APT : ces groupes qui opèrent dans l’ombre des États | INCYBER Voices

Description

Les cyberattaques les plus stratégiques ne visent pas toujours l’argent. Certaines cherchent à infiltrer, observer et durer. Derrière elles, des groupes structurés, souvent liés à des États : les APT (Advanced Persistent Threats)

Dans cet épisode d’INCYBER Voices, Mathieu Tartare chercheur senior en logiciels malveillants chez ESET, décrypte les logiques du cyberespionnage contemporain : organisation des groupes, méthodes d’intrusion, difficulté de l’attribution, et rôle croissant du cyber dans les conflits internationaux.

De l’Ukraine aux attaques sur la chaîne d’approvisionnement, cet échange donne à voir une réalité plus discrète, mais déterminante : celle d’opérations ciblées, préparées sur le long terme, où le renseignement prime sur l’impact immédiat.

Un épisode pour comprendre ce qui se joue réellement derrière les campagnes invisibles — et pourquoi elles concernent aussi le secteur privé.

Un podcast de la marque INCYBER

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour à tous et bienvenue dans InCyberVoices. Certaines cyberattaques ne cherchent pas seulement à voler de l'argent. Leur objectif, c'est l'information. Estionner, surveiller, parfois s'installer discrètement dans des systèmes pendant des mois. Derrière ces opérations, on trouve souvent des groupes très structurés, parfois liés à des états. Dans la cyber, on appelle ça des menaces persistantes avancées, ou plus communément, des APT. Alors on peut se demander comment ces groupes fonctionnent, comment ils opèrent. et surtout comment on peut les détecter avant qu'il soit trop tard. Pour en parler, je reçois Mathieu Tartare. Mathieu, tu es chercheur senior en logiciel malveillant chez ESET, au centre de R&D de Montréal. Tu y diriges une équipe qui analyse justement ces groupes de cyberespionnage. Pourtant, à l'origine, tu es docteur en astrophysique. Alors ma première question, je ne peux pas m'empêcher de te demander comment on passe de l'étude des étoiles à celle des groupes de hackers d'État ? Et quand tu analyses un groupe APT, est-ce que tu te sens plutôt l'âme d'un scientifique, d'un enquêteur ou plutôt d'un analyse du renseignement ?
Speaker #1
Alors, comment on passe de la physique au poste de chercheur en logiciel malveillant ? Eh bien, c'est grâce à la curiosité. Ça, c'est une caractéristique aussi de beaucoup de mes collègues. J'ai toujours été très curieux. J'aime comprendre comment les choses fonctionnent et c'est ce qui m'a attiré vers la physique. Mais j'ai aussi toujours été passionné d'informatique. J'ai toujours aimé comprendre comment un système fonctionne, comment on peut l'exploiter. Et plus jeune, j'avais développé des compétences en rétro-ingénierie, justement pour comprendre comment les logiciels fonctionnent, comment on peut les exploiter. Mais à l'époque, j'étais à des années-lumières de penser que 20 ans plus tard, ça me servirait à analyser des malwares. C'était juste pour le plaisir d'apprendre. Et donc, c'est cette compétence-là qui m'a permis de devenir chercheur en logiciel malveillant chez i7. Pour ce qui est de notre travail, est-ce qu'il s'approche plus Merci. Tu travailles d'un scientifique, d'un enquêteur ou d'un analyste en renseignement. Je dirais que notre travail est quand même beaucoup plus proche du travail de l'enquêteur et de l'analyste en renseignement, dans le sens où on récupère des preuves, on pourrait dire, ce qu'on appelle des indicateurs de compromission, on les connecte entre eux, on les contextualise, on essaye de faire de l'attribution. On a des collègues qui vont faire de la contextualisation géopolitique, donc notre travail c'est plutôt, dans ce sens-là, enquêteur, analyste en renseignement. Je n'aurais pas la prétention de dire qu'on est des scientifiques, mais malgré tout, on travaille avec des chercheurs du monde académique, notamment pour améliorer nos technologies de détection.
Speaker #0
Et dans ton objet d'enquête, notamment, c'est ce qu'on appelle un groupe APT, enfin les groupes APT. Est-ce que tu peux revenir sur cet acronyme et nous expliquer un peu dans quoi il est différent des cybercriminels classiques ?
Speaker #1
Bien sûr. Alors, l'acronyme, il signifie Advanced Persistent Threat, ça veut dire menace persistante avancée, mais c'est un terme qui est un petit peu trompeur. parce qu'on ne l'utilise pas uniquement pour parler de groupes qui sont persistants et ou avancés. C'est un terme générique qu'on va utiliser lorsqu'on parle de groupes qui sont liés à des États, en opposition aux groupes de cybercrime dont l'objectif, c'est des motivations qui sont financières. Ici, on est en présence de groupes qui vont mener des opérations de cyberespionnage, mais également des opérations de sabotage. Et c'est en ce sens que ça diffère. des groupes de cybercrime classique.
Speaker #0
Et comment ils sont organisés ces groupes ? Ils sont forcément liés à des États et ils ont des cibles bien spécifiques ?
Speaker #1
Alors, comment ils sont organisés ? Ça va dépendre de la manière dont le pays auquel le groupe est lié va organiser ses opérations de cyberespionnage. Par exemple, dans le cadre de l'écosystème chinois, le rôle du secteur privé est vraiment très important parce que le gouvernement chinois va sous-traiter et une partie de ces opérations offensives à des compagnies privées. Ce sont des compagnies qui font du développement de malware, du développement d'infrastructures réseau qui sont utilisées pour ces opérations. Mais ces compagnies-là vont même directement mener des attaques pour le compte du renseignement chinois. En Russie, on va aussi avoir un écosystème différent. On va avoir des groupes qui vont plutôt être liés directement à des unités du renseignement russe, par exemple du FSB. Et comment ils choisissent leur cible ? Ils vont choisir leur cible en fonction de leur objectif. Si l'objectif, c'est d'obtenir des renseignements, mettons des renseignements cruciaux en vue d'une future négociation avec un pays, on peut s'imaginer dans ce cas que la cible sera par exemple un ministère des Affaires étrangères ou des ambassades. Si on veut couper le courant dans une région de l'Ukraine, on peut s'imaginer qu'on va cibler un fournisseur d'électricité. Si on veut voler du renseignement militaire, on va... peut-être plutôt s'intéresser à des entreprises dans le secteur de la défense, par exemple, un fournisseur de l'armée, etc. Donc, le ciblage, c'est un mot important quand on s'intéresse au groupe APT, puisque mentionner qu'un groupe APT est un groupe qui mène des opérations de cyber-espionnage et de sabotage, une des dimensions qui est importante chez un APT, c'est aussi le fait que ce sont des attaques ciblées, qui ne sont pas massives. opportunistes, mais qui vont bien cibler des victimes spécifiques et donc ils vont choisir leurs victimes en fonction de leur objectif.
Speaker #0
Mais est-ce qu'il y a aussi des États un peu plus amis, qui sont moins totalitaires, qui s'appuient sur des groupes APT ?
Speaker #1
Alors, on estime qu'il y a pas moins d'une quarantaine de pays qui ont mis en place des commandements ou des forces cyber au sein de leur armée. Donc il y a beaucoup de pays du monde qui ont des capacités offensives cyber. Et évidemment, il y a des groupes qui ont été attribués à ce qu'on pourrait considérer comme des États alliés ou occidentaux. On pourrait dire, par exemple, il y a Equation Group qui est célèbre, qui est le groupe qui serait responsable de Stuxnet, qui est une attaque qui a ciblé le programme nucléaire iranien et qui serait liée à la NSA. Il y a également, si on veut penser à la France, par exemple, Animal Farm, Pierre ! un groupe de cyberespionnage qui a été lié au renseignement français par le CSI, qui est le renseignement cybercanadien. Donc oui, il n'y a pas uniquement des États totalitaires qui s'appuient sur des groupes APT. Et pour ce qui est de leur but, c'est le même que tout groupe APT, du cyberespionnage et du sabotage. Stuxnet, par exemple, c'est typiquement un cas de sabotage dans le cadre du sabotage du programme nucléaire iranien.
