Cybersécurité : La Russie représente toujours la plus grande menace pour Microsoft
Si les pirates soutenus par Pékin ont fait parler d’eux cette année après avoir piraté des serveurs de messagerie Exchange, Microsoft affirme tout de même que ce sont bien les pirates russes qui s’imposent comme les plus prolifiques du cyber-espace. “Au cours de l’année écoulée, 58 % de toutes les cyberattaques observées par Microsoft en provenance d’États-nations provenaient de Russie”, a ainsi fait savoir Tom Burt, vice-président de Microsoft, dans un billet de blog détaillant les piratages soutenus par des gouvernements au cours de l’année écoulée.
Les États-Unis et le Royaume-Uni ont ainsi imputé au service de renseignement extérieur russe (SVR) l’énorme attaque de la chaîne d’approvisionnement en logiciels de l’éditeur américain de logiciels d’entreprise SolarWinds. Environ 18 000 clients ont reçu une mise à jour malveillante du logiciel de gestion de réseau Orion du fournisseur, qui contenait la porte dérobée Sunburst. Un nombre restreint de clients, soit une centaine de clients américains, dont des entreprises technologiques de premier plan et des agences gouvernementales américaines, ont ensuite été victimes d’une intrusion.
Pour Microsoft, l’année écoulée avait déjà montré que les pirates soutenus par le Kremlin devenaient “de plus en plus efficaces”, leurs attaques étant de plus en plus fructueuses et motivées par des campagnes d’espionnage et de renseignement. De nombreuses attaques attribuées à la Russie visaient les logiciels de réseaux privés virtuels (VPN) des entreprises.
“Les acteurs de l’État-nation russe ciblent de plus en plus les agences gouvernementales pour la collecte de renseignements, qui sont passées de 3 % de leurs cibles il y a un an à 53 % – en grande partie des agences impliquées dans la politique étrangère, la sécurité nationale ou la défense”, a rappelé Tom Burt.
La Turquie se fait remarquer
Le piratage de la Russie est principalement motivé par la politique du pays, les principales cibles étant les États-Unis, l’Ukraine et le Royaume-Uni, fait savoir la direction de la firme de Redmond. Mais d’autres suspects habituels figurent également dans le rapport 2021 de Microsoft sur la défense numérique, notamment l’Iran et la Corée du Nord. Un nouvel entrant est la Turquie, qui a un goût développé pour les chevaux de Troie. Les travaux menés par les cyberéquipes israéliennes sont notablement absents du rapport de Microsoft. C’est pourtant en Israël que se trouve NSO Group, tristement célèbre pour ses exploits visant les iPhones.
Le piratage de l’État russe était principalement axé sur l’Ukraine. Pendant ce temps, Israël était de plus en plus ciblé par des pirates iraniens. “La société NOBELIUM, basée en Russie, a fait passer le nombre de clients ukrainiens touchés de six au cours de l’exercice précédent à plus de 1 200 cette année en ciblant fortement les intérêts du gouvernement ukrainien impliqués dans le ralliement contre l’augmentation des troupes russes le long de la frontière ukrainienne”, note Microsoft dans son rapport sur la défense numérique.
“Cette année a marqué un quasi quadruplement du ciblage des entités israéliennes, un résultat exclusivement dû aux acteurs iraniens, qui se sont concentrés sur Israël alors que les tensions s’intensifiaient fortement entre les adversaires.”
Le secteur public sous un déluge d’attaques
Les organismes du secteur public sous le feu des pirates sont principalement “les ministères des affaires étrangères et d’autres entités gouvernementales mondiales impliquées dans les affaires internationales”, détaille Microsoft, tandis que les attaques de phishing visant à capturer des informations d’identification touchent les comptes des consommateurs et des entreprises.
Les pirates russes ont surtout fait évoluer les attaques vers les chaînes de production industrielle au cours de la dernière décennie. La plus grande attaque de la chaîne d’approvisionnement avant SolarWinds était NotPetya en 2017, qui s’est propagée à travers un logiciel de comptabilité ukrainien peu connu et a coûté des milliards de pertes aux géants industriels.
Les attaques de la chaîne d’approvisionnement logicielle fonctionnent parce qu’elles sont effectuées via des mises à jour provenant de fournisseurs de logiciels de confiance, y compris des entreprises de sécurité. SolarWinds n’est peut-être pas un nom connu de tous, mais il est important pour les entreprises. Aujourd’hui, presque toutes les grandes entreprises américaines de cybersécurité se rallient au décret sur la cybersécurité du président américain Joe Biden, qui tente de faire passer l’idée que même les réseaux de confiance ne sont pas fiables.
Les infrastructures critiques au centre des attentions
Cependant, les infrastructures critiques constituent le véritable changement dans les cibles choisies par les pirates russes. M. Biden aurait déclaré au président russe Vladimir Poutine que les infrastructures critiques devraient être “hors limites”, bien qu’il s’agisse d’une position délicate pour les États-Unis lorsqu’il est largement connu que les pirates informatiques les plus compétents au monde travaillent à la National Security Agency, qui a mis au point Stuxnet pour cibler les équipements d’enrichissement de l’uranium de l’Iran. Les hauts dirigeants de Microsoft ont déjà critiqué la NSA pour avoir accumulé des exploits de type “zero-day”.
“De juillet 2020 à juin 2021, les infrastructures critiques n’étaient pas le point de mire selon les informations de la NSA qui ont été suivies. Les acteurs de la menace basés en Chine ont manifesté le plus d’intérêt et les acteurs de la menace basés en Russie ont représenté le moins dans le ciblage des entités du secteur des infrastructures critiques”, note Microsoft dans son rapport.
“Les cyber-opérations du NOBELIUM russe sont un parfait exemple de la démonstration de l’intérêt de la Russie à mener des opérations pour l’accès et la collecte de renseignements plutôt que de cibler une infrastructure critique pour des opérations de perturbation potentielle.”
Source : ZDNet.com
