Chez Check Point, les chercheurs se perfectionnent dans le monde des sorciers
Rechercher

Chez Check Point, les chercheurs se perfectionnent dans le monde des sorciers

L'équipe de recherche de la firme de cybersécurité a découvert une escroquerie rançongicielle en Russie, une nouveauté dans l'éventail de menaces qu'elle surveille en permanence

Illustration : Hackers en cybersecurité.(Crédit : iStock by Getty Images)
Illustration : Hackers en cybersecurité.(Crédit : iStock by Getty Images)

Des chercheurs en cybersécurité de la firme israélienne Check Point Software Technologies sont récemment tombés sur une nouvelle et inquiétante forme de rançongiciel.

Un rançongiciel est un type de piratage informatique qui voit des cyberdélinquants s’introduire dans un ordinateur, en voler les données et exiger une rançon pour les libérer. Certaines entreprises payent souvent pour récupérer leurs données, mais d’autres font appel à des conseillers informatiques pour débloquer leurs fichiers. D’après le rapport de 2018 sur l’Évaluation de la menace du crime organisé sur Internet réalisé par Europol, le secteur du rançongiciel aspire 5 milliards de dollars de notre économie chaque année.

Les chercheurs de Check Point ont découvert une société de conseil en informatique russe, présentée en ligne comme le Dr. Shifro, qui prétend pouvoir aider les victimes d’une attaque au rançongiciel à débloquer leurs fichiers cryptés. La société s’avère être en réalité complice des pirates, avec lesquels elle partageait les profits, ont indiqué les chercheurs dans un article de blog publié lundi.

Ce qui a éveillé les soupçons des chercheurs : le fait que Dr. Shifro n’offrait qu’un service unique : aider les victimes de rançongiciels à déverrouiller leurs fichiers. Ils ont estimé que c’était assez inhabituel pour un consultant en informatique de ne proposer qu’un seul service.

De plus, Dr. Shifro promettait à ses clients potentiels de déverrouiller les fichiers bloqués par l’attaque Dharma/Crisis, qui, comme le savent les chercheurs israéliens, il n’existe aucune clé de déchiffrement disponible. Et si les services d’informatiques disent généralement faire le maximum pour leurs clients, Dr. Shifro, lui, promettait une garantie.

Illustration d’une attaque par rançongiciel. (Crédit : adrian825; iStock by Getty Images)

Les chercheurs ont alors mené une opération d’infiltration et sont arrivés à la conclusion que Dr. Shifro prenait contact avec les créateurs du rançongiciel et qu’il passait un accord avec eux pour qu’ils déverrouillent les fichiers des victimes en échanges d’un paiement de la rançon inférieur à celui demandé, un prix que Dr. Shifro répercutait alors sur sa propre facture, assorti des frais pour sa prestation.

« Le modèle commercial que Dr Shifro a créé est attractif et pourrait facilement être reproduit par d’autres escrocs entrepreneuriaux et c’est pourquoi il s’agit d’un nouveau développement de l’industrie des rançongiciels qui devrait préoccuper les individus et les organisations », ont écrit les chercheurs de Check Point sur le blog.

Une puissance anti-hacking de 17 milliards de dollars

Check Point Software, fondé en 1993 par Gil Shwed, Marius Nacht et Shlomo Kremer, est estimé à 17 milliards de dollars, ce qui en fait la seconde plus grande société cotée en bourse et la plus ancienne et l’une des plus grandes firmes de cybersécurité au monde, avec près de 100 000 clients dans le monde et 5 000 employés, dont 2 200 en Israël.

Son équipe de chercheurs en cyber-renseignement – près de 200 personnes basées à Tel Aviv, est l’une des plus importantes de l’industrie. Elle est composée de jeunes gens et jeunes femmes, qui sont issus, pour beaucoup, des unités de renseignement de l’armée israélienne, et qui veulent voir quelles sont les nouvelles menaces du monde des hackers, de la cyber-criminalité et des attaques terroristes virtuelles.

