Dragonfly, une arme de déstabilisation massive

Sécurité

Exclusif

Dragonfly pourrait être décrit comme une arme de déstabilisation massive. Cette arme n’est pas destructrice en soi, mais cherche à mettre à mal des infrastructures critiques de la société.

Au lendemain des attentats du 11 septembre 2001, Thomas Homer Dixon, professeur à l’Université de Toronto, discutait de la fragilité des sociétés modernes en démontrant à quel point elles sont aujourd’hui dépendantes d’infrastructures critiques qui sont souvent inconnues du public (comme les infrastructures financières, énergétiques, de communication ou de santé publique).

Dixon affirmait que l’on verrait apparaître des armes de déstabilisation massive : des armes qui ne sont pas destructrices en soi, mais qui ont pour objectif de frapper les nœuds critiques des sociétés.

Malheureusement, il semble que nous nous retrouvons aujourd’hui face à une telle arme.

Dragonfly, ou comment déstabiliser une société

Encore une fois, on nous offre un excellent exemple du peu d’intérêt que les gens ont par rapport aux questions de sécurité. Un groupe de pirates informatiques – surnommé Dragonfly par Symantec – a démontré qu’il était possible de pénétrer dans les infrastructures énergétiques critiques et de les saboter.

watchdogs2

En avez-vous entendu parler? Probablement pas. Pourtant, cela soulève des questions importantes qui méritent d’être adressées, notamment ici au Québec.

Comprendre Dragonfly

Selon Symantec, Dragonfly aurait perpétré une série d’attaques sophistiquées qui ciblaient essentiellement des infrastructures critiques. Cette campagne aurait permis à ce groupe d’individus d’avoir accès et de contrôler des systèmes de gestion de l’énergie (comme des raffineries ou des centrales hydro-électriques) en implantant des remote access trojans (RAT), des chevaux de Troie offrant un accès à distance. Les maliciels utilisés par Dragonfly auraient été détectés aux États-Unis, en Espagne, en Serbie, en Grèce, en Roumanie, en Pologne, en Turquie, en Allemagne, en Italie et en France.

Si Stuxnet visait essentiellement les infrastructures énergétiques de l’Iran, Dragonfly a été en mesure de s’attaquer à des infrastructures critiques se trouvant partout dans le monde, démontrant ainsi le sérieux de l’opération.

Les constats effectués par Symantec soulèvent bien des questions. Aux yeux de leurs analystes, Dragonfly serait de toute évidence bien financé. En effet, la campagne est si sophistiquée qu’elle semble sous-tendue par une organisation ayant accès à des ressources et des outils importants. De plus, ces maliciels offriraient non seulement la possibilité de collecter des données, mais surtout de saboter des infrastructures critiques.

Le maliciel le plus souvent vu par Symantec est nommé Backdoor.Oldrea, aussi connu sous le nom de Havex, ou tout simplement le RAT du groupe Energetic Bear (un autre pseudonyme employé par Dragonfly). Ce que fait ce logiciel est d’une efficacité impressionnante.

Tout d’abord, il faut mentionner qu’il réussit à s’attaquer aux logiciels gérant des infrastructures énergétiques critiques; en soi, cela démontre beaucoup de connaissances de ces systèmes.

Ensuite, le logiciel agit comme un cheval de Troie, donnant ainsi accès à distance à l’ordinateur infecté au pirate informatique. Cela permet non seulement d’installer d’autres maliciels, mais aussi d’avoir accès aux données qui se trouvent sur le disque dur.

Une fois installé, Backdoor.Oldrea va recueillir de l’information suivante :

  • le système de façon globale;
  • la liste des logiciels installés;
  • les disques durs disponibles au travers la racine;
  • la configuration VPN;
  • les données sur le carnet Outlook.

Toutes ces données sont placées dans un fichier temporaire crypté qui est ensuite envoyé à un serveur distant qui sert de poste de commandement du maliciel – les informations obtenues à propos de ces serveurs tendent à démontrer qu’il s’agit d’autres ordinateurs déjà infectés par des attaques similaires.

L’autre maliciel fréquemment vu dans la campagne de Dragonfly est nommé Trojan.Karagany. Ce logiciel est déjà connu, car il a été vu dans les marchés illicites du Darknet. Il fait essentiellement les mêmes routines que Backdoor.Oldrea, mais peut également faire fonctionner différentes extensions, ce qui lui permet d’augmenter ses capacités – on a qu’à penser à des logiciels de capture d’écran par exemple.

L’après Stuxnet

À l’heure actuelle, peu d’informations sont disponibles concernant Dragonfly. Plusieurs se demandent si le groupe derrière l’opération est à la solde d’un État. Si tel est le cas, force est d’admettre que ce serait dans l’objectif de mener des opérations agressives, et non pas seulement des actions d’espionnage industriel. Les RAT ainsi exploités permettraient aisément d’aller au-delà de la simple cueillette d’information et compromettraient le fonctionnement même de ces infrastructures.

allyourbase

C’est intéressant de voir à quel point cette campagne s’inscrit dans la continuité de ce que l’on a observé avec Stuxnet : la première campagne de logiciel malicieux ayant été détectée qui visait également des infrastructures critiques. Déjà à l’époque, on analysait Stuxnet comme étant un logiciel très complexe, sous-tendu par une opération importante en terme de ressources.

La principale différence entre ces deux campagnes est que celle de Dragonfly est beaucoup plus vaste. Si Stuxnet visait essentiellement les infrastructures énergétiques de l’Iran, Dragonfly a été en mesure de s’attaquer à des infrastructures critiques se trouvant partout dans le monde, démontrant ainsi le sérieux de l’opération.

Cela démontre aussi (voire surtout) la dépendance des sociétés modernes aux réseaux informatiques. Si les pirates du Web ne souhaitent pas actuellement saboter des infrastructures énergétiques, combien de temps reste-t-il avant que cela ne se produise? Si le Québec a déjà vécu une importante crise énergétique avec la crise du verglas, la province est-elle prête à ce genre d’événement?

Des questions pour le Canada et le Québec

Est-ce que Dragonfly s’intéresse au Canada? Absolument! En fait, le groupe a déjà agi au pays au début de ses opérations. En effet, Dragonfly s’attaquait auparavant au secteur de l’aviation et de la défense avant de se tourner vers le secteur de l’énergie. Durant cette période, ses cibles préférées étaient le Canada et les États-Unis. Il est donc fort probable que la campagne puisse cibler des infrastructures critiques canadiennes sous peu.

La sécurité, c’est un peu comme l’eau potable : c’est seulement lorsqu’on est à sec qu’on se rend compte à quel point c’est important. Attendons-nous d’avoir soif?

Conséquemment, comme je le disais d’entrée de jeu, toute cette histoire pose des questions importantes pour le Québec. Tout d’abord, puisque la province concentre une bonne partie de son développement sur ses ressources énergétiques, il est important de se poser des questions quant aux vulnérabilités présentes dans les infrastructures critiques du Québec.

Finalement, on peut se demander où se trouve la réflexion publique en ce qui concerne les technologies de l’information, la sécurité, et la sécurité des technologies de l’information.

Au regard du programme politique actuel, force est d’admettre que les questions technologiques se trouvent loin derrière dans les priorités gouvernementales.

Or, la sécurité, c’est un peu comme l’eau potable : c’est seulement lorsqu’on est à sec qu’on se rend compte à quel point c’est important. Attendons-nous d’avoir soif?

  • marco

    Complètement hallucinant !!!