Le rapport technique sur l'affaire d'espionnage "Ruag

Le rapport du Centre de rapport et d'analyse de la sûreté de l'information Melani, publié fin mai 2016 (voir en fin de texte), révèle peu de nouvelles conclusions - il se concentre principalement sur des points techniques. Par exemple, que les attaquants ont utilisé des logiciels malveillants de la famille Turla qui circulaient depuis plusieurs années. Ce malware avait très probablement infiltré Ruag IT depuis des années. Le rapport technique souligne explicitement : "Les attaquants ont fait preuve de beaucoup de patience en s'infiltrant et en avançant plus loin. Ils ne s'attaquaient qu'aux victimes dans lesquelles ils avaient un intérêt, en utilisant diverses mesures telles que l'espionnage des listes de PI (...)".

Une fois à l'intérieur du réseau, le malware se répand latéralement "en infectant plus d'appareils et en obtenant des privilèges plus élevés".

Cependant, ces conclusions sur l'espionnage via la société d'armement suisse Ruag ne sont que partiellement satisfaisantes pour les experts en sécurité. Bien que le rapport montre la séquence technique des événements de septembre 2014 à mai 2016, il laisse également de nombreux points ouverts, comme la question de savoir quelles données sensibles ont été volées au niveau fédéral.

Aucun aperçu n'est fourni avant 2014
Les systèmes du Ruag sont infectés depuis au moins septembre 2014. Cependant, comme le souligne Melani/GovCERT, le Ruag ne dispose pas de fichiers journaux de proxy pour la période avant septembre 2014. Cependant, dès les premiers fichiers vérifiés, les experts de Melani ont trouvé des signes que l'infection Turla avait eu lieu plus tôt.

Hormis les espions eux-mêmes, aucun spécialiste de la sécurité ne sait quand et comment l'"infection" s'est installée. L'enquête sur cette importante attaque d'espionnage est complexe. La seule chose que l'on peut estimer est le volume de données perdues. Selon Melani, exactement 23 gigaoctets ont été volés. Toutefois, les experts informatiques mandatés ne peuvent pas tirer d'autres conclusions.

"La quantité de données transférées n'indique pas leur confidentialité ou la valeur des données volées", a déclaré Pascal Lamia, chef du Centre fédéral de notification et d'analyse, cité par l'Insideit. ch cité. Les experts ont critiqué les activités liées entre la Ruag et l'informatique de la Confédération. Cependant, certains initiés pensent que des mesures de sécurité, telles que des bloqueurs de virus appropriés, auraient dû être installées beaucoup plus tôt.

Cependant, Pascal Lamia, le responsable de la sécurité informatique du gouvernement fédéral, défend le Ruag, en disant que les responsables de la sécurité intérieure n'auraient pas pu prendre note de ce qui aurait pu infecter leurs ordinateurs avant 2016. Le rapport Melanie est clair : ce n'est que début février 2016, plusieurs mois plus tard, que la cyber-attaque a été découverte et qu'un logiciel de surveillance spécifique a été installé.

Dans le rapport, on peut également trouver un graphique de la quantité de données extraites quotidiennement. Cela montre peu d'activité entre septembre 2014 et la mi-2015. La plupart des données ont été transférées sur les serveurs "command & control" (C&C) utilisés par les attaquants entre septembre 2015 et janvier 2016. Après cela, cependant, l'activité s'arrête soudainement, c'est-à-dire exactement au moment où l'attaque a été découverte et où le logiciel de surveillance a été installé.

Répertoire administratif concerné ?
Ainsi, bien qu'il n'y ait aucune connaissance du contenu ou de la valeur des données exploitées, le Département fédéral de la défense DDPS a déclaré dans un communiqué de presse accompagnant le rapport technique qu'"il est probable qu'il inclue des données du répertoire des administrateurs" qui "alimente le logiciel outlook de l'administration fédérale".

C'est une sorte d'annuaire téléphonique, avec les noms, prénoms, fonction et lieu de travail, c'est-à-dire des données purement professionnelles - a déclaré le DDPS à l'ASD. Il ne contient pas d'ordre du jour. Elle ne contient pas non plus de données personnelles. Par exemple, il n'est pas possible de voir où quelqu'un vit.

Aucun responsable de la sécurité fédérale n'a voulu préciser comment il a été conclu que les espions du Ruag "pourraient" avoir exploité ces données relativement peu sensibles.

Le Conseil fédéral pousse l'enquête
Selon les initiés, les premiers chevaux de Troie de la famille des logiciels malveillants Turla sont connus depuis 2007. L'attaquant en circulation, qui utilise ce type de logiciels malveillants, a infiltré de nombreuses organisations gouvernementales ainsi que des entreprises privées au cours de la dernière décennie. Cependant, on peut supposer ici qu'il s'agit d'espionnage politique, car seuls des sujets privés ou publics ont été infectés, qui disposent d'informations spéciales sur les données de la recherche ou de l'armement.

À la Ruag, il y a très probablement eu une tentative d'espionnage des adresses IP. Comme le dit le rapport technique, l'Active Directory a été mis en avant pour prendre le contrôle d'autres dispositifs afin de voler des autorisations ou des adhésions de groupe pour accéder à d'autres magasins de données d'intérêt. Sur la base d'un rapport de sécurité, une commission a proposé au Conseil fédéral l'adoption de 14 mesures à court et moyen terme. Celles-ci visent à éliminer les risques de vol de données relatives aux informations ou aux personnes. Pour des raisons de sécurité, les détails des mesures ne sont pas communiqués.

Sur le portail du Centre de Reporting et d'Analyse pour la Garantie de l'Information MELANI, vous trouverez un résumé en allemand ainsi qu'un rapport technique détaillé (uniquement en anglais). www.melani.admin.ch