Speaker #0
Et quand on observe cette organisation et ses cibles, est-ce qu'on peut parler d'une stratégie militaire numérique ?
Speaker #1
Comme je le mentionnais, il y a des recherches qui montrent qu'il y a une quarantaine d'États qui ont une force cyber au sein de leur armée. On peut évidemment penser que ce chiffre va augmenter. Ça semble clair que le cyber, ça devient une partie intégrante des stratégies militaires des États. Par contre, il faut quand même raison garder dans le sens où le degré de maturité de ces différentes organisations va varier énormément en fonction des pays. Par exemple, les grandes puissances comme les États-Unis, la Chine, la Russie, ça fait plus de 20 ans qu'ils consacrent des ressources à leur capacité cyber. Là où d'autres pays font ça depuis plus récemment, ils sont plus en phase d'apprentissage. Donc, il y a clairement des disparités dans l'emploi et la portée que les États donnent à leur capacité cyber. Il y en a qui vont plutôt faire du renseignement, il y en a qui vont essayer de... de faire plutôt du sabotage. Donc, on peut imaginer que ça peut être susceptible de compléter des moyens militaires plus conventionnels.
Speaker #0
Et une fois que l'opération a été effectuée, ça se complique un peu parce qu'il faut attribuer aussi, du coup, l'opération. Est-ce que c'est difficile ? Comment on procède, en fait ?
Speaker #1
Alors oui, ça peut être difficile, comme parfois ça peut être plus direct. Comment on procède ? En fait, si on reprend un peu la métaphore de l'enquêteur, un enquêteur sur une scène de crime, il va récolter tout un tas de preuves, tout un tas d'indices. qui vont être liées à la balistique, à la vidéosurveillance. Il va recouper toutes ces preuves pour créer un mode opératoire et être capable de retrouver le criminel. Ici, ce qu'on va faire, c'est quelque chose d'assez similaire. On va recouper un peu tous les indicateurs qu'on va être capable de découvrir quand on va analyser une cyberattaque et on va essayer de faire une attribution à partir de ces indicateurs. Ça peut être quel est le malware qui a été utilisé durant cette attaque. Comment ils ont été codés ? Est-ce qu'il y a des bootcodes typiques qu'on connaît qui ont été réutilisés par un groupe connu ? Quelle est l'infrastructure réseau qu'ils utilisent pour mener leurs opérations ? Quels sont les serveurs d'anonymisation qu'ils ont pu utiliser ? Quels sont les serveurs de contrôle et de commande qu'ils ont utilisés pour mener leurs attaques ? Tous ces indicateurs, on va pouvoir les recouper et voir des similarités avec des attaques passées. Et c'est comme ça qu'on va faire des attributions. à des groupes connus ou parfois à des groupes qui ne sont pas encore connus. On va se rendre compte que c'est un nouveau groupe, c'est un mode opératoire complètement nouveau, des techniques nouvelles, et on va créer un nouveau groupe avec un nouveau nom. Mais il faut garder en tête que, pour répondre à la question « Pourquoi est-ce que c'est difficile d'attribuer une cyberattaque ? » Parce que la plupart des indicateurs, les indices qu'on va récupérer en analysant une cyberattaque, c'est des analyses, des indicateurs, des artefacts qui sont contrôlés par l'attaquant. Donc l'attaquant, il peut toujours essayer de modifier son code, son infrastructure réseau pour se faire passer, par exemple, pour un autre groupe. C'est ce qu'on appelle un false flag. Il y a aussi une problématique où, par exemple, c'est très présent pour les groupes qui vont être liés à la Chine, c'est que ces groupes-là, ils partagent énormément d'outils, de logiciels malveillants entre eux. Et donc, ça complique l'attribution parce que... Plusieurs groupes différents vont utiliser la même infrastructure réseau pour mener leurs opérations, vont utiliser le même malware pour mener leurs opérations. Et donc là, l'attribution peut devenir un petit peu compliquée. Il va falloir rentrer un petit peu plus dans les détails pour être capable d'attribuer l'attaque correctement.
Speaker #0
Ce n'est pas une simple checklist, même si on parle d'une base commune pour identifier telle et telle chose. Et tu disais que quand c'est un nouveau groupe, il faut le nommer. Donc, ils ne s'autonome pas. C'est vous qui nommez les groupes. Et d'ailleurs, est-ce que tu collabores avec d'autres sociétés, d'autres acteurs de la CTI ? Et vous entendez comment pour nommer ces groupes ? Il y a quand même une nomenclature commune, j'imagine. Mais c'est qui le premier qui dit c'est Gamma Redone, c'est Senwarm ?
Speaker #1
Oui, on collabore avec d'autres acteurs de la CTI, que ce soit des acteurs gouvernementaux, des acteurs privés. On a même parfois des rencontres. qui sont dédiés à se mettre d'accord entre les noms de groupe pour savoir quel nom correspond à quoi. Ceci étant dit, il n'y a pas de taxonomie commune. Ça n'existe pas. Je pense que tout le monde peut s'en rendre compte en voyant la prolifération de noms différents pour un groupe. Il y a certaines compagnies qui ont leur taxonomie propre et ils renomment même les groupes déjà nommés par d'autres entreprises. Par exemple, il y a APT suivi d'un numéro. Pour mon exemple, il y a les noms... Tempête pour Microsoft, etc. Nous, notre approche, c'est dans la mesure du possible d'utiliser le nom déjà existant si on attribue une attaque à un groupe connu et déjà nommé, même si ça a été nommé par un compétiteur, c'est pas grave, on va réutiliser leur nom. Mais ça, c'est pas toujours possible. Parfois, un groupe va avoir plusieurs noms parce que chaque organisation va avoir une visibilité spécifique sur ce groupe qui fait que les définitions, elles se superposent. pas tout à fait. Il va y avoir, je ne sais pas, des organisations qui peuvent être une solution anti-spam par exemple, ne va pas avoir la même chose qu'une entreprise qui analyse des données de pare-feu par exemple, ou nous qui avons des données qui viennent de notre antivirus, de nos pare-feu, de notre EDR. Donc en fait, la visibilité change en fonction des acteurs et ça, c'est ce qui fait aussi qu'on va avoir différents noms, tout simplement parce que ça va traduire des visibilités différentes. Ce n'est pas simplement à la maison. à des fins marketing, on va dire.
Speaker #0
D'accord. Et du collabor avec des acteurs de la CTI, mais également avec les forces de l'ordre, j'imagine. Et si je ne me trompe pas, vous avez déjà collaboré avec Europol. Tu peux nous donner des cas concrets ou c'est confidentiel ?
Speaker #1
Ça va dépendre des collaborations, ça va dépendre des cas. Généralement, on va avoir une organisation des forces de l'ordre qui va nous contacter parce qu'ils savent qu'on a une visibilité spécifique sur... une certaine famille de malware utilisée par certains groupes donnés. Et donc, on va collaborer pour, généralement, c'est pour mener une action de disruption, ce qu'on appelle aussi un take-down, c'est-à-dire essayer de couper l'infrastructure réseau de l'attaquant, par exemple, en menant des opérations conjointes entre les forces de l'ordre, les différents acteurs du monde de la cybersécurité. Et donc, c'est quelque chose qui est assez régulier. Alors, quand on parle des forces de l'ordre, ces collaborations-là sont beaucoup plus courantes dans le... cas des groupes de cybercrime. Pour ce qui est des groupes de cyberespionnage, on va aussi parfois interagir avec les forces de l'ordre, mais on va aussi interagir également avec les services de renseignement.
Speaker #0
J'aimerais bien qu'on revienne sur un cas un peu concret de cette réalité, celui de l'Ukraine, si tu le veux bien. Et on va même faire un petit bond en arrière dans la chronologie du conflit, dans les jours, voire les semaines qui ont précédé l'invasion en février 2022. Est-ce que vous aviez déjà pu observer des signaux particuliers dans le cyberespace ? Est-ce qu'il y avait déjà une préparation numérique au conflit qui se présageait ou pas ?
