Au sein de l’équipe Microsoft à la recherche des hackers les plus dangereux du monde

Des cyberattaques olympiques russes aux programmes malveillants nord-coréens d’un milliard de dollars, comment un géant de la technologie surveille les pirates informatiques parrainés par la nation partout sur terre.

Lorsque le Pentagone a récemment accordé à Microsoft un contrat de 10 milliards de dollars pour transformer et héberger les systèmes de cloud computing de l’armée américaine, la montagne d’argent est venue avec un défi implicite : Microsoft peut-il protéger les systèmes du Pentagone contre certains des pirates informatiques les plus puissants, les plus persistants et les plus sophistiqués du monde ?

« Ils sont agressés à toute heure de la journée « , déclare James Lewis, vice-président du Center for Strategic and International Studies.

La dernière victoire de Microsoft sur le cloud rival Amazon pour le contact militaire ultra-lucratif signifie qu’un appareil de collecte de renseignements parmi les plus importants dans le monde est basé dans les bois en dehors de Seattle. Ce genre de responsabilités en matière de sécurité nationale siégeait autrefois presque exclusivement à Washington, DC. Aujourd’hui, dans ce coin de l’État de Washington, des dizaines d’ingénieurs et d’analystes du renseignement se consacrent à surveiller et à arrêter les pirates informatiques parrainés par le gouvernement qui prolifèrent dans le monde entier.

Les membres de l’équipe MSTIC (Microsoft Threat Intelligence Center) sont axés sur les menaces : un groupe est responsable des pirates russes sous le nom de code Strontium, un autre surveille les pirates nord-coréens sous le nom de code Zinc et un autre encore suit les pirates iraniens sous le nom de code Holmium. Le CISTM assure le suivi de plus de 70 groupes de menace parrainés par le gouvernement sous forme de codes et de nombreux autres qui ne sont pas nommés.

La pluie a commencé juste avant son arrivée à Redmond, dans l’État de Washington, un jour d’automne typique, raconte Patrick Howell O’Neill. Ça n’a pas arrêté de tomber pendant toute sa visite. Le siège social de Microsoft est aussi vaste et labyrinthique que n’importe quelle installation gouvernementale, avec des centaines de bâtiments et des milliers d’employés. Il venait rencontrer l’équipe Microsoft qui traque les hackers les plus dangereux du monde pour TechReview.

John Lambert travaille chez Microsoft depuis 2000, lorsqu’une nouvelle réalité en matière de cybersécurité s’est installée pour la première fois à Washington et au siège social de l’État de Washington de Microsoft.

Microsoft, alors une société singulièrement puissante qui monopolisait les logiciels pour PC, n’avait réalisé que relativement récemment l’importance d’Internet. Windows XP ayant conquis le monde tout en restant dans une insécurité choquante, l’équipe a été témoin d’une série d’énormes et embarrassantes défaillances en matière de sécurité, y compris des vers auto-réplicateurs comme Code Red et Nimda. Ces défaillances ont touché un grand nombre de clients gouvernementaux et privés de Microsoft, mettant en danger son cœur de métier. Ce n’est qu’en 2002, lorsque Bill Gates a envoyé sa fameuse note de service dans laquelle il recommandait de mettre l’accent sur la « fiabilité de l’informatique », que Redmond a finalement commencé à se pencher sur l’importance de la cybersécurité.

C’est à ce moment que Lambert est devenu fasciné par le côté offensif du cyber.

« Il y a une perfection requise dans les limites de l’attaque et de la défense », a dit Lambert. « Pour bien se défendre, il faut être capable d’attaquer. Il faut aussi avoir l’esprit offensif ; on ne peut pas seulement penser à la défense si on ne sait pas être créatif en matière d’attaque. »

Après avoir vu le nombre de campagnes de piratage informatique parrainées par le gouvernement augmenter, M. Lambert s’est servi de cet état d’esprit offensif pour aider à changer fondamentalement la façon dont Microsoft abordait le problème. L’objectif était de passer d’un  » monde fantôme  » inconnaissable – où les équipes de défense observent, frustrées, des pirates informatiques sophistiqués pénétrer des réseaux avec de puissantes vulnérabilités « zero-day » – à un domaine où Microsoft peut voir presque tout.

« Quelles sont les superpuissances de Microsoft ? » Lambert se souvient d’avoir demandé.

La réponse est que son système d’exploitation Windows et d’autres logiciels sont presque partout, donnant à Microsoft les outils pour détecter ce qui se passe sur des pans colossaux d’Internet. Cela soulève des questions réelles et continues en matière de protection de la vie privée auxquelles nous n’avons pas encore été entièrement confrontés. Pour la sécurité, cependant, c’est un énorme avantage.

