La vague de criminalité liée aux rançongiciels (ransomware), qui s’abat depuis quelques années sur les entreprises, les villes et les services de police, a récemment franchi un nouveau cap avec les premières attaques de grande envergure contre des infrastructures critiques américaines.

NDLR : Avec les coupures de courant, les sorties massives d’Internet, Amazon et EBay affectés, les connectivités de paiement perturbées …., ils construisent un cadre pour quelque chose. Ça ne vous semble pas louche ? Il me semble qu’il s’agit d’un événement créé de toutes pièces (a confirmer bien sur, car on est plus surs de grand chose a ce stade…)

AUTEUR

JASON GLASSBERG

CATEGORIES

POSTÉ LE

8 juin 2021

SOURCE

Yahoo Finance

Entre les attaques contre Colonial Pipeline et JBS, qui ont respectivement interrompu près de la moitié de l’approvisionnement en essence de la côte Est pendant une semaine et menacé 20 % du marché de la viande aux États-Unis, les consommateurs ressentent désormais les premiers impacts physiques des cyberattaques sur leur vie quotidienne.

Aussi mauvaises que soient ces attaques, elles pourraient être bien pires.

Les cybercriminels évoluent constamment et ce qui empêche de nombreux professionnels de la sécurité de dormir, c’est le risque croissant de « jackware » – un nouveau type de ransomware qui pourrait être 10 fois plus dangereux car au lieu de crypter les ordinateurs et les serveurs Windows, le jackware détourne les appareils et les machines physiques qui rendent la vie moderne possible.

Ce n’est qu’une question de temps avant que ces attaques ne se produisent.

Quelques lignes de code peuvent désactiver une machine

En général, les logiciels malveillants n’affectent que les ordinateurs, mais au cours des 20 dernières années, on a assisté à une explosion du développement de minuscules ordinateurs qui ajoutent de la connectivité et des fonctions « intelligentes » à tous les types de machines et d’appareils que vous pouvez imaginer.

Ces minuscules ordinateurs sont connus sous le nom de « dispositifs intégrés » et jouent désormais un rôle clé dans les infrastructures critiques, les voitures, les transports en commun, les soins de santé, les immeubles de bureaux et même les foyers. Et tout comme un ordinateur de bureau, les dispositifs embarqués sont également vulnérables aux logiciels malveillants.

Toutefois, la différence entre le piratage d’un ordinateur et celui d’un dispositif embarqué est que ce dernier a des conséquences physiques directes.

La raison pour laquelle les logiciels malveillants sont si dangereux est qu’ils peuvent arrêter ces dispositifs intégrés, paralysant ainsi la machine physique dans son ensemble. En d’autres termes, les cyberattaques entraîneraient des perturbations des services et des approvisionnements essentiels encore plus graves que ce que nous avons vu jusqu’à présent avec les ransomwares, tout en risquant de causer des dommages physiques permanents à ces systèmes et même de mettre la vie des gens en danger.

Par exemple, si un logiciel malveillant perturbe l' »unité de contrôle électronique » (UCE) d’une voiture, il peut entraîner un dysfonctionnement des freins ou empêcher le moteur de démarrer, ce qui revient à « bloquer » la voiture. Il pourrait briser une machine IRM d’un million de dollars. Elle pourrait provoquer la fermeture d’un pipeline pendant des mois ou déclencher un incendie ou une explosion dans une sous-station électrique. Les métros pourraient ne pas fonctionner. Les avions peuvent ne pas pouvoir décoller. Même les bâtiments peuvent être sabotés parce qu’ils dépendent de systèmes d’automatisation pour fonctionner.

Ce n’est pas la première fois que nous entendons parler de ça

La sonnette d’alarme a été tirée depuis longtemps sur la menace de cyber-sabotage que représente le jackware.

Le premier incident notable d’une attaque physique par logiciel malveillant a été la perturbation, en 2010, du programme d’armement nucléaire de l’Iran. Cette attaque numérique a détruit des centrifugeuses et révélé le potentiel « cinétique » des cyberattaques.

