L’idée d’espionnage évoque généralement des gadgets haut de gamme et originaux, comme des parapluies qui se transforment en lasers et des lunettes à rayons X, des réunions clandestines dans la brume matinale ou des courses-poursuites en bateau à grande vitesse dans des lieux exotiques et des déguisements élaborés. Aujourd’hui, la réalité est peut-être beaucoup moins sexy, mais bien plus efficace.
Les pirates informatiques sponsorisés par l’État ont des horaires de travail de 9 à 17 heures, comme tout le monde. Ils ont des bureaux, des vacances et des conversations dans la salle de café. Mais derrière leurs ordinateurs, ils mènent des campagnes pour infiltrer des systèmes dans le monde entier et récupérer des données sensibles provenant de gouvernements, d’entreprises, d’infrastructures critiques ou même d’individus qui pourraient avoir accès à ces données.
« Nous savons que la Chine, par exemple, dispose d’une cyberarmée composée de dizaines de milliers de personnes qui piratent le monde tous les jours de manière très structurée avec des managers, des équipes et des réunions quotidiennes », explique Willem Zeeman, expert néerlandais en cybersécurité. « Tout est professionnel. »
Début 2024, lors d’une enquête sur un incident, les services militaires et de renseignement généraux néerlandais ont remarqué quelque chose d’inhabituel sur les serveurs de l’État. Ils ont découvert un malware de type Trojan d’accès à distance (RAT) développé pour les appareils FortiGate.
Conférence TNW 2025 – Retour au NDSM les 19 et 20 juin 2025 – Réservez la date !
Alors que nous terminons notre incroyable édition 2024, nous sommes heureux d’annoncer notre retour à Amsterdam NDSM en 2025. Inscrivez-vous dès maintenant !
Ce qui est intéressant, c’est que ce malware « sous le radar » ne visait pas à accéder aux systèmes, mais à maintenir l’accès en restant actif et persistant sur les appareils même après les redémarrages et les mises à jour.
Ce qu’ils ont finalement découvert était une campagne de cyberespionnage chinoise qui était active au sein des systèmes nationaux depuis quelques mois en 2023. rapport publié en février 2024, c’était la première fois que le gouvernement néerlandais attribuait publiquement un piratage informatique sponsorisé par l’État à Pékin.
Après une enquête plus approfondie, une nouvelle rapport En juin, la société a révélé que la campagne, dont le nom de code était COATHANGER, avait été bien plus répandue qu’on ne le pensait initialement. En quelques mois, entre 2022 et 2023, elle a eu accès à plus de 20 000 unités dans le monde.
Au cours de cette « période zero-day », 14 000 appareils ont été compromis. Parmi les cibles figuraient des dizaines de gouvernements occidentaux, d’institutions diplomatiques et d’entreprises du secteur de la défense.
Alors que les gouvernements du monde entier s’efforcent de découvrir et de colmater l’infiltration, la question qui reste dans l’esprit de chacun est la suivante : quelle quantité et quel type de données ont été compromises lors de l’accès ouvert des pirates aux informations classifiées ?
Malgré l’ampleur potentielle de l’attaque, la couverture médiatique est restée limitée. Si les médias ont largement parlé des attaques de ransomware, le cyberespionnage n’est tout simplement pas considéré comme un sujet brûlant pour un certain nombre de raisons. Zeeman craint que ce manque de sensibilisation et de surveillance n’entraîne des conséquences néfastes à l’échelle mondiale.
Alors que les ransomwares font la une des journaux, le cyberespionnage reste dans l’ombre
Les entreprises victimes de ransomwares subissent non seulement un impact direct sur leurs résultats financiers (en raison des indemnisations), mais également sur leur réputation, car les clients et les utilisateurs perdent confiance dans l’organisation.
D’une certaine manière, les ransomwares ont contribué à faire de la cybersécurité une priorité pour les entreprises, estime Zeeman. « On constate que les gens ont commencé à investir dans la cybersécurité parce qu’ils ont peur des ransomwares. Mais il existe également une autre tendance, bien plus avancée. »
Aujourd’hui, n’importe qui peut devenir un hacker avec quelques outils standards téléchargeables sur Internet, et beaucoup utilisent des tactiques rudimentaires rapides et peu fiables. Les acteurs étatiques, en revanche, ont un niveau d’expertise plus élevé et disposent parfois de ressources illimitées pour soutenir leurs activités. Ils créent leurs propres programmes et effectuent même des analyses anti-forensiques, tout cela pour pouvoir éviter d’être détectés.
