Le panorama des menaces : échanges sur l’évolution du piratage avec Adrianus Warmenhoven

Les entreprises imaginent encore les pirates comme des programmeurs en sweat à capuche se cachant dans des salles de serveurs, écrivant d’interminables lignes de code pour atteindre leurs cibles. Mais l’ensemble du secteur de la cybercriminalité s’est transformé de manière drastique. Le piratage informatique est passé d’un hobby de contre-culture à une véritable industrie impliquant le monde des affaires et de la politique.

Adrianus Warmenhoven, conseiller en cybersécurité et porte-parole de Nord Security, a lui-même une certaine expérience du piratage éthique, dit « white hat ». Nous avons discuté avec lui de l’évolution du piratage au cours des dernières décennies, des motivations des cybercriminels, de l’influence des récentes évolutions de l’IA et des raisons pour lesquelles la véritable menace qui se cache dans l’ombre n’est pas l’homme, mais les robots.

Commençons par parler des cibles des pirates. Les petites entreprises, par exemple, pensent souvent qu’elles sont trop petites pour intéresser les cybercriminels. Qu’avez-vous envie de leur dire ?

R : En fait, le piratage informatique est une activité commerciale. Aucun pirate ne se réveille en se disant : « Je vais pimenter la vie de quelqu’un aujourd’hui ». Ce qu’ils veulent vraiment, c’est de l’argent. S’ils peuvent obtenir 5 centimes d’un million de personnes, cela reste 5 millions de centimes.

Les techniques utilisées par les pirates peuvent varier en fonction de la taille de la cible, mais l’objectif reste le même : tout le monde est une victime potentielle. Dans les grandes entreprises, les pirates ciblent généralement les comptes d’administrateur, mais pour les particuliers, ils ont recours à des méthodes telles que le phishing.

Le prix des informations sur les comptes professionnels et personnels sur le dark web est-il le même ?

Ce n’est pas tant le prix qui compte que ce que vous pouvez faire des informations. Les comptes professionnels ont généralement plus de valeur, mais ils sont également éphémères et volatiles. L’équipe de sécurité peut remédier au problème et réinitialiser les comptes dès qu’elle constate une fuite de données.

Vous pouvez obtenir environ 10 000 adresses e-mail vérifiées pour 5 €, c’est vraiment bon marché. De même, les mots de passe sont extrêmement bon marché : vous pouvez en obtenir plusieurs milliers pour un ou deux euros. Cela dépend vraiment de ce que vous pouvez faire avec les informations.

Diriez-vous que la plupart des pirates le font pour l’argent ?

Oui. En fait, de nombreux pirates travaillant aujourd’hui pour des organisations criminelles ne savent même pas que c’est ce qu’ils font. Ils travaillent en fait en tant que développeurs.

Nous avions l’habitude de voir des hacktivistes, mais leur identité a évolué au fil du temps. Ils protestaient contre les compagnies pétrolières et autres grandes entreprises. Aujourd’hui, on voit de plus en plus d’hacktivistes se rapprocher d’États-nations pour obtenir leur soutien. Il s’agit toujours de gains financiers, mais la politique commence à s’en mêler.

En Europe, on constate également la volonté d’être reconnu par ses pairs, par d’autres pirates. Un de mes amis, par exemple, n’est plus intéressé par l’argent (il en a assez), mais il s’occupe de Microsoft, et il peut donc dire : « J’ai piraté le réseau Xbox », ce qui lui donne des références.

La frontière entre le piratage éthique (white hat) et le piratage malveillant (black hat) est-elle floue ?

L’ensemble de l’approche « white-hat-white-hat » est difficile et s’aggrave avec des choses comme les divulgations coordonnées de vulnérabilités. Les entreprises déclarent : « Si vous trouvez un bug et que vous nous le signalez, nous nous engageons à vous récompenser ». C’est ce que Nord fait, d’ailleurs. De nombreux pirates gagnent de l’argent en chassant les bugs pour des entreprises comme Microsoft et Apple : la découverte d’un seul bug peut valoir quelques centaines de milliers de dollars.

Les chasseurs de bugs ne sont pas là pour l’argent, mais pour l’adrénaline. Ils sont très compétents sur le plan technique et s’ennuient très vite. Il faut garder un œil sur ces pirates afin qu’ils ne passent pas du côté obscur.