Maya Horowitz, directrice de la Technologies Threat Intelligence and Research unit chez Check Point à Tel Aviv; le décembre 2018 (Crédit : Shoshanna Solomon/Times of Israel)

« Notre rôle est de protéger nos clients, et de découvrir des nouvelles menaces », a déclaré Maya Horowitz, 32 ans et directrice de l’unité Threat Intelligence and Research chez Check Point à Tel Aviv. Elle a rejoint la société en 2014, après avoir servi 10 ans au sein de la légendaire unité d’élite du renseignement, l’unité 8200, à travailler sur des projets de cybersécurité.

« Quand j’ai commencé l’armée, le mot cyber n’existait même pas encore », a-t-elle dit. « C’était le tout début du phénomène. »

Son bureau est jonché de Post-It et elle a balayé un sac en papier marron pour se faire tirer le portrait par le Times of Israël. Sur un tableau blanc qui orne l’un des murs, on déchiffre des inscriptions et des tableaux. On peut lire : Owl Dos, baguettes, P2P baguettes, forces sombre/du mal, piratage impardonnable.

S’agit-il d’informations sur une autre attaque ? Horowitz a rapidement répondu par la négative. « C’est sur Harry Potter », a-t-elle dit, évoquant le nom du célèbre personnage de fiction imaginé par J.K. rowling. « Nous essayons d’imaginer à quoi ressemblerait la cybersécurité dans le monde des sorciers. »

C’est ce que font les chercheurs pour s’amuser, pendant le peu de temps qu’il leur reste, entre les signalements d’attaque par les clients et la navigation dans le dark web, à la recherche de signaux pouvant prévenir d’une attaque imminente.

Un tableau blanc dans le bureau de Maya Horowitz, directrice de la Technologies Threat Intelligence and Research unit chez Check Point à Tel Aviv; le décembre 2018 (Crédit : Shoshanna Solomon/Times of Israel)

Le travail des chercheurs – qui sont, pour la plupart analystes de données, de renseignements et de malware et spécialistes de l’ingénierie inverse – consiste à identifier les menaces et les acteurs de ces menaces, déterminer ce qu’ils font et ce qu’ils prévoient.

Les analystes de renseignement de l’équipe plongent dans les fichiers malicieux, récurent le web et les forums du dark web, des réseaux sociaux et des services de messageries basées sur le cloud, afin d’avoir un contexte à l’attaque. Quand ils trouvent les coupables, ou une faille, ils signalent leurs découvertes aux autorités compétentes ou aux compagnies affectées par le piratage.

« Notre logiciel sait identifier une attaque et l’arrêter, mais également dire aux clients de quel type d’attaque il s’agit », a déclaré Lotem Finkelstein, 31 ans, qui supervise le bureau de menace du renseignement chez Check Point, qu’il a rejoint en 2015, après avoir servi au sein de l’unité de renseignement de l’armée.

Quand le logiciel déjoue une attaque, les chercheurs de Check Point automatiquement – et avec l’accord du client – obtiennent un signalement, ou un détail de l’activité sur l’attaque.

Lotem Finkelstein dirige le bureau des menaces informatiques hez Check Point à Tel Aviv; le décembre 2018 (Crédit : Shoshanna Solomon/Times of Israel)

Pour des raisons de confidentialité, les chercheurs ne connaissent pas l’origine de la connexion, mais ils les associent à d’autres connexions pour avoir une plus grande visibilité du paysage de la menace et des attaques qui peuvent arriver à n’importe lequel de leurs 100 000 clients dans le monde entier, dont de nombreuses entreprises figurant au classement des 500 premières entreprises américaines.

Les chercheurs rassemblent des données et fournissent des informations aux unités de développement de produits de Check Point, afin que de nouveaux produits puissent être mis à jour pour inclure les nouvelles menaces et mettre à niveau les plate-formes existantes avec de nouvelles protections.

Cette mise-à-jour logicielle « arrive un million de fois par jour », a déclaré Horowitz, automatiquement et manuellement.

