Kaseya, société américaine qui développe des logiciels de gestion de réseaux, de systèmes et d’infrastructures informatiques, a annoncé en début de semaine avoir été touché par un ransomware, infectant plus de 1500 entreprises. Alliancy s’est entretenu avec Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone, pour mesurer l’ampleur de cette cyberattaque d’envergure.  

Alliancy. L’attaque Kaseya peut-elle être assimilée à celle de SolarWinds, notamment en termes de modus operandi utilisé ?

Gérôme Billois. Je dirais que oui d’une part, car cette attaque a touché aussi une chaîne de fournisseurs ; c’est un canal d’attaque qui se révèle très efficace. D’autre part, je dirais que la différence se trouve dans les motivations des cybercriminels. Les auteurs de l’attaque de SolarWinds étaient motivés par une logique d’espionnage discrète, tandis que ceux de l’attaque de Kaseya recherchent manifestement un gain immédiat. C’est la première fois que ce type d’attaques massives par les fournisseurs est utilisé par des organisations criminelles à des fins uniquement financières. 

À lire aussi : Stratégie cloud : la sécurité comme chantier 2021 après Sunburst

Cet événement participe encore plus à la montée en puissance du ransomware. La méthode traditionnelle est de passer par le biais de phishing par e-mail en espérant récupérer de petites rançons auprès de particuliers. C’est beaucoup de travail pour peu de gains. Puis, une méthode plus “manuelle” est apparue pour cibler des entreprises précises, y trouver des failles et les exploiter. C’était notamment le cas du ransomware SamSam qui a fait plusieurs victimes ces dernières années.

Les cybercriminels se sont rendu compte de la rentabilité possible et des plateformes dédiées aux ransomwares sont apparues, sur le même modèle que celles d’Uber ou encore Deliveroo. Cela a pour effet de multiplier ce type d’attaques. Aujourd’hui on voit une nouvelle approche avec un effet de levier dû au fait de cibler une chaîne entière de fournisseurs. Kaseya a annoncé que plus de 1500 entreprises de leur réseau ont été touchées et plus d’un million de systèmes infectés. 

J’ai comme l’impression que mêmes les cybercriminels se retrouvent dépassés par leur opération… L’option prévue pour copier ses données localement afin de les protéger n’avait même pas été désactivée. Même constat sur la demande de rançon car ils exigent 45 000 dollars pour la libération d’une machine. Sauf qu’ils n’ont aucune idée à qui appartient l’ordinateur infecté et cela se révèle très inégalitaire car une PME par exemple ne peut pas payer cette rançon. 

Enfin, ils ont demandé un ticket de 78 millions de dollars pour débloquer toutes les machines, mais qui va payer ? Kaseya, ses partenaires, ses clients finaux ? Les cybercriminels ont bien prouvé leur efficacité technique mais il est encore trop tôt pour évaluer l’efficacité financière de leur attaque.

Est-ce que les supply chain vont de plus en plus devenir des cibles de choix pour les cyberattaquants ?

Gérôme Billois. Elles l’étaient déjà beaucoup et on peut citer de nombreux exemples comme “Cloud Hopper” qui a touché notamment toute la chaîne d’IBM, de Fujitsu ou encore HP et leurs clients.  Les failles sont multiples et nous avons même vu des attaquants historiquement s’en prendre à des fournisseurs de climatisation pour aller jusqu’aux caisses enregistreuses de magasins.

Cette menace était déjà bien active depuis plus de huit ans et elle franchit aujourd’hui une autre étape. Cela pose un énorme problème pour les grandes entreprises qui ont des dizaines de milliers de partenaires répartis dans le monde.

Ne perd-on pas de plus en plus la confiance dans les écosystèmes ?

Gérôme Billois. Oui c’est sûr, d’autant plus que certaines victimes, fournisseurs de services informatiques, ont entraîné la destruction du SI de 50% de leurs clients. Leur risque de dépôt de bilan est plus élevé car ils ont de facto perdu la confiance et vont être poursuivis par 50% de leurs clients et forcément inquiéter les autres… 

Mais nous ne pouvons pas non plus nous passer entièrement des fournisseurs et cela n’est pas prêt de changer. Et si vous avez externalisé des services en utilisant la solution de Kaseya, la migration en interne peut s’avérer très coûteuse.

Nous parlons souvent du gain économique et il y a aussi des questionnements intéressants vis-à-vis des suites juridiques et financières de ces attaques. La recherche de responsabilité va se retrouver mêlée à un imbroglio contractuel très complexe car les victimes utilisatrices sont multiples. 

Un éditeur de logiciels américain peut avoir un contrat avec un revendeur du même pays et ici ce sont les droits locaux qui s’appliquent. Mais si ce revendeur ou la victime finale est située dans un pays étranger, quel droit s’applique ? Cela dépend des contrats ! Les entreprises doivent donc les revoir en regardant particulièrement les clauses de responsabilité et les plafonds de limitation éventuels. 

Les entreprises doivent-elles rendre leurs critères plus stricts pour l’admission de nouveaux fournisseurs et partenaires dans leur écosystème ?

Gérôme Billois. Il faut évidemment revoir ces critères, en particulier sur les exigences de sécurité de la part des fournisseurs : sur la manière dont ils gèrent leur propre sécurité et comment leurs systèmes d’information sont sécurisés en interne. Mais encore une fois, nous nous retrouvons face à un problème car si un fournisseur dépose son bilan, il n’y aura plus d’argent pour rembourser les dommages causés.. Il est donc aussi important de vérifier que son fournisseur est bien assuré sur ces menaces cyber.

À lire aussi : Est-ce que les cyberassurances facilitent la tâche aux ransomers ? 

En plus des audits de sécurité, les entreprises doivent aussi accepter de payer une offre à un prix qui assure cette sécurité. Bien souvent, des offres proposent volontairement des services moins sécurisés, pour être moins chères.

Ces exigences de sécurité devraient être automatiquement prévues, vous ne croyez-pas ? 

Gérôme Billois. Oui, le marché joue encore trop sur ce niveau de sécurité pour se différencier. Le numérique aujourd’hui se retrouve dans la même situation que l’industrie automobile dans les années 60. À cette époque, les voitures étaient vendues sans ceinture de sécurité. C’était une option et seulement certaines personnes sensibles au risque la prenaient. Puis le nombre de morts sur la route a atteint un grand seuil, et les ceintures ont donc été imposées par défaut.

Avec l’attaque du pipeline Colonial par Darkside dernièrement, nous avons pu voir des réactions rapides avec un recours à des textes législatifs nouveaux. Cette réponse a été immédiate car la cyberattaque touchait un système d’oléoduc critique pour les Etats-Unis. Généralement, sur les autres attaques, la réponse juridique et policière a été plus lente. 

Nous ne pourrons jamais arrêter complètement la cybercriminalité – comme la criminalité du monde réel. Mais il faut tout faire pour la limiter et définir à quel seuil nous pouvons considérer que la sécurité nationale est menacée.