Aux Pays-Bas, les pirates, les entreprises, les services secrets, l’armée, les forces de l’ordre, tout le monde connaît tout le monde, et cela fait partie de la culture. Si un pirate appelle les forces de l’ordre, celles-ci ne lui diront pas : « Vous êtes un pirate, nous ne voulons pas vous écouter. » Tout le monde s’entraide dans le domaine de la sécurité domestique. J’espère que le reste du monde s’en inspirera.

Le droit européen est très favorable dans ce domaine. Vous êtes protégé par la loi si vous pouvez prouver que vous avez piraté quelque chose avec de bonnes intentions. Aux Pays-Bas, la loi offre encore plus de protection : si j’informe immédiatement le fabricant ou la personne piratée, il ne peut y avoir de répercussions juridiques. Le gouvernement néerlandais vous offre un t-shirt sur lequel est écrit : « J’ai piraté le gouvernement néerlandais, et tout ce que j’ai obtenu, c’est ce t-shirt minable ». Il est très recherché, car c’est un peu comme un badge d’honneur dont on peut se vanter. Aux États-Unis, le gouvernement distribue des médailles. Ces signes de reconnaissance sont très précieux pour les pirates.

Cela incite-t-il les pirates à changer de camp ?

Oui, et de nos jours, nous voyons beaucoup de pirates travailler dans des entreprises de sécurité. Mais cela fait partie de la culture du piratage depuis les années 1990, lorsque vous piratiez quelqu’un et qu’il vous piratait en retour. Il s’agit de savoir qui est le plus malin.

Parlons du piratage en tant que service. Les entreprises peuvent-elles engager des pirates pour saboter leurs concurrents ?

Non seulement elles le peuvent, mais elles le font. Il existe même des ventes aux enchères de vulnérabilités, auxquelles participent aussi bien des entreprises que des États-nations. Si vous allez sur le dark web, vous trouverez de nombreuses annonces du type « Je peux pirater », mais aussi des annonces plus spécialisées, comme « Je peux déréférencer votre concurrent de Google » ou « Je peux donner à votre adversaire 10 000 évaluations négatives ». Si vous avez assez d’argent, vous pouvez acheter à peu près n’importe quoi.

Existe-t-il un moyen ultime de se protéger des pirates ou peut-on faire de son mieux avec les outils dont on dispose ?

Oui, ça existe : être hors ligne. Je plaisante, bien sûr, mais l’identité numérique est quelque chose que j’essaie toujours d’expliquer aux gens. Les gens pensent que c’est la personne physique qui est importante, mais ce n’est pas le cas. Votre identité numérique a plus de valeur que vous. Si vous deviez mourir là, tout de suite (j’espère vraiment que ce ne sera pas le cas), votre identité numérique continuerait à effectuer des transactions, à recevoir des messages et à avoir de la valeur dans le monde. Lorsque le corps physique disparaît, c’est terrible, mais c’est tout. Votre identité numérique fait partie de vous et vous devez en prendre soin. Elle reste présente même si vous vous déconnectez ou si vous décédez, elle continue à être active. Tous vos profils, comptes bancaires, notifications : quoi que vous ayez, cela fait toujours partie de vous, comme votre avatar dans le monde numérique, et cela continue de fonctionner.

L’IA aide-t-elle les pirates à deviner et à voler les mots de passe ?

Deviner ? Non. Voler ? Oui. Je m’explique.

Une IA ne peut pas deviner les mots de passe en raison de la manière dont ils sont stockés. Les mots de passe ne sont que des combinaisons complexes, dont la complexité dépend de la longueur. Les trouver par force brute à l’aide de l’IA est une impossibilité mathématique, d’autant plus que l’IA ne peut pas faire de meilleures suppositions que les formules mathématiques optimisées qui existent déjà.

Cela dit, il faut nuancer cette affirmation. Si vous utilisez toujours le même type de mot de passe, une IA peut prédire le schéma de votre utilisation du mot de passe. Les pirates ne commencent pas par AAAAA, ils commencent par les mots de passe les plus probables pour l’utilisateur. En fait, un pirate peut acheter tous vos mots de passe à partir d’une fuite de données. J’ajoute quelques informations supplémentaires, comme vos comptes de réseaux sociaux, et je laisse l’IA prédire le premier million de tentatives d’identification des mots de passe. Une IA peut donc vous aider à faire ces suppositions, mais elle ne peut pas deviner le mot de passe mieux que les algorithmes utilisés jusqu’à présent.