Contrairement aux attaquants par ransomware, qui cherchent à créer un maximum de perturbations, les acteurs étatiques font tout ce qu’ils peuvent pour maintenir les opérations en cours. « Il y a eu de nombreux cas où l’attaquant a pris des mesures pour garantir le bon fonctionnement du système », note Zeeman. « Ils ont apporté les modifications nécessaires pour empêcher la détection ou la défaillance du système, plutôt que de laisser des erreurs ou des bugs déclencher une réponse qui pourrait révéler leur présence. »
Cela signifie qu’une fois qu’ils sont entrés dans le système, ils sont impliqués pour longtemps. Dans les affaires de cyberespionnage sur lesquelles il a enquêté, Zeeman et son équipe ont souvent découvert que ces acteurs étaient intégrés dans des systèmes depuis des mois, voire des années, ce qui leur permettait de trafiquer des secrets comme des informations sur la propriété intellectuelle, etc.
L’industrie néerlandaise des puces électroniques en plein essor met cette dernière sous les projecteurs
Les services de renseignements néerlandais ont qualifié la campagne COATHANGER de « partie d’une tendance d’espionnage politique chinois contre les Pays-Bas et ses alliés ».
Ces dernières années, les Pays-Bas se sont retrouvés comme un petit pays au milieu de géants. En tant que pays d’origine du fabricant de machines à semi-conducteurs ASML et du fabricant de puces NXP, ils se sont retrouvés empêtrés dans une guerre des puces entre les États-Unis et la Chine, les premiers exerçant une pression sur eux pour bloquer les ventes de machines avancées, ainsi que les réparations des machines existantes.
Plus tôt cette année, ASML avait annoncé qu’elle serait en mesure d’éteindre à distance ses machines basées à Taïwan en cas d’invasion chinoise, envoyant ainsi l’entreprise au cœur d’une impasse géopolitique. Un David entre deux Goliath.
Si leur industrie critique des semi-conducteurs n’est pas protégée contre le cyberespionnage, les Pays-Bas pourraient perdre non seulement leur propriété intellectuelle (PI), mais également leur influence politique.
Pourtant, début 2020, une enquête sur une activité suspecte a révélé qu’un groupe de hackers chinois « Chimera » a accès aux systèmes de NXP depuis fin 2017Au cours des deux années durant lesquelles les pirates ont eu accès à ses serveurs, l’objectif principal était d’obtenir des plans de puces et de pirater des boîtes aux lettres contenant de grandes quantités d’informations sensibles.
Même s’il est difficile de savoir quelle quantité d’informations a finalement été obtenue, il n’en demeure pas moins que la poursuite d’attaques de ce type pourrait porter un coup majeur aux Pays-Bas et à l’Europe.
Protection contre le cyberespionnage : la réglementation pourrait être la clé
Pour l’instant, les acteurs du cyberespionnage se concentrent principalement sur les appareils périphériques (comme dans la campagne COATHANGER) et les outils de travail à distance, notamment les solutions VPN SSL. Mais comme ces acteurs disposent de ressources illimitées, ils continueront à venir, révélant de nouvelles vulnérabilités lorsque d’autres seront découvertes.
Mais se protéger contre le cyberespionnage est coûteux. « La seule façon de savoir si vous avez été victime d’une intrusion est de vérifier périodiquement si elle existe », explique Zeeman. Cela signifie que des évaluations de compromission doivent être réalisées tous les un à cinq ans, en fonction de la sensibilité des données d’une entreprise ou d’une organisation.
« Le gouvernement devrait jouer un rôle plus important en guidant et en poussant les organisations à mener des enquêtes si leur environnement de menace implique d’être la cible de ces attaques avancées », ajoute Zeeman, affirmant qu’en raison des coûts associés, les entreprises ne le feront pas de leur propre chef. « Il est déjà obligatoire pour les entreprises de mettre en œuvre une cybersécurité décente avec NIS2 à venir, et le conseil d’administration en est tenu responsable, mais les contrôles réguliers ne sont pas obligatoires.
