L’ENISA demande à l’Europe de trouver d’autres solutions aux courriels à risque

Les entreprises et gouvernements européens devraient rechercher d’autres canaux de communication que les courriels à long terme, à la suite d’une série d’attaques alarmantes, a mis en garde l’agence de cybersécurité de l’UE aujourd’hui (13 mars) dans une note d’information.

L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) a publié un « flash d'information » à la suite de « cyberattaques récentes et importantes ». L'ENISA appelle les entreprises et les gouvernements de l'UE à agir rapidement afin de lutter contre les tendances émergentes des cyberattaques.

Le rapport mentionne trois attaques évidentes contre des cibles de gouvernements et d’infrastructures critiques de l'UE au cours des trois premiers mois de cette année.

Fin février, des analystes informatiques de Kaspersky et Crysys ont découvert la cyberattaque « MiniDuke ». Elle concernait des « utilisateurs d'organisations gouvernementales au sein de l'UE », selon l'ENISA.

Cette annonce est survenue quelques semaines après la publication d'un rapport de l'entreprise américaine de cybersécurité Mandiant. Différents cas de cyberespionnage impliquant des vols de téraoctets de données de centaines d'organisations, dont des exploitants de secteurs critiques de l'UE, y sont détaillés.

L'« Octobre rouge » continue

« Une autre attaque de cyberespionnage, connue sous le nom d'Octobre rouge, a été découverte en janvier de cette année. Des organisations gouvernementales et diplomatiques du monde entier en seraient la cible depuis des années », selon le rapport.

L'ENISA appelle les entreprises et les organisations gouvernementales de l'UE à agir rapidement afin de lutter contre ces tendances émergentes d'attaques.

Toutes les attaques suivent un schéma commun, affirme l'ENISA. Les pirates enverraient des courriels authentiques, qui sont en fait des tentatives d’hameçonnage ciblé. Ces courriels contiennent des pièces jointes malveillantes ou des liens vers une page Internet qui renferme des programmes malveillants.

Le programme malveillant exploite ensuite les failles logistiques du système informatique pilote afin de se propager et d'infecter d'autres parties du réseau.

Dans le cas de Miniduke, les pirates ont utilisé un défaut dans Acrobat Reader d’Adobe, connu pour l’extension de fichier PDF, afin d'obtenir un contrôle suffisant sur la cible en vue de lancer la récolte d'informations, selon l'ENISA.

« Le pirate utilise souvent les informations récoltées afin d'attaquer d'autres victimes ou machines dans la même organisation. Ce phénomène est parfois qualifié de “mouvement latéral” », peut-on lire dans le rapport.

L'ENISA met particulièrement en garde contre les courriels et affirme que ce moyen de communication désormais omniprésent n'est pas sûr. Étant donné que la plupart des systèmes de messagerie électronique ne fournissent aucune authentification, l'agence de la sécurité indique : « Il est très difficile pour les utilisateurs de comprendre d'où vient le message et si ou non l'expéditeur est fiable. »

De nouveaux modèles pour les courriels

Les pirates ne connaissent aucune difficulté à envoyer de faux messages ou à se faire passer pour quelqu'un d'autre, selon l'ENISA.

L'agence recommande une solution à court terme : « les organisations des secteurs critiques devraient […] utiliser des solutions d'encodage et/ou des cadres d'authentification de l'expéditeur en vue d'éviter de devenir une cible facile d'hameçonnage ».

Plus alarmant encore, l'ENISA recommande à long terme que « les industries, les gouvernements et les entreprises recherchent d'autres canaux de communication [que les courriels] qui protègent mieux les utilisateurs des arnaques et de l’hameçonnage. »

L'agence attire également l'attention sur les compromis que les exploitants de systèmes informatiques doivent réaliser entre les caractéristiques et la sécurité des logiciels.

« Plus les logiciels sont caractéristiques et interopérables, plus il est difficile de garantir qu'ils ne sont pas vulnérables », peut-on lire dans le communiqué de l'agence. Les gouvernements et les entreprises devraient « diminuer de manière proactive l'ampleur des attaques en réduisant la complexité des logiciels installés sur les appareils des utilisateurs ». Ils devraient en outre réduire les permissions d'accès pour des utilisateurs à des réseaux numériques de sociétés et de gouvernements.

Ne pointez pas du doigt des pirates particuliers

Le rapport de l'ENISA n'attribue les attaques à aucun groupe ou pays en particulier.

« Les pirates informatiques peuvent opérer au-delà des frontières et […] aisément au-delà des continents. Il convient de souligner que l'attribution de cyberattaques est généralement difficile », affirme le rapport, ce qui reflète la réticence de l'UE à accuser un pays spécifique.

Une source au fait du programme de sécurité de l'Europe a déclaré sous le couvert de l'anonymat en août 2012 à la suite d’autres cyberattaques  : « Bruxelles rechigne à pointer la Chine du doigt. »

« Cette attaque aurait très bien pu être organisée dans d'autres pays. Il est possible, par exemple, que des agents aient opéré via des adresses IP piratées en Chine puis qu'ils aient utilisé ces adresses volées pour une autre attaque, dans le but de semer la confusion sur les cibles et sur l'identité des hackers », a ajouté cette source.

>> Lire : Course au cyber-armement : l'Europe rechigne à accuser la Chine

L'ENISA a conclu son communiqué en soutenant l'importance de la stratégie européenne en matière de cybersécurité, récemment publiée par l'UE, qui « fournit une feuille de route qui vise à améliorer la prévention contre les cyberattaques et les infractions tout en mettant en place des pierres angulaires importantes ».