[Musique] bonjour et merci d'avoir choisi d'assister à cette présentation je vous propose d'y aborder le travail des chercheurs du great de kaspersky de le mettre en perspective avec l'effort collectif de cybersécurité puis d'évoquer des obstacles et des pistes d'amélioration pour ce dernier moi c'est pierre je suis senior cybersécurité watchers au sein du great de kaspersky avant de rejoindre kaspersky j'ai travaillé huit ans pour le n 6 et le ministère des armées puis 2 en commerce et si pour un grand groupe du secteur de l'agriculture j'ai ainsi pu oeuvrer dans les domaines de la réponse à l'incident de la gestion de crise de la recherche technique de la gestion de programmes de sécurité mais aussi de la coopération internationale j'interviens notamment lors du saas le security analyse ce mythe pour une conférence exclusive demain après midi pour des formations techniques et pour animer un atelier de jeux sur l'attribution technique je vous propose pour commencer de vous offrir un aperçu de l'organisation pour laquelle je travaille le grès de kaspersky et de sa méthode de travail le graet c'est le global research and analysis team c'est une équipe d'une quarantaine de chercheurs en cybersécurité aux profils variés et localisés partout dans le monde on est quatre en france notre mission c'est de conduire des travaux qui visent à comprendre l'état de la menace les méthodes des cyberattaques ans et documenter leur campagne malveillante notamment dans leurs aspects les plus techniques ces recherches sont l'objet de rapports commerciaux qui permettent à nos clients de connaître la menace qui pèse contre eux de mieux la détecter et de mettre en oeuvre des mesures de protection adaptées nous nous concentrons sur les attaques informatiques avancées ou à péter des attaques informatiques pas toujours sophistiqué en réalité c'est pas nécessaire car les protections et le niveau de sécurité ne sont que rarement avancer et on a les attaquants comme eric besson dès attaques qui sont supportés par des états la plupart du temps qui a fait que leurs cibles avec persistance et détermination afin de recueillir du renseignement de sa beauté de déstabiliser ou de supporter un conflit armé à la marge et devant l'ampleur du phénomène on s'intéresse également aux attaques menées par des écosystèmes criminelle poursuivant des intérêts créatif comme dans le cas des rançons remercie blé nos travaux sont publiés par des canaux varier le plus visible c'est probablement le blog de l'entreprise sécurisé point com où nous publions régulièrement des analyses et statistiques nous intervenons également lors de conférences spécialisées pour présenter nos recherches et kaspersky propose aussi un service web unifiée de renseignements sur la menace ou threat intelligence qui comporte évidemment nos rapports mais également des informations techniques exclusives issus de nos recherches et d outils d analyse tels que nous les utilisons au quotidien en pratique notre méthode de travail est assez simple à décrire même si elle est bien sûr compliqué à mettre en oeuvre tout part toujours d'une piste de quelque chose qui éveille notre intérêt et paraît déjà suspect ça peut être une ligne de commande une communication un fichier pour obtenir cette piste on a plusieurs approches la plus simple c'est une publication de tierces parties c'est à dire un rapport public décrivant des activités malveillantes jusque là inconnu ça peut provenir d'une société privée tierces ou d'une agence étatique comme le centre gouvernemental de réponse aux incidents ukrainiens par exemple ça peut aussi être une simple détection de nos produits de sécurité qui est rare et qui se déroule dans un contexte alarmant comme par exemple une détection exclusive au sein d'une société d'armement militaire suite à une tension politique majeure entre deux pays ces données sont alors issus de notre télémétrie sont des statistiques anonymes issus des produits de sécurité de kaspersky ça peut encore être une alerte une information un étonnement transmis par un partenaire ou notre centre de réponse à un incident enfin ça peut être des pistes plus exclusifs car mise en oeuvre en interne uniquement et fruit d'un travail préalable d'exploration c'est ce qu'on appelle le hunting où la chasse qui consiste à rechercher de façon automatique ou manuelle dans des statistiques et journaux télémétrie mais aussi dans des sources publiques des fichiers des commandes des serveurs des noms de domaine des comportements ou des communications suspectes ont fait ça à partir de signature spécifique dans nos propres produits de sécurité mais aussi de règles détection spécifique dans des sources de données privées ou sur internet une fois qu'on a cette piste le processus peut enfin commencer d'abord la recherche c'est à dire la collecte d'éléments supplémentaires similaire à notre piste mais qui peut également présenter simplement des liens de relations avec notre piste en recherche ces éléments évidemment dans la télémétrie dans des sources ouvertes ou des moteurs de recherche de fichiers en ligne ça peut aussi être par coopération en sollicitant des partenaires et des cibles on cherche non seulement des fichiers similaire mais aussi des serveurs internet avec lesquels ces fichiers communiquent par exemple une fois la recherche fait on passe à l'analyse c'est à dire qu'on passe au peigne fin chaque élément obtenu en phase de recherche afin d'extraire des informations spécifiques à l'attack qu'on ne peut pas trouver autrement là il s'agit par exemple de mettre en oeuvre des techniques de rétro ingénierie sur les codes malveillants identifiés préalablement ensuite vient la phase de détection il s'agit de s'assurer que tous les éléments malveillants qu'on a identifié sont détectés et automatiquement suivie ce qui bénéficie à nos clients bien sûr mais nous permet également de surveiller l'évolution d'une attaque et d'obtenir d'autres pistes à l'avenir une fois ce travail fait on décrit l'analyse faite et les techniques de détection qui ont été utilisés afin de permettre à nos clients d'identifier aussi ses activités malveillantes et on publie évidemment ces informations dans des rapports privés qui leur sont fournis accessible sur nos portails et à travers nos services parfois cette description fait également l'objet d'une divulgation publique à travers un article ou sur notre site internet sécurisé point com ou une conférence de sécurité il faut bien voir que tout le processus et itératif c'est à dire que chaque étape permet d'obtenir des informations et éléments supplémentaires avec lesquels on va pouvoir de nouveau travailler sur l'étape précédente par exemple lors de l'analyse on va pouvoir identifier pas rétro ingénierie dans un code malveillant un format de communication qu'on ne connaissait pas et dans ce cas là on va pouvoir revenir à l'étape précédente de recherches pour identifier tous les autres codes malveillants qui exploite le même modèle de communication voilà ça c'est l'idée générale de votre processus de recherche maintenant je souhaite indiquer comment le travail du great contribuer à l'effort collectif de cybersécurité d'abord aujourd'hui on sait bien que le paysage des menaces est immense et que le cyber exploit et est exploité tous les jours à des fins malveillantes contre toute forme de cible du particulier à l'état en passant par les entreprises privées de toutes tailles les collectivités les associations les ong etc pour s'occuper de sa propre cybersécurité ou l'offrir en tant que service d'ailleurs il faut adopter un paradigme qui implique qu'on subira des attaques et intrusions informatiques qui réussissent c'est comme ça on peut plus permettre d'imaginer que les attaques ça n'arrive qu'aux autres ou encore que les mesures de protection qu'on a déjà mis en oeuvre vont suffire à empêcher tout succès un des principaux buts de la démarche de sécurité ce sera alors de savoir détecter ces attaques puis d'y répondre et de récupérer un axe d'effort clé pour cette démarche c'est la connaissance et l'anticipation alors il y en a d'autres récupéré par exemple implique de connaître parfaitement son propre système d'information ces activités vitales et de savoir les restaurer ou d'assurer leur continuité en situation dégradée mais avant de récupérer un axe d'effort clé pour détecter et répondre c'est la connaissance et l'anticipation pourquoi parce qu'il faut que je sois capable de détecter de répondre or je ne serai pas en mesure de détecter et de répondre à toute forme d'attaqué quel que soit son type je n'en ai pas les moyens et man doté coûterait certainement trop cher serait trop long ou n'aurait aucun sens par rapport à mon secteur d'activité principal en conséquence je dois concentrer mes efforts et mes capacités de détection ou de réponse sur un ensemble limité de scénario d' attaque réelle dont la survenue est particulièrement probable pour mon secteur d'activité puis m'entraîner pour y faire face et seule la connaissance et l'anticipation peuvent m'apporter la vision nécessaires à cette concentration des fort justement l'activité d'une structure comme celle du great de kaspersky c'est de fournir cette connaissance en produisant des rapports qui détaille les techniques mises en oeuvre selon des standards reconnus ainsi que les secteurs visés par tel ou tel mode opératoire ou telle ou telle campagne d' attaque voilà pour notre rapport théorique principal maintenant je souhaite évoquer des exemples avec vous ici un exemple réel d' attaques ciblant principalement des cabinets d'avocats de conseil financier que l'on suppose être menée par une organisation mercenaires qui conduit des attaques informatiques à ce service à la demande pour recueillir des informations sensibles relevant du secret d'affaires ou portant sur des individus des analyses du great ont permis de comprendre le protocole de communication très particulier entre les codes malveillants qui affecte les ordinateurs des cibles et l'infrastructure de contrôle de l'attaquant grâce à cette compréhension fine du protocole de communication et de l'infrastructure on a pu identifier de nouveaux serveurs de contrôle de l'attaquant avant même qu'il soit exploité par les attaquants eux mêmes on a donc pu communiquer à nos clients des adresses internet à bloquer par exemple avant leur utilisation ce qui permet aux concernés d'empêcher la tacc de réussir avant même qu'elle soit tenté contre un autre exemple ici d'une investigation menée par une équipe de kaspersky lors d'une intervention de réponse à un incident chez un client un attaquant pénètrent sur le réseau d'une entreprise en utilisant une vulnérabilité dans une passerelle vpn pas à jour une fois à l'intérieur l'attaquant déploie un cheval de troie pour contrôler des ordinateurs compromis se propager sur le réseau jusqu'à en prendre de contrôle total à l'issue ils installent et exécute hareng somewhere nos analyses permettent de découvrir que le cheval de troie utilisé par l'attaquant lors de la phase d' intrusion est un outil attribué à un acteur a pété connu lazarus ainsi la tacc parents somewhere n'était probablement qu'une couverture visant à camoufler une opération d'espionnage ou de sabotage grâce à notre connaissance de l'attaquant et de l'acteur nous avons pu fournir à la victime des éléments techniques qui lui permettent de mieux détecter et mieux se défendre contre l'attaquant qu'il a pris pour cible ainsi la cible peut ne pas passer à côté de la menace réelle qui pesait contre elle ici à notre exemple où nos études poussées de codes malveillants innovant ciblant spécifiquement une communauté ethnique et religieuse ont permis de retrouver des traces d'activité d'une attaque au sein d'organisations cibles que nous plus identifiée nous avons donc pu prévenir dans le détail les victimes concernées ce qui leur a permis de remédier à l'incident alors même que ces cibles n'étaient pas informés de l'attaqué en cours menée contre elle et que nous n'avions pas accès au réseau des cibles au préalable alors nous ne faisons pas qu'offrir connaissance et anticipation sur les menaces identifiées des infrastructures malveillantes avant tout le monde décrire des attaques encore inconnue des masques et des diversions ou prévenir des cibles des attaques sophistiquées nous diffusons également publiquement certains de nos travaux et résultats techniques afin que chacun puisse en bénéficier et que la communauté des chercheurs en cybersécurité puisse à son tour critiqué vérifier compléter nos éléments et apporter de nouvelles connaissances au grand public notre expertise et nos expériences nous permettent également de proposer des formations aux techniques avancées qui finalement contribuer à améliorer la compétence de cybersécurité globalement sur la glace sur la base bien sûr d'exemples réels que nous avons vraiment traité pourtant et malgré notre implication sans faille pour lutter contre la cybercriminalité il ne sent pas que l'horizon s'éclaircisse vraiment d'abord quelques tendances que nous avons pu observer depuis le dernier trimestre 2010 bien sûr le thème de la pandémie mondiale qu'ovide 19 a été utilisé comme appât vers toute forme d' attaque mais c'est également un centre d'intérêt majeur de nombreux gouvernements en matière de renseignement le développement incessant du phénomène des rangs somewhere qui a touché de très nombreuses victimes en 2020 et 2021 et qui poursuit sa croissance vertigineuse sans rencontrer de véritables obstacles tant du côté des défenseurs que des autorités nous observons également une mercenaries ation de l' attaque informatique pas uniquement dans l'écosystème criminels mais également au profit d'intérêts d'état avec le développement de sociétés éditrices d'outils ou de services d' attaques informatiques ce modèle de sous traitance offre des capacités de dénis et de résistance à l'attribution qui sont très attrayantes pour des états comme nous l'avions prédit auparavant nous observons aussi que les attaquants ont plus systématiquement recours à la technique du faux nez et tente de faire passer leurs actes malveillants pour ceux d'un autre afin de faire face aux risques d'attribution public et de sanctions politiques comme nous l'a récemment rappelé la sphère pegasus sur lequel nous avions d'ailleurs publié des travaux de recherche il ya presque dix ans maintenant les smartphones et les autres équipements mobiles sont désormais systématiquement ciblés par les attaquants et puis comme nous l'avions annoncé en 2018 la sphère solarwinds nous a démontré que les attaques de la chaîne d'approvisionnement sont davantage exploité et sont pour autant toujours aussi difficile à détecter alors ça va sans dire mais chaque année depuis que nous existons nous détectons plus de nouveaux outils malveillants plus d'acteurs malveillants et plus de tentatives d' attaque quant à nos prévisions nous indiquions dès ce début d'année que davantage d'état aurait recours à l'inculpation et à la divulgation dans le cadre de leur stratégie de réponse aux menaces cyber est dans une démarche permanente menant vers le conflit politique des géants du numérique mèneront des actions directes judiciaire aux techniques contre les courtiers et marché de vulnérabilité ou encore contre les campagnes d'attac qui les affectent dans une tentative de faire cesser le risque qui pèse contre leur image lorsque leurs produits sont exploitées nous prévoyons également plus d' attaques contre les équipements réseau de bordures des entreprises ce que de nombreuses exploitations du n'est habilité de services vpn depuis 2020 nous ont déjà démontré nous pensions également que 2021 avait réémergé les premières vulnérabilités exploitables de la technologie 5g et finalement c'est déjà chose faite puisque depuis le premier trimestre des révélations ont été publiés sur l'existence de vulnérabilités affectant le découpage des réseaux 5g le sizing alors même que la technologie 5g et déjà déployé dans de nombreux pays nous indiquions également que les attaques par an somewhere ciblées seraient désormais systématiquement doublé de chantage à la divulgation de données par exemple et nous n'avons pas rencontré de contre exemple évidemment nous indiquions aussi que les attaquants vont continuer d'exploiter la thématique du coc vide 19 tant que les traitements comme les vaccins ou encore les stratégies de sortie de crise reste un intérêt global alors je pense que vous l'avez ressenti malgré de nombreux efforts d'experts de herrscher de prestataires de services de sécurité au great comme ailleurs d'ailleurs les tendances comme les prévisions ne sont pas très optimistes et il semblerait bien que quelque chose cloche quelque chose cloche oui et on ne peut que constater l'échec relatif de l'effort collectif de cybersécurité constat d'échec qui mène d'ailleurs à dire que le cyber espace aujourd'hui et au temps et au moins un obstacle et un risque qu'une opportunité pour la transformation numérique et le développement constat d'échec pourquoi d'abord parce que malgré des efforts importants et notamment techniques à notre niveau le cyberespace est toujours continuellement exploité à des fins malveillantes et les attaques informatiques ne se sont pas arrêtés loin de là sans rentrer dans la course aux chiffres et dans le sensationnalisme il est sûr qu après plus de dix ans d'efforts on ne peut pas dire que ça s'est calmé les attaques informatiques sont aujourd'hui menée en toute impunité sont décomplexés et vise les hôpitaux les pme comme les gouvernements constat d'échec toujours parce que plus de quarante ans après l'émergence des premiers standard de fait de la communication sur internet les mesures élémentaires de protection et de sécurité ne sont toujours pas mises en oeuvre par tous et la population n'est finalement que relativement peu sensibilisés aux risques cyber constat d'échec aussi parce que le cyberespace c'est aujourd'hui un espace de bataille militaire un objet de pouvoir qui concentre une escalade permanente de tension plus qu'un enjeu de paix c'est un objet pour les convoitises souveraine et c'est un terrain sur lequel on déploie des bottes et des conflits qu'ils soient politiques ou militaires on peut illustrer ce propos avec les considérations évoquée par le centre pour les études stratégiques et internationales des états unis devant la conférence annuelle du commandement cyber des états unis début 2021 l'orateur invite à ce que les stratégies de cybersécurité soit plus offensive indiquant qu'on ne peut intimité son ennemi sans avoir au préalable démontrer l'étendue de sa force évoquant les bombardements nucléaires de la seconde guerre mondiale comme preuve d'efficacité de la proche et introduisant des concepts tels que celui de reconnaissance armée ou guerre de manoeuvre comme tactique de cybersécurité bref certainement pas une démonstration de paix je prends l'illustration aux états unis ce qu'elle est récente mais on pourrait tout autant citer des doctrines ou débat militaire ailleurs et alors finalement pourquoi cet échec malgré les efforts de cyber sécurité d'abord parce que nous pensons qu'ils manquent de la volonté et des instruments pour adresser les problématiques de cybersécurité c'est certainement pas un point de programme politique principal pour qui que ce soit et c'est à peine si nos décideurs gouvernement sont finalement conscients de l'état des choses nous nous sommes mis d'accord à l'échelle internationale pour assurer des droits minimums à chaque être humain limiter voire rendre illégal le développement de l'armé nucléaire ou même réguler les conflits armés mais ça n'est pas arrivé par hasard et ces accords sont tous nés d'une volonté politique citoyenne et collective forte et persistantes quant au cyberespace cela fait plus de dix ans que des discussions internationales n'ont toujours pas permis d'établir de conscience us constructif et c'est peut-être le symptôme clair d'un manque de volonté mais alors pourquoi ce manque de volonté eh bien nous pensons que les états jouent un double jeu en effet exploiter cyber espace pour conduire des attaques informatiques et très profitable à court terme parce que cela permet de recueillir rapidement et discrètement du renseignement stratégique de faire de l'argent de contourner des réglementations ou de déstabiliser des adversaires politiques et militaires ses activités offensives nécessite par ailleurs un investissement initial relativement peu élevé et ne sont supervisées par personne à l'international contrairement à l'usagé des armes chimiques par exemple en raison de ses avantages nombreux les états peuvent être tentés de promouvoir publiquement la sécurité tout en s'assurant qu'ils peuvent surtout et avant tout exploiter le cyberespace à leur avantage et ainsi de développer indirectement des capacités offensives de cybersécurité finalement et en corollaire à tout ça on estime que les réglementations existantes applicables au cyberespace ou aux technologies numériques sur ces aspects sont insuffisantes les accords de wassenaar n'ont par exemple pas empêcher le transfert de technologies de surveillance vers des régimes totalitaires on re découvre pegasus et il n'existe pas une année sans son attaque informatique d'ampleur beaucoup d'organisations privées n'ont toujours pas mis en oeuvre les recommandations élémentaires de sécurité pour leurs systèmes et les nouvelles technologies ne sont pas développés avec la sécurité parmi les objectifs principaux la réglementation on ne crée pas de bénéfices directs à investir pour la sécurité pas de sanction collective contre l'exploitation malveillante du cyberespace et pas de responsabilité pour les éditeurs de produits et de services qui a directement déploie des vulnérabilités l'image publique quant à elle ne souffre que très peu d'un incident ou une véracité majeures et les responsables sont rapidement excusé finalement à la faveur d'une opinion qui dicte que les attaques informatiques ça arrive à tout le