L’insécurité permanente
Est- ce que ce monde est sérieux ?, chante Francis Cabrel en dénonçant la corrida. Nous pourrions le paraphraser à propos de la sécurité des systèmes d’informations. En effet, nous avons appris voici quelques jours que le code source de l’un des malwares les plus dévastateurs pour les banques et le monde la finance – Carbanak – était disponible sur la plate- forme VirusTotal depuis… deux ans ! Et ce, sans que personne, ou presque, ne s’en émeuve. Ces révélations ont été faites par des chercheurs en cybersécurité de la société FireEye, qui a indiqué l’avoir découvert et analysé depuis 24 mois sans qu’aucune autre entreprise « spécialisée » en cybersécurité ne s’en soit aperçu. On ne sait quoi conclure… Première analyse : la société FireEye est particulièrement perspicace. Régulièrement accusée d’être un sous- marin de la CIA par le biais de l’un de ses investisseurs, In- Q- Tel, FireEye s’est toujours fermement défendu de ces accusations. Il n’empêche : la rumeur est tenace. La société californienne, aujourd’hui cotée, avait fait sensation en 2013 en rachetant Mandiant pour 1 milliard de dollars. Mandiant s’était illustré pour avoir mis en relief les cyber- attaques perpétrées par les autorités chinoises via l’Armée de Libération du Peuple. Le premier « Advanced Persistent Threat » ( ou APT1) était créé pour l’occasion. Il en existe aujourd’hui une quarantaine. Seconde analyse : les confrères de FireEye sont particulièrement aveugles. En effet, VirusTotal, propriété de Google depuis 2012, est la plus grande plate- forme au monde d’analyse de malwares. Les plus grands fournisseurs de solutions anti- virus y participent – à l’exception de FireEye qui ne commercialise pas d’antivirus. Que personne parmi ces acteurs ne se soit préoccupé de savoir si le code source de Carbanak pouvait s’y trouver est pour le moins consternant. Carbanak, également appelé Anunak ou Cobalt Group, est un malware qui s’est attaqué aux banques entre 2013 et 2017. Il serait responsable du vol de plus de 1 milliard d’euros via des ATM ou des transferts de compte à compte. L’analyse du code source a mis en lumière la grande sophistication du malware. Le leader du groupe FIN7, à l’origine de l’attaque, a été arrêté par la police espagnole voici un an et d’autres suspects ont également été interpellés dans la foulée. Il s’agit de hackers ukrainiens qui sont toujours détenus aux États- Unis, en Pologne et en Espagne.
STéPHANE LARCHER