Les élections américaines de 2020 menacées par les réseaux de zombies
La date du 3 novembre, jour de l'élection présidentielle américaine, approche à grands pas, et l'imminence d'attaques basées sur Windows semble évidente. D'ailleurs, il n'est pas impossible que leur préparation ait probablement commencé. Alors, les graines du chaos ont-elles déjà été semées ?
Si une cyber-attaque ciblant l'élection présidentielle américaine de 2020 réussit le 3 novembre prochaine, il y a fort à parier que son succès sera en partie lié à Windows. Le système de Microsoft est en effet le vecteur d'attaque le plus exposé au monde et l'arme de prédilection des cybercriminels et des agences de renseignements du monde entier. En outre, les plus grands réseaux de zombies mondiaux sont constitués de millions de PC sous Windows infectés utilisés pour lancer des cyberattaques. Certains signes indiquent que des attaques basées sur Windows seraient imminentes, à moins qu'elles n'aient déjà commencé. La bonne nouvelle, c'est que les agences américaines de lutte contre les cyberattaques font déjà la chasse à des intrus potentiels et Microsoft vient de faire tomber le plus grand botnet du monde. Cependant, les votes en cours et la date du 3 novembre approchant à grands pas, il y a de quoi s'inquiéter, d'autant que la vague d'attaques pouvant cibler les élections américaines de cette année est différente des autres attaques lancées auparavant.Voici ce que l'on doit savoir et ce à quoi on peut s'attendre à quelques jours du scrutin.
Les machines à voter, le dépouillement des bulletins de vote ne sont pas la cible
Tout d'abord, rappelons un peu le contexte. Les agences de renseignement, les entreprises de sécurité et les chercheurs pensent que les cyberattaques de ces élections ne viseront probablement pas directement les machines de vote ou le processus de comptage des votes. L'élection présidentielle est une élection fédérale dans le sens où les Américains votent pour le candidat à une fonction fédérale. Le vote proprement dit se déroule circonscription par circonscription, et en pratique, aucun moyen ne permet de falsifier les votes au niveau de chaque circonscription. Selon les professionnels de la sécurité, les attaquants vont plutôt chercher à utiliser un ransomware basé sur Windows pour atteindre d'autres cibles liées au vote, l'objectif étant de semer le chaos électoral dans de nombreux États et municipalités, pour perturber le vote, compliquer le décompte des résultats et empêcher le déroulement d'une élection équitable. D'après le New York Times, c'est le pire scénario qui hante les fonctionnaires fédéraux : « Les jours précédant l'élection, ou juste après l'élection, des groupes vont essayer, en diffusant des ransomwares, de bloquer l'accès aux données d'enregistrement des électeurs, aux registres de vote ou aux systèmes informatiques des secrétaires d'État qui doivent certifier les résultats des élections ». Si les données d'enregistrement et les registres électoraux sont inaccessibles, les gens ne pourront pas voter. Et pire encore, l'article du New York Times explique encore que « le soir des élections, ce serait le moyen le plus rapide et le plus efficace de créer le doute sur les résultats même si le vote lui-même est exempt de fraude ».
Des attaques peut-être déjà en cours
Les experts en sécurité craignent que les tentatives d'intrusions ne ciblent déjà les systèmes afin de lancer des attaques le jour des élections ou peu avant. Ils rappellent à ce propos que, fin septembre, le système de Tyler Technologies utilisé par les responsables électoraux du pays pour agréger et communiquer les votes, avait été attaqué. Les ransomwares basés sur Windows inquiètent particulièrement les fonctionnaires fédéraux et les professionnels de la sécurité. Typiquement, une attaque par ransomware permet aux pirates d'empêcher les entreprises et les gouvernements d'utiliser leurs propres systèmes en verrouillant les données et en les rendant inaccessibles. L'attaquant promet en théorie de libérer les données et les systèmes après paiement de la rançon. Mais, comme cela arrive cependant, les attaquants pourraient ne pas déverrouiller les données et les systèmes et empêcher leur accès, même en cas de paiement de la rançon, mettant en péril les élections. Et ils n'ont même pas besoin de faire tomber tout le système pour arriver à ce résultat. En cas d'attaques - même mineures et sporadiques qui n'affectent pas les résultats - un candidat pourrait prétendre que l'élection était frauduleuse et refuser d'en accepter le résultat. Il y a de bonnes raisons de craindre que des attaques par ransomware viendront perturber ces élections. Le NYT alerte sur le fait que, « selon Emsisoft, une entreprise de sécurité qui surveille les tentatives d'intrusion, au cours des 18 derniers mois, il n'y a jamais autant d'attaques de ransomwares menées par des cybercriminels, principalement basés en Russie et en Europe de l'Est, ayant pour cible le secteur public américain ».
