Cyberattaque : la difficile identification des pirates informatiques

  • A
  • A
Cyberattaque : la difficile identification des pirates informatiques
La cyberattaque massive qui a frappé depuis mardi des entreprises du monde entier semble "plus sophistiquée" que celle de mai dernier, a estimé mercredi Europol.@ THOMAS SAMSON / AFP
Partagez sur :

Selon Gérôme Billois, expert en cybersécurité, l'identification des cybercriminels est particulièrement épineuse dans un cas tel que celui de l'attaque mondiale lancée mardi.

INTERVIEW

La cyberattaque mondiale lancée mardi semblait contenue mercredi, mais la traque, elle, ne fait que commencer. Un mois et demi après le déferlement du virus WannaCry, un nouveau "ransomware", qui bloque des ordinateurs jusqu'au paiement de 300 dollars en monnaie virtuelle, a mis en lumière la vulnérabilité de nombreuses organisations cruciales. "Le niveau de cette attaque est sans précédent", a notamment commenté le secrétaire d'État français au Numérique Mounir Mahjoubi, alors que le parquet de Paris a déjà ouvert une enquête en France. Mais la chasse aux pirates n'est jamais chose facile, explique auprès d'Europe1.fr Gérôme Billois, expert en cybersécurité chez Wavestone.

Qui est en charge de la traque des "hackers" ?

Plusieurs organismes sont en charge de détecter les cybercriminels. Il y a les acteurs étatiques. En France, on peut citer l'Agence nationale de la sécurité des systèmes d'information (Anssi), la Brigade d'enquêtes sur les fraudes aux technologies de l'information (Befti), la police judiciaire et sa sous-direction de lutte contre la cybercriminalité*, le pôle C3N (centre de lutte contre les criminalités numériques) de la gendarmerie, la DGSI ou encore le ministère de la Défense, ainsi que les CERT (computer emergency response teams), qui sont des centres d'alerte et de réaction aux attaques informatiques. Il existe aussi une quinzaine de structures qui proposent aux entreprises et aux administrations d'anticiper la menace et de leur offrir des réponses.

Pour les groupes privés, une entreprise comme la mienne intervient surtout pour limiter les impacts, mais on collecte quand même des éléments techniques qui peuvent éventuellement servir dans l'enquête.

Il est essentiel de renforcer la coopération internationale

En matière de cybercriminalité, comment s'organise la coopération internationale ?

Elle est régie par des accords bilatéraux ou par la Convention de Budapest, qui a pour but d'harmoniser certaines lois à l'échelle internationale, en améliorant les techniques d'enquêtes sur la cybercriminalité. Cinquante-cinq pays ont signé le traité, mais des grosses nations telles que la Russie ou la Chine ne l'ont pas fait (la Russie l'a signé, mais ne l'a pas ratifié, ndlr). Quand vous allez demander des informations à un autre État concernant une attaque, cela prend de toute façon trois à six mois minimum. Il est essentiel de renforcer cette coopération. Car si chaque pays garde ses informations, la traque des pirates devient naturellement plus complexe.

Quand ils attaquent, les hackers laissent-ils toujours des traces ?

D'abord, tout cybercriminel n'attaque jamais le pays dans lequel il se trouve. Le chemin serait trop court. En quelques heures, les enquêteurs pourraient remonter la piste menant à l'attaquant, notamment en passant par l'opérateur télécom. Les hackers agissent par rebonds, à travers plusieurs pays.

Les cybercriminels utilisent des dizaines de méthodes pour empêcher leur identification

Ensuite, ils ne laissent pas d'empreintes digitales sur les vitres mais il est possible d'identifier leurs outils d'attaque, comment ils s'y sont pris, savoir si on un a déjà vu un tel mode opératoire avant… Cela donne un premier faisceau d'indices. Le mobile, l'organisation, c'est-à-dire à quelle heure a été lancée l'attaque ou la langue utilisée, peuvent également donner des indices. Mais tout ça a très peu de valeur unitairement. Quelqu'un peut très bien écrire en russe sans être russe, par exemple. Mais quand on commence à avoir dix ou quinze éléments qui pointent dans la même direction, on peut commencer à faire des suppositions. Les services de renseignement peuvent ensuite aller chercher des preuves.

Mais les cybercriminels utilisent des dizaines de méthodes pour empêcher leur identification. En mars dernier, par exemple, Wikileaks a commencé à publier des documents de la CIA qui détaillent les bonnes méthodes à suivre pour masquer et brouiller les pistes après une attaque informatique…

En cas de cyberattaque de grande ampleur, est-il possible pour un État de contre-attaquer ?

Cela dépend des pays, mais c'est très rare. En France, il est possible de neutraliser une attaque dans des cas très limités. Aux États-Unis, un texte de loi est en discussion sur le "hack back". S'il passe, cela pourra permettre, dans des cas très restreints, à des grands groupes privés de détruire les serveurs à l'origine de l'attaque ou de faire de la récupération de données. Le problème, c'est que les cybercriminels vont le savoir tout de suite.

Sans certitudes, on ne peut pas lutter contre la cybercriminalité

Cela peut aussi poser d'autres problèmes. Je me souviens notamment être intervenu dans un cas où l'attaque provenait d'une école maternelle en Thaïlande. Évidemment, on ne peut pas en conclure que la Thaïlande en est à l'origine. Il faut alors laisser ce travail-là aux forces de l'ordre et aux services diplomatiques. Car sans certitudes, on ne peut pas lutter contre la cybercriminalité.

Êtes-vous confiant dans la capacité à identifier les auteurs de la cyberattaque lancée mardi ?

L'attaque a commencé à se répandre en Ukraine et le principal acteur de la propagation vient de ce pays. Pour l'instant, on n'a que ces éléments techniques-là. L'enquête en est à ses débuts. On sait que la Russie est à l'origine de nombreuses cyberattaques ces dernières années et l'Ukraine l'accuse régulièrement de s'en prendre à ses systèmes informatiques mais un groupe peut très bien en profiter pour vouloir faire porter le chapeau aux Russes. Quoi qu'il en soit, l'attaquant a toujours l'avantage sur la défense.

*Selon nos informations, l'Anssi, la Befti et la police judiciaire n'ont pas été saisies à cette heure