Les hackers sont-ils les futurs maîtres du monde ?

Les nouveaux pouvoirs des hackers: couper le courant d'une ville, provoquer un accident sur l'autoroute ...

Le piratage informatique est désormais une véritable arme

Une étude de 2015 de Tavish Vaidya de l’université de Georgetown nous livre un tableau assez précis du paysage des cyberattaques entre 2001 et 2013.

Historique et cibles des cyberattaques entre 2001 et 2013 – Tavish Vaidya, Georgetown University

On note que depuis 2001, les attaques par piratage informatique d’envergure se sont multipliées. Et leur motif a changé.

Si on remonte aux début d’Internet ont se souvient de tous ces vers et virus informatiques qui se propageaient et contaminaient les ordinateurs sans cible précise mais juste avec l’intention première de causer des dommages. C’était l’ère des vers Slammer, Blaster, ILOVEU, Mydoom… Ils apparaissent en bleu clair sur le graphique (undirected attacks) et ont quasiment disparu.

En violet on voit une persistance constante des attaques contre les gouvernements. A mon sens rien de très spécial, les Etats se sont toujours espionnés les uns les autres. Le temps des espions de la guerre froide est simplement révolus, les services secrets ont embauchés des hackers.

La vrai nouveauté c’est l’usage des piratages informatiques comme une véritable arme, en témoigne la tendance croissante d’attaque qui peuvent porter atteinte à la sécurité nationale (vol de technologies militaires, d’informations confidentielles …) ou celles dirigées vers les institutions financières, les entreprises et même les infrastructures.

Si on s’intéresse aux motivations derrières ces attaques, on peut les résumer en 2 mots : l’argent et l’espionnage.

Motif des cyberattaques entre 2001 et 2013 – Tavish Vaidya, Georgetown University

Les infrastructures critiques sont vulnérables

Salle de commande de la centrale de Chooz (Ardennes) – Alexandre Sargos / EDF

Dans les années 60, pour piloter de grosses infrastructures on avait une préférence pour les consoles avec des dizaines de boutons, aujourd’hui on préfère des interfaces hommes-machine informatiques qui répondent au doux nom de SCADA (Supervisory Control And Data Acquisition).

Comme l’explique le site spécialisé Reflet, de plus en plus on a mis en place des outils d’accès à distance sur de telle infrastructure. Dit autrement, on les a connecté d’une manière ou d’une autre à Internet. Ce faisant, on a introduit un facteur de vulnérabilité majeur dans le système que des personnes mal intentionnées peuvent exploiter.

En 2015, Michel Nesterenko du Centre Français de Recherche sur le Renseignement revenait sur la question des SCADA après l’endommagement de hauts-fourneaux en Allemagne en 2014 suite à un piratage informatique qui a compromis certains systèmes. Selon lui « SCADA, est une vraie passoire en terme de sécurité informatique ».

Les systèmes concernés les plus critiques sont le réseau électrique, la distribution d’eau, le contrôle aérien et le contrôle de la circulation. Les moyens requis pour mener à bien une attaque restent cependant colossaux et sont pour l’instant l’apanage des Etats.

Les réseaux électriques

En 2011, le chercheur en sécurité informatique Ruben Santamarta présentait publiquement une faille potentiellement utilisable pour inoculer des chevaux de trois dans certains système SCADA utilisés pour gérer le réseau électrique (en particuliers les sous-stations).

Le 23 Décembre 2015, 230’000 personnes se sont retrouvé privés d’électricité pendant quelques heures après que des pirates ont désactivé une partie du réseau (alors qu’ils avait vraisemblablement la possibilité de l’endommager).

Fin 2016, une nouvelle attaque mettait hors service 20% de la capacité électrique de Kiev.

Les centrales nucléaires

Ahmadinejed Natanz

L’ex président Ahmadinejad en visite d’inspection de la centrale de Natanz – Présidence de la République Islamique d’Iran

En Juin 2010, le vers informatique Stuxnet arrive sous le radar des entreprises de sécurité informatique. Il a alors contaminé 14 installations industrielles iraniennes et notamment le centre d’enrichissement d’Uranium de Natanz. Le virus cible en particulier les centrifugeuses pilotées par un système SCADA de Siemens. Le code malicieux est capable de modifier de manière imperceptible leur fonctionnement jusqu’à les mettre hors service. En détruisant jusqu’à 1’000 machines, le vers aura ralenti quelque peu le programme nucléaire iranien.

De part sa complexité et son but, il est vraisemblable que ce vers ait été crée par des équipes militaires américaines et israélienne (voir cet article d’Ars Technica ou encore le livre de David Sanger Confront and Conceal: Obama’s Secret Wars and Surprising Use of American
Power).

Un rapport du Nuclear Threat Initiative disponible en ligne pointe du doigt l’augmentation des incidents de cybersécurités dans le domaine du nucléaire (de 1 par an à 2 ou 3 ce qui reste donc relatif). En 2014, la centrale nucléaire de Monju au Japon fût infectée par un malware qui vola des données techniques. La même année un autre site coréen fut victime d’une attaque similaire.