Faire tomber le botnet Trickbot
Trickbot, considéré comme le plus grand botnet au monde, a particulièrement inquiété les responsables des services de renseignement et les chercheurs en sécurité américains. Les millions de PC sous Windows infectés de ce botnet sont utilisés pour installer silencieusement des ransomwares sur les machines Windows. Une fois le malware installé, les pirates n'ont pas besoin de mener leur attaque immédiatement. Ils peuvent maintenir le malware en veille et l'activer pour lancer des attaques quand ils le souhaitent, et dans le cas présent, ce serait juste avant ou pendant les élections. Á partir de la fin du mois de septembre, l'U.S Cyber Command a lancé une série d'attaques contre le botnet Trickbot. Au cours de ces attaques, le commandement chargé de la sécurité de l'information pour le Département de la Défense a envoyé de nouveaux fichiers de configuration aux PC infectés du réseau Trickbot, pour remplacer ceux utilisés par les pirates. Les pirates utilisent en effet des fichiers de configuration pour indiquer à l'armée de PC de Trickbot à quelle adresse Internet ils doivent télécharger les mises à jour de malwares sous Windows. Les nouveaux fichiers de configuration envoyés par le Cyber Command « indiquaient à tous les systèmes infectés par Trickbot que leur nouveau serveur de contrôle de malware se trouvait à l'adresse 127.0.0.1, une adresse « localhost » inaccessible sur l'Internet public », a expliqué le site Krebs on Security. Résultat : tous les PC ayant reçu ce fichier de configuration ne pouvaient plus être contrôlés par le botnet.
L'U.S Cyber Command a également lancé d'autres attaques contre Trickbot. Une autre vague de contre-mesures contre Trickbot, lancée cette fois par Microsoft avec le concours de FS-ISAC, ESET, Lumen, NTT et Symantec semble avoir été plus efficace. Et, le botnet semble avoir été mis hors d'état de nuire, mais ce ne pourrait être que temporaire et sa capacité à faire des dégâts revenir. , a été plus efficace. La firme de Redmond « a demandé à un tribunal fédéral de Virginie d'obliger les fournisseurs d'hébergement web à mettre hors ligne les opérateurs de TrickBot, arguant que les cybercriminels violaient le Digital Millennium Copyright Act des États-Unis en utilisant le code de Microsoft à des fins malveillantes », toujours selon le Times. Simultanément, d'après un message posté sur un blog par Tom Burt, vice-président de Microsoft pour la sécurité et la confiance des clients, Microsoft a pris et exécuté une « mesure technique en partenariat avec les opérateurs télécoms du monde entier ». Cette action a permis de « désactiver les adresses IP, de rendre inaccessible le contenu stocké sur les serveurs de commande et de contrôle, de suspendre tous les services aux opérateurs du botnet, et de bloquer toute tentative des opérateurs de Trickbot d'acheter ou de louer des serveurs supplémentaires ».
D'autres réseaux de zombies toujours actifs
Par conséquent, selon Microsoft, grâce à cette initiative « les infrastructures clés ont été bloquées de sorte que les opérateurs de Trickbot ne pourront plus lancer de nouvelles campagnes d'infection ou activer des ransomwares déjà déposés dans les systèmes informatiques ». En d'autres termes, pour l'instant, au moins, Trickbot est mort. Bien sûr, cela ne met pas fin à toutes les menaces et d'autres réseaux de zombies toujours actifs pourraient être utilisés pour tenter de perturber les élections. Mais, si les élections sont perturbées de cette manière ou pas, une chose est sûre : Windows est au coeur de la sécurité - ou de l'insécurité - des élections. Espérons que dans quelques semaines, nous parlerons de gagnants et de perdants, et non de botnets, de fichiers de configuration et de chaos post-électoral.