[En partenariat avec ESET] Benoit Grunemwald, expert cybersécurité chez ESET, revient sur les grandes attaques récentes et fait le point sur les tendances en matière de cybercriminalité.
Las Vegas, Engie, Pôle Emploi... Les cyberattaques se sont multipliées durant l'été. Dans le même temps, les chercheurs d'ESET ont découvert sur le DarkNet une véritable boite à outil pour cybercriminels, permettant à des pirates, même peu expérimentés, de mener des attaques redoutables.
Monde Numérique : L'été dernier, la ville de Las Vegas, a subi plusieurs cyberattaques dont les effets se font encore sentir aujourd'hui. C'est assez spectaculaire.
Benoit Grünemwald : C'est spectaculaire parce que beaucoup de casinos sont à l'arrêt MGM et Caesar et ça représente quand même un gros volume d'affaires. Et on s'aperçoit à quel point quand l'informatique s'arrête, et bien beaucoup de choses s'arrêtent. Donc les fameux bandits manchots, cela fait bien longtemps que ce sont des ordinateurs, Ils sont à l'arrêt, on voit les salles entièrement vides, les machines complètement noires. D'ailleurs, ça permet de de voir à quel point l'écran a une place importante sur cet objet connecté. Et puis on a vu également des files d'attente interminables dans les hôtels, parce que bien entendu, le dispatch des chambres. Et puis finalement, quasiment tout le fonctionnement de l'hôtel est régi par par l'informatique.
Monde Numérique : Oui, oui, on le sait, on s'en rend compte quand on arrive à Las Vegas, effectivement, on s'enregistre sur des bornes automatiques, on se préenregistre à l'avance. Enfin tout. Tout est géré par ordinateur et déjà, malgré tout, il y a des files d'attente. J'imagine ce que ça doit donner en ce moment. Et puis les joueurs aussi qui sont hyper mécontents parce que les machines à sous ne marchent plus, il y en a qui ont dû perdre de l'argent, etc. Donc Las Vegas. Mais ce n'est pas tout. Il y a eu également cette année des choses qui nous touchent un peu plus, d'un peu plus près, des fuites de données massives assez spectaculaires. Ici en France.
Benoit Grünemwald : Effectivement, on pense à Pôle emploi, on pense à Engie. Et il y a un point commun entre ces deux fuites, c'est que ce sont des sous-traitants qui ont été attaqués, Des sous-traitants avec qui ? Ces entreprises qui ne peuvent pas réaliser l'intégralité du traitement des données que nous leur confions et dont elles ont besoin pour travailler et donc les confient à des sous-traitants qui eux-mêmes vont opérer certains services ou agir au nom de l'entité.
Monde Numérique : Et alors là, ça nous touche vraiment d'assez près, parce que voilà, il y a beaucoup de Français qui sont concernés. Et ces données qui ont été volées, elles risquent d'être réutilisées.
Benoit Grünemwald : Alors, elles peuvent être réutilisées en plus dans différents scénarios, je pense au cas le plus classique finalement, c'est L'hameçonnage, mais aussi sur des scénarios d'usurpation d'identité. Quand vous fournissez à Pôle emploi, notamment à une administration d'une manière générale ou à une grande entreprise des données confidentielles sur vous personnelles, eh bien ça peut tout à fait être utilisé pour pouvoir usurper votre identité dans d'autres cas, voire dans d'autres pays ou d'autres endroits où les les personnes qui sont en face de vous ne sont pas très scrupuleuses quand elles ne sont pas dans la combine.
Monde Numérique : Alors justement, Benoît Grunemwald, votre entreprise ESET spécialisée, qui fait de la recherche aussi sur toutes ces questions-là, Eh bien, vous avez découvert cet été précisément ce qui se passait dans le darknet où évoluent les les pirates. Et vous avez mis la main sur une espèce de trousse à outils du pirate informatique.
Benoit Grünemwald : En fait, effectivement, notamment pour générer des campagnes d'hameçonnage. Ce qui est assez impressionnant avec ces outils, c'est que pour pouvoir fonctionner, et ils sont notamment sous forme de botte Telegram, donc des micro programmes qui vont au sein de la messagerie Telegram permettre à des novices. Malheureusement, la plupart du temps, eh bien d'obtenir un résultat d'une très grande qualité clé en main pour mener des campagnes d'hameçonnage et. Et c'est là où on voit bien finalement pour eux, tout l'intérêt d'avoir des fuites de données, c'est qu'ils vont pouvoir créer ces campagnes d'hameçonnage vraiment extrêmement ciblées, voire même dans ce cas-là, on peut même parler de harponnage. Donc l'hameçonnage, c'est plutôt ce que l'on reçoit. Vous avez un colis alors que vous n'avez rien commandé, Vous n'êtes même pas client de telle ou telle entreprise. Alors que L'harponnage va bénéficier d'une fuite de données ou d'informations récupérées sur Internet. Si vous êtes une cible de choix, mais d'informations particulières sur sur des bases de données. Et on va comme ça aller. Nez des utilisateurs. On l'avait vu notamment avec la fuite de Corbeil-Essonnes ou si on voyait que ces données étaient été mises à disposition et ou utilisées. Cybermalveillance encore eux avaient mis à disposition une lettre type pour pour porter plainte.
