Tribune Jean-Pierre Blum

Sécurité de l’information, le caviardage iranien

Publié le 17/11/2022

Le gouvernement fédéral américain met en garde contre les menaces iraniennes pesant sur le secteur de la santé par utilisation sophistiquée des réseaux sociaux. Des pirates iraniens numériquement déguisés en médecins, en chercheurs de groupes de réflexion ou en journalistes sèment le désordre, la peur et la colère dans le secteur sanitaire.

Dans un bulletin d'information sur les menaces, publié jeudi 3 novembre, le Health Sector Cybersecurity Coordinating Center (H3C) du ministère américain de la Santé et des Services sociaux(Department of Health and Human Services) indique que les pirates informatiques soutenus par Téhéran ont recours à l'ingénierie sociale pour pénétrer des hôpitaux et que la menace est, dans le contexte que nous connaissons actuellement, à prendre tout à fait au sérieux.

« La fumée sait toujours par où sortir » (Proverbe perse)

Un accident récent a impliqué une campagne menée par un groupe pirate (Tortoiseshell), qui a utilisé des comptes Facebook se faisant passer pour des recruteurs en médecine, en journalisme et dans d'autres secteurs. Les cibles américaines et européennes ont reçu des fichiers infectés par des logiciels malveillants ou ont été incitées à saisir des informations d'identification sensibles sur des sites de phishing.

« Les acteurs iraniens parrainés par l'État éponyme investissent massivement dans les couches d'ingénierie sociale pour leurs attaques », confirme Paul Prudhomme, ancien analyste des menaces et spécialiste du renseignement du ministère de la Défense. Il ajoute que « les acteurs iraniens peuvent parfois faire montre de capacités techniques moins sophistiquées que leurs homologues d'autres pays, mais ils compensent cela par des schémas d'ingénierie sociale plus élaborés et potentiellement plus persuasifs ».

Toujours selon Prudhomme, « les acteurs iraniens se donnent beaucoup plus de mal pour rendre leur personnage d'ingénierie sociale plus crédible, par exemple en créant des comptes de médias sociaux supplémentaires ou d'autres éléments d'une empreinte Internet pour eux au-delà de celle utilisée dans l'attaque, dans l’objectif de résister à un examen minutieux. Une forme courante d'ingénierie sociale iranienne consiste à utiliser un faux compte LinkedIn pour faire de l'ingénierie sociale auprès de cibles en leur faisant miroiter des opportunités d'emploi dans leurs domaines respectifs ».

Dans un exemple mis en évidence par le HC3, un pirate iranien s'est fait passer pour le directeur de la recherche du Foreign Policy Research Institute. Pour crédibiliser l'e-mail de phishing, l'attaquant a adressé une copie à un autre directeur du Pew Research Center, soit une adresse e-mail qui menait en fait à l'attaquant.

L'accent mis sur l'ingénierie sociale n'exclut pas la possibilité d’organiser des attaques directes. Un exemple tristement célèbre est l'attaque contre l'hôpital pour enfants de Boston l'année dernière - déjouée in extremis parce que les autorités américaines ont reçu des renseignements sur l'attaque imminente et ont alerté l'hôpital, comme l'a déclaré le directeur du FBI Christopher Wray en juin dernier. Les pirates ont exploité - « truffé » -, une appliance Fortigate de Fortinet pour accéder aux réseaux de contrôle environnemental de l'hôpital. Ils ont accédé à des comptes d'utilisateurs connus de l'hôpital à partir d'une adresse IP que le FBI associe formellement au gouvernement iranien.

Primum nocere ou La volonté de nuire

Adam Meyers, vice-président senior chargé de l'intelligence au sein de la société de sécurité CrowdStrike, explique que « les attaques menées par des acteurs iraniens ciblant des organisations du secteur de la santé ont tendance à être des “opérations plus perturbatrices” que celles menées par d'autres pirates soutenus par des États-nation, comme la Chine ou la Russie ». « Les attaques liées à l'Iran sont souvent de type lock and leak, c'est-à-dire que les acteurs de la menace lancent un ransomware, verrouillent les accès et divulguent ensuite des données principalement pour discréditer l'organisation. Ces attaques sont parfois soutenues par le gouvernement iranien ou menées par des gangs de cybercriminels iraniens », ajoute-t-il.

Benchmark Chine-Iran

De leur côté, les attaques de l'État-nation chinois contre le secteur de la santé ont souvent été moins perturbatrices, se concentrant sur le vol de propriété intellectuelle pour les dispositifs médicaux, les produits pharmaceutiques et autres innovations. On se rappellera qu’historiquement, Qin Shi Huan-di, littéralement Premier des Empereurs Qin Shi, dictateur sanguinaire, affirmait que « la Loi s’effaçait devant la force et la ruse ». D’ailleurs les mots copier et innover sont très proches. Errol Weiss, responsable de la sécurité au Health Information Sharing and Analysis Center, affirme que « l'Iran dispose désormais d'une “cybercapacité offensive” et que les acteurs de la menace font preuve d'une grande efficacité en matière de DDoS, d'essuie-glace destructeurs et autres cyberattaques ». Le souvenir de l’attaque Stuxnet sur les centrifugeuses Siemens de l’usine d’enrichissement U235, probablement d’origine américano-israélienne, a sans doute laissé des traces.

« C'est un groupe d'acteurs de la menace auquel le Health Information Sharing and Analysis Center (Health-ISAC) prête attention, et sur lequel il travaille avec plusieurs partenaires pour rester à jour sur les menaces, les motivations et les méthodes d'attaque afin d'être mieux préparés et plus résilients en tant que secteur au cas où les soins de santé seraient ciblés. »

En septembre – c’est peu médiatisé - le gouvernement américain a sanctionné le ministère iranien du Renseignement et de la Sécurité et son ministre pour une cyberattaque survenue en juillet qui a paralysé le portail de services de santé en ligne des citoyens albanais.

M. Meyers pense que l'avis du HHS HC3 vise à attirer l'attention du secteur de la santé sur les menaces iraniennes, en partie à cause de l'attaque contre l'Albanie.

On le voit, s’il fallait encore des preuves, la sécurité de l’information et le fonctionnement même de nos infrastructures, nos actifs financiers, réputationnels et nos équilibres sociaux sont des éléments de nature stratégique. Dommage qu’on ne soit pas aidé pour une prise de conscience pleine et entière. Sur le point particulier des infrastructures, toutes gérées sur le réseau, sachons quand même que le blocage de l’approvisionnement en diesel des transports (alimentation, logistiques, etc.) mettrait notre pays à l’arrêt en à peine un mois.

Le numérique connecté est désormais un « milestone » de notre civilisation – tant que le climat le permettra. Il faut absolument prendre en compte les dangers qui sont concomitamment engendrés et demeurer sur le qui-vive. Rappelons-nous avec le philosophe Ibn Khaldûn que « les Hommes forts créent les périodes de paix. Les périodes de paix créent les Hommes faibles. Les Hommes faibles créent les temps difficiles », in « Prolégomènes, Al Muqqadima (1377) ». C’est, bien sûr, une métaphore, mais à méditer. Bref, sous le soleil rien de bien nouveau. À bon entendeur et bonne pêche, pardon « phishing ». Qui sera le prochain à mordre à l’hameçon ?