Avec 35 millions de virus informatiques en magasin, C’est un lieu gardé comme une forteresse. Le laboratoire de haute sécurité (LHS) du LORIA (Laboratoire Lorrain de Recherche en Informatique et ses Applications) est un référent mondial en matière de cybersécurité. Il constitue la première force de recherche nationale dans ce domaine. Il est basé à Nancy.
Le LHS, laboratoire haute sécurité, est un outil très particulier. Un lieu super protégé, hébergé dans les locaux de l’INRIA et du LORIA à Nancy. Bien qu’à l’intérieur des locaux, il est totalement isolé du reste des infrastructures. Et pour cause, les chercheurs y traquent les virus informatiques de toutes sortes. Pour cela, ils ont créé ce qu’ils appellent un "pot de miel". En clair, un lieu virtuel qui fait croire aux cyberattaquants qu’ils sont la proie idéale. Leur base de données compte désormais 35 millions de malwares, des logiciels malveillants.
Des virus qui sont soigneusement étudiés et répertoriés pour des fins de recherche, mais pas seulement. Cela permet aux scientifiques de voir les tendances des attaques et comment elles ont été menées. Le laboratoire haute sécurité (LHS) a aussi installé ce qu’il appelle un télescope virtuel. Il voit passer les vagues de cyberattaques.
Au moment des élections américaines en 2016, le LHS a vu passer en direct des milliers d’attaques sur les serveurs américains. Quelques jours avant l’invasion de l’Ukraine par la Russie, le télescope s’est affolé.
Actuellement, le flux des cyberattaques ne varie pas trop en dépit du conflit qui a éclaté au Proche-Orient. "La situation est moins claire que lors de l’invasion en Ukraine. Il y a eu une activité. Mais il est très difficile de l’attribuer à quelqu’un. Il n’est pas possible de déterminer une source géographique", nous explique Jean-Yves Marion, professeur à l'Université de Lorraine, chercheur au Loria (CNRS, Inria) et membre de l'Institut universitaire de France. "On ne peut rien en déduire comme type d’information. On écoute de manière très large. De temps en temps, quand on a de la chance, on peut relier l’activité à un événement. Mais le plus souvent, c'est lié à une vulnérabilité qui a été découverte ou à un tas d’autres raisons."
Des attaques opportunistes
Les attaques sont de plus en plus nombreuses sur les collectivités, les hôpitaux et les entreprises. "Elles restent opportunistes", nous explique Jean-Yves Marion. "Il s’agit la plupart du temps de rançongiciels. Les attaquants vont bloquer les systèmes en cryptant les données. Ils récupèrent ces données. Ils veulent une rançon pour les libérer ou ils vont les revendre. Tout ce qui est vulnérable est attaqué. Il y a eu une attaque récente contre "23andme", une plateforme américaine d’analyse ADN. Le pirate a mis la main sur les données génétiques de millions d’utilisateurs." L'attaquant les a publiés sur un des plus gros forums d’échange sur le dark web, après un refus de la société de payer les 100 000 dollars qu’il réclamait.
En France, "de janvier 2022 à juin 2023, l’ANSSI (Agence nationale de la sécurité des systèmes d'information) a traité 187 incidents cyber, affectant les collectivités territoriales, soit une moyenne de 10 incidents par mois", nous apprend un document intitulé "synthèse de la menace ciblant les collectivités territoriales", en date du 23 octobre 2023. On peut aussi y lire : "les attaques à but lucratif représentent la principale menace cyber pour les collectivités territoriales. Quelle que soit leur taille, elles sont ciblées de façon opportuniste par l’ensemble des acteurs de l’écosystème cybercriminel. Les collectivités territoriales sont en effet des cibles de choix pour ces acteurs : souvent peu ou mal sécurisées, gestionnaires de systèmes d’information nombreux et disparates, elles peuvent éprouver des difficultés à maîtriser la cartographie de leurs réseaux et à les garder dans de bonnes conditions de sécurité."
Nos données de santé valent de l’or
Il y a les attaques opportunistes dans le but de récupérer une rançon contre l'arrêt du blocage des systèmes. Il y a aussi les attaques vers le nouvel eldorado des criminels du web que sont les données et en particulier les données de santé.
"Les données de santé, on en collecte beaucoup, explique Jean-Yves Marion, les hôpitaux, les laboratoires d’analyses, mais aussi nous-mêmes avec notre smartphone pour ceux qui enregistrent le nombre de pas dans une journée, etc. Ces données ont une valeur. Une donnée de santé vaut en moyenne 250 euros. Si vous êtes en bonne santé, elle ne vaut rien. Si vous êtes malade, ça commence à valoir quelque chose. Il y a de grosses entreprises qui s’intéressent à ces données, car il y a un marché. L’intelligence artificielle permet aujourd’hui des diagnostics, des indications thérapeutiques personnalisées, une médecine prédictive. Beaucoup d’acteurs sont intéressés comme les Data Brokers. Eux vont acheter légalement ces données de santé auprès des pharmacies, mais pas que. Ils vont les traiter, les analyser pour les revendre à d’autres. La question est à qui appartiennent ces données de santé ?"
"Pour protéger nos données, il y a deux questions à se poser : où sont stockées ces données ? Quand je donne, est-ce que je suis certain de ne donner que le strict nécessaire ? Les données de santé ont de la valeur donc elles intéressent les criminels. Onze gigaoctets de données ont été dérobés à l’hôpital de Corbeil-Essonnes en septembre 2022", poursuit le chercheur au Loria.
Prédire et éviter les cyberattaques
Plusieurs jeunes entreprises sont nées du laboratoire haute sécurité. Cyber-Detect, par exemple, a développé une solution appelée Gorille. Grâce à l’analyse morphologique des malwares, le logiciel détecte les virus et tous leurs dérivés qui portent la même signature. Car comme en biologie, certains virus sont des mutants. Les cyberattaquants les font varier pour tromper les antivirus.
Cybi est la dernière-née des entreprises issues du LHS. Elle est encore hébergée dans les locaux. L’outil qu’elle développe, Skuba, est lui basé sur l’intelligence artificielle. L’équipe est partie d’un constat simple. De plus en plus, les attaquants utilisent les objets connectés peu sécurisés pour rebondir et s’introduire dans les systèmes, une caméra de surveillance ou même la machine à café si elle est connectée. Skuba va analyser et prédire tous les chemins d’attaque, toutes les vulnérabilités de l’entreprise et proposer des solutions pour éviter que ces objets connectés ne permettent aux pirates de pénétrer le système.
Une autre jeune pousse verra bientôt le jour. Elle s'intéresse au vote électronique.
Avec son Laboratoire de Haute Sécurité (LHS), le LORIA (Laboratoire Lorrain de Recherche en Informatique et ses Applications – CNRS, Inria, Université de Lorraine) est un référent mondial en matière de Cybersécurité. Il constitue la première force de recherche nationale dans ce domaine.
Ce jeudi 26 octobre 2023 se tiendront à Nancy, au Centre de Congrès Prouvé, les Assises universitaires Droit et Cybersécurité. Des professeurs d’université, des "responsables cyber", le directeur des technologies et de l’innovation à la CNIL, sous-directeur de la lutte contre la cybercriminalité à la DCPJ (direction nationale de la police judiciaire) et d’autres débâteront toute la journée autour des enjeux de la cybersécurité.