21 Novembre 2019  |  Sécurité
Publié dans Sécurité Environnement 03/2019

Les activités malveillantes d’un groupe de pirates informatiques

L’entreprise de cyberveille et de sécurité informatique américaine FireEye dévoile dans un rapport alarmant les activités malveillantes d’un groupe de pirates informatiques chinois identifié sous le sigle APT41. Soutenus voire financés par le gouvernement chinois, ces hackers se consacreraient à des activités d’espionnage pour leur employeur mais aussi à des attaques à des fins de profit personnel. Quinze pays auraient déjà été la cible de ce groupe, dont la Suisse. Considéré avec sérieux par les spécialistes de la cybersécurité, le rapport est loin de faire l’unanimité sur les réseaux sociaux.

Qui et combien sont-ils ? D’où agissent-ils ? FireEye n’apporte aucune réponse à ces questions. En revanche, dans son rapport, l’entreprise basée à Milpitas, en Californie, se montre très prolixe en détails sur le mode opératoire et les proies du groupe qui opèrerait depuis 2014, à la fois pour le compte de Pékin et pour le sien propre. ATP41 serait passé maître dans le maniement de logiciels non publics, réservés en principe aux opérations d’espionnage étatique. Selon Sandra Joyce qui dirige le secteur Global Threat Intelligence chez FireEye, le groupe  dispose d’un pouvoir de frappe riche de 46 familles de logiciels et outils malveillants réactualisés en permanence, pour contrer les ripostes défensives des victimes. «Il s’agit d’un groupe très ingénieux et tenace qui réagit quasi instantanément aux ripostes de ses cibles», souligne-t-elle.
 
Le groupe APT41 est financé par l’État chinois mais a peut-être échappé à son contrôle. (© Newswek)
 
 
Un groupe habile et très agressif
Le riche arsenal du groupe comprendrait notamment des chevaux de Troie, des voleurs de données d’identification, des enregistreurs de frappe et des rootkiks, un outil informatique de dissimulation d’activité. À en croire le rapport de FireEye, ATP41 serait capable de s’approprier le code source et les certificats numériques de ses cibles pour homologuer ses programmes agressifs; capable encore d’exploiter son accès aux environnements de production pour inoculer des codes corrompus dans des fichiers vertueux, lesquels sont ensuite disséminés chez ses victimes. Les pirates mettraient aussi à profit la  technique du harponnage en envoyant des courriels aux gestionnaires des ressources humaines des entreprises ou organismes victimes d’une première intrusion. En ouvrant la pièce jointe le destinataire autorise malgré lui un nouvel accès occulte à APT41.
 
Un tableau de chasse impressionnant
La Suisse figure sur une liste de quinze pays frappés par ces hackers, aux côtés notamment des États-Unis, du Royaume-Uni, de la France, des Pays-Bas, de Singapour ou encore de Hong Kong. Auraient été prioritairement ciblés, au profit du renseignement chinois, les domaines des télécommunications, des techniques de pointe et de la santé; accessoirement encore ceux des médias, de l’enseignement et même du tourisme. FireEye raconte ainsi comment les pirates sont parvenus, sans aucune peine, à s’introduire  dans le système de réservation d’une grande chaîne hôtelière où devaient séjourner des officiels de Pékin, pour s’assurer de la sécurité des lieux. Quant aux activités criminelles, particulièrement lucratives du groupe, elles auraient surtout visé l’industrie du jeu, les monnaies virtuelles et la transmission de rançongiciels qui  prennent en otage des données sensibles, ultérieurement «libérées» en échange d’une rançon.
 
Le groupe dispose d’un arsenal de 46 familles de logiciels et outils malveillants. (© Reuters)
 
 
L’État complice passif ou actif ?
En ce qui concerne le rôle de l’État chinois, FireEye se contente, dans son rapport, d’émettre des hypothèses: «Les liens d’APT41 avec les marchés souterrains et leurs activités financées  par l’État signifient peut-être que le groupe jouit de protections lui permettant de mener ses propres opérations lucratives. Mais il est aussi possible qu’APT41 se soit carrément soustrait à tout contrôle des autorités chinoises. Quelle que soit la situation, ces opérations témoignent d’une frontière obscure entre le pouvoir de l’État et ces crimes.»
 
Un rapport à prendre au sérieux
Le rapport de FireEye a très vite été qualifié de «propagande américaine» par nombre d’intervenants sur les réseaux sociaux; une appréciation vigoureusement balayée par Steven Meier, le PDG de ZENData-Sécurité informatique à Genève. «Les gens de FireEye sont très sérieux. J’ai lu leur rapport. C’est un très bon travail. Il y aura forcément des incidences au niveau des gouvernements. Ces gens vont finir par être identifiés et ils seront «blacklistés». Ils ne pourront plus sortir de Chine», relève-t-il.
Des implications pour votre entreprise ? «Bien sûr ! Ce genre de rapport nous informe sur les tendances du moment et nous permet d’anticiper et de comprendre les nouveaux modes opératoires. Nous avons des clients, par exemple dans la pharmaceutique de pointe, qu’il convient de protéger de ce genre de menaces».
 
Sandra Joyce
FireEye
Tél. +1877-347-3393
 
Steven Meier
ZENData
sm@zendata.ch


30 Mars 2020  |  Sécurité

Guide Covid-19

Quels sont les gestes barrières et les meilleures protections contre la propagation du Covid-19 en milieu industriel ? Le SNDEC, le pôle Mont-Blanc Industries, le Cetim et la CSM de Haute-Savoie se sont associés pour formuler ensemble des préconisations concrètes dans un guide pratique.
25 Juin 2020  |  Sécurité

Un logiciel pour l’échange sécurisé des données entre les hôpitaux

Développé par les chercheurs du Laboratoire pour la sécurité des données (LDS) de la Faculté informatique et communications de l’EPFL (IC), en collaboration avec le Centre hospitalier universitaire vaudois (CHUV), le logiciel MedCo a récemment été installé dans trois hôpitaux suisses. Ce système, unique en son genre selon l’EPFL, doit faciliter la recherche médicale sur des pathologies comme le cancer ou les maladies infectieuses, en permettant des échanges sécurisés de données confidentielles décentralisées.
POLYMEDIA SA | Av. de Riond-Bosson 12 | CH-1110 Morges | T: +41 (0)21 802 24 42 | F: +41 (0)21 802 24 45 | info@polymedia.ch