21 Novembre 2019  |  Sécurité
Publié dans Sécurité Environnement 03/2019

Les activités malveillantes d’un groupe de pirates informatiques

L’entreprise de cyberveille et de sécurité informatique américaine FireEye dévoile dans un rapport alarmant les activités malveillantes d’un groupe de pirates informatiques chinois identifié sous le sigle APT41. Soutenus voire financés par le gouvernement chinois, ces hackers se consacreraient à des activités d’espionnage pour leur employeur mais aussi à des attaques à des fins de profit personnel. Quinze pays auraient déjà été la cible de ce groupe, dont la Suisse. Considéré avec sérieux par les spécialistes de la cybersécurité, le rapport est loin de faire l’unanimité sur les réseaux sociaux.

Qui et combien sont-ils ? D’où agissent-ils ? FireEye n’apporte aucune réponse à ces questions. En revanche, dans son rapport, l’entreprise basée à Milpitas, en Californie, se montre très prolixe en détails sur le mode opératoire et les proies du groupe qui opèrerait depuis 2014, à la fois pour le compte de Pékin et pour le sien propre. ATP41 serait passé maître dans le maniement de logiciels non publics, réservés en principe aux opérations d’espionnage étatique. Selon Sandra Joyce qui dirige le secteur Global Threat Intelligence chez FireEye, le groupe  dispose d’un pouvoir de frappe riche de 46 familles de logiciels et outils malveillants réactualisés en permanence, pour contrer les ripostes défensives des victimes. «Il s’agit d’un groupe très ingénieux et tenace qui réagit quasi instantanément aux ripostes de ses cibles», souligne-t-elle.
 
Le groupe APT41 est financé par l’État chinois mais a peut-être échappé à son contrôle. (© Newswek)
 
 
Un groupe habile et très agressif
Le riche arsenal du groupe comprendrait notamment des chevaux de Troie, des voleurs de données d’identification, des enregistreurs de frappe et des rootkiks, un outil informatique de dissimulation d’activité. À en croire le rapport de FireEye, ATP41 serait capable de s’approprier le code source et les certificats numériques de ses cibles pour homologuer ses programmes agressifs; capable encore d’exploiter son accès aux environnements de production pour inoculer des codes corrompus dans des fichiers vertueux, lesquels sont ensuite disséminés chez ses victimes. Les pirates mettraient aussi à profit la  technique du harponnage en envoyant des courriels aux gestionnaires des ressources humaines des entreprises ou organismes victimes d’une première intrusion. En ouvrant la pièce jointe le destinataire autorise malgré lui un nouvel accès occulte à APT41.
 
Un tableau de chasse impressionnant
La Suisse figure sur une liste de quinze pays frappés par ces hackers, aux côtés notamment des États-Unis, du Royaume-Uni, de la France, des Pays-Bas, de Singapour ou encore de Hong Kong. Auraient été prioritairement ciblés, au profit du renseignement chinois, les domaines des télécommunications, des techniques de pointe et de la santé; accessoirement encore ceux des médias, de l’enseignement et même du tourisme. FireEye raconte ainsi comment les pirates sont parvenus, sans aucune peine, à s’introduire  dans le système de réservation d’une grande chaîne hôtelière où devaient séjourner des officiels de Pékin, pour s’assurer de la sécurité des lieux. Quant aux activités criminelles, particulièrement lucratives du groupe, elles auraient surtout visé l’industrie du jeu, les monnaies virtuelles et la transmission de rançongiciels qui  prennent en otage des données sensibles, ultérieurement «libérées» en échange d’une rançon.
 
Le groupe dispose d’un arsenal de 46 familles de logiciels et outils malveillants. (© Reuters)
 
 
L’État complice passif ou actif ?
En ce qui concerne le rôle de l’État chinois, FireEye se contente, dans son rapport, d’émettre des hypothèses: «Les liens d’APT41 avec les marchés souterrains et leurs activités financées  par l’État signifient peut-être que le groupe jouit de protections lui permettant de mener ses propres opérations lucratives. Mais il est aussi possible qu’APT41 se soit carrément soustrait à tout contrôle des autorités chinoises. Quelle que soit la situation, ces opérations témoignent d’une frontière obscure entre le pouvoir de l’État et ces crimes.»
 
Un rapport à prendre au sérieux
Le rapport de FireEye a très vite été qualifié de «propagande américaine» par nombre d’intervenants sur les réseaux sociaux; une appréciation vigoureusement balayée par Steven Meier, le PDG de ZENData-Sécurité informatique à Genève. «Les gens de FireEye sont très sérieux. J’ai lu leur rapport. C’est un très bon travail. Il y aura forcément des incidences au niveau des gouvernements. Ces gens vont finir par être identifiés et ils seront «blacklistés». Ils ne pourront plus sortir de Chine», relève-t-il.
Des implications pour votre entreprise ? «Bien sûr ! Ce genre de rapport nous informe sur les tendances du moment et nous permet d’anticiper et de comprendre les nouveaux modes opératoires. Nous avons des clients, par exemple dans la pharmaceutique de pointe, qu’il convient de protéger de ce genre de menaces».
 
Sandra Joyce
FireEye
Tél. +1877-347-3393
 
Steven Meier
ZENData
sm@zendata.ch


20 Juin 2019  |  Sécurité

L’intelligence artificielle pour évaluer l’état de fatigue des pilotes

Évaluer l’état de fatigue des pilotes, tel est l’objectif du projet européen HIPNOSIS. Coordonné par le CSEM et sous l’égide de Honeywell Aerospace, ce projet va associer intelligence artificielle et expertise aéronautique pour contribuer à l’avènement d’une nouvelle génération de cockpits. Composé de caméras et de dispositifs portables électroniques, ce système servira à détecter les signes de somnolence pour minimiser les risques liés à la fatigue.
26 Septembre 2019  |  Sécurité

Recrudescence du cyber-espionnage dans l’industrie automobile

Les analystes du cabinet FireEye ont observé une recrudescence d’attaques de groupes sponsorisés par des États ou à motivation financière ciblant l’industrie automobile en Europe et particulièrement en France. Un guide pour accompagner les PME manufacturières dans leur politique de cybersécurité est disponible sur le site www.reseau-cti.com/le-reseau-cti/publications/.
POLYMEDIA SA | Av. de Riond-Bosson 12 | CH-1110 Morges | T: +41 (0)21 802 24 42 | F: +41 (0)21 802 24 45 | info@polymedia.ch