En 2016, toujours au Japon, les données d’un centre de recherche de l’université de Toyama furent à nouveau volé.

Les redoutables dommages économiques des cyberattaques

De véritables mafias informatiques se sont constituées afin de racketer, piller ou escroquer de grandes entreprises par le biais de piratages informatiques.

De larges bases de données, en particuliers celles contenant les données personnelles des clients peuvent représenter beaucoup d’argent au marché noir. Parfois les pirates récupèrent directement les informations bancaires (par exemple en 2011 les pirates volèrent 77 millions de numéros de carte de crédit à Sony Playstation Network, en 2013 70 millions de comptes et 40 millions de numéros de cartes au distributeur américain Target).

Même de simples informations personnelles peuvent êtres revendues : avec un état-civil et une adresse on peut ouvrir un compte sur certaines banques en lignes, réaliser des fraudes au crédit, fabriquer de faux-papiers …

Cet article rapporte le cas d’un hôpital de Boston qui s’est vu volé 2’000 radiographies de patients. Quel intérêt ? De nombreux chinois ne peuvent obtenir un visa pour sortir de Chine car ils souffrent de maladies infectieuses des poumons comme la tuberculose. Il existe donc un marché noir de fausses radiographies.

En 2013, un attaque attribuée à la Corée du Nord a perturbé 3 chaines de télévisions et 2 banques, rendant momentanément indisponibles les distributeurs de billet.

Les coûts globaux de ces cyberattaques sont importants (réparation des dommages, compensation des victime, amélioration de la sécurité …). Selon le rapport de l’université de Georgetown cité plus haut : 148 millions de $ pour le piratage de Target en 2013, 80 millions de $ à Citigroup en 2011, 225 millions de $ pour Epsilon en 2011…

Le futur sera-t-il le paradis des hackers ?

De nombreux analystes anticipent un phénomène appelé Internet des Objets, qui désigne la tendance croissante à connecter de plus en plus d’objets à Internet. Or qui dit connexion à Internet, dit possibilité de corruption, mise hors service ou même prise de contrôle à distance.

Les véhicules autonomes sont déjà compromis

Prenons un exemple. Avec l’avènement annoncé de voitures à la conduite plus ou moins autonome, l’ordinateur de bord devient un élément critique du véhicule. Or, plusieurs chercheurs en sécurité ont déjà démontré que ces systèmes étaient vulnérables.

2 américains, Charlie Miller et Chris Valasek, se sont même fait une spécialité de pirater l’ordinateur de bord des voitures :

  • En 2013, ils démontent une Ford Escape et une Toyota Prius et parviennent à prendre le contrôle des freins ou du volant depuis leur ordinateur portable.
  • En 2015, ils obligent Chrysler a rappeler 1,4 millions de véhicule après avoir fait la démonstration qu’on pouvait exploiter la connexion du smartphone à une Jeep Cherokee (pour passer de la musique ou des appels) pour prendre partiellement le contrôle à distance. C’était néanmoins suffisant pour immobiliser la voiture au milieu de l’autoroute.
  • En 2016, désormais employés par Uber, ils récidivent sur les Jeep Cherokee en en prenant le contrôle total (par exemple donner un grand coup de volant à pleine vitesse) en se branchant sur le système de la voiture. La faille qui permettait la prise de contrôle à distance a heureusement été corrigée.

Le Guardian évoque dans cet article d’août 2016 une autre approche développée par 3 chercheurs chinois de l’entreprise de cybersécurité Qihoo 360. Il s’agit de brouiller voir de détraquer les senseurs d’une voiture autonome pour qu’ils reçoivent de faussent informations. Rendue immédiatement « aveugle », le véhicule autonome ne peux plus prendre aucune décision, ce qui est relativement gênant si elle est déjà lancée à pleine vitesse.

L’enjeu crucial de la cybersécurité

A mesure que les systèmes robotisés se déploient, la question de leur sécurisation va devenir de plus en plus importante. J’ai déjà évoqué précédemment le cas de robots chirurgicaux ou de robots qui gèrent la pharmacie des hôpitaux. Il est certainement possible pour des personnes mal intentionnées et compétentes de compromettre ces systèmes pour qu’ils délivrent une surdose de médicament à un patient

Ce ne serait que la mise au jour de bonne vieille méthode des services secrets, vraisemblablement impliqués dans l’empoisonnement au Polonium 210 d’Alexandre Litvinenko en 2006.

J’ai écrit un autre article sur les prémices de véritables prothèses cybernétiques. Rentrons dans le domaine de la science fiction et imaginons une personne dotée de 2 bras artificiels. Que se passe-t-il si ils sont piratés et qu’ils étranglent quelqu’un ?

 

Share Button

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *