Yogi Chandiramani
Directeur technique Europe chez FireEye
Décryptage de l'attaque d'une centaine de banques et institutions financières par un cyber gang dévoilée par Kaspersky Lab en février
Publié le 06 Mars 2015
Pourriez-vous dans un premier temps nous rappeler qui vous êtes, en quoi consiste votre activité ?
Notre société est le leader dans la lutte contre les cyber attaques. Nous aidons les entreprises à détecter, à analyser, et à bloquer les attaques qui proviennent de différents hackers qui ont des objectifs variés- récupérer de la propriété intellectuelle, de l’information financière ou voler de l’argent -ou qui émanent de cyber terroristes. Pour cela, nous nous appuyons sur trois piliers. En premier lieu sur une technologie de virtualisation contrairement à des technologies d’antivirus qui sont traditionnellement déployées aujourd’hui en termes de sécurisation sur les postes de travail, les systèmes d’information, ou les réseaux et qui s’appuient sur des signatures. Nous nous efforçons de reconnaitre les anomalies de comportement de flux de données.
Nous sommes également soutenus par une intelligence sur les menaces pour reconnecter ou recoudre les différentes méthodes d’infiltration. Nous cherchons à déterminer ainsi l’objectif et l’identité de ceux qui sont derrière les attaques pour mesurer leur importance et estimer leurs impacts.
Enfin, nous tirons avantage de notre expertise dans la cybersécurité qui date de plus de dix ans. Nous intervenons en amont et en aval auprès de nos clients, autrement dit de manière préventive et pour mettre à plat l’infrastructure lorsqu’elle a été affectée. Nous avons connus pour avoir participé à plusieurs réponses sur incident notamment aux Etats-Unis, chez Target et Sony.
J’aimerai revenir sur l’annonce faite en février par le groupe russe Kaspersky Lab de l'attaque d'une centaine de banques et institutions financières par un cyber gang. Près d’un milliard de dollars ont été dérobés auprès d’une centaine d’institutions financières… Avez-vous été surpris par cette annonce ?
Pas véritablement. Nous avions déjà vu de telles attaques dans le secteur financier, auprès de banques commerciales, de banques d’investissement, ou de cabinets de conseils.
Ainsi, nous avons identifie en novembre dernier, un groupe de cyber-attaquants, FIN4, qui a dérobé des informations confidentielles lui permettant d’anticiper les cours de bourse et ainsi d'en tirer des bénéfices.
Quel regard portez-vous sur la dimension de l’attaque ?
La mise en cause d’une centaine de banques et l’engrangement d’un milliard de dollars peuvent interpeller a priori. La dernière attaque importante avait permis d’amasser 250 millions de dollars, en été 2012.
Cependant cette interpellation est grandement relativisée par le fait que de nombreuses autres opérations similaires ont pu être décelées par le passé et qu’il fallait s’attendre tôt ou tard à ce que la dimension change d’envergure.
Cette attaque met-elle en évidence des défaillances dans les procédures de contrôle à l’intérieur des institutions financières ou l’apparition de toutes nouvelles technologies nocives non encore appréhendées ?
A la fois un aspect technologique et un aspect méthodologique entrent en ligne de compte.
Mais c’est surtout l’être humain qui constitue le maillon faible de la chaine d’aboutissement de l’attaque.
Que voulez vous dire ?
On pourra avoir mettre en œuvre la meilleure technologie au monde. Il y aura in fine toujours un utilisateur qui décidera ou pas d’ouvrir le dossier rattaché.
En l’occurrence dans cette attaque un courriel a été envoyé avec un attachement très bien conçu, à partir d’une adresse mail valide, avec une orthographe très bien maitrisée, et des terminologies propres au domaine d’activité de l’utilisateur.
Selon une étude que nous avons réalisée lorsqu’un attaquant envoie le même mail à l’utilisateur trois fois, la probabilité que cette personne ouvre l’attachement est de 50%. Si ce mail est envoyé 5 fois, la probabilité d’ouverture augmente de 80%.
Au demeurant des systèmes de sécurisation ont bien entendu été mis en place mais la plupart fonctionnent sur la base de la signature. Or la signature est quelque chose de maitrisée par les attaquants qui par conséquent ont changé leur mode opératoire pour contourner les systèmes de sécurisation mis en place. D’où la nécessité que ces systèmes évoluent vers une analyse dynamique comportementale des flux pour reconnaitre quand une activité est totalement anormale.
Y a-t-il une prise de conscience de la nécessité de cette évolution ?
Face à la multiplication des attaques, de nombreuses banques comprennent cette nécessité de s'équiper de nouveaux outils et de se doter de l’expertise qui va avec pour être plus proactif en ayant une compréhension de qui sont les attaquants.
Vous ne pensez pas que la complexité grandissante de ces institutions financières constitue un obstacle majeur à leur tentative de palier à leur vulnérabilité ?