Monde Numérique : Donc cette boîte à outils pour pirates qui s'appelle Télécopie, c'est amusant avec un K, c'est ce que vous avez découvert. Et puis parallèlement, les autorités ont démantelé un réseau de cyber piratage qui s'appelle le couac bottes bottes.
Benoit Grünemwald : Ça, c'est un élément important parce que c'est un réseau de botnets, donc de machines zombies, qui a été démantelé, notamment à l'initiative du FBI et qui comprenait dans le monde entier plus de 700 zéro zéro zéro machines infectées et 26 000 en France. Donc les autorités en France, la justice a participé au démantèlement de ce de ce réseau.
Monde Numérique : Est ce que la mise au jour de ce réseau, c'est un coup d'arrêt important ou on peut se dire que c'est un coup d'épée dans l'eau ou c'est une goutte d'eau dans l'océan qui a été prélevée dans l’océan ?
Benoit Grünemwald : Alors c'est à la fois un coup d'arrêt parce que Quackbot était quand même 700 zéro zéro zéro machines à travers le monde, dont 26 zéro zéro zéro en France. C'est aussi une belle démonstration de coopération internationale pour stopper un réseau non négligeable. Et ce réseau lors de l'arrestation. Enfin, lors de l'arrêt de ce réseau, ça représentait 170 serveurs, 600 France et plus de 8 millions de dollars équivalents en crypto monnaie qui ont été saisis. Donc on est quand même sur une, sur une, sur une opération d'envergure qui qui était d'envergure à la fois du côté de la police mais également du côté des cybercriminels.
Monde Numérique : Le pactole en question, c'est donc de l'argent qui avait été collecté auprès de gens qui s'étaient fait, qui s'étaient fait avoir en fait, qui avaient donné leur numéro de carte bancaire sur des faux sites web. C'est ça ?
Benoit Grünemwald : Tout à fait, mais également sur des rançons. Parce que lorsqu'il y a un site, un réseau de zombies, eh bien le botnet va être soit utilisé par Quackbot, soit sous loué à d'autres cybercriminels. Et quand vous sous louez le fameux réseau, eh bien les machines qui sont dedans peuvent être soit prise de contrôle par les cybercriminels pour extraire des données. Effectivement, si vous payez en ligne, si vous stocker des mots de passe, etc. Mais également pourquoi pas pour vous mettre des rançongiciels. Et donc les revenus des cybercriminels vont être comme ça, échelonnés, répartis en plusieurs types d'activités criminelles.
Monde Numérique : Et on sait que la consigne des pouvoirs publics, c'est de dire surtout ne payez pas si votre ordinateur est bloqué. Mais malheureusement, beaucoup de gens payent parce qu'ils se disent que la seule solution pour récupérer l'accès à leurs données en fait.
Benoit Grünemwald : Tout à fait. Et c'est d'ailleurs on parlait du cyber moi en introduction. C'est tout l'intérêt du cyber moi c'est de faire passer ce genre de consignes Ne payez pas, déposez plainte, gardez votre machine allumée et ne l'éteignez pas pour que bien souvent, les clés de chiffrement restent en mémoire. Voilà, conservées, conservées. La preuve, c'est toujours, c'est toujours un événement traumatisant. On oublie aussi bien souvent de le mentionner, mais une attaque de Rançongiciel, c'est très traumatisant. On n'en a plus du tout accès à son ordinateur. C'est comme de perdre son smartphone. J'invite chaque personne qui pense que la sauvegarde, par exemple, n'a pas d'intérêt. Eh bien de de de faire en sorte de faire semblant de ne plus avoir de son smartphone par exemple, ou son ordinateur pendant une journée et de se dire Ok, comment je repars ?
Monde Numérique : Oui, ça fait tout drôle. Et pour les entreprises, ça peut être dramatique économiquement. Il y a des entreprises qui ont mis la clé sous la porte. Je retiens une chose dans ce que tu dis Benoît, c'est ne débranchez pas votre ordinateur si vous êtes victime d'un blocage comme ça.
Benoit Grünemwald : Effectivement, il y a quelques éléments à prendre en compte. On a bien. Les hotlines ont l'habitude de nous dire avez-vous débrancher, rebrancher votre ordinateur ou votre box quand celle-ci semble mal fonctionner? Eh bien, ce n'est pas le cas lorsque l'on a un rançongiciel. Par contre, ce qu'il faut, c'est déconnecter le réseau pour éviter que celui que cet ordinateur ne soit ne puisse par exemple communiquer avec l'extérieur et notamment avec les cyber criminels. Mais par contre on laisse couper, laisse la machine. Alors si c'est le wifi, il faut déconnecter le wifi. Mais si on.
Monde Numérique : A plus la main, il faut débrancher, il faut déconnecter le wifi en fait.