Speaker #1
Alors oui, pour faire une réponse courte. Mais juste pour contextualiser, il faut savoir que nous, notre siège à I7, il est en Slovaquie. La Slovaquie, elle a une frontière avec l'Ukraine et on est très présent en Ukraine. On est la première solution de sécurité en Ukraine et donc on a vraiment une excellente visibilité sur les menaces qui ciblent ce pays. Il se trouve que oui, avant l'invasion russe en Ukraine, en réalité quelques heures avant le début de l'invasion, le jour avant, le 23 février 2022, tout d'abord il y a eu une première vague d'attaques par déni de services distribués, ce qu'on appelle DDoS. Après cette vague d'attaques, on observe dans notre télémétrie de détection, c'est-à-dire chez nos clients qui utilisent ISEP en Ukraine, une vague de déploiement de plusieurs wipers différents. Un wiper, c'est un logiciel malveillant, un malware. qui va effacer ou modifier toute partie du disque dur d'un système pour le rendre inutilisable. C'est un petit peu comme un ransomware, sauf que là, au lieu de chiffrer les données, vous rendez juste les données complètement inutilisables, vous les effacez. Et on a pu observer plusieurs wipers qui ont été baptisés Hermetic Wiper, Hermetic Wizard et Hermetic Ransom sur des centaines de machines dans plusieurs organisations en Ukraine, quelques heures avant le début de l'invasion russe. Donc... Notre analyse a d'ailleurs montré que cette campagne, c'était en préparation déjà l'année passée, puisque les premières versions de ces malwares qui ont été déployées la veille de l'invasion russe, en fait, certains d'entre eux avaient déjà été créés en octobre 2021, donc en octobre de l'année précédente. Et donc, nous, quand on découvre cette attaque, on ne s'attend pas à ce que le lendemain, l'invasion russe commence. Et malgré tout, on se dépêche de publier un blog post. Il se trouve qu'on a des équipes en Slovaquie, en Europe. mais aussi à Montréal. Et donc ça, ça nous permet de travailler sur différents fuses horaires pour pouvoir publier rapidement nos recherches. Et on a pu publier rapidement nos recherches en même temps que l'invasion russe commençait en fait.
Speaker #0
Tu as parlé des wipers et on parle aussi des industriers. Cette attaque-là, c'est quoi exactement ? Tu peux nous en dire plus ?
Speaker #1
Industrier, c'est un malware qui est utilisé par un groupe qui s'appelle Sainte-Noire. C'est vraiment un malware qui a constitué un tournant parce que c'est l'un des tout premiers malwares qui est taillé sur mesure pour saboter une infrastructure critique. Là, on l'offre en l'occurrence le réseau électrique ukrainien. Et c'est un malware qui a effectivement été utilisé avec succès pour saboter cette infrastructure électrique. Et on a des milliers de personnes en Ukraine, suite à ce premier déploiement d'Industriere, qui se sont retrouvées dans le noir du fait de ce malware qui a été utilisé pour la première fois en 2016. C'est un malware qui a été observé également depuis 2022, où la Russie a tenté de répéter l'exercice de 2016. Donc plutôt tenter de répéter, puisque ça a été sans succès. Mais on peut noter également d'ailleurs que l'infrastructure électrique russe, c'est un vrai intérêt pour la Russie, puisqu'on a régulièrement des frappes de missiles russes qui visent plutôt intensément l'infrastructure énergétique. ukrainienne, notamment en hiver en ce moment, pour leur donner un avantage dans le sens où le fait de couper le courant au plus fort de l'hiver, ce n'est pas particulièrement avantageux pour le moral ukrainien.
Speaker #0
Là, on ne parle plus vraiment d'espionnage, on est déjà dans la guerre, ce n'est plus vraiment du cyber-espionnage.
Speaker #1
Là, on est vraiment dans le cas d'un malware, d'un logiciel malveillant qui est utilisé dans un cadre militaire.
Speaker #0
L'Ukraine, ça a vraiment marqué en tournant ? Parce que la cyber, maintenant, elle est pleinement intégrée à la stratégie militaire, on en parlait tout à l'heure, ou même titre que le terrestre, l'aérien et le spatial. C'est un quatrième point du conflit, non ?
Speaker #1
Alors, on est en droit de douter du fait que le cyber soit une arme stratégique à part entière aujourd'hui. C'est quelque chose qu'on entend souvent. Petit à petit, effectivement, le cyber fait ses preuves. J'ai parlé d'Industrial, qui a permis de tout simplement couper le courant en Ukraine. J'ai mentionné Stuxnet. Donc oui, il y a des succès, il y a des opérations clandestines, on pourrait dire, qui sont plutôt des opérations d'appui à des opérations militaires plutôt conventionnelles. Mais de là à dire qu'on peut le considérer aujourd'hui comme une arme à part entière, qui se suffit à elle-même et qui produit des effets stratégiques, je pense qu'on en est encore loin, et je parlerai sous contrôle de notre... Strategic CTI Analyst, c'est-à-dire notre analyste pour les questions géostratégiques, géopolitiques. Et on pense que pour le moment, ce n'est pas encore complètement une arme stratégique à part entière. C'est plus une solution d'appui, mais rien n'interdit que ça le devienne à l'avenir. On voit que petit à petit, il y a des améliorations qui sont faites, etc. Donc, on pense que pour le moment, il y a encore un apprentissage qui est à faire pour les puissances qui veulent parvenir à ce genre de résultats.
Speaker #0
De ce qu'on a pu observer dans des rapports chez ESET, c'est que ça vise les États, les infrastructures critiques, comme tu viens de le dire. Mais ça a aussi une répercussion sur le secteur privé, les universités, même dans certains cas. Tu as des exemples à nous apporter ?
Speaker #1
Alors clairement, ce n'est pas parce qu'on n'est pas une organisation gouvernementale qu'on ne va pas se faire cibler par des groupes APT. Par exemple, on peut penser aux éditeurs de logiciels. Les éditeurs de logiciels, ils peuvent être la cible d'un groupe APT. qui va compromettre ce logiciel légitime qui va être distribué chez leurs clients et qui va être déroulé et qui va déployer du malware. On pense par exemple au cas plutôt célèbre de SolarWinds, mais c'est quelque chose qu'on voit régulièrement, ce qu'on appelle des supply chain attacks, des attaques sur la chaîne logistique. Si vous avez un site web, vous pouvez être également ciblé par un groupe APT parce qu'ils mènent parfois des attaques qu'on appelle des attaques de type point d'eau, des attaques watering holes. Ce sont des attaques par proxy, comme les attaques sur la chaîne logistique, où on va compromettre un site web légitime qui est fréquemment consulté, par exemple par un groupe de personnes qu'on veut typiquement cibler, et qu'on va compromettre pour pouvoir déployer du malware à partir de ce site. Donc il y a ce cas de figure-là, les éditeurs de logiciels, les développeurs de sites web. On a également des entreprises privées qui peuvent être ciblées pour tout un tas de raisons. Par exemple, si on pense aux groupes qui vont être à la Russie, on peut penser au secteur des drones, notamment dans le cadre de la guerre en Ukraine, où il va y avoir un intérêt à... à cibler des organisations qui vont être, par exemple, des fournisseurs de l'armée ukrainienne dans le secteur des drones, par exemple. Dans le cas des groupes liés à la Chine, on va avoir un ciblage sur les entreprises du secteur maritime et des transports qui vont être en lien avec les nouvelles routes de la soie. Ça, c'est vraiment un intérêt majeur pour la Suisse, pour la Suisse, pas, pour la Chine. Et on voit vraiment un ciblage régulier d'organisations qui sont en lien avec les nouvelles routes de la soie chinoise. Les ONG également peuvent être ciblées. Par exemple, les ONG de défense de la démocratie en Chine, par exemple. On parlait des universités. Les universités peuvent être ciblées pour différentes raisons. Elles peuvent être ciblées pour faire des fins d'espionnage, pour voler de la propriété intellectuelle, pour voler des recherches. Mais ça peut être utilisé, par exemple, notamment pendant les manifestations de 2019 à Hong Kong contre les réformes. pour donner plus de pouvoir à la Chine sur Hong Kong, il y a énormément eu de manifestations étudiantes, notamment à Hong Kong, et on a pu observer plusieurs universités hongkongaises être compromises à ce moment-là. Donc, il y a tout un tas de raisons pour lesquelles des organisations qui ne sont pas des organisations militaires, qui ne sont pas des organisations gouvernementales, qui pourraient se retrouver ciblées par des coupes APT.