L’automatisation de la vérification permet le contrôle d’un grand nombre de flux.
Il est également nécessaire d’accompagner cette automatisation par une expertise pointue et des process.
Si on prend en considération le trading à haute fréquence où on a des transactions à la nanoseconde ?
Il est alors plus difficile d’avoir une visibilité complète. La prise de conscience de l’anomalie est souvent tardive. C’est là que réside sans doute le talon d’Achille des institutions financières.
Selon vous, de toute évidence, nous pouvons malheureusement présager que ce ne sera pas la dernière attaque de cette importance...
Sans doute que non. De nombreuses petites banques n’ont pas autant investi dans leur sécurité que les grandes banques.
Il est intéressant de relever que selon la Fédération bancaire européenne, 2347 braquages ont été constatés en 2013 soit 12% en moins qu’en 2012. Nous avons une décrue des attaques physiques avec en parallèle une recrudescence des cyber attaques. Ce phénomène n’est pas étonnant en soi. L’attaque physique ne va concerner qu’une seule banque, quelques millions d’euros ou de dollars, et va devoir se dérouler très rapidement. Parallèlement la cyber attaque est à même de cibler jusqu’à une centaine de banques avec un effet de levier remarquable par le déploiement du même mode opératoire, affecter plusieurs milliards d’euros ou de dollars et va pouvoir s’étaler dans le temps. Les attaquants sont restés plusieurs mois sur les postes de travail pour pouvoir observer, comprendre la manière dont les employés travaillaient afin de reproduire des opérations similaires.
Le 17 mars prochain, vous organisez une conférence de presse pour rendre compte des cyber menaces qui touchent la France ?
Nous avions fait état des résultats d’un premier rapport sur ce sujet à l’issue du premier semestre 2014. Nous voulions réitérer l’exercice en donnant une vue plus globale sur l’ensemble de l’année.
Quels principaux enseignements tirez-vous ?
Nous retrouvons une activité plus importante en fin d’année. La tendance s’est fortement accélérée. Nous observons une répartition verticale intéressante des secteurs. Les partenaires des sociétés cibles sont plus sujets aux attaques dans l’Hexagone. Les communications une fois les postes de travail infectés vont soit vers les Etats-Unis, l’Algérie ou la Russie.
Vous cherchez à créer un véritable observatoire sur ces cyber menaces ?
Effectivement. Cet observatoire concernera à la fois la France mais également d’autres grands pays européens et internationaux comme l’Allemagne, le Royaume-Uni, les Etats-Unis, pour pouvoir comparer et mettre en exergue les points forts et les points faibles. Nous allons publier des rapports complets européens au mois de Juillet.
Notre société est le leader dans la lutte contre les cyber attaques. Nous aidons les entreprises à détecter, à analyser, et à bloquer les attaques qui proviennent de différents hackers qui ont des objectifs variés- récupérer de la propriété intellectuelle, de l’information financière ou voler de l’argent -ou qui émanent de cyber terroristes. Pour cela, nous nous appuyons sur trois piliers. En premier lieu sur une technologie de virtualisation contrairement à des technologies d’antivirus qui sont traditionnellement déployées aujourd’hui en termes de sécurisation sur les postes de travail, les systèmes d’information, ou les réseaux et qui s’appuient sur des signatures. Nous nous efforçons de reconnaitre les anomalies de comportement de flux de données.
Nous sommes également soutenus par une intelligence sur les menaces pour reconnecter ou recoudre les différentes méthodes d’infiltration. Nous cherchons à déterminer ainsi l’objectif et l’identité de ceux qui sont derrière les attaques pour mesurer leur importance et estimer leurs impacts.
Enfin, nous tirons avantage de notre expertise dans la cybersécurité qui date de plus de dix ans. Nous intervenons en amont et en aval auprès de nos clients, autrement dit de manière préventive et pour mettre à plat l’infrastructure lorsqu’elle a été affectée. Nous avons connus pour avoir participé à plusieurs réponses sur incident notamment aux Etats-Unis, chez Target et Sony.
J’aimerai revenir sur l’annonce faite en février par le groupe russe Kaspersky Lab de l'attaque d'une centaine de banques et institutions financières par un cyber gang. Près d’un milliard de dollars ont été dérobés auprès d’une centaine d’institutions financières… Avez-vous été surpris par cette annonce ?
Pas véritablement. Nous avions déjà vu de telles attaques dans le secteur financier, auprès de banques commerciales, de banques d’investissement, ou de cabinets de conseils.
Ainsi, nous avons identifie en novembre dernier, un groupe de cyber-attaquants, FIN4, qui a dérobé des informations confidentielles lui permettant d’anticiper les cours de bourse et ainsi d'en tirer des bénéfices.
Quel regard portez-vous sur la dimension de l’attaque ?
La mise en cause d’une centaine de banques et l’engrangement d’un milliard de dollars peuvent interpeller a priori. La dernière attaque importante avait permis d’amasser 250 millions de dollars, en été 2012.