monde en conséquence il existe que très peu d'intérêt à oeuvrer pour la sécurité voire aucun à court terme pourtant le cyberespace les services numériques sont un bien commun nourry d'interdépendance duquel chacun dépend aujourd'hui et ce cyberespace il mériterait la paix il sera difficile de continuer à avancer dans un champ de bataille alors comment avancer justement et comment faire pour que ce qui devait être un facteur de développement et de communication soit bien un espace de paix bien sûr des chercheurs comme nous et des sociétés spécialisées comme kaspersky vont continuer à oeuvrer pour mieux détecter mieux protégés et combattre la cybercriminalité bien sûr on peut espérer que des états vont poursuivre leur dialogue pour plus de paix dans le cyberespace et c'est important mais ça n'est pas suffisant d'abord nous devons créer de la volonté politique et cela est possible pour tous à chaque place de la société tout comme pour les enjeux climatiques les experts peuvent expliquer sensibiliser et alerter les entreprises de leur côté peuvent compter leurs pertes et démontrer l'effet négatif des cyber attaques sur l'économie tout en investissant davantage pour leur propre protection la société civile quant à elle comme les citoyens comme vous et moi peuvent tout simplement demander la paix pour le cyber espace afin de pouvoir utiliser l'outil numérique en sécurité au quotidien sans avoir à craindre un acte malveillant au moindre clic et de cette volonté politique nos décideurs pourront avancer de façon déterminée pour plus de paix et abandonné double au long terme personne ne pourra faire usage d'un espace numérique qui ressemble au far west ça ça signifie coopérer pour parvenir à des traités et des accords internationaux ferme qui établissent notamment un procédé collectif d'attribution et de sanction des réglementations internationales destinées à protéger le bien numérique commun à assurer son développement sur puis à organiser le développement capacitaire de ceux qui n'ont pas encore les moyens de contribuer ça signifie également davantage d'efforts et de moyens consentis par les forces de l'ordre à la lutte collective contre la cybercriminalité davantage de poursuites pénales et davantage de sanctions est par ailleurs nous devons créer davantage de synergies de coopération et de capacité collective de cybersécurité en réunissant toutes les compétences qui existent aussi bien au sein des gouvernements que des acteurs privés afin de travailler ensemble vers ce seul objectif commun qui doit persister celui de la sécurité du cyberespace pour ce dernier point qui est la coopération et qui est très cher à kaspersky il reste que pour coopérer il faut se faire confiance nous nous pensons que la confiance au delà bien sûr du fait qu'elle implique de ne pas s'attaquer les uns les autres nous pensons que la confiance se comptent se construit grâce à la transparence la confiance se gagne mais la transparence peut s'offrir libre à chaque acteur de l'écosystème de la cybersécurité de contribuer et d'offrir la sienne dans le cas de kaspersky cela implique notamment d'appuyer ses recherches techniques de faits vérifiables de les ouvrir à la critique de les révéler régulièrement au grand public de les partager ça implique également de construire des centres de transparence qui permettent notamment à des acteurs gouvernementaux ou à des clients d'auditer le code les signatures et les procédures des produits de sécurité de kaspersky ça implique de contribuer aux échanges internationaux conduits par les états et visant à lutter contre la cybercriminalité ou encore plus récemment ça implique de publier des rapports de transparence visant à indiquer au grand public toutes les demandes faites par des autorités gouvernementales à kaspersky et en attendant ses efforts des initiatives conduites par des instances internationales comme l'onu à travers l'eau le wg et l'ijf par exemple continue d'offrir un support de dialogue à la construction collective et moi je retourne avec mes collègues continuer à lutter contre les menaces informatiques avancées voilà merci pour votre attention si vous avez des questions puisque j'ai pas pu être présent physiquement avec vous n'hésitez pas à les transmettre dans le formulaire qui vous sera remis à l'issue de l'événement afin que mes collègues puissent reprendre contact avec vous merci et à bientôt [Musique]