Opération Blackout On a hacké les élections !
Non, il n’était pas question de hacker réellement le 1er tour des élections municipales ! Mais nous avons pu assister à une simulation organisée par l’éditeur américain Cyberreason et L’ESN française Advens. Deux équipes s’affrontaient dans ce jeu de rôle : la Red Team, les méchants, ayant pour but d’empêcher les élections de cette bonne vieille ville de Fictive ; et la Blue Team, les gentils, qui devaient à l’inverse protéger la non moins bonne issue du scrutin.
Les escapes games, jeux de rôles et autres simulations, se multiplient autour du thème de la cybersécurité. On a ainsi pu voir Orange Cyberdefense proposer un jeu lors duquel les protagonistes devaient récupérer des informations confidentielles, ou encore IBM proposer un exercice de gestion de crise lors d’une – disons même plusieurs – cyberattaques. Les formes diffèrent, mais le but reste le même : former dirigeants et équipes aux risques pesant sur leurs entreprises et collectivités. Peu avant que la France entière soit confinée, Cyberreason, éditeur américain spécialisée dans la protection des endpoints, et Advens, ESN française, avaient organisé à La Défense un exercice de ce type, le temps d’une après- midi.
Le scénario collait à l’actualité, une semaine avant le 1er tour des élections municipales : la tenue d’un scrutin dans une ville fictive, très connectée. Deux équipes s’affrontaient. D’un côté, la Red Team, de dangereux hackers dont l’objectif est de perturber ces élections, et de l’autre la Blue Team, peu ou prou la cellule gestion de crise de la municipalité, censée contrer les plans des pirates et assurer que le scrutin se passe sans heurt. Au milieu, la White Team joue le rôle d’arbitre et de maître de jeu. Participent à cette expérience une trentaine de personnes, issues aussi bien du secteur public que d’entreprises, certains spécialistes en cybersécurité, d’autres non. Interdit de hacker directement les listes électorales et les machines à voter ! Mais les pirates ont un large éventail de possibilités, ce qui leur évitera d’être handicapés par ces restrictions. Après une courte introduction, Blue et Red rejoignent leur salle respective pour y mettre au point leurs stratégies. Côté hackers, les discussions vont bon train et les idées foisonnent quant aux méthodes à utiliser pour perturber le scrutin. Chez les forces de l’ordre, on ne manque pas d’idées non plus, on s’organise à l’aide d’un tableau blanc, listant les ressources à disposition et tentant d’anticiper par où l’attaque viendra.
Bien se préparer, surtout au pire
Au bout de quinze minutes d’élaboration de stratégie, les représentants de chaque équipe vont, à tour de rôle, présenté leurs plans à la White Team. Celle- ci se concerte ensuite pour définir
la suite du scénario en fonction des manoeuvres de chaque équipe, avant d’annoncer la situation à l’instant à chacune des équipes. Si la Blue Team fait preuve de rigueur, établissant de nombreux scénarios possibles et préparant une solide défense, la Red Team de son côté compte un avantage : puisqu’elle attaque, elle n’a qu’à trouver une faille dans laquelle s’engouffrer. Les défenseurs, quant à eux, sont contraints de réagir aux coups et d’essayer de boucher le maximum de trous. Les hackers s’emparent de l’affichage urbain, les forces de l’ordre les mettent hors service, mais les méchants ont eu le temps d’y diffuser leur message. Objectif de nos pirates : semer la peur en ville. À coups de drones, de fake news sur les réseaux sociaux, de deep fake, de piratage des systèmes de vidéosurveillance, la Red Team marque des points et, d’un point de vue extérieur, la Blue Team semble toujours avoir un temps de retard, quand bien même ses réactions sont efficaces. L’exercice s’est joué en quatre tours et a été emporté par la Red Team… d’une courte avance ! Celle- ci a ciblé les moyens de communication de la Ville, ainsi que les moyens de circulation. Si le deuxième angle d’attaque a rapidement été contré