Comme cela a été souligné lors de la conférence sur les partenariats public-privé (PPP) pour la défense et la sécurité l’année dernière, l’accent est largement mis sur le renforcement des capacités défensives de l’Afrique du Sud à l’avenir ; cependant, un domaine clé qui n’a pas reçu l’attention nécessaire est celui de la cybersécurité.
C’est le point de vue de MWR CyberSec, un cabinet de conseil sud-africain en cybersécurité. La société a déclaré que les cyberattaques visant à promouvoir les objectifs d’un État-nation étaient depuis longtemps des idées de films et de fiction. Cependant, dans un passé proche (au cours de la dernière décennie), cette idée est rapidement passée d’une idée éphémère à des actions et des scénarios concrets qui pourraient se dérouler dans la poursuite des objectifs géopolitiques d’une nation.
Vers 2010, l’un des exemples les plus répandus de cyberguerre et de militarisation des cybertechnologies était pleinement en vigueur, à savoir le ver Stuxnet. Stuxnet était un puissant ver informatique, conçu par les services de renseignement américains et israéliens, qui a été utilisé pour faire dérailler un élément clé du programme nucléaire iranien en détruisant les centrifugeuses que l’Iran utilisait pour enrichir son uranium. Lorsque Stuxnet infectait un ordinateur, il vérifiait s’il était connecté à des types spécifiques d’automates programmables (PLC) fabriqués par Siemens. Les automates programmables sont un élément fondamental de nombreux systèmes de contrôle industriels, en l’occurrence les centrifugeuses à uranium. Si aucun automate n’était détecté, le ver ne faisait rien. Cependant, si des automates étaient détectés, Stuxnet les manipulait, ce qui entraînait une rotation irrégulière des centrifugeuses et les endommageait ou les détruisait ainsi. Le déploiement de Stuxnet a été un succès et a finalement fait reculer le programme nucléaire iranien d’environ deux ans.
La seule raison pour laquelle Stuxnet a été découvert est qu’il s’est propagé accidentellement au-delà de l’installation nucléaire iranienne. L’un des éléments les plus remarquables liés à Stuxnet est que les automates sont généralement isolés (c’est-à-dire déconnectés des réseaux externes, en particulier d’Internet) en tant que mécanisme de défense strict. Stuxnet a été codé pour se propager via USB et se propagerait aux ordinateurs contrôlant les automates via ce mécanisme. Le point fondamental à retenir de cette attaque est que même les zones hautement sécurisées sont difficiles à détecter et à défendre avec succès dans 100 % des cas.
De la même manière, une technologie relativement inoffensive pourrait être utilisée de manière inattendue. Une question simple me vient à l’esprit : est-il possible de pirater une Jeep Cherokee sans fil à plusieurs kilomètres ? La réponse est oui. Cela a été réalisé par deux chercheurs en 2015 qui ont mis un journaliste au volant et démontré à distance leur maîtrise du véhicule. Le journaliste a raconté l’expérience avec vivacité : « Je roulais à 70 mph en bordure du centre-ville de St Louis lorsque l’exploit a commencé à prendre effet ». Les chercheurs ont pu prendre entièrement le contrôle du véhicule en utilisant uniquement un ordinateur portable et une connexion Internet, ce qui les a amenés à jouer avec la climatisation, la radio et les essuie-glaces. Mais cela va plus loin : les chercheurs ont réussi à couper toute puissance au système de transmission, rendant la voiture inutile sur l’autoroute et sans moyen de se déplacer. Ils ont quand même pu aller plus loin en coupant les freins de la Jeep, laissant le journaliste appuyer frénétiquement sur la pédale alors que le SUV glissait de manière incontrôlable dans un fossé.
De plus, le contrôle du véhicule permet également la surveillance, offrant la possibilité de suivre les coordonnées GPS d’une Jeep ciblée, de mesurer sa vitesse, ainsi que de déposer des épingles sur une carte pour tracer son itinéraire. Il s’agit d’une piste d’attaque intéressante car elle explore le piratage de voitures, que presque tout le monde utilise quotidiennement d’une manière ou d’une autre.
Dans le cadre du conflit russo-ukrainien, une avancée considérable dans le domaine de la cyberguerre s’est produite. Le meilleur exemple en est l’attaque russe présumée contre le réseau Viasat KA-SAT, qui a interrompu les communications dont Kiev, en Ukraine, dépendait grandement. L’opération russe a entraîné une perte immédiate et significative de communication dès les premiers jours de la guerre pour l’armée ukrainienne, qui comptait sur les services de Viasat pour le commandement et le contrôle des forces armées du pays.
Cette attaque a été initialement lancée une heure avant l’invasion de l’Ukraine par les Russes en février 2022. L’attaque a été exécutée avec une nouvelle souche de malware d’effacement appelée « AcidRain », conçue pour effacer à distance les modems et routeurs vulnérables. Dans le feu croisé de cette attaque ciblée, le contrôle à distance de 5 800 éoliennes appartenant à Enercon en Europe centrale a également été touché. Ce scénario démontre un exemple concret de la façon dont les cyberattaques peuvent être ciblées et programmées pour amplifier les forces militaires sur le terrain en perturbant, voire en détruisant la technologie utilisée par les forces ennemies.
