La scène est presque banale. Dans un aéroport asiatique, un homme se présente au contrôle de son identité. La lecture de son passeport biométrique fait crasher le système informatique. Face au policier, l’homme s’excuse, présente son passeport et embarque.
Deux semaines plus tard, la scène n’est plus banale: dans le même aéroport, le même homme se présente au même contrôle d’identité, et son passeport… fait crasher le système informatique.
L’homme est probablement Luxembourgeois pour que l’Incert s’intéresse à ce qui a pu faire tomber deux fois le même système informatique. Le groupe d’intérêt économique, qui veille à la sécurité des passeports et autres documents d’identité luxembourgeois, découvre que le certificat numérique, qui, avec la signature électronique, accompagne les données du voyageur et les rend sûres et à l’abri, a été «compromis».
Comprenez que ce code à haute valeur ajoutée a été bricolé par un hacker, qui y a ajouté un malware pour mettre à mal le système informatique appelé à le lire.
Quatre types de menaces dans 40.000 certificats
Ni une ni deux, l’Incert récupère plus de 40.000 certificats infectés, la plupart émis entre 2016 et 2019. Dans son étude, le GIE établit une classification des menaces en quatre types:
- les adwares (ou logiciels de publicité), qui vont rediriger l’internaute vers certains sites plutôt que vers d’autres et qui enregistrent ses préférences pour décider ce qu’il verra dans le cadre de ses recherches;
- les malwares (ou logiciels malveillants), qui, à la réception du certificat – invisible pour les utilisateurs –, vont télécharger un petit programme qui peut aller jusqu’à chiffrer toutes les données de l’appareil et exiger une rançon contre la clé qui permettra de les récupérer;
- les Trojan (ou chevaux de Troie), qui vont capturer toutes les frappes du clavier, voire effectuer des screenshots à intervalles réguliers, pour envoyer des informations à des hackers. Ils sont notamment utiles dans le domaine bancaire;
- les email worns (ou vers d’e-mail), qui vont télécharger des virus pour infecter des pans entiers de certaines sociétés ou administrations ou permettre d’en faire des réseaux zombies à l’insu de leurs propriétaires.
Les certificats, explique un des experts en chiffrement de l’Incert, Gaëtan Pradel, à la base de ce projet, sont un code informatique normalisé. «Il y a des champs particuliers dans des certificats, tout est encodé d’une certaine manière.»
Il est pourtant possible d’y ajouter des bouts de code pour en modifier le fonctionnement. Comme des passagers clandestins embarqués dans un avion et qui pourraient perturber le vol de l’avion. Les banques, les administrations publiques, les sites d’e-commerce ou les sociétés comme Telindus, des fournisseurs de solutions télécoms ou de VPN, qui gèrent des dizaines de milliers de certificats, utilisent généralement ce qu’on appelle des «parseurs».
Des logiciels d’analyse sémantique qui vont délivrer une sorte de feu vert pour valider le certificat. Problème, selon l’Incert, la plupart de ces «parseurs» ne vont pas assez loin dans l’analyse sémantique et passent donc à côté des passagers clandestins embarqués à bord du code du certificat.
L’Incert commercialise donc son propre «parseur», Hardened Parsing Tool (HPT), pour permettre à toute organisation d’améliorer la détection des passagers clandestins.
Le premier mort d’une cyberattaque?
Pourquoi y avait-il urgence à agir? . Une attaque a bloqué le système informatique de l’hôpital, et l’équipe soignante ne pouvait plus accéder au dossier médical de sa patiente, qu’elle a dû transférer, comme tous les patients en situation de danger, vers des hôpitaux de la région.
Les caractéristiques de l’attaque, pour des experts, s’apparentent à ce que décrit l’Incert dans son étude confidentielle.
Les attaquants n’avaient pas directement demandé une rançon, mais avaient laissé un message dans la faculté voisine avec laquelle travaillait l’hôpital. Après l’émotion suscitée en Allemagne, les attaquants auraient envoyé une clé de déchiffrement pour que l’hôpital puisse récupérer ses données sans rien exiger en retour. Les autorités allemandes ont lancé une enquête.
. Les cas de structures de soins attaquées se multiplient aux États-Unis, .
Seule société d’experts à vouloir se positionner, et connu sous le nom de «UNC1878».