Speaker #0
Donc, il y a une multitude de cibles, de types d'opérations, de sabotages ou autres. forcément, au milieu de tout ça, le renseignement, ça va devenir central. On parlait de CTI tout à l'heure. Est-ce que tu peux nous donner ta définition de la threat intelligence ?
Speaker #1
Alors, pour donner une définition courte, on pourrait dire que la CTI, ça consiste dans la collecte, l'analyse, l'attribution et la contextualisation d'indicateurs de compromission, d'éléments qu'on va découvrir dans une cyberattaque. Un point qui est également important dans la CTI, c'est la dissémination de ce renseignement sur les cybermenaces qu'on va produire. Et un point important également, c'est que le partage de renseignements entre les différentes organisations privées, publiques, c'est vraiment quelque chose qui est crucial au-delà de ce que je mentionnais, la collecte, l'analyse, la contextualisation de ces indicateurs.
Speaker #0
Et justement, le rôle d'un acteur comme Izet, il consiste vraiment à... aider les États, les entreprises et la sécurité collective ? C'est quoi l'équilibre entre tous ces acteurs ?
Speaker #1
Alors notre rôle, c'est vraiment, nous on va apporter notre visibilité unique qui est liée à la télémétrie de détection de nos produits qui sont déployés chez nos clients. Quand je parle de télémétrie de détection, on parle des données qui nous sont remontées depuis nos clients sur les événements qui sont malveillants ou suspicieux. Et cette télémétrie de détection, elle va nous permettre d'être alertés au plus tôt et au plus près des attaques au sein des réseaux qu'on protège. Donc nous, c'est vraiment cette visibilité unique qu'on a apportée à la discussion pour améliorer la sécurité de tout le monde. Chaque organisation a sa propre visibilité, ses propres informations qui permettent d'apporter leur pierre à l'édifice et d'améliorer la sécurité de tout le monde.
Speaker #0
Les signaux que tu reçois, en fait, c'est des acteurs qui ont des solutions aisettes. au sein de leur organisation. Et à partir de ça, toi, tu vas recouper des signaux à droite, à gauche, entre guillemets, et vous allez tirer des conclusions, des différents signaux, parce qu'il y a un fil rouge, il y a des choses communes dans ces signaux. Et c'est à partir de là aussi que vous pouvez vous dire « Ah, attention, il y a tel groupe potentiel ou un groupe qu'on connaît, qu'on ne connaît pas, qui est en train d'opérer. »
Speaker #1
Exactement. On va pouvoir dire « Là, on voit que tel groupe dans tel pays est en train d'essayer d'exploiter telle vulnérabilité, de déployer tel malware. » C'est une opération qu'on a déjà vue dans notre télémétrie il y a quelques mois, par exemple. Et c'est vraiment la plus-value qu'on va avoir. C'est de non seulement avoir accès aux implants, aux malwares qui vont être utilisés par les attaquants, aux techniques qui vont être utilisées, et d'avoir... toute la contextualisation qui va avec ça.
Speaker #0
Et tu disais chez ESET que vous considérez que le cyber ne fait pas forcément partie d'une stratégie militaire globale. En revanche, est-ce que quand même vous constatez qu'il y a une intensification des cyberconflits qui s'installe, qui est durable maintenant ?
Speaker #1
Alors, je voudrais juste nuancer mon propos. Ce n'est pas qu'on ne pense pas que ça fait partie d'une stratégie militaire globale. Ce que je mentionnais, c'est qu'on pense que pour le moment, on ne qualifierait pas le cyber d'une arme à part entière qu'il y a des impacts stratégiques majeurs. Ça ne veut pas dire que ce n'est pas utilisé à des fins militaires, évidemment. Pour l'intensification durable, ça, c'est quelque chose qui est difficile à quantifier, donner des chiffres absolus. Et je n'ai pas de boule de cristal, mais en tout cas, je ne m'attendrais vraiment pas à une diminution de ce type de cyberattaque pour 2026. Et oui, je pense qu'on peut s'attendre à une. intensification de ce type d'attaque. On voit que les groupes liés à la Chine, par exemple, ciblent de plus en plus le monde entier, par exemple, plus massivement, alors qu'il y a quelques années, ils étaient plus focalisés sur l'Asie du Sud-Est, sur l'Asie centrale, etc. En tout cas, on peut s'attendre à ce qu'il n'y ait pas de diminution de ce type d'attaque pour les années à venir.
Speaker #0
Est-ce que tu as été surpris récemment par un malware ? Tu es encore surpris par des attaques ? Je suppose qu'il y a une forme de renouvellement aussi, forcément.
Speaker #1
Alors... Les attaquants sur lesquels on travaille développent toujours de nouvelles techniques, développent toujours de nouveaux malwares pour passer sous le radar. En fait, c'est un peu un jeu du chat et la souris. Donc régulièrement, on va découvrir des nouvelles techniques qui vont être utilisées pour exploiter les victimes, pour ne pas être détectées, pour persister dans le système des victimes ciblées. Donc oui, régulièrement, on a notre lot de surprises et de nouveaux malwares intéressants à analyser.
Speaker #0
ESET, c'est un acteur historique de la cyber. On vous connaît parce que vous éditez notamment des solutions de protection telles que les antivirus ou l'EDR, ou encore des services managés en mode MDR. Et quand et pourquoi vous avez décidé de développer vos capacités en CTI, justement ?
Speaker #1
Il y a quelques années de ça, nous, d'une part, on se rendait compte qu'on produisait du Threats Intel qui nous servait à nous, mais pas nécessairement à d'autres partenaires. On voyait qu'il y avait un intérêt pour... les recherches qu'on produisait, notamment à travers les conférences, à travers les publications de notre blog. Et il se trouve qu'on ne peut pas toujours tout mettre en ligne sur notre blog parce qu'il y a des informations qu'on préfère garder privées parce que le fait de les publier va aider les attaquants. Va aider les attaquants à contourner les méthodes qu'on utilise pour les suivre. Et donc, on s'est dit que ça serait une bonne idée de mettre ces informations dans un service de rapport privé qui va être fourni à nos clients qui sont intéressés par ce type de menaces.
Speaker #0
Qu'est-ce que tu conseilles aux personnes qui souhaitent approfondir le sujet ? Est-ce que, par exemple, tu as des lectures à leur conseiller ou des médias à suivre ?
Speaker #1
Allez lire notre blog sur weleafsecurity.com. C'est un blog où, régulièrement, on va publier nos recherches sur les groupes APT, sur les groupes de cybercrime également, et où on va pouvoir trouver tout un tas d'informations sur ces groupes, sur comment ils opèrent, quels sont leurs ciblages, etc.
Speaker #0
Et vous avez le droit de publier ça, parce que c'est des infos qui vous appartiennent ? Mais est-ce qu'il y a des choses qui ne sont pas publiées ? Je suppose qu'il y a des choses que vous partagez avec des États qui sont…
Speaker #1
C'est ce que je mentionnais précédemment quand je parlais de notre service de rapport privé. Il y a une partie de ces renseignements qu'on va mettre sous la forme de rapports qu'on distribue à nos clients. Mais oui, on est régulièrement en contact avec notamment des organisations gouvernementales pour partager du renseignement. C'est souvent des choses qu'on ne veut pas mettre dans nos blogs parce qu'on ne veut pas… expliquer à l'attaquant comment on fait pour monitorer son infrastructure réseau, pour détecter les malwares qu'ils utilisent, etc. Ce qu'on va mettre dans nos blogs, c'est évidemment des choses qu'on peut se permettre de mettre en ligne, de rendre publiques, qui sont d'intérêt public, sans pour autant compromettre le suivi de ces groupes.
