Spys VS Spys
Les ONG, think-tanks, défenseurs des droits humains et leurs employés, ainsi que les journalistes, feraient partie des « groupes les plus ciblés » par les acteurs malveillants parrainés par des États (APT), et leurs mercenaires. Les autorités anglo-saxonnes, en guerre contre ces « spywares », expliquent comment tenter de s’en protéger.
Les autorités en charge de la cybersécurité des États-Unis, du Canada, de l’Estonie, du Japon, de la Finlande et du Royaume-Uni viennent de publier (.pdf) leurs « conseils à l’intention des communautés à haut risque » afin d’aider les personnes et organisations de la société civile ne disposant que de « ressources limitées » à « atténuer les menaces ».
Le guide relève que des organisations non gouvernementales (ONG) et de défense des droits humains, « et leur personnel », ainsi que des journalistes, « notamment », sont « souvent la cible des acteurs malveillants parrainés par des États » (ou « Advanced Persistant Threats (APT) », en VO) qui « cherchent à porter atteinte aux valeurs et aux intérêts démocratiques » :
« Plus précisément, ils ciblent principalement les organisations et leur personnel en ligne en vue d’exercer une contrainte et de faire de l’intimidation, du harcèlement et de la surveillance, que l’on peut qualifier de répression numérique transnationale. »
Ils chercheraient dès lors à « compromettre leurs dispositifs et réseaux organisationnels et personnels pour intimider, museler, contraindre ou harceler organisations et personnalités de la société civile, ou leur porter préjudice ».
« Pour ce faire, ils ont souvent recours à des logiciels espion », conclut l’introduction du guide. Ce dernier entend fournir des recommandations pour aider les organisations et personnes « à haut risque » à atténuer ce type de « cybermenaces courantes » parrainées par des États, « sur la base des comportements malveillants observés ».
L’industrie constate une intensification des cybermenaces politiques
Le guide précise avoir été élaboré dans le cadre de l’initiative High-Risk Community Protection (HRCP) de la CISA (l’ANSSI états-unienne) et de la campagne Defending Democracy du NCSC, son pendant britannique.
Mise en place en 2023, HRCP « est au cœur du travail » réalisé par la CISA pour ce qui est d’ « identifier les groupes à haut risque et d’établir des partenariats avec elles pour mieux comprendre les menaces auxquelles elles sont confrontées », déterminer les ressources susceptibles de renforcer leur défense et combler les lacunes en matière de soutien.
Defending Democracy vise de son côté à « établir des partenariats avec le public à haut risque et les personnalités politiques » afin de les aider à mieux comprendre les menaces sophistiquées qui ciblent tant leurs dispositifs personnels que ceux de leurs organisations.
Or, « l’industrie a signalé une intensification dans le nombre et la nature des cybermenaces ayant des motivations politiques et idéologiques et ciblant la société civile à l’échelle mondiale » :
« Selon les faits rapportés par l’industrie, ces organisations et leur personnel sont des cibles connues dans la mesure où les acteurs malveillants parrainés par des États cherchent à ébranler les valeurs démocratiques. »
ONG et think tanks sont « les deux groupes les plus ciblés »
Le Rapport de défense numérique Microsoft 2023 relève ainsi que les ONG et les groupes de réflexion étaient « les deux groupes les plus ciblés » par les APT, suivis du secteur des technologies de l’information.
Depuis novembre 2023, les rapports de l’entreprise états-unienne de cybersécurité CrowdStrike révèlent pour leur part que cinq entités parrainées par des États sont connues pour cibler les groupes de réflexion, onze représentent des menaces potentielles pour les ONG, deux ciblent des organisations dissidentes et une est connue pour cibler les organismes sans but lucratif (OSBL).
Cloudflare a de son côté constaté que les cyberactivités malveillantes contre des organisations de la société civile étaient « généralement à la hausse ». Au cours du deuxième trimestre de 2023, les OSBL auraient ainsi été ciblés « plus souvent que toute autre industrie » au point que, « de tout le trafic dirigé vers les OSBL, 17,14 % correspondaient à des attaques par déni de service distribué (DDoS) ». Les OSBL se sont ensuite retrouvés, avec les médias, « au deuxième rang, derrière l’industrie métallurgique et minière », des victimes d’attaques DDoS.
L’Agence de l’Union européenne pour la cybersécurité (ENISA, pour European Union Agency for Cybersecurity) aurait, elle aussi, déterminé que les représentants de la société civile étaient « le deuxième secteur le plus ciblé à l’échelle mondiale » entre juillet 2022 à juin 2023.
OSINT, ingénierie sociale et répression numérique transnationale
Les auteurs du guide rappellent que les espions, pirates et mercenaires « font généralement des recherches préliminaires exhaustives pour en apprendre plus sur leurs victimes potentielles » en sources ouvertes (OSINT). Ils recueillent les informations susceptibles de les aider à procéder à de l’ingénierie sociale, en mode hameçonnage (phishing) ciblant les employés de l’organisation ou harponnage (spear phishing) ciblé, pour usurper leurs sessions ou pirater leurs terminaux :
« La répression numérique transnationale est souvent précédée d’une recherche exhaustive des sites Web organisationnels, des pages de médias sociaux, des publications géopolitiques et des communiqués de presse […] pour recueillir l’information nécessaire au ciblage des organisations et de leurs représentants. »
Dans le cadre de ces activités malveillantes, précise le guide, les APT se présentent généralement comme des sources dignes de confiance (collègues, connaissances ou organisations établies) afin d’inciter les victimes à leur « fournir leurs identifiants d’ouverture de session – souvent en les saisissant dans un site Web contrôlé par l’auteure ou auteur de menace ».
Certains se font aussi fait passer pour des journalistes ou employés d’ONG sollicitant une entrevue, des institutions officielles transmettant des rapports et communiqués de presse (piégés) en pièces jointes ou invitant leurs victimes à cliquer sur un lien renvoyant vers un site destiné à collecter l’empreinte du terminal utilisé par la victime, voire à lui faire visiter un site web piégé, entraînant l’installation d’un malware ou logiciel espion.
En 2021, Meta a ainsi signalé qu’Earth Empusa, un APT pro-chinois dont l’objectif principal est de surveiller les activistes, journalistes et dissidents (et particulièrement les Ouïghours résidant à l’étranger), avait déployé des sites web trompeurs ressemblant à des magasins d’applications Android tiers :
« Ces fausses plateformes hébergeaient des applications personnalisées pour un auditoire ouïgour, y compris une application de clavier, une application de prière et une application de dictionnaire. »
L’Armée électronique syrienne (SEA, ou APT-C-27), un groupe spécialisé dans la conduite d’opérations ciblées contre des organisations humanitaires, journalistes et dissidents syriens pro-démocrates, avait de son côté camouflé ses applications malveillantes en les faisant passer pour des applications de VPN, fausses versions de Telegram et Facebook ou d’informations liées à la Syrie.
Des conseils pour les organisations…
Les auteurs du guide « encouragent fortement » les organisations de la société civile à mettre en place les « pratiques exemplaires » mentionnées par la CISA sur sa page Web Cross-Sector Cybersecurity Performance Goals (CPGs).
Ces « objectifs de performance intersectoriels en matière de cybersécurité » proposent en effet un ensemble de pratiques et de mesures de protection minimales à mettre en place en fonction des menaces et comportements les plus courants. Ils vont de la mise en œuvre d’une authentification multifacteur (AMF, ou authentification forte) à l’élaboration et la mise en pratique de plans d’intervention et de reprise en cas d’incident.
Il y est aussi question de désactiver les comptes non utilisés ou devenus inutiles, ainsi que des utilisateurs ayant quitté l’organisation, de supprimer leurs accès aux ressources organisationnelles, d’appliquer le principe de droit d’accès minimal pour limiter les dommages qu’un APT pourrait infliger s’il arrivait à compromettre un compte, mais aussi de surveiller les activités non autorisées ou malveillantes :
« L’utilisation des comptes d’administrateurs devrait faire l’objet d’une surveillance régulière pour détecter toute activité non autorisée et malveillante. »
Les piratages et cyberattaques passant souvent par des prestataires de service, le guide invite les organisations à exercer une « diligence raisonnable » au moment de choisir leurs fournisseurs, passer en revue les « relations contractuelles » avec tous les fournisseurs de services en accordant la priorité aux fournisseurs de services essentiels, et s’assurer que les contrats tiennent compte de la mise en œuvre de :
- contrôles de sécurité adaptés pour répondre aux besoins particuliers de la clientèle ;
- la surveillance et la journalisation appropriées des systèmes client gérés par les fournisseurs ;
- une surveillance continue de la présence du fournisseur de services, de ses activités et de ses connexions au réseau client pour garantir sa conformité aux objectifs de performance de la cybersécurité et aux principes du développement sécurisé ;
- la notification d’une liste à jour des destinataires des événements de sécurité et des incidents confirmés ou soupçonnés sur l’infrastructure et le réseau d’administration du fournisseur.
Vous devez être abonné•e pour lire la suite de cet article.
Déjà abonné•e ? Générez une clé RSS dans votre profil.