Cependant cette interpellation est grandement relativisée par le fait que de nombreuses autres opérations similaires ont pu être décelées par le passé et qu’il fallait s’attendre tôt ou tard à ce que la dimension change d’envergure.
Cette attaque met-elle en évidence des défaillances dans les procédures de contrôle à l’intérieur des institutions financières ou l’apparition de toutes nouvelles technologies nocives non encore appréhendées ?
A la fois un aspect technologique et un aspect méthodologique entrent en ligne de compte.
Mais c’est surtout l’être humain qui constitue le maillon faible de la chaine d’aboutissement de l’attaque.
Que voulez vous dire ?
On pourra avoir mettre en œuvre la meilleure technologie au monde. Il y aura in fine toujours un utilisateur qui décidera ou pas d’ouvrir le dossier rattaché.
En l’occurrence dans cette attaque un courriel a été envoyé avec un attachement très bien conçu, à partir d’une adresse mail valide, avec une orthographe très bien maitrisée, et des terminologies propres au domaine d’activité de l’utilisateur.
Selon une étude que nous avons réalisée lorsqu’un attaquant envoie le même mail à l’utilisateur trois fois, la probabilité que cette personne ouvre l’attachement est de 50%. Si ce mail est envoyé 5 fois, la probabilité d’ouverture augmente de 80%.
Au demeurant des systèmes de sécurisation ont bien entendu été mis en place mais la plupart fonctionnent sur la base de la signature. Or la signature est quelque chose de maitrisée par les attaquants qui par conséquent ont changé leur mode opératoire pour contourner les systèmes de sécurisation mis en place. D’où la nécessité que ces systèmes évoluent vers une analyse dynamique comportementale des flux pour reconnaitre quand une activité est totalement anormale.
Y a-t-il une prise de conscience de la nécessité de cette évolution ?
Face à la multiplication des attaques, de nombreuses banques comprennent cette nécessité de s'équiper de nouveaux outils et de se doter de l’expertise qui va avec pour être plus proactif en ayant une compréhension de qui sont les attaquants.
Vous ne pensez pas que la complexité grandissante de ces institutions financières constitue un obstacle majeur à leur tentative de palier à leur vulnérabilité ?
L’automatisation de la vérification permet le contrôle d’un grand nombre de flux.
Il est également nécessaire d’accompagner cette automatisation par une expertise pointue et des process.
Si on prend en considération le trading à haute fréquence où on a des transactions à la nanoseconde ?
Il est alors plus difficile d’avoir une visibilité complète. La prise de conscience de l’anomalie est souvent tardive. C’est là que réside sans doute le talon d’Achille des institutions financières.
Selon vous, de toute évidence, nous pouvons malheureusement présager que ce ne sera pas la dernière attaque de cette importance...
Sans doute que non. De nombreuses petites banques n’ont pas autant investi dans leur sécurité que les grandes banques.
Il est intéressant de relever que selon la Fédération bancaire européenne, 2347 braquages ont été constatés en 2013 soit 12% en moins qu’en 2012. Nous avons une décrue des attaques physiques avec en parallèle une recrudescence des cyber attaques. Ce phénomène n’est pas étonnant en soi. L’attaque physique ne va concerner qu’une seule banque, quelques millions d’euros ou de dollars, et va devoir se dérouler très rapidement. Parallèlement la cyber attaque est à même de cibler jusqu’à une centaine de banques avec un effet de levier remarquable par le déploiement du même mode opératoire, affecter plusieurs milliards d’euros ou de dollars et va pouvoir s’étaler dans le temps. Les attaquants sont restés plusieurs mois sur les postes de travail pour pouvoir observer, comprendre la manière dont les employés travaillaient afin de reproduire des opérations similaires.
Le 17 mars prochain, vous organisez une conférence de presse pour rendre compte des cyber menaces qui touchent la France ?
Nous avions fait état des résultats d’un premier rapport sur ce sujet à l’issue du premier semestre 2014. Nous voulions réitérer l’exercice en donnant une vue plus globale sur l’ensemble de l’année.
Quels principaux enseignements tirez-vous ?
Nous retrouvons une activité plus importante en fin d’année. La tendance s’est fortement accélérée. Nous observons une répartition verticale intéressante des secteurs. Les partenaires des sociétés cibles sont plus sujets aux attaques dans l’Hexagone. Les communications une fois les postes de travail infectés vont soit vers les Etats-Unis, l’Algérie ou la Russie.
Vous cherchez à créer un véritable observatoire sur ces cyber menaces ?
Effectivement. Cet observatoire concernera à la fois la France mais également d’autres grands pays européens et internationaux comme l’Allemagne, le Royaume-Uni, les Etats-Unis, pour pouvoir comparer et mettre en exergue les points forts et les points faibles. Nous allons publier des rapports complets européens au mois de Juillet.
Propos recueillis par Imen Hazgui