C’est l’avantage d’être une grosse firme, concèdent Horowitz et
Finkelstein : on a davantage de visibilité.

Les scientifiques de Check Point ont contribué à la découverte de nombreuses attaques et pirates informatiques.

Ils ont informé Huawei Technologies Co. d’une faille dans ses routeurs ; indiqué à un vieux bureau que les fax peuvent être une porte d’entrée pour les hackers, et tiré la sonnette d’alarme sur une faille sécuritaire dans le système de messagerie WhatsApp, grâce à laquelle les pirates pouvaient intercepter et manipuler des messages, et une défaillance dans les systèmes de drones chinois qui aurait pu laisser libre cours à des attaques.

Ils étaient aussi « impliqués », ont-ils dit sans détailler, dans l’exposition d’une arnaque mise au point par le groupe terroriste islamiste palestinien du Hamas qui tentait d’installer un logiciel espion sur les portables des soldats par le biais d’une application malveillante supposée permettre de suivre les scores de la Coupe du Monde et à travers deux fausses applications de rencontres.

Un scientifique de Check Point Software et un fax, à Tel Aviv; le décembre 2018 (Crédit : Shoshanna Solomon/Times of Israel)

Check Point et ses scientifiques ne sont pas rémunérés pour leurs découvertes des piratages.

« Nous voyons cela comme une obligation envers la communauté », a déclaré Horowitz et Finkelstein, ajoutant qu’ils travaillent étroitement avec le FBI, Europol, Interpol, et l’unité anti-corruption israélienne Lahav 433

Pour faire ce travail, les chercheurs doivent avoir « une passion » pour fouiller dans les détails des codes du logiciel. Chacun d’eux avait les compétences pour travailler du côté obscur de l’industrie, mais « aime faire partie des gentils », a-t-elle dit.

« Tout est question d’idéologie. »

La société, qui a annoncé un chiffre d’affaire de 1,86 milliard de dollars en 2017, bénéficie du prestige de la découverte de ces attaques, admettent-ils. Des délégations du monde entier viennent pèleriner chaque jour au siège de la société à Tel Aviv pour goûter à la cybersécurité.

Les menaces d’aujourd’hui ne sont pas les mêmes qu’autrefois, a expliqué Horowitz. « Il y a de nombreuses plateformes maintenant », sur lesquelles il peut y avoir une attaque, dit-elle. Les attaques informatiques passent des serveurs et des ordinateurs aux smartphones, à l’Internet des objets, aux voitures connectées et aux cloud. « Les hackers peuvent nous trouver à plusieurs endroits, avec la même attaque », dit-elle. « Donc le risque est plus grand. »

Une équipe de chercheurs de Check Point Software et un fax, à Tel Aviv; le décembre 2018 (Crédit : Shoshanna Solomon/Times of Israel)

Si les attaques de cybersécurité étaient autrefois des attaques de masse, qui ciblaient un grand nombre de personnes de façon totalement discriminée, elles sont désormais « à la carte » et les acteurs de ces menaces « investissent du temps pour pénétrer des organisations spécifiques et diffuser des logiciels malveillants et des rançongiciels » à des croisements de corporations.

La Chine et la Russie sont les deux acteurs principaux dans les piratages gouvernementaux, a noté Finkelstein. La Corée du nord est également « très active », provoque des attaques brutales comme celle du groupe de hacking Lazarus, qui est soupçonné d’être derrière le vol massif de 81 millions de dollars de la Banque centrale du Bangladesh en 2016 et également derrière l’attaque WannaCry, entre autres.

« L’Iran ne joue pas dans la même cour » que la Chine et la Russie, a-t-il ajouté, bien que le Hamas soit « très actif » à cibler Israël et l’Autorité palestinienne.

Et pourtant, dit-elle, tout le monde peut devenir un hacker en achetant des logiciels malveillants sur le dark web ou dans les forums. « Celui qui a de mauvaises intentions peut dès à présent commencer une attaque », a-t-elle dit.

En savoir plus sur :
C’est vous qui le dites...