Le ministre danois de la Défense a déclaré : « La cybermenace est constante et en évolution. Les cyberattaques peuvent causer de graves dommages à nos infrastructures critiques, avec des conséquences fatales », soulignant en outre l’importance de la cyberdéfense et des capacités de réponse aux incidents. Ces capacités ne s’arrêtent pas explicitement au niveau terrestre. Certaines entreprises peuvent être incroyablement avancées techniquement dans les solutions qu’elles proposent ; cependant, ils ne sont pas à l’abri des cyberattaques.
La Russie a tenté d’attaquer les systèmes Starlink afin de brouiller le service Internet en Ukraine. Un chercheur belge en cybersécurité a réussi à pirater le système satellite Starlink d’Elon Musk en utilisant un simple appareil Raspberry Pi associé à d’autres composants électroniques coûtant l’équivalent de R500. Il s’agit d’un excellent exemple du fait que le piratage ne suit pas toujours la voie « traditionnelle » consistant à compromettre l’ordinateur d’un individu ou le serveur d’une organisation, mais peut plutôt commencer par cibler les systèmes électroniques embarqués dans le cadre d’attaques matérielles.
Un groupe notable d’Advanced Persistent Threat (ATP) à mentionner est celui du groupe « Volt Typhoon », qui est lié au gouvernement chinois et actif depuis 2021. L’existence de ce groupe APT particulier a fait surface publiquement en mai 2023, lorsque Microsoft a rapporté que le groupe avait ciblé les infrastructures critiques américaines dans le cadre d’opérations d’espionnage et était resté en sommeil au sein de leur infrastructure pendant cinq ans. Plus précisément, ce groupe APT ciblait les systèmes Operation Technology (OT) en utilisant des exploits Zero Day, afin de se prépositionner à de futures attaques de sabotage. Ce groupe a même démontré des capacités critiques pour compromettre Microsoft afin de voir le niveau de détail que l’organisation avait sur eux.
Début 2024, l’Agence de cybersécurité et de sécurité des infrastructures (CISA) a publié un avis soulevant des inquiétudes quant à la possibilité que ces acteurs malveillants utilisent leur accès au réseau à des fins hautement perturbatrices en cas de tensions géopolitiques potentielles et/ou de conflits militaires.
MWR parle depuis longtemps de la nécessité pour les organisations de supposer qu’à un moment donné, elles seront victimes d’une violation et de se préparer en conséquence. La réalité est qu’une organisation ne peut se préparer au compromis qu’en disposant d’une stratégie de cybersécurité solide, globale et solide, ainsi que d’un ensemble d’armes capables de faire face à ce scénario malheureux. Les trois piliers que sont les personnes, les processus et la technologie doivent être bien pratiqués, complémentaires dans tout ce qu’ils font et avoir la capacité de travailler rapidement pour contenir, éradiquer et se remettre d’une compromission de la cybersécurité.
D’après l’expérience de MWR, la phase la plus difficile à réaliser pour un attaquant est souvent la phase initiale d’accès. Une fois dans un environnement cible, il est bien trop courant que les organisations aient des contrôles et des restrictions minimes au sein de leur réseau interne. MWR conseille aux clients de travailler à rebours. « Comprenez ce que vous avez et auquel un attaquant voudrait accéder, et structurez les contrôles, les défenses et les barrières de ce point vers le périmètre externe. Effectuer cet exercice vous donnera une vue que vous n’avez jamais eue de votre réseau interne et de la façon dont un attaquant est susceptible de vous cibler. Cela vous rendra finalement plus robuste face à leurs attaques. »
MWR a déclaré qu’il peut s’avérer très difficile de devoir mener des activités de réponse à un incident tout en subissant potentiellement des dommages financiers et de réputation à la suite d’une telle violation. À titre d’exemple, le rapport IBM sur le coût d’une violation de données en 2024 montre que les violations de données en Afrique du Sud coûtent en moyenne 53,10 millions de rands par incident. Les principaux facteurs déterminants de ces coûts sont les interruptions d’activité, le support client après une violation ainsi que les mesures correctives. À cela s’ajoute le non-respect de la réglementation qui contribue également à ce chiffre.
Les entreprises qui développent de nouvelles technologies sont confrontées à des tentatives quasi constantes de violation de leur sécurité. Malheureusement, les entreprises ne disposant pas d’un environnement de cybersécurité mature risquent de ne jamais se rendre compte qu’une violation s’est produite, et encore moins d’y réagir de manière appropriée jusqu’à ce qu’il soit trop tard. Les attaquants du monde réel disposent essentiellement d’un temps « illimité », et s’ils sont suffisamment avancés et persistants, ils trouveront un moyen de s’introduire. « Seriez-vous capable de réagir et d’éliminer la menace avant que des dommages substantiels ne soient causés, ou préféreriez-vous adopter une approche proactive et diminuer les chances de vous retrouver un jour dans une telle position ? » a demandé MWR.
