notamment en collaboration avec d’autres autorités de police dans le monde. Parfois, les forces de police arrivent à démanteler des groupes de pirates sur le darknet.

E) Les conséquences d’une cyberattaque

Les plus attaqués sont les industries lourdes, contrairement au domaine de l’éducation.

Pour comprendre les conséquences d’une cyber attaque, il faut recourir à l'acronyme CIA inspiré de l’agence de renseignement des États-Unis :

  • Confidentialité : les données volées d’une entreprise sont exfiltrées et publiées, données à quelqu’un ou revendues (il n’y a plus de confidentialité)
  • Intégrité : les données sont chiffrées ou modifiées à tel point qu’il devient impossible de les retrouver, voire parfois détruites (il n’y a plus d’intégrité)
  • Accéder : les données ne permettent plus d’accéder à un service (il n’y a plus d’accès).

Pour les victimes, il y a également de nombreuses conséquences s’expliquant par la difficulté de l’entreprise à redémarrer suite à l’attaque, aux dommages externes (cessation des échanges) et aux dommages réputationnels.

F) Focus : le cas des attaques par ransomware

1. Contexte

En 2017, le ranson logiciel “wannacry” se propageait de manière automatique en détectant une faille. Ces attaques ont eu pour conséquence 4 milliards de dollars de dommages et ont touché près de 140 pays.

Désormais, une attaque est opérée par un humain. Une fois qu’il a compromis un système, il va exfiltrer des donnés, comprendre l’organisation dans lequel il est, essayer de passer par le réseau pour aller plus loin et poursuivre son attaque.

2. Le déroulement d’une attaque par ransonware

Une attaque par ransonware se déroule en plusieurs étapes :

  • Premièrement, l’attaque se déroule par une phase de reconnaissance afin de déterminer combien vaut l’entreprise et si elle est assurée. En somme, c’est une recherche d’information pour que le pirate sache à qui il se confronte.
  • Le hacker va ensuite tenter d’entrer dans le système informatique.
  • Après être entré dans le système, le hackeur désactive les défenses pour collecter les données qu’il souhaite.
  • Enfin , il va entrer dans une phase de négociation avec la société ou des employés en demandant une rançon.

3. Les conséquences d’une attaque par ransomware

Les attaques par ransomware entraînent deux conséquences :

  • Un possible blocage, via chiffrement par exemple, du système d'information, rendant ainsi impossible l’accès au système et aux données.
  • La recherche et l’inventaire des informations volées — dans la majorité des cas, le hacker prend les informations essentielles comme les coordonnées de cartes bancaires ou le numéro de carte vitale.

II/ Présentation des travaux de recherche

A) Le projet Defmal

1. Présentation

Le projet Defmal est un programme de recherche pour lutter contre les logiciels malveillants. En effet, ils concernent l’ensemble des environnements numériques comme les objets connectés ou encore les infrastructures numériques. Le projet a donc pour ambition de proposer de nouvelles analyses et défenses face aux malwares.

2. Missions

Les missions dans le cadre du projet Defmal sont diverses :

  • La première mission consiste à comprendre les menaces , rétro-ingénierie des menaces — elle permet de comprendre les nouvelles méthodes, aide les analystes à réaliser des tâches de rétro-conception malveillantes et de créer de nouveaux outils.
  • Ensuite, la deuxième mission est la création de nouvelles approches de détection des programmes malveillants — elle s’illustre par le développement de nouvelles capacités de détection des malwares et de recherche de backdoors.
  • Également, il est important de comprendre l’écosystème global du malware afin de caractériser et d’analyser les attaques qui ont eu lieu.
  • Enfin, la dernière mission du projet consiste à construire une plateforme d’échange de données et de service pour la recherche — il s’agit de comprendre le mode opératoire des cyber attaquants, leur mode de fonctionnement ou encore leur organisation. Cette mission permet de se doter d’une capacité de prédiction des attaques cyber.

B) Illustration des risques cyber de Log4j

1. Présentation

Log4j aussi appelé “Log4Shell” est un journal d'événements. Il enregistre des informations importantes comme des messages d’erreurs et les entrées des utilisateurs dans un programme. En somme, c'est une bibliothèque de logiciel en open source et un ensemble de code pré écrits que les développeurs peuvent utiliser de manière libre.

Notons que Log4j est utilisé et répandu dans des produits de grandes entreprises comme Microsoft et Amazon.

2. Risques

L’utilisation de log4j comporte plusieurs risques notamment au regard de la cybersécurité.

En effet, le 24 novembre 2012, des chercheurs en sécurité ont testé la vulnérabilité du site.

Selon les chercheurs, Log4j a reçu un score de 10/10 en vulnérabilité.

Cela s’explique en raison de différents facteurs :

  • Aucun correctif n’a été mis en place lors de la découverte de la vulnérabilité. Il était donc facile pour les hackers d’exploiter les vulnérabilités de Log4j.
  • Log4j permettait une exploitation facile de sorte que les pirates informatiques n’avaient pas besoin de recourir à des autorisations ou authentifications spéciales. Ils pouvaient donc introduire facilement des commandes malveillantes dans les formulaires publics.
  • Log4j était la bibliothèque de journalisation la plus utilisée, de sorte que l’ensemble des environnements clouds étaient exposés à des risques.

Ces différentes vulnérabilités ont permis à des attaques cyber en décembre 2021. IBM par exemple a enregistré une augmentation de 34% des exploitations de vulnérabilités entre 2020 2021 dûe à Log4j.

3. Mesures correctives en cascade

Après que la vulnérabilité de Log4j soit découverte, des mesures ont été mises en place afin de corriger les erreurs. Cependant, chaque correctif appelaient à d’autres vulnérabilités menant à des corrections en cascade.

Malgré ces corrections, Log4j présentait toujours un risque pendant des années, notamment par le fait qu’elle soit intégrée directement dans le logiciel. Un an après la découverte de la faille, un quart des applications et contrôles d’accès ont été vulnérables. Le département de la Sécurité intérieure des États-Unis estime même qu’il faudra une décennie pour trouver et corriger chacune des instances vulnérables. Le problème résidait donc dans le fait d’identifier ces anomalies pour les corriger. Ainsi, il est important pour les entreprises d’appliquer les correctifs sur leur application.


Speaker :

Jean-Yves MARION, professeur à l’Université de Lorraine

Remerciement :

Merci à Alessandro MOSCA pour sa relecture attentive.