Il est essentiel de protéger les infrastructures critiques, comme les réseaux d’eau, les banques, les hôpitaux, les ports, etc., mais aussi les industries clés. Alors que les Pays-Bas investissent de plus en plus d’argent dans les subventions et les incitations pour garder ses géants des puces électroniques dans le pays, ils doivent également s’assurer que ces entités protègent correctement leur propriété intellectuelle des regards indiscrets.
Un autre problème est que ces cas sont souvent passés sous silence par les entreprises qui souhaitent garder le secret sur le fait qu’ils ont été piratés. En général, les entreprises avec lesquelles Zeeman a travaillé ont signé un accord de confidentialité. Ainsi, si une équipe de cybersécurité découvre un cas de cyberespionnage, elle ne peut le partager avec des entités externes, comme les services de sécurité néerlandais, que si l’entreprise l’y autorise. Cela signifie que les informations ne sont souvent pas partagées, même si elles découvrent que les cyberacteurs ont infiltré davantage de systèmes externes.
Lorsqu’on lui demande s’il ne faudrait pas également rendre obligatoire la communication de ce type d’informations aux autorités, Zeeman hésite. Selon lui, cela risquerait de provoquer trop de réactions négatives. Mais il est essentiel de mettre en place un système de contrôle standardisé pour les entreprises et les secteurs les plus importants pour le pays.
Pourquoi l’Europe devrait s’inquiéter
Les fuites pourraient être critiques non seulement pour les Pays-Bas, mais aussi pour le marché européen dans son ensemble, alors que l’UE cherche à ouvrir une procédure contre la Chine pour subventionner les puces automobiles. L’Europe abrite trois des cinq plus grands producteurs : NXP, Infineon et STMicroelectronics. Si l’UE veut rester leader en tant que producteur de semi-conducteurs automobiles traditionnels, elle devra protéger la propriété intellectuelle de ses géants des puces.
Outre sa domination dans le domaine des puces électroniques, les Pays-Bas constituent un carrefour physique et numérique crucial entre l’Europe et le reste du monde.
Le port de Rotterdam est le plus grand hub maritime d’Europe, ce qui en fait un élément essentiel des chaînes d’approvisionnement entrant et sortant du continent. En janvier 2022, le groupe de pirates Blackcat, spécialisé dans les ransomwares en tant que service, a attaqué 17 ports et terminaux pétroliers, dont le port de Rotterdam, avec une attaque de ransomware qui a détourné les pétroliers, perturbant ainsi le chargement et le déchargement en plein hiver.
L’année dernière, le groupe de hackers serbo-russe NoName057(16) a fermé les sites Internet du port et de plusieurs autres aux Pays-Bas en réponse à la décision du gouvernement de livrer 8 chars Leopard 1 à l’Ukraine. Bien que ces attaques n’aient pas été menées par des groupes étatiques, elles illustrent toutes deux la manière dont la vulnérabilité du port pourrait être exploitée de manière malveillante.
De plus, les acteurs étatiques s’intéressent également aux Pays-Bas pour leurs réseaux et infrastructures numériques de haute qualité. Évaluation de la menace Les serveurs néerlandais ont été utilisés dans plusieurs cyberattaques internationales menées par le gouvernement en 2022. Dans de tels cas, les Pays-Bas « servent de tremplin à des attaques sponsorisées par l’État qui pourraient nuire à des pays tiers, y compris éventuellement à des alliés ».
COATHANGER doit son nom à un extrait de code du malware qui contenait une ligne de la nouvelle de Roald Dahl Agneau à l’abattoirdans lequel une femme suspend le manteau de son mari avant de l’assassiner avec un gigot d’agneau congelé. Apparaissant comme la veuve en deuil, elle échappe à la détection en remettant l’arme du crime à la police.
La question est de savoir si les Pays-Bas utiliseront leur importance stratégique émergente comme levier pour exercer une pression sur la scène internationale ou si leur vulnérabilité au cyber-espionnage en fera un gigot d’agneau congelé pour leurs alliés et l’UE.
2024-08-02 11:20:25
1722597183
#Comment #les #PaysBas #sont #devenus #une #cible #cyberespionnage #pourquoi #lEurope #devrait #sen #inquiéter
