Sécurité IT : ces cyberattaques qui ont marqué l’année 2015

CyberDéfenseRisquesSécurité
securite-it-cyberattaques-2015

TV5Monde, Anthem, Hilton, Thales, Ashley Madison, T-Mobile, United Airlines… Panorama des cyber-attaques qui ont rythmé l’année 2015.

Que ce soit par le nombre de victimes, les quantités de données volées, le prestige des entreprises touchées ou encore les motivations et les modes opératoires de leurs auteurs, des cyberattaques marquantes ont rythmé l’année 2015 dans le monde de la sécurité IT.

ITespresso.fr en a compilé une sélection non exhaustive, par ordre chronologique.

À la mi-janvier, dans la continuité des attentats à Paris, le journal Le Monde a perdu pendant plusieurs heures le contrôle de son compte Twitter, au profit de l’Armée électronique syrienne.

Pour récupérer le mot de passe, les pirates s’y sont repris à plusieurs fois. Ils ont notamment envoyé un e-mail piégé aux collaborateurs du quotidien d’information susceptibles de connaître ledit mot de passe. Un lien inséré dans l’e-mail en question conduisait vers une imitation de la page de connexion au système de messagerie professionnelle.

Quelques jours plus tôt, un autre compte Twitter avait été détourné : celui du Centcom, commandement qui supervise les activités militaires américaines au Moyen-Orient. Des faits revendiqués par le groupe djihadiste État islamique.

En France, l’année s’était ouverte sur une attaque par déni de service distribué (DDoS) contre le site Internet du ministère de la Défense. Le groupe Anonymous Operation GPII dit avoir agi au nom de Rémi Fraisse, ce militant tué en octobre 2014 lors d’affrontements entre les forces de l’ordre et des opposants à la construction du barrage de Sivens, dans le Tarn.

En Suisse, c’est la Banque Cantonale de Genève qui a subi un assaut, signé du collectif Rex Mundi, qui a finalement publié, faute d’avoir reçu une rançon, plus de 30 000 messages électroniques que l’organisation avait échangés avec ses clients suisses ou étrangers.

De lourds bilans

Début février, un lourd bilan tombe dans l’affaire Anthem, du nom de cette compagnie américaine d’assurances santé : des pirates auraient accédé aux données personnelles de 80 millions de clients. Un hack d’une ampleur comparable à celui essuyé par l’enseigne de grande distribution Target.

À quelques jours d’intervalle, l’éditeur russe Kaspersky, fournisseur de solutions de sécurité informatique, annonce avoir mis le doigt sur Carbanak, une coalition criminelle qui aurait, en l’espace de deux ans, volé près d’un milliard de dollars à une centaine d’institutions financières.

En utilisant là aussi des e-mails frauduleux (phishing), les pirates ont pu remonter le réseau jusqu’aux postes des administrateurs, tout particulièrement ceux qui contrôlent les systèmes de vidéosurveillance. Ce qui leur a permis d’appréhender le fonctionnement interne de la banque, puis d’imiter les employés pour transférer des fonds sans éveiller les soupçons.

En plein coeur de l’hiver, on apprend également que la NSA s’est facilité le travail d’écoute des communications mobiles en dérobant au groupe Gemalto des clés de chiffrement associées à des millions de cartes SIM. Le tout donc sans mener un raid chez un opérateur ou même solliciter un mandat de perquisition.

L’agence s’est introduite dans le réseau informatique du groupe d’origine française et a implanté, sur plusieurs machines, des logiciels malveillants qui lui ont permis de collecter suffisamment de données pour accéder aux comptes de messagerie – et de réseaux sociaux – de plusieurs cibles d’intérêt ; en l’occurrence, des employés susceptibles de manipuler les clés de chiffrement ou d’accéder aux systèmes sur lesquelles elles étaient stockées.

Règlements de comptes

En mars, c’est Twitch, la plate-forme de divertissement numérique propriété d’Amazon, qui réinitialise les mots de passe de ses utilisateurs après la découverte d’une faille susceptible d’avoir ouvert l’accès à « un certain nombre de comptes ».

En avril, le FBI fait un point concernant son enquête avec les services secrets et le renseignement sur une cyber-attaque subie quelques mois auparavant par plusieurs institutions fédérales américaines, dont le département d’État et la Maison Blanche.

Cette opération, apparue comme l’une des plus élaborées jamais lancées contre les systèmes d’information de l’administration U.S., aurait été conduite par des pirates à la solde du gouvernement russe, à partir d’un réseau mondial ultra-distribué pour brouiller les pistes.

