Les 21èmes Assises de la Cybersécurité, qui se sont tenues à Monaco du 12 au 15 octobre 2021, ont été l’occasion de rencontrer Benoit Grunemwald et Mathieu Tartare d’ESET, et de faire un point sur l’état de la menace cyber.

SDBR News : Que peut-on dire de la recherche sur l’utilisation du Cyber à des fins d’espionnage ?

Mathieu Tartare : Je peux vous parler de l’aspect threat intelligence, prévention, notification des parties compromises et remédiation suite à une attaque de ce type. Le travail du Lab Eset de Bratislava est d’une part d’informer le grand public de nos recherches sur les menaces, pour mieux s’en prémunir, et d’autre part de surveiller les toutes nouvelles menaces pour les détecter. Nous ne nous intéressons pas seulement aux groupes APT de cyber espionnage, qui utilisent des techniques novatrices le plus souvent, mais aussi aux autres groupes qui récupèrent ces techniques d’attaques quelques temps plus tard, comme on l’a constaté avec les attaques sur Microsoft Exchange. Nous avons constaté le même phénomène avec le rançongiciel WannaCry en 2017, qui à l’origine a été utilisé par des entités gouvernementales. La protection contre le cyber espionnage concerne une minorité des clients d’ESET, mais la protection contre le cybercrime concerne la grande masse de nos clients. Notre rôle est d’informer sur ce que nous observons, sur les cibles des cyber-attaquants, sur les secteurs attaqués, sur les zones géographiques ciblées, etc.  

Benoit Grunemwald : Puisque nous sommes à Monaco, nous pouvons dire que ça se passe un peu comme dans les courses de Formule 1, où les constructeurs utilisent des techniques très sophistiquées avant d’irriguer ensuite les véhicules de “monsieur tout le monde”. Entre cyber espionnage et cybercrime, cela se passe un peu de la même façon. C’est pour cela que le Lab ESET rend publiques ses travaux de recherche : l’important est d’informer pour mieux se prémunir.

SDBR News : Avez-vous observé un surcroit d’activité ou une stagnation d’activité des groupes de cyber espionnage durant la crise sanitaire ?

Mathieu Tartare : Il est toujours compliqué de parler de statistiques, car chaque groupe de cyber espionnage a sa propre autonomie. C’est plus facile avec le cybercrime et nous publions régulièrement des statistiques sur ce sujet. Ce que nous pouvons constater, c’est par exemple la réorientation de l’activité de certains groupes de cyber espionnage vers le continent africain, peut-être parce que l’enjeu économique y est devenu plus important. Mais il est très difficile de comprendre les motivations de ces groupes.

Benoit Grunemwald : A propos de l’Afrique, on peut dire qu’opèrent dans ces pays des sociétés de télécommunications ou des sociétés de logistique, qu’y existent des ministères des affaires étrangères et des entités disposant d’informations stratégiques ou géopolitiques, bref toute une série de cibles potentielles pour du cyber espionnage. Certains groupes sont spécialisés dans certains domaines, comme la Santé par exemple, et agissent selon leur propres feuilles de route. Mathieu a fait en atelier une présentation sur le secteur du jeu vidéo qui est une cible en soi : lorsque vous compromettez des utilisateurs de jeux vidéo, vous pouvez compromettre des masses importantes de joueurs en ciblant des plateformes massivement multi-joueurs (MMO).

Mathieu Tartare : Oui, on peut compromettre des milliers d’utilisateurs en peu de temps. Dans le cas précis que j’ai présenté, le malware envoyait l’adresse mail de la victime et différentes informations du système aux opérateurs. Ils pouvaient ainsi déployer du crypto-mining, mais pas toujours ou pas seulement : ils pouvaient déployer des backdoors qui récupéraient les adresses mac des joueurs, ce qui prouve que leur intérêt était ailleurs.

SDBR News : Comment réagit commercialement ESET par rapport à ce que Mathieu décrit en matière de recherche?

Benoit Grunemwald : Comme nous le disions, nous publions en source ouverte le maximum des travaux du Lab ESET qui s’apparente à la threat intelligence ESET. Mais on ne peut pas mettre en source ouverte certains résultats, donc nous avons lancé une offre commerciale qui permet à des acteurs souhaitant avoir accès en exclusivité à ces données et aux discussions avec les chercheurs : rapport APT avancé. Cette offre intéresse des CERT, des SOC et des organismes luttant contre la cybercriminalité. Lors des Assises de la Cybersécurité 2021, nous avons pu présenter notre offre complète incluant l’EDR (Enpoint Detection & Response) qui est un outil sophistiqué pour l'identification des comportements anormaux et des infractions, l'évaluation des risques, la réponse aux incidents, les enquêtes et les mesures correctives : la meilleure option dans ce cas est d’adosser la solution endpoint traditionnelle à l’EDR, plutôt qu’un endpoint d’un coté et un EDR d’un autre coté, ainsi les deux outils travaillent en synergie et de façon efficiente.

Pour plus d’information voir : https://www.eset.com/fr/business/solutions/endpoint-detection-response/

Crédits photos: ESET, TechRadar