En ce qui concerne le vol de mots de passe, l’IA peut s’avérer très utile. Les pirates développent toutes sortes de codes malveillants à l’aide de l’IA sans connaître le moindre langage de programmation : il leur suffit de les copier et de les coller. L’IA est aussi utilisée pour l’usurpation d’identité en analysant la façon dont vous communiquez sur les réseaux sociaux et les personnes à qui vous vous adressez.

Imaginons que vous parliez à une personne de confiance sur les réseaux sociaux. Si j’entraînais l’IA en utilisant les réponses de cette personne, je pourrais écrire comme elle. Ensuite, je pourrais essayer de vous cibler par une tactique de phishing en vous envoyant un e-mail qui ressemblerait exactement à celui de cette personne, afin de ne pas éveiller vos soupçons.

Cela signifie-t-il que l’IA peut être utilisée pour prédire un schéma de mot de passe ?

Oui. Par exemple, si vous utilisez le nom de l’album d’un musicien comme mot de passe, l’IA peut prédire qu’à la sortie d’un nouvel album, vous l’utiliserez comme mot de passe. C’est pourquoi vous devez utiliser un générateur de mot de passe, qui crée un bruit de ligne aléatoire sans prédiction possible, ce qui élimine totalement l’IA de l’équation.

Vrai ou faux : l’image vieillotte du pirate en sweat à capuche est aujourd’hui révolue. Les victimes sont à la merci des robots.

Ce qui est amusant, c’est que, personnellement, je n’ai jamais porté de sweat à capuche. Je trouve que c’est vraiment inconfortable pour travailler. Blague à part, l’idée d’un pirate en sweat à capuche vient en fait du cinéma, mais ce n’est pas le sujet.

Vous avez raison de dire que les pirates isolés ont pratiquement disparu aujourd’hui. Bien sûr, on peut en trouver ici et là, mais ils ne constituent pas une menace structurelle. Ils s’attaquent à une école ou à un voisin qu’ils n’aiment pas. C’est un peu comme si quelqu’un dans la rue vous donnait un coup de poing au visage.

En ce qui concerne les robots, les criminels (et surtout les organisations criminelles) ont découvert que de nombreuses étapes peuvent être automatisées. Au fur et à mesure que vous ajoutez de l’automatisation, vous pouvez passer à l’échelle supérieure : les 5 centimes que j’ai mentionnés au début peuvent maintenant être prélevés non pas sur un million de personnes, mais sur un milliard. Pour y parvenir, il faut beaucoup de bots, ce qui, une fois de plus, représente une menace pour tout le monde. Vous ne serez probablement pas la cible d’un seul pirate, à moins que vous ne soyez leur spécialité. Même le piratage d’un hôpital fait désormais l’objet d’une procédure rigoureuse. Supposons qu’une personne pirate un hôpital. L’hôpital envoie un négociateur pour répondre au ransomware, tandis que les pirates ont leur propre négociateur qui ne sait pas qui sont les vrais pirates. Des situations qui créent également de nouveaux emplois dans le domaine de la cybersécurité. Il s’agit d’une activité commerciale, et les bots ne sont qu’un outil parmi d’autres, comme un chariot élévateur pour les charges lourdes.

Le piratage de la chaîne d’approvisionnement est-il à la mode actuellement ?

Ça dépend. Aux Pays-Bas, les services secrets géraient un service de chiffrement à partir duquel tous les criminels faisaient leurs achats, ce qui faisait beaucoup rire la police néerlandaise en voyant toutes les données des achats arriver en clair sur ses serveurs.

Le piratage de la chaîne d’approvisionnement sera certainement la solution privilégiée par les États-nations dans un avenir proche. Elle peut avoir des conséquences à long terme. Supposons que vous ayez piraté une pièce de matériel stratégique, comme ASML, une entreprise néerlandaise qui fabrique des pièces nécessaires à la création de puces, et que vous ayez lancé un ransomware non seulement contre le fabricant, mais aussi contre ses clients. Intel, Apple, Nvidia, toutes les entreprises qui dépendent d’ASML seraient déstabilisées parce qu’elles ne pourraient plus produire de nouvelles puces. Il y a fort à parier qu’ils se mobiliseraient tous pour vous retrouver, et que les services secrets se joindraient également à la chasse. Vous deviendriez la cible de presque toutes les forces de l’ordre du monde entier.

