Une société américaine de cybersécurité a récemment évalué la vitesse d’infection d’un réseau informatique, une fois qu’un ordinateur a été compromis, en fonction de la nationalité des assaillants. Il s’avère, sans grande surprise, que les plus rapides sont (et de très loin) les Russes, suivi de Nord-Coréens et des Chinois.
Quel est le temps de réaction nécessaire à un réseau informatique pour éviter l’infection globale dès lors qu’un ordinateur est tombé ? Cette question est fondamentale en matière de sécurité, notamment au niveau étatique et industriel, où les conséquences d’une prise de contrôle étrangère peuvent être catastrophiques.
Temps de pénétration d’un réseau informatique
Le « temps de pénétration » (« breakout time ») mesure le temps que mettent des pirates à étendre leur attaque une fois qu’ils ont réussi à contrôler un poste. Cela inclue le temps nécessaire à analyser le réseau local, lancer une attaque depuis le poste 0, casser les droits d’accès au réseau, et ensuite infecter les autres machines.
Dit autrement, ce temps de pénétration définit le délai de réaction des cyberdéfenses – le temps dont dispose le réseau attaqué pour identifier les ordinateurs infectés et les isoler. Et, bien entendu, plus l’assaillant est rapide, plus il est redoutable.
2018 : un bilan des cyberattaques d’origine étatique
La société de cybersécurité américaine Crowdstrike a recueilli toutes les données concernant les cyberattaques d’origine étatique en 2018. Il s’avère que ces attaques ont ciblé essentiellement des dissidents, des adversaires régionaux et des puissances étrangères à des fins de renseignement.
La Chine et la Corée du Nord ont d’ailleurs été à l’origine de près de 50% des attaques de ce type en 2018, alors que l’Iran et la Russie ont été les champions des cyberattaques contre les entreprises et les télécommunications.
Un classement de la rapidité en fonction de la nationalité
A partie de ces données, Crowstrike a ensuite classé les groupes de pirates (définis par leur nationalité) en fonction de leur temps de pénétration. Le rapport de l’agence a décidé d’imager les différents pays en fonction d’un animal. Un choix légèrement étrange, car cela donne un petit coté « jeu vidéo rigolo » aux graphiques – alors que la menace qu’ils décrivent est plus que sérieuse.
En tout état de cause, voici la traduction : « Bear » (ours) désigne les Russes, « Chollima » (cheval ailé) les Nord-Coréens, « Panda » les Chinois, « Kitten » (chaton), les Iraniens, et « Spider » (araignée), les cybercriminels non identifiés comme travaillant pour des Etats.
Une moyenne de 4h37, les Nord-Coréens en 2h20 !
Et dans cette étrange course contre la montre des hackers les plus dangereux du monde, ce sont les Russes qui s’imposent, très largement. « Le temps moyen global de pénétration que CrowdStrike a observé en 2018 pour toutes les intrusions et tous les pirates était de 4 heures et 37 minute » détaille Crowstrike. Une durée qui peut, raisonnablement, laisser le temps à un système de cyberdéfense bien conçu d’identifier l’attaque.
Assez logiquement, les cybercriminels qui ne travaillent pas pour des Etats, et disposent de moyens moindres, sont les plus lents : 9 heures et 42 minutes de temps de pénétration. Les Iraniens (5 heures et 9 minutes) et les Chinois (4 heures) sont globalement dans la moyenne des attaques mondiales. Les Nord-Coréen sont déjà plus rapides : en 2 heures et 20 minutes, ces pirates redoutables peuvent mettre la main sur un réseau informatique complet.
Les Russes écrasent la concurrence : moins de 20 minutes
Mais la médaille d’or est remporté par la Russie. Ce n’est pas une surprise, tant les pirates travaillant pour Moscou sont connus pour être les plus doués et les plus rapides du monde – et donc les plus inquiétants. Mais le « temps de pénétration » des Russes n’est reste pas moins particulièrement réduit : 18 minutes et 49 secondes. Pire : il ne s’agit que d’une moyenne – ce qui veut dire que certaines attaques sont plus rapides encore.
Une célérité qui fait vraiment froid dans le dos. Les moyens de défense doivent être d’un très haut niveau pour faire face à de tels assaillants… Rien de vraiment rassurant, à l’heure où la cyberguerre est devenant une composante majeure de la nouvelle guerre froide qui oppose la Russie à l’Occident…