Chaque jour, les éditeurs d’antivirus et les experts en sécurité informatique découvrent de nouveaux virus (ou plusieurs variantes) de plus en plus sophistiqués. Pour les hackers et les groupes à la solde des pays, il s’agit d’infiltrer les réseaux informatiques sans se faire découvrir ou de mener des actions très ciblées.
1983 voit la création par Fred Cohen – considéré comme l’un des pères de la virologie grâce à ses travaux dans les années 80 alors qu’il était étudiant à l’Université de Californie [1] – d’un des premiers virus, qui se comptent aujourd’hui par milliers.
Aujourd’hui, la diversité des programmes malveillants oblige les spécialistes à parler de « code malveillant » (ou malware) plutôt que de virus. La volonté des pirates a également évolué. L’appât du gain est devenu leur motivation première. Pour mener à bien leur plan, ils disposent désormais d’une panoplie très variée de programmes malveillants : virus, vers, chevaux de Troie…
Ils diffèrent sur de nombreux points, tels que le vecteur d’infection, la réplication, la distribution, la propagation et le contrôle des attaquants. D’un point de vue technique, il est également possible de différencier les composants selon leurs capacités :
Les essuie-glaces n’ont pas beaucoup évolué depuis que le virus « Shamoon » a paralysé quelque 30 000 ordinateurs et serveurs Saudi Aramco il y a plus de dix ans. Mais plusieurs études ont constaté un regain d’intérêt pour ce type de code malveillant, dont il existe aujourd’hui une vingtaine de variantes.
Industriels : cibles de certains pays
Cette année, des militants et des groupes travaillant pour les États ont déployé un grand nombre d’essuie-glaces (appelés WhisperGate et HermeticWiper, entre autres) lors de cyberattaques. Focus principal, l’Ukraine avant l’invasion du pays par la Russie qui a commencé en février.
Pour que les différents liens de code malveillant restent discrets, le développement de composants nécessite des compétences spécifiques et un développement continu pour s’adapter aux évolutions des environnements informatiques des victimes. Ces codes sont vendus, partagés et réattribués, ce qui complique la tâche des experts en cybersécurité et des forces de l’ordre. Il est donc très difficile d’identifier correctement les acteurs de la menace impliqués dans une campagne de logiciels malveillants.
Les réseaux industriels ne sont pas à l’abri de cette menace évolutive. En avril dernier, le gouvernement américain a tiré la sonnette d’alarme après avoir découvert de nouveaux outils personnalisés capables de compromettre et de perturber complètement les systèmes et serveurs de contrôle et d’acquisition de données (ICS/SCADA). Avec les systèmes SCADA, les organisations peuvent contrôler leurs processus industriels à la fois sur site et à distance et interagir directement avec les équipements, tels que les moteurs, les pompes et les capteurs.
L’alerte conjointe du ministère de l’Énergie, de la NSA et du FBI portait sur des virus développés précisément pour causer des dommages importants aux automates de Schneider Electric et OMRON Corp.
« En compromettant et en maintenant un accès complet au système aux appareils ICS/SCADA, les acteurs malveillants pourraient élever leurs privilèges, se déplacer dans un environnement industriel et perturber les appareils ou fonctions critiques », selon l’avis de renseignement américain.
Preuve supplémentaire que les producteurs sont devenus des cibles prioritaires pour certains Etats…
[1] École d’ingénierie de l’Université de Californie du Sud (nom actuel : École d’ingénierie de Viterbi)