par la Blue Team, il a été bien plus complexe pour les défenseurs de reprendre la main sur les communications. Sans parler des réseaux sociaux inondés de rumeurs et d’images par les attaquants, qui achevèrent de planter le clou avec un faux site permettant aux citoyens de voter, faux site qui récupérera donc leurs données personnelles. Pour sans doute mieux les revendre sur le Dark Web. « On en tire plusieurs leçons » , nous explique l’animateur de cette session, Benjamin Leroux, directeur marketing innovation chez Advens : « Même avec des professionnels de la cyber, voire de la gestion de crise cyber, défendre exige une très bonne préparation et d’essayer de penser à la place de l’attaquant car il faut être sur tous les fronts. »
Avantage aux méchants
Un constat que partage Jérôme Saiz, conseil en protection des entreprises d’opfor Intelligence et membre de la Blue Team. « Le rôle de la Blue Team est de protéger un périmètre très vaste, contre une palette d’attaques qui n’a de limite que l’ingéniosité de l’attaquant, sur une période de temps assez large. La principale difficulté est donc d’identifier en premier lieu les actifs essentiels au bon fonctionnement de l’activité à protéger, et ça peut être complexe, car l’on parle surtout de chaînes de dépendances parfois subtiles, d’en identifier les faiblesses et d’imaginer quelquesuns des scénarios d’attaque probables. Tout cela avant même de commencer à se poser la question de les parer ! C’est un travail minutieux, forcément incomplet. » D’autant que lors de cette simulation, les défenseurs devaient agir dans le respect du cadre réglementaire et juridique. Impossible donc de déployer à la volée un anti- virus ou un EDR, voire de contre- attaquer. Surtout, la Red Team a eu recours à des méthodes sortant du champ de la cybersécurité traditionnelle, à coups de deep fake du préfet (!) ou de drone libérant une poudre suspecte – selon nos sources l’enquête de la police scientifique détermina qu’il s’agissait en réalité de farine, pas de panique braves gens. Des tactiques qui, selon Benjamin Leroux, obligent les défenseurs à « changer d’approche et à penser en dehors de l’environnement standard de sécurité » . Jérôme Saiz reconnaît l’efficacité de l’équipe adverse en ce qu’elle s’est concentrée sur un axe « qu’il nous était clairement difficile de contenir totalement » . Et si l’une des mesures demandées en début de partie par la Blue Team pouvait effectivement contrer la manoeuvre des attaquants, la White Team a décidé que cette mesure avait été imparfaitement appliquée, « ce qui est souvent le cas en entreprise, d’ailleurs ! » , souligne Jérôme Saiz.
Simuler pour anticiper
L’exercice a globalement été apprécié des participants. Cyberreason en a déjà organisé de similaires aux États- unis, en Israël et au Royaume- Uni. Advens, pour sa part, envisage de le reproduire autour de nouvelles thématiques, la santé, l’énergie, la grande distribution... « Pour nous, c’était très positif à tous les égards. L’exercice était humain, convivial, tout le monde a participé » , se réjouit Benjamin Leroux. Et surtout, la préparation de crise étant un élément essentiel de la sécurité, la simulation prend tout son intérêt. Jérôme Saiz estime d’ailleurs que le format de cette Opération Blackout était « très proche de celui d’un exercice de crise sur table, qui se pratique très régulièrement dans les entreprises – notamment au niveau managérial plutôt que technique, lorsqu’il s’agit d’évaluer la prise de décision et la communication. Il était donc en cela tout à fait réaliste » . On peut donc en conclure que la simulation, lorsqu’elle est réaliste, est un bon moyen de former ses salariés au risque cyber, de l’hygiène informatique élémentaire à la gestion de crise. L’exercice organisé par Advens et Cyberreason était ici d’autant plus intéressant que ses participants étaient originaires d’horizons variés, de structures qui ont déjà eu à faire face à cette situation. Et il ne s’agissait pas de simulation ! ✖