Le gouvernement australien lance une offensive contre les cybercriminels, suite à une violation de données qui a exposé les informations personnelles de millions de personnes.
Le 12 novembre, la ministre de la Cybersécurité, Clare O’Neil, a annoncé la création d’un groupe de travail pour « pirater les pirates » à l’origine de la récente violation de données de Medibank.
Le groupe de travail sera une collaboration permanente et conjointe unique en son genre entre la police fédérale australienne et la direction australienne des transmissions. Ses quelque 100 agents utiliseront les mêmes cyberarmes et tactiques que les cybercriminels pour les traquer et les éliminer en tant que menace.
Les détails sur la façon dont le groupe de travail fonctionnera restent flous, en partie parce qu’il doit garder ces informations à l’écart des criminels. Mais il n’en reste pas moins que prendre une position offensive, alors qu’il pourrait dissuader de nouvelles attaques, pourrait également mettre une grosse croix rouge sur le dos de l’Australie.
L’Australie contre-attaque
Ce n’est qu’en 2016 que le gouvernement australien a reconnu publiquement pour la première fois qu’il disposait de cybercapacités offensives hébergées par la Direction australienne des transmissions – et que celles-ci sont utilisées contre les cybercriminels offshore. L’admission est venue du Premier ministre de l’époque, Malcolm Turnbull, à la suite d’attaques contre le Bureau de météorologie et le Département des services parlementaires.
L’Australie a utilisé des stratégies cyberoffensives à plusieurs reprises dans le passé. Cela a inclus des opérations contre l’Etat islamique et, plus récemment, des efforts pour désactiver l’infrastructure des escrocs et l’accès aux données volées au début de la pandémie. Les détails des opérations de renseignement sont généralement gardés secrets, en particulier lorsque la Direction australienne des transmissions est impliquée.
Comment le groupe de travail pourrait-il fonctionner ?
Le ministre O’Neil a déclaré que le nouveau groupe de travail :
parcourez le monde, traquez les syndicats criminels et les gangs qui ciblent l’Australie dans des cyberattaques et perturbez leurs efforts.
Quant à savoir s’il pourrait lancer une contre-attaque contre les pirates de Medibank, les ressources sont là, mais il sera crucial de résoudre les problèmes. Les agences de renseignement australiennes disposent de plus de ressources que la moyenne des cybergangs organisés, sans parler des connexions avec d’autres agences de renseignement avancées dans le monde.
Cependant, l’un des principaux problèmes liés à la responsabilisation des cybercriminels est l’attribution. Une contre-attaque légitime nécessite d’identifier la source d’une attaque au-delà de tout doute raisonnable. La fuite de données de Medibank a été attribuée à des criminels basés en Russie – très probablement issus, ou du moins associés au cybergang REvil.
Cette hypothèse est basée sur des similitudes entre les sites REvil existants sur le dark web et le site d’extorsion hébergeant les données volées de Medibank, ainsi que d’autres similitudes entre l’attaque Medibank et les attaques précédentes de REvil.
Cela dit, les pirates peuvent dissimuler leur identité en passant par des tiers (souvent inconscients). Ainsi, même si cette attaque est attribuable à REvil ou à ses proches collaborateurs, les attaquants pourraient facilement nier leur implication s’ils étaient traduits en justice.
Le groupe pourrait dire que ses systèmes ont été utilisés comme hôtes involontaires par un autre auteur externe. Un démenti plausible peut presque toujours être maintenu dans de tels cas. La Russie (et la Chine) ont l’habitude de nier toute implication dans le cyberespionnage.
En tant que tel, il est très difficile de poursuivre les cybercriminels, en particulier dans les cas où ces criminels peuvent être soutenus (officiellement ou non) par leur gouvernement. Et si les auteurs ne peuvent pas être mis derrière les barreaux, ils peuvent simplement rester discrets pendant un moment avant d’apparaître ailleurs dans le cyberespace.
Au-delà des pirates de Medibank, le groupe de travail ciblera également d’autres menaces potentielles pour l’Australie. Dans le cas d’une attribution inexacte dans l’une de ces opérations, nous pourrions assister à une escalade tit-for-tat. Dans le pire des cas, des attaques basées sur une attribution incorrecte pourraient déclencher une cyberguerre avec un autre pays.
Défense avant l’attaque
En recherchant activement et en essayant de neutraliser les gangs offshore, l’Australie mettra une cible sur son dos. Les gangs criminels liés à la Russie et d’autres pourraient être encouragés à exercer des représailles et à cibler nos secteurs, y compris les infrastructures essentielles.
Renforcer les cyberdéfenses de l’Australie devrait être la priorité absolue – sans doute plus que des représailles. D’autant plus que, même si le groupe de travail réussit à contre-attaquer les pirates de Medibank, il est peu probable qu’il récupère les données volées (puisque les criminels font des copies des données volées).
S’attaquer aux cybercriminels s’attaque aux symptômes du problème, pas à la racine : le fait que nos systèmes étaient suffisamment vulnérables pour être piratés en premier lieu. La violation de Medibank et la violation majeure d’Optus qui l’a précédée ont toutes deux démontré que même les entreprises dotées de protocoles de cybersécurité apparemment solides sont vulnérables aux attaques.
La meilleure option d’un point de vue rationnel et technique est d’empêcher, dans la mesure du possible, le vol de données en premier lieu. Ce n’est peut-être pas une solution aussi flashy, mais c’est la meilleure à long terme.
