Quand les hackers visent les experts en cybersécurité

L’importance de mettre en place des procédures de gestion de crise en cas de cyberattaque est parfois sous-estimée par les entreprises. Pourtant, une telle précaution est primordiale vu le nombre de cyberattaques qui touchent même ces derniers temps les professionnels de la cybersécurité. C’est en effet ce qu’il ressort du rapport de l’équipe de travail de cybersécurité de Google, le Threat Analysis Group, qui explique qu’un groupe de hackers nord-coréens cible depuis plusieurs mois des chercheurs en cybersécurité. Plusieurs attaques ont d’ailleurs réussi et des recherches sur les vulnérabilités de ces spécialistes sont maintenant entre les mains de ces hackers. La cybersécurité est donc plus que jamais un enjeu à ne pas négliger.

Il est primordial de mettre en place en amont des procédures de gestion de crise immédiate en cas d’attaque pour limiter les effets de ces attaques, car comme on le dit souvent en sécurité informatique, le risque zéro n’existe pas.

Même les professionnels de la cybersécurité sont des potentielles victimes des hackers, comme en atteste le dernier rapport du Threat Analysis Group (ou TAG), le groupe de travail de Google qui vise à protéger ses utilisateurs contre les menaces de cybersécurité.

Dans son rapport, le TAG indique en effet qu’un groupe de hackers qui serait lié au gouvernement nord-coréen cible depuis plusieurs mois des spécialistes en vulnérabilité. L’objectif ? S’approprier les recherches de ces spécialistes en pénétrant sur leurs machines et ainsi lancer des attaques très sophistiquées avec un coût d’investissement très minime.

Pour ce faire, la méthode utilisée par les hackers semble rodée. Les hackers commencent par se construire une « crédibilité » en publiant sur des réseaux sociaux, particulièrement Twitter, des posts en anglais notamment pour analyser des vulnérabilités rendues publiques ou encore des vidéos de leurs prétendus exploits.

L’idée est d’éveiller l’intérêt des spécialistes de la cybersécurité et de rentrer en contact avec eux. Une fois le contact établi, le hacker propose au spécialiste de travailler avec lui sur les vulnérabilités. Si le chercheur accepte, il reçoit un lien vers un projet dans Visual Studio, une suite de logiciels de développement Microsoft. C’est lorsqu’il ouvre ce fichier qu’il contamine son ordinateur et son réseau avec un logiciel malveillant. Le TAG indique également que des chercheurs ont été contaminés en visitant le blog de leur interlocuteur.

Le problème est que cette méthode a porté ses fruits et plusieurs informaticiens spécialistes de la cybersécurité et travaillant pour de grandes sociétés ont ainsi été hackés. Le TAG liste ainsi dans son rapport une liste non exhaustive des victimes qui est assez longue. Plusieurs chercheurs en cybersécurité révèlent également sur Twitter s’être fait hackés ou qu’un hacker a fait une tentative.

Ces attaques illustrent le fait que le risque est toujours présent dans l’environnement informatique et que même les spécialistes en la matière peuvent se faire piéger. On voit également que le plus souvent l’erreur vient de l’humain. En l’occurrence, les victimes ont cliqué sur un lien vers un blog ou encore ont téléchargé un fichier provenant d’un utilisateur inconnu. Ils ont ainsi transgressé des principes qu’ils ont pourtant certainement répétés des centaines de fois pendant des conférences ou des formations.

En tant qu’entreprise, il convient donc de prêter une attention toute particulière à la formation des salariés en matière de cybersécurité et cette attaque visant les experts en la matière doit servir d’exemple pour démontrer qu’un seul relâchement peut avoir de lourdes conséquences. Par ailleurs, des précautions informatiques doivent être mises en place comme la constante mise à jour des logiciels antivirus et du système d’exploitation ou des précautions en matière de travail à distance.

Enfin, outre ces mesures pour diminuer le risque d’une cyberattaque, il faut également mettre en place des process pour diminuer les dommages causés par une cyberattaque. Par exemple, comme c’est d’ailleurs préconisé ici par le TAG dans son rapport : compartimenter les informations sensibles sur des espaces physiques distincts ou des machines virtuelles séparées pour que le hacker ne puisse pas y accéder même s’il accède à une machine donnée. Au niveau organisationnel, une équipe doit également être désignée pour pouvoir le cas échéant réagir dans les meilleurs délais en cas de détection d’une cyberattaque.

En réalité, ces attaques rapportées par Google doivent servir de piqûre de rappel pour ne pas oublier que la cybersécurité est une préoccupation constante et qui concerne tous les acteurs, quelle que soit leur expertise en informatique.

A rapprocher : Blog du Threat Analysis Group de Google