Speaker #0
Super, merci beaucoup Mathieu pour toutes ces infos. Je donne rendez-vous à ESET au Forum INCYBER en avril. Je ne sais pas si tu vas faire le déplacement jusqu'à Lille. Mais en tout cas, j'étais ravie d'échanger avec toi sur ce sujet. Et je te dis à très bientôt.
Speaker #1
Avec plaisir. Merci d'avoir suivi cet épisode d'INCYBERVoices Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.

Description

Un épisode pour comprendre ce qui se joue réellement derrière les campagnes invisibles — et pourquoi elles concernent aussi le secteur privé.

Un podcast de la marque INCYBER

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour à tous et bienvenue dans InCyberVoices. Certaines cyberattaques ne cherchent pas seulement à voler de l'argent. Leur objectif, c'est l'information. Estionner, surveiller, parfois s'installer discrètement dans des systèmes pendant des mois. Derrière ces opérations, on trouve souvent des groupes très structurés, parfois liés à des états. Dans la cyber, on appelle ça des menaces persistantes avancées, ou plus communément, des APT. Alors on peut se demander comment ces groupes fonctionnent, comment ils opèrent. et surtout comment on peut les détecter avant qu'il soit trop tard. Pour en parler, je reçois Mathieu Tartare. Mathieu, tu es chercheur senior en logiciel malveillant chez ESET, au centre de R&D de Montréal. Tu y diriges une équipe qui analyse justement ces groupes de cyberespionnage. Pourtant, à l'origine, tu es docteur en astrophysique. Alors ma première question, je ne peux pas m'empêcher de te demander comment on passe de l'étude des étoiles à celle des groupes de hackers d'État ? Et quand tu analyses un groupe APT, est-ce que tu te sens plutôt l'âme d'un scientifique, d'un enquêteur ou plutôt d'un analyse du renseignement ?
Speaker #1
Alors, comment on passe de la physique au poste de chercheur en logiciel malveillant ? Eh bien, c'est grâce à la curiosité. Ça, c'est une caractéristique aussi de beaucoup de mes collègues. J'ai toujours été très curieux. J'aime comprendre comment les choses fonctionnent et c'est ce qui m'a attiré vers la physique. Mais j'ai aussi toujours été passionné d'informatique. J'ai toujours aimé comprendre comment un système fonctionne, comment on peut l'exploiter. Et plus jeune, j'avais développé des compétences en rétro-ingénierie, justement pour comprendre comment les logiciels fonctionnent, comment on peut les exploiter. Mais à l'époque, j'étais à des années-lumières de penser que 20 ans plus tard, ça me servirait à analyser des malwares. C'était juste pour le plaisir d'apprendre. Et donc, c'est cette compétence-là qui m'a permis de devenir chercheur en logiciel malveillant chez i7. Pour ce qui est de notre travail, est-ce qu'il s'approche plus Merci. Tu travailles d'un scientifique, d'un enquêteur ou d'un analyste en renseignement. Je dirais que notre travail est quand même beaucoup plus proche du travail de l'enquêteur et de l'analyste en renseignement, dans le sens où on récupère des preuves, on pourrait dire, ce qu'on appelle des indicateurs de compromission, on les connecte entre eux, on les contextualise, on essaye de faire de l'attribution. On a des collègues qui vont faire de la contextualisation géopolitique, donc notre travail c'est plutôt, dans ce sens-là, enquêteur, analyste en renseignement. Je n'aurais pas la prétention de dire qu'on est des scientifiques, mais malgré tout, on travaille avec des chercheurs du monde académique, notamment pour améliorer nos technologies de détection.
Speaker #0
Et dans ton objet d'enquête, notamment, c'est ce qu'on appelle un groupe APT, enfin les groupes APT. Est-ce que tu peux revenir sur cet acronyme et nous expliquer un peu dans quoi il est différent des cybercriminels classiques ?
Speaker #1
Bien sûr. Alors, l'acronyme, il signifie Advanced Persistent Threat, ça veut dire menace persistante avancée, mais c'est un terme qui est un petit peu trompeur. parce qu'on ne l'utilise pas uniquement pour parler de groupes qui sont persistants et ou avancés. C'est un terme générique qu'on va utiliser lorsqu'on parle de groupes qui sont liés à des États, en opposition aux groupes de cybercrime dont l'objectif, c'est des motivations qui sont financières. Ici, on est en présence de groupes qui vont mener des opérations de cyberespionnage, mais également des opérations de sabotage. Et c'est en ce sens que ça diffère. des groupes de cybercrime classique.
Speaker #0
Et comment ils sont organisés ces groupes ? Ils sont forcément liés à des États et ils ont des cibles bien spécifiques ?
Speaker #1
Alors, comment ils sont organisés ? Ça va dépendre de la manière dont le pays auquel le groupe est lié va organiser ses opérations de cyberespionnage. Par exemple, dans le cadre de l'écosystème chinois, le rôle du secteur privé est vraiment très important parce que le gouvernement chinois va sous-traiter et une partie de ces opérations offensives à des compagnies privées. Ce sont des compagnies qui font du développement de malware, du développement d'infrastructures réseau qui sont utilisées pour ces opérations. Mais ces compagnies-là vont même directement mener des attaques pour le compte du renseignement chinois. En Russie, on va aussi avoir un écosystème différent. On va avoir des groupes qui vont plutôt être liés directement à des unités du renseignement russe, par exemple du FSB. Et comment ils choisissent leur cible ? Ils vont choisir leur cible en fonction de leur objectif. Si l'objectif, c'est d'obtenir des renseignements, mettons des renseignements cruciaux en vue d'une future négociation avec un pays, on peut s'imaginer dans ce cas que la cible sera par exemple un ministère des Affaires étrangères ou des ambassades. Si on veut couper le courant dans une région de l'Ukraine, on peut s'imaginer qu'on va cibler un fournisseur d'électricité. Si on veut voler du renseignement militaire, on va... peut-être plutôt s'intéresser à des entreprises dans le secteur de la défense, par exemple, un fournisseur de l'armée, etc. Donc, le ciblage, c'est un mot important quand on s'intéresse au groupe APT, puisque mentionner qu'un groupe APT est un groupe qui mène des opérations de cyber-espionnage et de sabotage, une des dimensions qui est importante chez un APT, c'est aussi le fait que ce sont des attaques ciblées, qui ne sont pas massives. opportunistes, mais qui vont bien cibler des victimes spécifiques et donc ils vont choisir leurs victimes en fonction de leur objectif.
Speaker #0
Mais est-ce qu'il y a aussi des États un peu plus amis, qui sont moins totalitaires, qui s'appuient sur des groupes APT ?
Speaker #1
Alors, on estime qu'il y a pas moins d'une quarantaine de pays qui ont mis en place des commandements ou des forces cyber au sein de leur armée. Donc il y a beaucoup de pays du monde qui ont des capacités offensives cyber. Et évidemment, il y a des groupes qui ont été attribués à ce qu'on pourrait considérer comme des États alliés ou occidentaux. On pourrait dire, par exemple, il y a Equation Group qui est célèbre, qui est le groupe qui serait responsable de Stuxnet, qui est une attaque qui a ciblé le programme nucléaire iranien et qui serait liée à la NSA. Il y a également, si on veut penser à la France, par exemple, Animal Farm, Pierre ! un groupe de cyberespionnage qui a été lié au renseignement français par le CSI, qui est le renseignement cybercanadien. Donc oui, il n'y a pas uniquement des États totalitaires qui s'appuient sur des groupes APT. Et pour ce qui est de leur but, c'est le même que tout groupe APT, du cyberespionnage et du sabotage. Stuxnet, par exemple, c'est typiquement un cas de sabotage dans le cadre du sabotage du programme nucléaire iranien.
Speaker #0
Et quand on observe cette organisation et ses cibles, est-ce qu'on peut parler d'une stratégie militaire numérique ?
Speaker #1
Comme je le mentionnais, il y a des recherches qui montrent qu'il y a une quarantaine d'États qui ont une force cyber au sein de leur armée. On peut évidemment penser que ce chiffre va augmenter. Ça semble clair que le cyber, ça devient une partie intégrante des stratégies militaires des États. Par contre, il faut quand même raison garder dans le sens où le degré de maturité de ces différentes organisations va varier énormément en fonction des pays. Par exemple, les grandes puissances comme les États-Unis, la Chine, la Russie, ça fait plus de 20 ans qu'ils consacrent des ressources à leur capacité cyber. Là où d'autres pays font ça depuis plus récemment, ils sont plus en phase d'apprentissage. Donc, il y a clairement des disparités dans l'emploi et la portée que les États donnent à leur capacité cyber. Il y en a qui vont plutôt faire du renseignement, il y en a qui vont essayer de... de faire plutôt du sabotage. Donc, on peut imaginer que ça peut être susceptible de compléter des moyens militaires plus conventionnels.
Speaker #0
Et une fois que l'opération a été effectuée, ça se complique un peu parce qu'il faut attribuer aussi, du coup, l'opération. Est-ce que c'est difficile ? Comment on procède, en fait ?
Speaker #1
Alors oui, ça peut être difficile, comme parfois ça peut être plus direct. Comment on procède ? En fait, si on reprend un peu la métaphore de l'enquêteur, un enquêteur sur une scène de crime, il va récolter tout un tas de preuves, tout un tas d'indices. qui vont être liées à la balistique, à la vidéosurveillance. Il va recouper toutes ces preuves pour créer un mode opératoire et être capable de retrouver le criminel. Ici, ce qu'on va faire, c'est quelque chose d'assez similaire. On va recouper un peu tous les indicateurs qu'on va être capable de découvrir quand on va analyser une cyberattaque et on va essayer de faire une attribution à partir de ces indicateurs. Ça peut être quel est le malware qui a été utilisé durant cette attaque. Comment ils ont été codés ? Est-ce qu'il y a des bootcodes typiques qu'on connaît qui ont été réutilisés par un groupe connu ? Quelle est l'infrastructure réseau qu'ils utilisent pour mener leurs opérations ? Quels sont les serveurs d'anonymisation qu'ils ont pu utiliser ? Quels sont les serveurs de contrôle et de commande qu'ils ont utilisés pour mener leurs attaques ? Tous ces indicateurs, on va pouvoir les recouper et voir des similarités avec des attaques passées. Et c'est comme ça qu'on va faire des attributions. à des groupes connus ou parfois à des groupes qui ne sont pas encore connus. On va se rendre compte que c'est un nouveau groupe, c'est un mode opératoire complètement nouveau, des techniques nouvelles, et on va créer un nouveau groupe avec un nouveau nom. Mais il faut garder en tête que, pour répondre à la question « Pourquoi est-ce que c'est difficile d'attribuer une cyberattaque ? » Parce que la plupart des indicateurs, les indices qu'on va récupérer en analysant une cyberattaque, c'est des analyses, des indicateurs, des artefacts qui sont contrôlés par l'attaquant. Donc l'attaquant, il peut toujours essayer de modifier son code, son infrastructure réseau pour se faire passer, par exemple, pour un autre groupe. C'est ce qu'on appelle un false flag. Il y a aussi une problématique où, par exemple, c'est très présent pour les groupes qui vont être liés à la Chine, c'est que ces groupes-là, ils partagent énormément d'outils, de logiciels malveillants entre eux. Et donc, ça complique l'attribution parce que... Plusieurs groupes différents vont utiliser la même infrastructure réseau pour mener leurs opérations, vont utiliser le même malware pour mener leurs opérations. Et donc là, l'attribution peut devenir un petit peu compliquée. Il va falloir rentrer un petit peu plus dans les détails pour être capable d'attribuer l'attaque correctement.
Speaker #0
Ce n'est pas une simple checklist, même si on parle d'une base commune pour identifier telle et telle chose. Et tu disais que quand c'est un nouveau groupe, il faut le nommer. Donc, ils ne s'autonome pas. C'est vous qui nommez les groupes. Et d'ailleurs, est-ce que tu collabores avec d'autres sociétés, d'autres acteurs de la CTI ? Et vous entendez comment pour nommer ces groupes ? Il y a quand même une nomenclature commune, j'imagine. Mais c'est qui le premier qui dit c'est Gamma Redone, c'est Senwarm ?
Speaker #1
Oui, on collabore avec d'autres acteurs de la CTI, que ce soit des acteurs gouvernementaux, des acteurs privés. On a même parfois des rencontres. qui sont dédiés à se mettre d'accord entre les noms de groupe pour savoir quel nom correspond à quoi. Ceci étant dit, il n'y a pas de taxonomie commune. Ça n'existe pas. Je pense que tout le monde peut s'en rendre compte en voyant la prolifération de noms différents pour un groupe. Il y a certaines compagnies qui ont leur taxonomie propre et ils renomment même les groupes déjà nommés par d'autres entreprises. Par exemple, il y a APT suivi d'un numéro. Pour mon exemple, il y a les noms... Tempête pour Microsoft, etc. Nous, notre approche, c'est dans la mesure du possible d'utiliser le nom déjà existant si on attribue une attaque à un groupe connu et déjà nommé, même si ça a été nommé par un compétiteur, c'est pas grave, on va réutiliser leur nom. Mais ça, c'est pas toujours possible. Parfois, un groupe va avoir plusieurs noms parce que chaque organisation va avoir une visibilité spécifique sur ce groupe qui fait que les définitions, elles se superposent. pas tout à fait. Il va y avoir, je ne sais pas, des organisations qui peuvent être une solution anti-spam par exemple, ne va pas avoir la même chose qu'une entreprise qui analyse des données de pare-feu par exemple, ou nous qui avons des données qui viennent de notre antivirus, de nos pare-feu, de notre EDR. Donc en fait, la visibilité change en fonction des acteurs et ça, c'est ce qui fait aussi qu'on va avoir différents noms, tout simplement parce que ça va traduire des visibilités différentes. Ce n'est pas simplement à la maison. à des fins marketing, on va dire.
Speaker #0
D'accord. Et du collabor avec des acteurs de la CTI, mais également avec les forces de l'ordre, j'imagine. Et si je ne me trompe pas, vous avez déjà collaboré avec Europol. Tu peux nous donner des cas concrets ou c'est confidentiel ?
Speaker #1
Ça va dépendre des collaborations, ça va dépendre des cas. Généralement, on va avoir une organisation des forces de l'ordre qui va nous contacter parce qu'ils savent qu'on a une visibilité spécifique sur... une certaine famille de malware utilisée par certains groupes donnés. Et donc, on va collaborer pour, généralement, c'est pour mener une action de disruption, ce qu'on appelle aussi un take-down, c'est-à-dire essayer de couper l'infrastructure réseau de l'attaquant, par exemple, en menant des opérations conjointes entre les forces de l'ordre, les différents acteurs du monde de la cybersécurité. Et donc, c'est quelque chose qui est assez régulier. Alors, quand on parle des forces de l'ordre, ces collaborations-là sont beaucoup plus courantes dans le... cas des groupes de cybercrime. Pour ce qui est des groupes de cyberespionnage, on va aussi parfois interagir avec les forces de l'ordre, mais on va aussi interagir également avec les services de renseignement.
Speaker #0
J'aimerais bien qu'on revienne sur un cas un peu concret de cette réalité, celui de l'Ukraine, si tu le veux bien. Et on va même faire un petit bond en arrière dans la chronologie du conflit, dans les jours, voire les semaines qui ont précédé l'invasion en février 2022. Est-ce que vous aviez déjà pu observer des signaux particuliers dans le cyberespace ? Est-ce qu'il y avait déjà une préparation numérique au conflit qui se présageait ou pas ?
Speaker #1
Alors oui, pour faire une réponse courte. Mais juste pour contextualiser, il faut savoir que nous, notre siège à I7, il est en Slovaquie. La Slovaquie, elle a une frontière avec l'Ukraine et on est très présent en Ukraine. On est la première solution de sécurité en Ukraine et donc on a vraiment une excellente visibilité sur les menaces qui ciblent ce pays. Il se trouve que oui, avant l'invasion russe en Ukraine, en réalité quelques heures avant le début de l'invasion, le jour avant, le 23 février 2022, tout d'abord il y a eu une première vague d'attaques par déni de services distribués, ce qu'on appelle DDoS. Après cette vague d'attaques, on observe dans notre télémétrie de détection, c'est-à-dire chez nos clients qui utilisent ISEP en Ukraine, une vague de déploiement de plusieurs wipers différents. Un wiper, c'est un logiciel malveillant, un malware. qui va effacer ou modifier toute partie du disque dur d'un système pour le rendre inutilisable. C'est un petit peu comme un ransomware, sauf que là, au lieu de chiffrer les données, vous rendez juste les données complètement inutilisables, vous les effacez. Et on a pu observer plusieurs wipers qui ont été baptisés Hermetic Wiper, Hermetic Wizard et Hermetic Ransom sur des centaines de machines dans plusieurs organisations en Ukraine, quelques heures avant le début de l'invasion russe. Donc... Notre analyse a d'ailleurs montré que cette campagne, c'était en préparation déjà l'année passée, puisque les premières versions de ces malwares qui ont été déployées la veille de l'invasion russe, en fait, certains d'entre eux avaient déjà été créés en octobre 2021, donc en octobre de l'année précédente. Et donc, nous, quand on découvre cette attaque, on ne s'attend pas à ce que le lendemain, l'invasion russe commence. Et malgré tout, on se dépêche de publier un blog post. Il se trouve qu'on a des équipes en Slovaquie, en Europe. mais aussi à Montréal. Et donc ça, ça nous permet de travailler sur différents fuses horaires pour pouvoir publier rapidement nos recherches. Et on a pu publier rapidement nos recherches en même temps que l'invasion russe commençait en fait.
Speaker #0
Tu as parlé des wipers et on parle aussi des industriers. Cette attaque-là, c'est quoi exactement ? Tu peux nous en dire plus ?
Speaker #1
Industrier, c'est un malware qui est utilisé par un groupe qui s'appelle Sainte-Noire. C'est vraiment un malware qui a constitué un tournant parce que c'est l'un des tout premiers malwares qui est taillé sur mesure pour saboter une infrastructure critique. Là, on l'offre en l'occurrence le réseau électrique ukrainien. Et c'est un malware qui a effectivement été utilisé avec succès pour saboter cette infrastructure électrique. Et on a des milliers de personnes en Ukraine, suite à ce premier déploiement d'Industriere, qui se sont retrouvées dans le noir du fait de ce malware qui a été utilisé pour la première fois en 2016. C'est un malware qui a été observé également depuis 2022, où la Russie a tenté de répéter l'exercice de 2016. Donc plutôt tenter de répéter, puisque ça a été sans succès. Mais on peut noter également d'ailleurs que l'infrastructure électrique russe, c'est un vrai intérêt pour la Russie, puisqu'on a régulièrement des frappes de missiles russes qui visent plutôt intensément l'infrastructure énergétique. ukrainienne, notamment en hiver en ce moment, pour leur donner un avantage dans le sens où le fait de couper le courant au plus fort de l'hiver, ce n'est pas particulièrement avantageux pour le moral ukrainien.
Speaker #0
Là, on ne parle plus vraiment d'espionnage, on est déjà dans la guerre, ce n'est plus vraiment du cyber-espionnage.
Speaker #1
Là, on est vraiment dans le cas d'un malware, d'un logiciel malveillant qui est utilisé dans un cadre militaire.
Speaker #0
L'Ukraine, ça a vraiment marqué en tournant ? Parce que la cyber, maintenant, elle est pleinement intégrée à la stratégie militaire, on en parlait tout à l'heure, ou même titre que le terrestre, l'aérien et le spatial. C'est un quatrième point du conflit, non ?
Speaker #1
Alors, on est en droit de douter du fait que le cyber soit une arme stratégique à part entière aujourd'hui. C'est quelque chose qu'on entend souvent. Petit à petit, effectivement, le cyber fait ses preuves. J'ai parlé d'Industrial, qui a permis de tout simplement couper le courant en Ukraine. J'ai mentionné Stuxnet. Donc oui, il y a des succès, il y a des opérations clandestines, on pourrait dire, qui sont plutôt des opérations d'appui à des opérations militaires plutôt conventionnelles. Mais de là à dire qu'on peut le considérer aujourd'hui comme une arme à part entière, qui se suffit à elle-même et qui produit des effets stratégiques, je pense qu'on en est encore loin, et je parlerai sous contrôle de notre... Strategic CTI Analyst, c'est-à-dire notre analyste pour les questions géostratégiques, géopolitiques. Et on pense que pour le moment, ce n'est pas encore complètement une arme stratégique à part entière. C'est plus une solution d'appui, mais rien n'interdit que ça le devienne à l'avenir. On voit que petit à petit, il y a des améliorations qui sont faites, etc. Donc, on pense que pour le moment, il y a encore un apprentissage qui est à faire pour les puissances qui veulent parvenir à ce genre de résultats.
Speaker #0
De ce qu'on a pu observer dans des rapports chez ESET, c'est que ça vise les États, les infrastructures critiques, comme tu viens de le dire. Mais ça a aussi une répercussion sur le secteur privé, les universités, même dans certains cas. Tu as des exemples à nous apporter ?
Speaker #1
Alors clairement, ce n'est pas parce qu'on n'est pas une organisation gouvernementale qu'on ne va pas se faire cibler par des groupes APT. Par exemple, on peut penser aux éditeurs de logiciels. Les éditeurs de logiciels, ils peuvent être la cible d'un groupe APT. qui va compromettre ce logiciel légitime qui va être distribué chez leurs clients et qui va être déroulé et qui va déployer du malware. On pense par exemple au cas plutôt célèbre de SolarWinds, mais c'est quelque chose qu'on voit régulièrement, ce qu'on appelle des supply chain attacks, des attaques sur la chaîne logistique. Si vous avez un site web, vous pouvez être également ciblé par un groupe APT parce qu'ils mènent parfois des attaques qu'on appelle des attaques de type point d'eau, des attaques watering holes. Ce sont des attaques par proxy, comme les attaques sur la chaîne logistique, où on va compromettre un site web légitime qui est fréquemment consulté, par exemple par un groupe de personnes qu'on veut typiquement cibler, et qu'on va compromettre pour pouvoir déployer du malware à partir de ce site. Donc il y a ce cas de figure-là, les éditeurs de logiciels, les développeurs de sites web. On a également des entreprises privées qui peuvent être ciblées pour tout un tas de raisons. Par exemple, si on pense aux groupes qui vont être à la Russie, on peut penser au secteur des drones, notamment dans le cadre de la guerre en Ukraine, où il va y avoir un intérêt à... à cibler des organisations qui vont être, par exemple, des fournisseurs de l'armée ukrainienne dans le secteur des drones, par exemple. Dans le cas des groupes liés à la Chine, on va avoir un ciblage sur les entreprises du secteur maritime et des transports qui vont être en lien avec les nouvelles routes de la soie. Ça, c'est vraiment un intérêt majeur pour la Suisse, pour la Suisse, pas, pour la Chine. Et on voit vraiment un ciblage régulier d'organisations qui sont en lien avec les nouvelles routes de la soie chinoise. Les ONG également peuvent être ciblées. Par exemple, les ONG de défense de la démocratie en Chine, par exemple. On parlait des universités. Les universités peuvent être ciblées pour différentes raisons. Elles peuvent être ciblées pour faire des fins d'espionnage, pour voler de la propriété intellectuelle, pour voler des recherches. Mais ça peut être utilisé, par exemple, notamment pendant les manifestations de 2019 à Hong Kong contre les réformes. pour donner plus de pouvoir à la Chine sur Hong Kong, il y a énormément eu de manifestations étudiantes, notamment à Hong Kong, et on a pu observer plusieurs universités hongkongaises être compromises à ce moment-là. Donc, il y a tout un tas de raisons pour lesquelles des organisations qui ne sont pas des organisations militaires, qui ne sont pas des organisations gouvernementales, qui pourraient se retrouver ciblées par des coupes APT.