En France, c’est la chaîne publique TV5 Monde qui fait l’actualité : elle est victime d’un piratage d’envergure qui touche non seulement son site Internet, mais aussi ses comptes Facebook et Twitter, ainsi que ses onze canaux de diffusion (deux généralistes, neuf thématiques).

Les auteurs de l’attaque se revendiquent du « Cyber Caliphate », collectif qui se dit affilié à l’État islamique et qui compte, sur son tableau de chasse, des références comme Newsweek ou Malaysia Airlines.

Ces mêmes pirates s’en sont aussi pris aux soldats français engagés contre Daech, en diffusant des documents présentés comme leurs pièces d’identité et leurs CV.

Toujours en France, le groupe de défense Thales annonce, fin avril, avoir été victime d’une infection qui aurait démarré près de trois mois plus tôt. Il aura fallu une quinzaine de jours pour la repérer. Assez pour qu’elle se propage du SI américain de l’entreprise à d’autres segments de son réseau, localisés au Canada, en Australie, au Royaume-Uni ainsi qu’en France.

S’envoyer en l’air ?

Le printemps est aussi synonyme de piratage dans les airs. Chris Roberts, expert en sécurité, parvient à prendre le contrôle d’un avion en plein vol, en envoyant des instructions de pilotage via le système de divertissement de son siège.

Des documents du FBI démontrent que l’intéressé s’est livré à cette pratique plus d’une dizaine de fois entre 2011 et 2014, sur de nombreux modèles d’avions, avec l’objectif de pousser les compagnies aériennes à améliorer la sécurité de leurs appareils (United Airlines a d’ailleurs lancé un programme de « chasse aux bugs » après ces révélations).

Des sueurs froides, la compagnie aérienne polonaise LOT en a également eu. Le dimanche 21 juin, elle a dû annuler une vingtaine de vols au départ et à destination de Varsovie, après une attaque contre le système gérant les opérations au sol.

Mais la saga sécurité de l’IT 2015 fut bien le piratage d’AshleyMadison.com, qui favorise les rencontres extraconjugales. Pour le groupe Avid Life Media, propriétaire du site (il exploite aussi CougarLife.com et EstablishedMen.com), l’affaire est allée en justice. Le CEO a par ailleurs été remercié.

Il faut dire que les pirates ont publié des données personnelles associées à 32 millions de membres, dont 600 000 Français. Des révélations qui auraient entraîné des tentatives d’extorsion… voire des suicides.

Chaleurs estivales

Le mois de juillet a aussi été marqué par le piratage de la firme italienne Hacking Team, considérée par Reporters Sans Frontières comme l’un des « mercenaires de l’ère digitale » contribuant à l’espionnage d’État par voie électronique.

Les quelque 400 Go de données récupérés ont fait la lumière sur des contrats signés avec plusieurs régimes autoritaires – et donc cette participation indirecte à la traque, voire à la répression des citoyens, via des solutions de surveillance des réseaux légitimes à l’origine, mais exploitées à des fins douteuses lorsqu’elles tombent dans les mains des gouvernements.

Les acteurs du marché de la sécurité n’ont pas été épargnés. Outre Thales, l’éditeur roumain BitDefender (solutions antivirus) a reconnu, au mois d’août, avoir été victime d’un vol de données clients sur l’un de ses serveurs.

À la rentrée, l’alerte est lancée à propos du probable piratage de Hilton. Au fil des semaines, on tend vers le scénario catastrophe. Le groupe hôtelier finit par reconnaître qu’un malware a été détecté – et supprimé – sur certains terminaux de paiement.

Des pirates multisectoriels

Au cours de l’automne, c’est au tour de T-Mobile de déplorer un vol de données. L’opérateur télécoms américain est la victime collatérale d’une attaque contre son partenaire Experian, qui gère les vérifications de solvabilité pour les souscripteurs d’offres mobiles et les acquéreurs de téléphones avec facilité de paiement. 15 millions de clients seraient concernés.

Toujours aux États-Unis, on apprend que des cybercriminels auraient visé, en 2014, le groupe média Dow Jones. Leur but : récupérer des informations stratégiques sur des sociétés, notamment celles engagées dans des opérations de rapprochement, d’acquisition ou encore de scission. Ces informations privées, relatives à des transactions non encore officialisées, permettent d’anticiper les tendances de la Bourse avec, à la clé, d’importants gains financiers.

L’année s’est terminée sur cet assaut contre VTech. Au dernier bilan officiel, le fabricant asiatique de jouets électroniques s’est fait dérober les données associées à 5 millions de comptes de parents (1 million en France)… et à 6 millions de profils d’enfants (également environ 1 million en France).

Crédit photo : kentoh – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur