[CR FIC] Kaspersky : attaques sur la supply chain numérique

Lors d’une conférence organisée dans le cadre du Forum international de la cybersécurité (FIC), Ivan Kwiatkowski, chercheur en cybersécurité chez Kaspersky, s’est exprimé sur la sécurisation de la supply chain numérique des entreprises. D’après le spécialiste, l’appareil de cybersécurité d’une entreprise devient de moins en moins efficace à mesure que l’environnement numérique se complexifie, entrainant nécessairement une densification des chaînes de valeurs à surveiller.

Aujourd’hui, les cyberattaques ciblées sont l’une des cybermenaces les plus coûteuses pour les entreprises. Le cas d’école dans cette catégorie reste le ransomware Notpetya, qui aurait coûté environ 10 milliards de dollars aux victimes. Ces attaques font l’objet d’un premier repérage nécessaire à leur mise en place. Cette première phase peut passer par une campagne de phishing, misant sur l’erreur humaine. Cependant, avec les formations et sensibilisations aux cybermenaces, les hackers cherchent à compromettre la supply chain (chaîne de valeur) des appareils utilisés par l’entreprise. Un cyber attaquant va systématiquement chercher à accéder aux serveurs d'une structure. Dès lors que chaque employé a accès à ceux-ci, ce sont autant de portes d'entrées possibles sur le serveur, et de victimes potentielles.

Au début de cette conférence, Ivan Kwiatkowski a affiché une représentation de tous les éléments qui composent l’environnement numérique d’une entreprise. Il divise ces éléments en trois cercles concentriques qui représentent également le niveau de contrôle que l’entreprise peut avoir dessus : les appareils de l’entreprise, les appareils des employés et les logiciels tiers. Chacun de ces cercles ont leurs propres produits, chacun ayant sa propre chaîne de valeur, qu’elle soit physique (hardware) ou logicielle (software).

Le premier cercle représente les logiciels ou ordinateurs, serveurs et autres appareils immobilisés par l’entreprise. Ceux-ci sont les moins susceptibles de faire l’objet d’une attaque informatique ciblée. En effet, l’entreprise peut s’assurer de l’intégrité physique et logicielle de ses appareils, étant donné qu’ils sont sécurisés à plusieurs niveaux : par le constructeur, le développeur, et enfin l’entreprise elle-même. Il s’agit là de cybersécurité by design, c’est-à-dire de protéger le système informatique à priori.

Cependant, s’ajoute à ce premier cercle une nouvelle couche d’éléments qui échappe davantage au contrôle de l’entreprise, les appareils utilisés par ses employés. Qu’il s’agisse de téléphones, d’ordinateurs portables ou de clés USB, ces divers outils informatiques complexifient la sécurisation de l’infrastructure cyber de l’entreprise. La surveillance de l’intégralité de la chaîne de valeur des appareils propres à l’entreprise est compliquée et bien souvent coûteuse. Etendre celle-ci à tous les appareils utilisés par les employés est presque impossible sans imposer des règles strictes concernant leur utilisation.

Mais le point sur lequel le porte-parole de Kaspersky a insisté, est le troisième cercle d’éléments techniques : les logiciels tiers. Il s’agit là de la couche dont la chaîne de valeur est la plus complexe, la plus floue et la plus diverse. Ce sont les logiciels tels que CCleaner, Keepass, la suite OpenOffice, etc. Ces logiciels peuvent effectivement faire l’objet d’attaques à large spectre. Ce fut par exemple le cas de CCleaner, qui intégra par erreur un paquet de données dans une de ses mises à jour. Une fois implémentée, tous les ordinateurs ayant téléchargé la mise à jour faisaient fuiter des données, permettant ainsi de mettre en place une attaque ciblée. Il s’agit bien là d’une faille de sécurité dans la supply chain du logiciel, c’est-à-dire que la faille a été intégrée au processus de maintenance du logiciel en amont de son utilisation même.

La supply chain logicielle est d’autant plus complexe qu’elle fait aussi intervenir les Fournisseurs d’accès internet (FAI) et les responsables de l’infrastructure réseau, tels qu’Orange, Cisco, OVH, etc. Si un seul de ces acteurs fait défaut, c’est l’intégralité du réseau de l’entreprise qui est menacée.

Mais la compromission de la supply chain peut également être mise en place au niveau hardware, en ciblant les appareils de l’entreprise et des employés. Un cas d’école en l’espèce, fut celui des cartes mères vendues par l’entreprise Super Micro Computers inc., comportant une minuscule puce électronique qui créait une backdoor (porte d’entrée) dans tous les serveurs sur lesquels ladite carte était installée. Après les trois ans d’investigation faisant suite à la découverte de cette faille, les services de renseignement américains se sont aperçus que la puce était implantée en Chine, durant le processus de fabrication du circuit imprimé, très en amont de la supply chain.

La compromission d’une supply chain hardware est moins probable. Elle reste traçable, et met en danger la crédibilité de l’entreprise, voire de l’État qui en est à l’origine. Mais ces attaques peuvent être très efficaces, puisque les composants mêmes des appareils d’une entreprise ne font pas systématiquement l’objet d’un contrôle minutieux, et mettent en danger l’intégrité numérique d’une entreprise sur le long terme. A contrario, une attaque sur la supply chain d’un logiciel est plus probable dans la mesure où leur origine est très difficilement traçable, voire non traçable. Elle est en revanche plus facilement repérable, que ce soit par les antivirus ou par l’équipe technique du logiciel ou de l’entreprise même.

Quelle que soit la nature de la menace dans la supply chain numérique d’une entreprise, les conséquences sont toujours lourdes, d’autant plus qu’elle échappe au contrôle de l’entreprise. En effet, ces attaques ne ciblent pas directement l’entreprise, mais bien les acteurs qui participent à la fabrication ou la maintenance des produits utilisés au sein de l’entreprise.  La complexité croissante de l’environnement cyber font que les solutions de cybersécurité « clé en main » ne permettent pas de se mettre à l’abri. De la même manière, il n’est pas possible de mettre en place un dispositif de surveillance de l’intégrité logicielle ou matérielle, puisque l’environnement à surveiller se densifie continuellement. La démocratisation du « Smart », la mise en place d’un « Internet des objets » (IoT) participe à cette complexification.

Ivan Kwiatkowski considère qu’il faut désormais remettre en question nos habitudes d’utilisation et méthodes de sécurisation. Par exemple, à l’acquisition d’une nouvelle machine, il suggère de tester la machine « à vide », c’est-à-dire de la brancher d’abord hors du réseau de l’entreprise pour voir s’il y a, ou non, du trafic suspect, plutôt que de brancher directement la machine au réseau. Il propose également d’adopter des mesures heuristiques classiques : si l’on s’aperçoit que le service comptable utilise PowerShell, logiciel dont les comptables ne se servent pas d’ordinaire, il convient de vérifier pourquoi.

Ainsi, les solutions de cybersécurité « clé en main » ou « by design » ne suffisent plus. En parallèle de la numérisation de nombreux produits et services, la complexification de l’environnement cyber rend impossible sa sécurisation. Celle-ci doit se faire avant tout par l’application de méthodes et pratiques sécurisées plutôt qu’en comptant uniquement sur des logiciels de cybersécurité qui ne peuvent plus suivre cette complexification.