AccueilExpressions par MontaigneLutte contre les cyberattaques : les États-Unis prennent le devant La plateforme de débats et d’actualités de l’Institut Montaigne Technologies États-Unis et amériques25/06/2021ImprimerPARTAGERLutte contre les cyberattaques : les États-Unis prennent le devant Auteur Gérôme Billois Partner cybersécurité et confiance numérique chez Wavestone Le président des États-Unis, Joe Biden, signait le 12 mai dernier un décret d’urgence annonçant la création d’un comité d’examen des cyberattaques et la mise en place de nouvelles normes de sécurité logicielles pour les agences gouvernementales. Gérôme Billois, partner cybersécurité et confiance numérique chez Wavestone, revient sur les raisons de ces décisions et les compare au cadre français. L'opérateur d'oléoducs texan Colonial Pipeline, qui fournit du carburant à une grande partie de la côte Est des États-Unis, a été ciblé le 7 mai 2021 par un ransomware orchestré par le collectif de cyberpirates DarkSide. Il s’agit de la plus grande attaque contre une infrastructure pétrolière que les États-Unis ont connue. Quelques semaines plus tard, c’est la filiale du géant agroalimentaire JBS - un des leaders mondiaux du secteur de la viande - qui se voit victime d’une cyberattaque organisée par le groupe Revil, affectant plusieurs de ses serveurs, notamment en Amérique du Nord et jusqu’en Australie. Un changement de paradigme dans la politique cyber des États-UnisCes deux attaques ont été révélatrices d’un changement de paradigme opéré par les groupes de cyber attaquants aux États-Unis. Alors que la menace du ransomware était auparavant considérée comme une menace criminelle, qui impactait seulement financièrement certaines structures à l’échelle nationale, elle prend aujourd’hui une ampleur tout autre, affectant les infrastructures critiques garantissant le bon fonctionnement des pays. Ce changement de dimension a entraîné un changement de posture de la part du gouvernement américain. Le président Biden, pour répondre à l’ampleur de ces nouvelles attaques, a engagé une stratégie de réponses qui repose moins sur l’augmentation des moyens judiciaires classiques - enquêtes, infiltrations et interpellations de la police -, que sur la technicité et la rapidité d'exécution des solutions. Deux axes d’actions ont été déployés :un axe technique : l’interruption du fonctionnement des infrastructures d’attaque et de gestion des rançons ;un axe financier : le traçage des paiements et la récupération de la rançon payée.Ces deux attaques ont été révélatrices d’un changement de paradigme opéré par les groupes de cyber attaquants aux États-Unis.Les agences de sécurité ont ciblé les fournisseurs de services utilisés par les organisations cybercriminelles. Le site web utilisé par le groupe de ransomware Darkside pour gérer les attaques (les demandes de rançons, les outils d’attaques pour les affiliés…) est hébergé, comme tous les autres sites, sur un serveur.Les agences américaines ont réussi à l’identifier et ont demandé à son hébergeur d’interrompre le service. En parallèle, les États-Unis ont suivi les monnaies virtuelles utilisées lors de la rançon pour identifier les gestionnaires des wallets bitcoin (c'est-à -dire les organisations qui stockent des bitcoins et les blanchissent) et récupérer les fonds. Peut-on parler de "hack-back" (doctrine selon laquelle un pays ayant subi une attaque doit attaquer en retour) ? À ce jour, aucun élément ne semble indiquer que les forces de l’ordre aux États-Unis ont piraté des infrastructures cybercriminelles dans le but de les neutraliser. Un changement de vitesse drastiqueAuparavant, ces opérations n’aboutissaient pas avant plusieurs mois ou années. Ici, les opérations ont abouti en 15 jours. La prise de conscience de l'État américain a entraîné un certain nombre d'actions, dont l’ordre exécutif du président Biden. Celui-ci renforce les exigences de sécurité des infrastructures critiques : l’attaque Colonial Pipeline a eu lieu à cause de la circulation d’un mot de passe en ligne. Sa technicité était donc relativement faible, posant la question des bonnes pratiques de sécurité de l’organisation. La menace ransomware doit être traitée avec la même importance que la menace terroriste. La réponse américaine concerne deux volets : sur le volet diplomatique, les États-Unis ont décidé de faire de l’attribution des cyberattaques un des piliers de leur politique envers la Russie et la Chine ; sur le volet juridique, le Ministère de la Justice élève la gravité des cyberattaques en annonçant que toutes les affaires ransomware seront traitées et consolidées au niveau fédéral, et que la menace ransomware doit être traitée avec la même importance que la menace terroriste. Le parallèle avec la France En France, nous menons déjà plusieurs actions telles que la centralisation de la gestion des ransomware, la répartition des dossiers par famille de ransomware à l’échelle nationale, l’augmentation de la pression juridique... Si l’on compare les réactions gouvernementales de la France avec celles des États-Unis, on remarque que la France avait déjà anticipé certaines choses. Par exemple, l’ordre exécutif est proche de la loi de programmation militaire de 2019, qui rehausse les standards de sécurité pour les organisations d’importance vitale (OIV). La France dispose aussi de capacités techniques réelles dans ce domaine. Comme nous le notions dans la série d’articles de l’Institut Montaigne, Briser la rentabilité du cybercrime, l’enjeu pour la France est aujourd’hui de renforcer davantage ses moyens de protection dans l’ensemble du tissu économique, de tarir les financements des cybercriminels en suivant les flux de monnaies électroniques, et de rendre la justice plus forte pour briser le sentiment d’impunité des cybercriminels. Sur ces trois points, les États-Unis ont avancé fortement, la France n’est pas en reste mais doit continuer ses efforts ! Copyright : JONATHAN ERNST / POOL / AFPImprimerPARTAGERcontenus associés 15/03/2021 Cybercrime : le ransomware, risque cyber numéro 1 Gérôme Billois Marwan Lahoud