Pour compromettre les e-mails, il suffit d’hameçonnage d’informations d’identification, de piratage psychologique et d’acharnement pur et simple.
Analyste senior en veille des menaces, Veille des menaces Microsoft
À l’origine, Simeon Kakpovi voulait devenir médecin, mais il s’est vite rendu compte que telle n’était pas sa vocation. « J’ai changé plusieurs fois de spécialité et j’ai fini par m’orienter vers l’informatique. J’ai choisi la cybersécurité parce que mes mentors travaillaient dans ce domaine. »
Alors qu’il était en deuxième année à l’université Howard, il a suivi des cours de cybersécurité supplémentaires dans un établissement d’enseignement supérieur local, ce qui l’a finalement conduit à participer au Lockheed Martin Cyber Analyst Challenge. « On a reçu une clé USB contenant 80 gigaoctets de données. La suite de l’histoire est l’une des plus funs que j’aie jamais vécues. »
Les participants devaient analyser une cyberintrusion complète à partir de la capture de paquets et de fichiers mémoire. « C’est ce qui m’a permis de prendre conscience de la globalité de la cybersécurité et de me dire que j’aimerais bien en faire mon métier. »
Cela l’a conduit à effectuer un stage chez Lockheed Martin et à collaborer à la création de KC7, un jeu de sensibilisation à la cybersécurité. « On enseigne souvent la cybersécurité à l’aide d’acronymes et de concepts flous, faute d’avoir accès à des données concrètes. Cette situation crée un problème circulaire, car on ne peut pas acquérir les compétences avant d’avoir obtenu d’emploi, mais on ne peut pas obtenir d’emploi si l’on n’a pas les compétences. »
Aujourd’hui, Simeon dirige l’équipe d’analystes de Microsoft qui suit plus de 30 groupes iraniens. Bien que leurs motivations et leurs activités soient différentes, Simeon note que tous les acteurs iraniens partagent un trait commun : la ténacité.
« Ce que nous constatons systématiquement, c’est que l’Iran est persévérant et patient, prêt à consacrer des efforts, du temps et des ressources à la compromission de ses cibles. Les acteurs liés à l’Iran nous rappellent que pour réussir, il n’est pas nécessaire de recourir à une vulnérabilité exploitant une faille de sécurité de type zero-day, ni à des techniques offensives inédites. Pour compromettre les e-mails, il suffit d’hameçonnaged’informations d’identification, de piratage psychologiqueet à d’acharnement pur et simple. »
« Le piratage psychologique n’est pas toujours aussi simple qu’il y paraît. Au cours de campagnes de piratage psychologique, nous avons vu des acteurs de la menace exploiter les informations personnelles que les gens révèlent à leur sujet sur les réseaux sociaux . »
Par exemple, Crimson Sandstorm utilise de faux profils de réseaux sociaux (des « pots de miel ») ciblant des individus en fonction des emplois qu’ils ont listés sur leur profil LinkedIn. Puis, en l’espace de quelques mois, il tente d’établir des relations amoureuses, en exploitant les informations recueillies sur les profils publics pour instaurer un climat de confiance, et finit par envoyer à ses cibles des fichiers malveillants déguisés en vidéos ou en sondages. Mais comme ces relations se sont développées sur un temps long, les cibles sont plus susceptibles d’ignorer les alertes de sécurité lorsqu’elles ouvrent les fichiers.
Simeon remarque qu’un large éventail de raisons motive les acteurs iraniens de la menace. « Quand on suit Mint Sandstorm et les attaques contre les agences travaillant avec les gouvernements, la politique nucléaire est parfois le facteur déterminant. Dans le cas des groupes de réflexion ou des établissements universitaires, c’est la publication d’informations critiques à l’égard du gouvernement iranien qui peut susciter l’ire de tel ou tel groupe d’acteurs de la menace. Cela laisse supposer qu’ils connaissent le positionnement politique des États-Unis ou d’autres pays occidentaux en termes et qu’ils ciblent des individus qui possèdent des informations utiles à leur gouvernement. »
Suivez la Sécurité Microsoft