Benoit Grunemwald - Expert en Cybersécurité chez ESET

Cette interview a été réalisée sur le FIC 2022 qui s’est tenu à Lille du 07 au 09 Juin 2022

SDBR News: Pourquoi ESET, éditeur de solutions de sécurité, a t’il décidé de se porter sur le marché des Télécoms ?

Benoit Grunemwald: ESET, s’appuyant sur les chiffres de sa télémétrie, a montré que le volume de cyber-attaques était en augmentation, avec une tendance nette aux attaques visant les Smartphones. ESET a donc décidé de faire un saut dans les Télécoms pour la protection du maximum d’utilisateurs. On dit souvent « il vaut mieux prévenir que guérir » pour bien protéger or, quand on protège les utilisateurs par l’opérateur de téléphonie, on arrive à bloquer un maximum de menaces avant qu’elles n’atteignent le poste de travail ou le smartphone, vu que la protection va se faire au niveau du réseau. C’est une approche valable pour les utilisateurs quels qu’ils soient : une entreprise, un particulier ou un enfant. Avec la crise Covid, le télétravail et ce qu’on appelle le « bring your own device », il devenait compliqué de protéger des appareils qui n’appartiennent pas à l’employeur.

SDBR News : Donc vous offrez une protection avant le « device » ?

Benoit Grunemwald: Absolument, nous anticipons la Menace par une protection au niveau du réseau et non pas uniquement sur l’appareil, notamment par l’analyse des endroits malveillants, à savoir les domaines, les URL et les emails. Quand l’utilisateur souhaite accéder à ses ressources via le réseau, nous pouvons les repérer via le DNS (Domain Name Server) et l’avertir s’il y a une menace. C’est non intrusif, contrairement à un outil préinstallé, l’utilisateur étant simplement averti et sensibilisé aux menaces. Nous avons donc créé une solution facile à utiliser et sans installation pour protéger le plus grand nombre d’internautes. La gamme s’appuie sur 3 offres complémentaires : ESET NetProtect for Mobile et ESET NetProtect for Mobile Advanced pour les réseaux mobiles ; ESET NetProtect for Home Advanced pour les réseaux fixes. Chaque utilisateur dispose de son propre portail d’administration pour gérer ses paramètres de protection. Ainsi, de manière optionnelle, il est possible de modifier le niveau de protection des appareils connectés, de gérer les domaines en liste blanche ou noire et de générer des rapports de sécurité. S’imbriquant aux processus d’activation existants, les solutions ne nécessitent aucune installation de logiciels sur les appareils des utilisateurs finaux et sont compatibles avec Android et iOS.

SDBR News : Pouvez-vous nous parler de l’attaque menée par Lazarus contre des sous-traitants des secteurs de l’Aérospatial et de la Défense ?

Benoit Grunemwald: Lors de la récente conférence annuelle ESET World, les chercheurs d’ESET ont présenté une nouvelle enquête sur l’attaque menée par le groupe APT Lazarus, à l’aide de WhatsApp et Linkedin, et visant des sous-traitants du secteur Aérospatial et Défense dans le monde entier, entre la fin 2021 et mars 2022. Selon la télémétrie d’ESET, Lazarus a ciblé des entreprises en Europe (France, Italie, Allemagne, Pays-Bas, Pologne et Ukraine) et en Amérique latine (Brésil) et a utilisé des services tels que LinkedIn et WhatsApp pour mener à bien de fausses campagnes de recrutement. Rappelons que, d’après le gouvernement américain, Lazarus est lié au régime nord-coréen. Pour faire le lien avec ce que nous disions auparavant, nous pouvons imaginer que le groupe Lazarus puisse cibler des utilisateurs en télétravail qui utilisent leurs appareils personnels. D’où l’intérêt de protéger le réseau des utilisateurs et d’analyser leur « surf ». Grâce à la « threat intelligence », nous avons la connaissance de tout ce qui est repéré comme malveillant sur la toile et nous pouvons mettre ces informations à disposition des opérateurs de téléphonie pour finalement protéger tout ce qui est connecté. Nous pouvons citer en exemple Orange Slovaquie avec qui nous avons signé un accord de protection de terminaux.

SDBR News : Quel est le mode opératoire du groupe Lazarus ?

Benoit Grunemwald: Bien que l’objectif principal de cette opération contre les secteurs Aérospatial et Défense ait été le cyber espionnage, le groupe a également tenté d’exfiltrer des sommes d’argent (sans succès). Dès 2020, les chercheurs d’ESET avaient déjà documenté une campagne menée par un sous-groupe de Lazarus contre les sous-traitants européens des secteurs de l’Aérospatial et de la Défense, appelée « Operation In(ter)ception ». Elle se démarquait par l’utilisation des réseaux sociaux, en particulier LinkedIn, pour établir une relation de confiance entre l’attaquant et un employé, avant de lui envoyer des composants malveillants déguisés en descriptions de poste ou en candidatures. A l’époque, des entreprises au Brésil, en République tchèque, au Qatar, en Turquie et en Ukraine avaient été visées. Les chercheurs d’ESET ont également noté la réutilisation d’éléments de campagnes de recrutement légitimes pour ajouter de la crédibilité à leurs campagnes de faux recrutements, ainsi que l’utilisation de services tels que WhatsApp ou Slack.

SDBR News : Faut-il comprendre que les pirates informatiques suivent la mode des réseaux sociaux ?

Benoit Grunemwald: Certainement. A chaque fois ou presque qu’une innovation apparait, elle contient de la donnée et un peu ou beaucoup d’intelligence artificielle. La combinaison d’usage privé par les réseaux sociaux et l’innovation des sous-traitants des secteurs Aérospatial & Défense offrent des cibles de choix pour le cyber espionnage ou pour l’espionnage industriel traditionnel. La chronologie des attaques identifiées dans les pays Européens démarre par une prise de contact sur WhatsApp, puis une fausse campagne de recrutement parfois appuyée sur de vraies campagnes de recrutement d’acteurs de la Défense ou autres, et création de faux comptes LinkedIn pour cibler des personnes de choix et établir le contact : envois de profils de postes et archives avec mot de passe ou fichiers PDF demandant une application supplémentaire. L’application supplémentaire aura été modifiée par l’attaquant pour rajouter du code malicieux et, lorsque la cible se plaint de ne pouvoir ouvrir le fichier, on lui envoie un lien qui complétera le phishing en déployant des chevaux de Troie… Toute l’astuce de la démarche consiste à créer la confiance au travers des réseaux sociaux.

SDBR News : Que faire contre ces attaques professionnelles ou d’Etats ?

Benoit Grunemwald: Nous sommes en présence d’un haut niveau de cyber espionnage qui va écarter les solutions de protection éventuelles de l’attaqué. Il convient donc d’avoir une vision large permettant de relever d’éventuels comportements malveillants avec du multicouche de protection. Il faut protéger non seulement l’outil professionnel mais aussi l’utilisateur lorsqu’il est chez lui. Nous avons un programme de sensibilisation des équipes de nos clients professionnels : le « Safe Employee Program » qui est un programme de mise à disposition des solutions grand public pour les utilisateurs internes de nos clients professionnels.  Il convient donc d’apporter à toutes ces innovations de la « privacy by design » ou de la « security by design » pour pouvoir protéger les données et donc pour protéger l’innovation. C’est le but futur d’ESET.

https://www.eset.com

A lire également: https://www.sdbrnews.com/sdbr-news-blog-fr/fic-2022nbsp-ldition-du-renouveau