Benoit Grünemwald : Voilà. Alors si on veut aller plus loin, on peut même dire on va laisser le wifi dans la box, on va interdire, on va mettre une sorte de contrôle parental et on va interdire à cette machine-là d'aller sur Internet. Et comme ça on ne touche pas à la machine. Et ça, c'est vraiment une une question très importante si on veut pouvoir récupérer ces données ou en tout cas avoir une meilleure chance de les récupérer. On va, on va ne pas ne pas la débrancher, ne pas la redémarrer. Parce que dans la mémoire. De l'ordinateur. Bien souvent, il y a des informations importantes qui vont permettre, lors d'une enquête, de récupérer des informations qui vont permettre de retrouver les retrouver ces.
Monde Numérique : Fichiers, à condition d'être un spécialiste mais un vrai, et de se faire aider par un spécialiste, un vrai hein. Il ne faut pas appeler les soi-disant techniciens Microsoft etc dont le numéro s'affiche parfois parce que ce sont eux-mêmes des pirates. On aura l'occasion.
Benoit Grünemwald : Ou son cousin, sauf si lui-même est habilité à le faire et à des à des à l'habitude de le faire. Parce qu'effectivement beaucoup de spécialistes se disent spécialistes mais vont plutôt créer des dégâts que nous aider.
Monde Numérique : Oui, donc il faut, je pense dans ce cas-là renvoyer une fois encore sur le portail cybermalveillance.gouv.fr où il y a tous les conseils. Et puis il y a même des listes de spécialistes, cyber prestataires, labellisés, de prestataires labellisés. Voilà, Absolument. C'est très important que vous allez poursuivre un questionnement.
Benoit Grünemwald : Vous allez suivre un questionnaire et dans ce questionnaire, à l'issue de ce questionnaire, vous aurez des recommandations et pour les cas les plus graves, vous aurez. Vous aurez même une liste de prestataires labellisés qui vont pouvoir vous accompagner si vous êtes une entreprise, vous. On sait à quel point il est urgent d'agir. Si vous êtes un particulier, vous aurez peut-être ou pas les moyens de vous payer ces spécialistes parce que c'est assez cher. Mais c'est là où il faut réfléchir à l'assurance cyber. C'est un sujet qui revient de plus en plus et j'en discutais avec un spécialiste de la gestion de crise en entreprise qui disait que l'assurance cyber avait cet avantage là à vous ramènera pas à vos données, mais a l'avantage quand même de payer un spécialiste qui va venir constater et vous aider le cas échéant en cas de en cas de crise.
Monde Numérique : Et auprès de qui est ce qu'on peut souscrire une assurance cyber ?
Benoit Grünemwald : Alors il. Il en existe aujourd'hui trop peu, mais un certain nombre d'eux, je pense à deux en particulier qui qui sont aujourd'hui sur la place de marché. Vous allez les trouver assez facilement en cherchant sur Google, et notamment ils ont levé quelques, quelques, quelques milliers d'euros, millions d'euros de fonds. Donc dans les actualités, vous les retrouverez. Et ensuite, si vous avez déjà une assurance, et bien renseignez-vous auprès de votre assurance pour savoir s'il y a un volet cyber qui qui vous couvre en cas de problématique. Et puis surtout, étudiez, étudiez bien les garanties et les conditions. Et encore une fois, je le répète, mieux vaut prévenir que guérir. Donc l'assurance cyber, c'est bien, mais. Mais surtout, il faut faire en sorte qu'on puisse bloquer le plus rapidement possible une cyber attaque pour éviter que celle-ci ne se propage très bien.
Épisodes récents
🎤 Réussir dans la tech aux États-Unis (Ilan Abehassera, entrepreneur et investisseur)
Comment réussir dans la tech quand on quitte la France pour s’installer aux États-Unis ? Ilan Abehassera, entrepreneur et investisseur franco-américain basé à New York, revient sur son parcours dans l’univers des startups et de l’innovation.
🇫🇷🇨🇦 Debrief Transat - Allo Houston, ici la tech !
Avec Bruno Guglielminetti, on parle cette semaine de la tech au Texas et des efforts d'Amazon pour tenter de rattraper Starlink dans la course à l'Internet par satellite.
📆 L'HEBDO 26/04 - La tech américaine toujours en ébullition, sur fond de tension avec l'Europe
Cette semaine, plongée au cœur de l'innovation américaine, en direct du Texas et de New York, pour une radiographie de la tech et de l'entreprenariat numérique dans un contexte toujours incertain entre l'Europe et les Etats-Unis.
✍️ Gadgets ou rupture technologique ? Le retour des lunettes connectées
Et si la prochaine révolution technologique se portait… sur le nez ? Google et Meta relancent la course aux lunettes connectées avec des améliorations impressionnantes mêlant réalité augmentée et intelligence artificielle.
🎤 À 18 ans, il veut révolutionner le cloud (Gaspard Bonnot, DIV Protocol)
Comment garantir la souveraineté totale des données à l’ère du cloud centralisé ? Pour Gaspard Bonnot, CEO de la startup DIV Protocol, la solution se trouve dans la blockchain.
Rendez-vous