Speaker #0
Donc, il y a une multitude de cibles, de types d'opérations, de sabotages ou autres. forcément, au milieu de tout ça, le renseignement, ça va devenir central. On parlait de CTI tout à l'heure. Est-ce que tu peux nous donner ta définition de la threat intelligence ?
Speaker #1
Alors, pour donner une définition courte, on pourrait dire que la CTI, ça consiste dans la collecte, l'analyse, l'attribution et la contextualisation d'indicateurs de compromission, d'éléments qu'on va découvrir dans une cyberattaque. Un point qui est également important dans la CTI, c'est la dissémination de ce renseignement sur les cybermenaces qu'on va produire. Et un point important également, c'est que le partage de renseignements entre les différentes organisations privées, publiques, c'est vraiment quelque chose qui est crucial au-delà de ce que je mentionnais, la collecte, l'analyse, la contextualisation de ces indicateurs.
Speaker #0
Et justement, le rôle d'un acteur comme Izet, il consiste vraiment à... aider les États, les entreprises et la sécurité collective ? C'est quoi l'équilibre entre tous ces acteurs ?
Speaker #1
Alors notre rôle, c'est vraiment, nous on va apporter notre visibilité unique qui est liée à la télémétrie de détection de nos produits qui sont déployés chez nos clients. Quand je parle de télémétrie de détection, on parle des données qui nous sont remontées depuis nos clients sur les événements qui sont malveillants ou suspicieux. Et cette télémétrie de détection, elle va nous permettre d'être alertés au plus tôt et au plus près des attaques au sein des réseaux qu'on protège. Donc nous, c'est vraiment cette visibilité unique qu'on a apportée à la discussion pour améliorer la sécurité de tout le monde. Chaque organisation a sa propre visibilité, ses propres informations qui permettent d'apporter leur pierre à l'édifice et d'améliorer la sécurité de tout le monde.
Speaker #0
Les signaux que tu reçois, en fait, c'est des acteurs qui ont des solutions aisettes. au sein de leur organisation. Et à partir de ça, toi, tu vas recouper des signaux à droite, à gauche, entre guillemets, et vous allez tirer des conclusions, des différents signaux, parce qu'il y a un fil rouge, il y a des choses communes dans ces signaux. Et c'est à partir de là aussi que vous pouvez vous dire « Ah, attention, il y a tel groupe potentiel ou un groupe qu'on connaît, qu'on ne connaît pas, qui est en train d'opérer. »
Speaker #1
Exactement. On va pouvoir dire « Là, on voit que tel groupe dans tel pays est en train d'essayer d'exploiter telle vulnérabilité, de déployer tel malware. » C'est une opération qu'on a déjà vue dans notre télémétrie il y a quelques mois, par exemple. Et c'est vraiment la plus-value qu'on va avoir. C'est de non seulement avoir accès aux implants, aux malwares qui vont être utilisés par les attaquants, aux techniques qui vont être utilisées, et d'avoir... toute la contextualisation qui va avec ça.
Speaker #0
Et tu disais chez ESET que vous considérez que le cyber ne fait pas forcément partie d'une stratégie militaire globale. En revanche, est-ce que quand même vous constatez qu'il y a une intensification des cyberconflits qui s'installe, qui est durable maintenant ?
Speaker #1
Alors, je voudrais juste nuancer mon propos. Ce n'est pas qu'on ne pense pas que ça fait partie d'une stratégie militaire globale. Ce que je mentionnais, c'est qu'on pense que pour le moment, on ne qualifierait pas le cyber d'une arme à part entière qu'il y a des impacts stratégiques majeurs. Ça ne veut pas dire que ce n'est pas utilisé à des fins militaires, évidemment. Pour l'intensification durable, ça, c'est quelque chose qui est difficile à quantifier, donner des chiffres absolus. Et je n'ai pas de boule de cristal, mais en tout cas, je ne m'attendrais vraiment pas à une diminution de ce type de cyberattaque pour 2026. Et oui, je pense qu'on peut s'attendre à une. intensification de ce type d'attaque. On voit que les groupes liés à la Chine, par exemple, ciblent de plus en plus le monde entier, par exemple, plus massivement, alors qu'il y a quelques années, ils étaient plus focalisés sur l'Asie du Sud-Est, sur l'Asie centrale, etc. En tout cas, on peut s'attendre à ce qu'il n'y ait pas de diminution de ce type d'attaque pour les années à venir.
Speaker #0
Est-ce que tu as été surpris récemment par un malware ? Tu es encore surpris par des attaques ? Je suppose qu'il y a une forme de renouvellement aussi, forcément.
Speaker #1
Alors... Les attaquants sur lesquels on travaille développent toujours de nouvelles techniques, développent toujours de nouveaux malwares pour passer sous le radar. En fait, c'est un peu un jeu du chat et la souris. Donc régulièrement, on va découvrir des nouvelles techniques qui vont être utilisées pour exploiter les victimes, pour ne pas être détectées, pour persister dans le système des victimes ciblées. Donc oui, régulièrement, on a notre lot de surprises et de nouveaux malwares intéressants à analyser.
Speaker #0
ESET, c'est un acteur historique de la cyber. On vous connaît parce que vous éditez notamment des solutions de protection telles que les antivirus ou l'EDR, ou encore des services managés en mode MDR. Et quand et pourquoi vous avez décidé de développer vos capacités en CTI, justement ?
Speaker #1
Il y a quelques années de ça, nous, d'une part, on se rendait compte qu'on produisait du Threats Intel qui nous servait à nous, mais pas nécessairement à d'autres partenaires. On voyait qu'il y avait un intérêt pour... les recherches qu'on produisait, notamment à travers les conférences, à travers les publications de notre blog. Et il se trouve qu'on ne peut pas toujours tout mettre en ligne sur notre blog parce qu'il y a des informations qu'on préfère garder privées parce que le fait de les publier va aider les attaquants. Va aider les attaquants à contourner les méthodes qu'on utilise pour les suivre. Et donc, on s'est dit que ça serait une bonne idée de mettre ces informations dans un service de rapport privé qui va être fourni à nos clients qui sont intéressés par ce type de menaces.
Speaker #0
Qu'est-ce que tu conseilles aux personnes qui souhaitent approfondir le sujet ? Est-ce que, par exemple, tu as des lectures à leur conseiller ou des médias à suivre ?
Speaker #1
Allez lire notre blog sur weleafsecurity.com. C'est un blog où, régulièrement, on va publier nos recherches sur les groupes APT, sur les groupes de cybercrime également, et où on va pouvoir trouver tout un tas d'informations sur ces groupes, sur comment ils opèrent, quels sont leurs ciblages, etc.
Speaker #0
Et vous avez le droit de publier ça, parce que c'est des infos qui vous appartiennent ? Mais est-ce qu'il y a des choses qui ne sont pas publiées ? Je suppose qu'il y a des choses que vous partagez avec des États qui sont…
Speaker #1
C'est ce que je mentionnais précédemment quand je parlais de notre service de rapport privé. Il y a une partie de ces renseignements qu'on va mettre sous la forme de rapports qu'on distribue à nos clients. Mais oui, on est régulièrement en contact avec notamment des organisations gouvernementales pour partager du renseignement. C'est souvent des choses qu'on ne veut pas mettre dans nos blogs parce qu'on ne veut pas… expliquer à l'attaquant comment on fait pour monitorer son infrastructure réseau, pour détecter les malwares qu'ils utilisent, etc. Ce qu'on va mettre dans nos blogs, c'est évidemment des choses qu'on peut se permettre de mettre en ligne, de rendre publiques, qui sont d'intérêt public, sans pour autant compromettre le suivi de ces groupes.
Speaker #0
Super, merci beaucoup Mathieu pour toutes ces infos. Je donne rendez-vous à ESET au Forum INCYBER en avril. Je ne sais pas si tu vas faire le déplacement jusqu'à Lille. Mais en tout cas, j'étais ravie d'échanger avec toi sur ce sujet. Et je te dis à très bientôt.
Speaker #1
Avec plaisir. Merci d'avoir suivi cet épisode d'INCYBERVoices Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.

Embed