Les produits Microsoft avaient déjà des systèmes de rapport d’erreurs Windows intégrés pour essayer de comprendre les bugs et les dysfonctionnements généraux au moyen de la télémétrie ou de la collecte de données à partir de tout matériel ou logiciel de l’entreprise utilisé. Mais c’est Lambert et les équipes de sécurité qui ont transformé les systèmes de télémétrie en puissants outils de sécurité, transformant ce qui était autrefois une tâche lente et ardue. Auparavant, les équipes de sécurité devaient souvent faire le tour du monde, trouver des machines spécifiques ciblées, copier leurs disques durs et plonger lentement dans les incidents. Aujourd’hui, ces machines s’adressent tout simplement à Microsoft. Pratiquement chaque plantage et chaque comportement inattendu sont signalés à l’entreprise, qui trie la masse de données et, souvent, trouve les logiciels malveillants avant tout le monde.

Le malware connu sous le nom de Bad Rabbit, qui en 2017 prétendait être une mise à jour d’Adobe Flash et qui a ensuite effacé le disque dur d’une victime, cristallise comment Microsoft a transformé la faiblesse en force. Dans les 14 minutes qui ont suivi l’introduction du logiciel de rançon, des algorithmes d’apprentissage machine ont reconstitué les données et ont rapidement commencé à comprendre la menace. Windows Defender a commencé à le bloquer automatiquement, bien avant qu’aucun humain ne sache ce qui se passait.


« C’est la chose que personne d’autre n’a : la visibilité et les données. Les données que personne d’autre n’a autour de ces applications tombent en panne sur le système d’exploitation et la couche logicielle « , explique Jake Williams, un ancien membre de la National Security Agency. « Même pour les crashs de tiers, ils ont la télémétrie autour d’eux. Quand vous commencez à regarder les cibles d’exploitation, Microsoft a la capacité grâce à leur télémétrie. » Cette télémétrie a fait de chaque machine et produit Windows une source qui alimente les données Microsoft et enregistre, instantanément et dans le monde entier, tout ce qui est inhabituel.

« Microsoft voit des choses que personne d’autre ne voit « , explique M. Williams, qui a fondé la société de cybersécurité Rendition Infosec. « Nous trouvons régulièrement des choses, par exemple, comme des drapeaux pour les adresses IP malveillantes dans Office 365 que Microsoft signale, mais nous ne les voyons nulle part ailleurs pendant des mois. »

Relier les points

Le renseignement sur les cybermenaces consiste à traquer les adversaires, à suivre les miettes de pain et à produire des renseignements que vous pouvez utiliser pour aider votre équipe et rendre la vie de l’autre partie plus difficile. Pour ce faire, l’équipe, qui a cinq ans, du CISTM comprend d’anciens espions et des agents de renseignements gouvernementaux dont l’expérience à des endroits comme Fort Meade, où se trouvent la National Security Agency et le US Cyber Command, se traduit immédiatement par leur rôle chez Microsoft.

Le MSTIC cite des douzaines de menaces, mais la géopolitique est compliquée : La Chine et les États-Unis, deux des acteurs les plus importants du cyberespace et les deux plus grandes économies du monde, ne sont pratiquement jamais appelés comme le sont souvent des pays comme l’Iran, la Russie et la Corée du Nord.

« Notre équipe utilise les données, relie les points, raconte l’histoire, suit les acteurs et leurs comportements « , explique Jeremy Dallman, directeur des programmes stratégiques et des partenariats au MSTIC. « Ils chassent les acteurs, où ils se déplacent, ce qu’ils planifient, qui ils ciblent, et ils prennent de l’avance sur ça. »

Tanmay Ganacharya dirige la recherche avancée sur la protection contre les menaces au sein de l’équipe Microsoft Defender, qui applique la science des données à la masse des signaux entrants afin d’élaborer de nouvelles couches de défense. « Parce que nous avons des produits dans tous les domaines auxquels vous pouvez penser, nous avons des capteurs qui nous apportent le bon type de signaux « , dit-il. « Le problème était de savoir comment traiter toutes ces données. »

Microsoft, comme d’autres géants de la technologie comme Google et Facebook, avertit régulièrement les personnes ciblées par les hackers du gouvernement, ce qui donne aux cibles la possibilité de se défendre. Au cours de la dernière année, le CISTM a informé environ 10 000 clients de Microsoft qu’ils étaient la cible de pirates informatiques du gouvernement.

Nouvelles cibles

À partir du mois d’août, le CISST a repéré ce qu’on appelle une « campagne de pulvérisation de mots de passe ». Les pirates informatiques ont pris environ 2 700 devinettes instruites sur les mots de passe pour des comptes associés à une campagne présidentielle américaine, des représentants du gouvernement, des journalistes et des Iraniens de haut profil vivant à l’extérieur de l’Iran. Quatre comptes ont été compromis dans cette attaque.

Les analystes du MSTIC ont identifié les compromis en partie grâce au suivi de l’infrastructure. Microsoft dit qu’il sait qu’elle est contrôlée exclusivement par le groupe de pirates iraniens Phosphorus.