Avancez jusqu’en 2015, lorsque des chercheurs en piratage ont pour la première fois détourné les commandes d’une Jeep Cherokee alors qu’elle roulait sur l’autoroute. Plus tard la même année, puis l’hiver suivant, des pirates russes ont mis hors service une partie du réseau électrique ukrainien par le biais de la cyberguerre.

En 2016, l’état de vulnérabilité des appareils IoT (NDLR : Internet of Things, appele Internet des Objets en Francais) a été largement exposé lorsque le botnet Mirai a pris le contrôle de 600 000 de ces appareils.

Un an plus tard, en 2017, la première attaque par un ransomware armé (c’est-à-dire un ransomware conçu pour détruire les données au lieu de les retenir contre une rançon) a été lancée contre l’Ukraine par des pirates russes. Le logiciel malveillant, appelé NotPetya, s’est rapidement répandu dans le monde entier, causant au moins des centaines de millions de dollars de dommages à l’échelle mondiale en perturbant de grandes entreprises comme Maersk, FedEx (FDX), des hôpitaux, etc.

Les appareils d’IRM et de radiographie ont été largement infectés par des logiciels espions en 2018 dans le cadre d’une opération de cyber-espionnage sophistiquée.

Plus tôt cette année, Microsoft (MSFT) a émis un avertissement concernant une hausse importante des attaques de micrologiciels sur les entreprises.

Et ce qui est encore plus alarmant, c’est la récente mise à jour du cheval de Troie TrickBot – une plateforme populaire pour les pirates de ransomware. Cette nouvelle mise à jour permet au logiciel malveillant d’attaquer le BIOS ou le micrologiciel UEFI d’un ordinateur, ce qui pourrait être utilisé pour verrouiller l’appareil à distance.

Quatre scénarios d’attaque

Tout comme le ransomware est un malware à chances égales qui ciblera n’importe quelle entreprise et n’importe quel secteur d’activité, il en va de même pour le jackware – qui pourrait avoir des conséquences dévastatrices.

Tous les grands secteurs d’activité sont désormais fortement tributaires des dispositifs embarqués, tout comme le marché grand public, qui connaît une explosion des dispositifs IoT pour la maison (caméras de sécurité IP, serrures de porte intelligentes, appareils électroménagers intelligents, etc.) et la santé et le fitness, ainsi qu’un marché florissant des wearables et des voitures « connectées ».

Si la menace la plus alarmante à laquelle nous sommes confrontés avec le jackware est une attaque de type cyberguerre par un État-nation, qui pourrait utiliser ce malware pour provoquer des perturbations de grande ampleur et menacer des vies, ce scénario n’est pas aussi probable en raison des conséquences géopolitiques. (Bien que nous pourrions assister périodiquement à des attaques ponctuelles de groupes parrainés par l’État qui ciblent des entreprises spécifiques – à l’instar de la façon dont l’Iran a détruit pour 40 millions de dollars d’équipements informatiques chez Las Vegas Sands Corp. (LVS) en 2014 après que son PDG a critiqué le régime).

Le scénario le plus réaliste est celui d’une attaque menée par des groupes de pirates informatiques à motivation criminelle ou politique, qu’il s’agisse de pirates traditionnels de type « ransomware-as-a-service » (RaaS), d’autres groupes de criminalité organisée, de hacktivistes ou de terroristes. Ces groupes pourraient lancer un grand nombre d’attaques contre divers secteurs à l’avenir.

Voici quatre scénarios qui sont les plus susceptibles de se produire dans les années à venir :

1. Paralyser une grande entreprise

Nous avons déjà vu à quel point les ransomwares traditionnels peuvent être perturbateurs, simplement en chiffrant les systèmes informatiques des bureaux de première ligne. Cependant, ces attaques ne sont rien en comparaison des dommages, des coûts et des temps d’arrêt qui pourraient résulter d’une infection des processus physiques et des machines par un jackware.

Ces attaques seraient pires car elles entraîneraient un arrêt complet des opérations, les équipements pourraient être endommagés de façon permanente, des blessures physiques pourraient survenir et la suppression du logiciel malveillant serait plus difficile qu’avec un système informatique traditionnel.

Le risque le plus important concerne les fabricants, les usines de transformation, les services publics d’électricité et d’eau, les compagnies pétrolières et gazières et le transport maritime.