L’empoisonnement de la chaîne d’approvisionnement, qui consiste à placer des malwares quelque part dans la chaîne, deviendra de plus en plus fréquent en raison de tous les produits bon marché que nous achetons en ligne. Il y a peut-être huit usines sur la planète qui fabriquent tous les produits de dropshipping que nous achetons : elles ne font qu’apposer une étiquette différente, mais les produits proviennent tous de la même source. Un pirate peut payer ces fournisseurs et leur dire : « Pour chacune des clés USB que vous livrez avec mon micrologiciel, je vous paierai un euro ». Ensuite, les personnes achètent ces clés USB, les branchent sur leurs appareils et chaque machine est piratée. C’est aussi simple que cela.

J’imagine que les pirates feront des choses plus ciblées. Pour l’instant, les cybercriminels ne l’ont pas encore monétisé ou n’ont pas encore trouvé comment le faire efficacement sans se faire repérer, mais cela deviendra important. Les mondes physique et numérique des entreprises sont désormais inextricablement liés. Prenons l’exemple du port de Rotterdam. Des sommes énormes sont consacrées à la cybersécurité parce que les trafiquants de drogue aux Pays-Bas provoquent constamment des perturbations. Cette année encore, des personnes ont été arrêtées alors qu’elles tentaient d’extraire un conteneur contenant des marchandises.

Les attaques contre la chaîne d’approvisionnement ne sont donc pas encore monnaie courante, mais je suis certain qu’elles le seront dans les années à venir, notamment en raison de l’influence des pirates des États-nations.

Qu’est-ce qui est le plus rentable pour les pirates : voler et vendre des données ou demander une rançon ?

Les ransomwares, ou rançongiciels, font les deux. Auparavant, il ne s’agissait que de rançon ou de vol, mais les malwares font tout désormais. Les pirates envoient tous les fichiers volés vers un espace de stockage distant tout en les chiffrant. Ils peuvent ensuite revendre les données si la victime ne paie pas la rançon. De cette façon, vous n’êtes pas obligé de gaspiller tous vos efforts pour rien.

Les plus grands groupes de malwares s’en tiennent en fait à une sorte de « code d’honneur de voleur ». Si vous payez la rançon, ils déchiffreront votre disque et supprimeront les fichiers de sauvegarde de leur côté parce que (je sais que cela semble contre-intuitif de faire confiance aux criminels) la confiance est la seule chose qui incite les personnes à payer plus facilement.

Le fait de voler évite également d’insérer des outils de déchiffrement dans les malwares. Par exemple, les entreprises européennes peuvent acheminer des outils de déchiffrement gratuits en utilisant nomoreransom.org, un outil d’Europol. Une fois qu’ils ont trouvé des failles dans le code de chiffrement, ils peuvent trouver comment le déchiffrer gratuitement. La police partage ensuite ces outils de déchiffrement. Si le malware ne contient pas d’outil de déchiffrement, il ne peut pas être analysé. Même si vous ne parvenez pas à déchiffrer les données, vous pouvez toujours disposer d’une copie de sauvegarde dans votre propre espace de stockage. Si quelqu’un finit par payer, vous lui envoyez simplement la copie de sauvegarde.

Nombreuses sont les personnes qui ne paient pas la rançon en raison de cette ancienne politique selon laquelle si vous refusez de payer, les criminels arrêteront. Mais les criminels ne se contentent pas de faire demi-tour en se disant : « Encore raté, faisons autre chose. » Même s’ils font autre chose, ils s’assurent d’obtenir leur argent par tous les moyens.

Vous avez mentionné que certaines personnes ne savent pas qu’elles travaillent avec des cybercriminels. Comment les pirates trouvent-ils ces complices involontaires ?

Il existe tout un champ d’études sur la psychologie des cybercriminels, qui s’intéresse à la manière dont ils s’y prennent pour recruter. Par exemple, les employés des centres d’appel qui s’occupent de l’assistance pour les ransomwares ne savent souvent pas qu’ils travaillent pour des criminels. Ils sont simplement embauchés comme main-d’œuvre bon marché pour s’asseoir derrière un écran de chat et suivre un script comme s’il s’agissait de n’importe quel autre produit légal. Ils ne savent pas pour qui ils travaillent et s’en moquent éperdument : aujourd’hui, ils font de l’assistance pour un pirate, demain ils traiteront les appels pour IBM ou pour n’importe quel autre employeur.