« Une fois que nous comprenons leur infrastructure – nous avons une adresse IP dont nous savons qu’elle est la leur et qu’ils l’utilisent à des fins malveillantes – nous pouvons commencer à examiner les enregistrements DNS, les domaines créés, le trafic sur la plate-forme « , explique Dallman. « Quand ils se retournent et commencent à utiliser cette infrastructure dans ce genre d’attaque, nous le voyons parce que nous le suivons déjà comme un indicateur connu du comportement de l’acteur. »

Après un travail de reconnaissance considérable, Phosphorus a tenté d’exploiter le processus de récupération des comptes en utilisant les numéros de téléphone réels des cibles. Le MSTIC a repéré Phosphore et d’autres pirates informatiques parrainés par le gouvernement, y compris l’ours russe Fancy Bear, qui utilisent cette tactique à maintes reprises pour tenter d’hameçonner les codes d’authentification à deux facteurs des cibles de grande valeur.

Ce qui a alarmé Microsoft à cette occasion, c’est que Phosphorus a modifié son mode opératoire standard en s’en prenant aux ONG et aux organismes de sanctions. Le réticule s’est déplacé, les tactiques ont changé et la portée s’est élargie.

« Ce n’est pas rare, mais la différence ici, c’est que c’était à une échelle beaucoup plus grande que ce que nous avions vu auparavant « , dit Dallman. « Ils ciblent souvent ce type de personnes, mais c’est l’ampleur du travail de reconnaissance qu’ils ont fait pour cette campagne[qui était différent]. Et puis, en fin de compte, il s’agissait des individus qu’ils visaient, y compris l’individu de la campagne présidentielle. »

Microsoft a finalement pointé du doigt les pirates iraniens pour avoir ciblé les campagnes présidentielles, y compris, selon Reuters, l’opération de réélection de Donald Trump en 2020.


Au cours des deux décennies où Lambert a travaillé chez Microsoft, les outils et les armes du cyberdomaine ont proliféré dans des douzaines d’autres pays, dans des centaines de groupes cybercriminels compétents et, de plus en plus, dans une industrie d’entreprises du secteur privé qui vendent leurs exploits à des acheteurs disposés à payer le prix fort.

« La prolifération signifie un éventail beaucoup plus large de victimes « , dit M. Lambert. « Plus d’acteurs à suivre. »

C’est ce qui se voit dans les piratages politiques. L’une des conséquences des élections américaines de 2016 est l’augmentation du nombre d’acteurs qui luttent pour pirater les partis politiques, les campagnes et les groupes de réflexion, sans parler du gouvernement lui-même. Le piratage lié aux élections est généralement le fait des « quatre grands » : la Russie, la Chine, l’Iran et la Corée du Nord. Mais elle s’étend à d’autres pays, bien que les chercheurs de Microsoft aient refusé de préciser ce qu’ils ont vu.

« Ce qui est différent, c’est que d’autres pays se joignent à la bataille, ce qui n’était pas nécessairement le cas auparavant « , explique Jason Norton, gestionnaire principal de projet au CISTM. « Les deux grands[la Russie et la Chine]-maintenant, nous pouvons dire qu’ils s’en sont toujours occupés bien avant les élections de 2016. Mais maintenant, vous voyez d’autres pays le faire – en faisant des sondages et en sondant le ventre mou afin de connaître les bons éléments pour avoir une influence ou un impact à l’avenir. »

« Le terrain est bondé », convient Dallman. « Les acteurs apprennent les uns des autres. « Quand ils apprennent des tactiques des plus grands noms, ils s’en servent. »

Les prochaines élections sont également différentes, car personne n’est surpris de voir cette activité malveillante. Jusqu’en 2016, la cyberactivité russe a été accueillie avec une naïveté collective stupéfaite, contribuant à la paralysie et à une réponse incertaine. Pas cette fois-ci.

« La différence se résume à ce que nous savons ce qui va se passer « , explique Dallman.

« À l’époque, c’était plutôt une inconnue, et nous n’étions pas certains de la façon dont la tactique allait se développer. Maintenant nous savons ; nous avons vu les tendances. Vous les avez vus en 2016, vous avez vu ce qu’ils ont fait en Allemagne, vous les avez vus aux élections françaises, tous suivant le même MO. Les mi-parcours de 2018 aussi, dans une moindre mesure, mais nous avons quand même vu certains des mêmes MO, les mêmes acteurs, le même timing, les mêmes techniques. Maintenant, nous savons, jusqu’en 2020, que c’est le mode opératoire que nous recherchons. Et maintenant, nous commençons à voir d’autres pays se lancer dans d’autres tactiques. »

La nouvelle norme est que les boutiques de cyberespionnage de l’industrie ont tendance à montrer la voie dans ce type d’activité de sécurité publique pendant que le gouvernement suit.

En 2016, c’est CrowdStrike qui, pour la première fois, a enquêté et pointé du doigt les activités russes visant à interférer avec les élections américaines. La communauté policière et des services de renseignement américains a par la suite confirmé les conclusions de l’entreprise et, après l’enquête de Robert Mueller, a finalement inculpé des pirates russes et détaillé la campagne menée par Moscou.

Avec une taille totale de plus d’un trillion de dollars, Microsoft est un ordre de grandeur plus grand, apportant d’énormes ressources au défi de la sécurité. Et le géant de la technologie a un autre grand avantage : il a des yeux, des oreilles et des logiciels partout. C’est, comme dirait Lambert, sa superpuissance.

Via TechReview

Publicités

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.