2. L’attaque par mise à jour forcée

Depuis plusieurs années, les pirates ciblent de plus en plus les fournisseurs de logiciels et les chaînes d’approvisionnement – comme SolarWinds et Magecart – comme moyen de pirater de nombreuses victimes en ne devant s’attaquer qu’à une seule entreprise.

Cette tactique pourrait également être utilisée avec les jackwares. Si les pirates pénètrent dans un fabricant IoT, ils pourraient potentiellement utiliser cet accès pour pousser des mises à jour de micrologiciels malveillantes dans les produits de cette entreprise. Il s’agit d’une menace qui doit être prise au sérieux, car elle pourrait avoir un impact énorme.

Par exemple, si des pirates s’introduisaient chez un constructeur ou un concessionnaire automobile, ils pourraient potentiellement « briquer » des centaines, voire des milliers de véhicules en une seule fois en forçant les voitures à installer un jackware.

De même, ils pourraient perturber les thermostats domestiques, les systèmes de sécurité, les appareils intelligents, les appareils de fitness – ou tout autre produit IoT grand public et wearable – en forçant ces appareils à installer le malware.

Une préoccupation encore plus grande, cependant, est que cette attaque pourrait atteindre des industries critiques. L’Internet industriel des objets (ou IIoT), comme les capteurs connectés, est largement utilisé dans de nombreuses industries importantes, comme la fabrication et l’énergie. En désactivant ces dispositifs, un attaquant pourrait provoquer des perturbations importantes.

3. Piratage des transports en commun

Les pirates informatiques criminels ont déjà prouvé à quel point il est facile pour eux de porter atteinte aux agences de transport public.

Ces dernières années, ils ont également utilisé des ransomwares pour perturber les services à Fort Worth, San Francisco, Vancouver et d’autres villes, et ont même frappé l’aéroport de Cleveland en 2019.

Les pirates pourraient utiliser ces mêmes méthodes pour instiller des dommages encore plus importants s’ils parviennent à infecter les systèmes réels des véhicules avec un jackware. Tous les systèmes de transport en commun actuels – des bus aux trains, en passant par les métros et les avions – s’appuient sur un certain niveau de dispositifs intégrés pour gérer des fonctions importantes. Et ils deviendront de plus en plus autonomes dans les années à venir. En chiffrant ces dispositifs intégrés, un pirate pourrait rendre le véhicule inopérant.

4. L’infection des dispositifs médicaux

Depuis le début de la pandémie, les hôpitaux ont été fortement ciblés par des ransomwares. Ces cyberattaques ont été très perturbatrices, mais dans la plupart des cas, elles n’ont pas interféré avec les traitements médicaux réels.

Cela va changer avec les jackwares.

Les appareils médicaux tels que les IRM, les radiographies, les ventilateurs, etc., fonctionnent souvent avec des logiciels et des microprogrammes obsolètes dont les vulnérabilités ne sont pas corrigées. Les hôpitaux omettent souvent d’isoler ces appareils du réseau principal, ce qui les expose aux cyberattaques.

Une fois que le jackware sera plus largement disponible dans le monde criminel, il sera facile pour les pirates de pénétrer dans le réseau principal d’un hôpital et d’introduire le jackware dans des équipements médicaux vitaux. Cela paralyserait tous les traitements et mettrait la vie des patients en danger.

Une menace persistante

Malheureusement, les cybermenaces ne sont pas près de disparaître.

Et le problème va s’aggraver avant de s’améliorer.

Ces attaques vont se poursuivre car il est facile pour les pirates de trouver des entreprises peu sûres et de les exploiter. Le gouvernement américain aura du mal à les arrêter car chaque fois que vous éliminez un groupe de pirates, cinq autres sont prêts à prendre sa place.

Ce que cela signifie pour le citoyen lambda, c’est que vous devez commencer à vous préparer à des perturbations occasionnelles dans votre vie quotidienne, qu’il s’agisse de l’approvisionnement à l’épicerie, de l’énergie, de l’eau, des services bancaires ou de tout appareil connecté dont vous dépendez.

Les investisseurs doivent également se méfier de l’effet que ces attaques pourraient avoir sur les actions, les introductions en bourse, les valeurs des entreprises à long terme et le marché des crypto-monnaies.