Alors que certains s’efforcent de trouver un remède à la pandémie mondiale, les services de renseignement occidentaux ont mis au jour plusieurs tentatives de vol de données entourant les vaccins en cours de développement. Selon les experts en cybersécurité, ces actes malveillants sont réalisés sous l’égide de la Chine, la Russie, l’Iran et la Corée du Nord.
Les pirates informatiques impliqués tentent notamment d’obtenir au plus vite les résultats des derniers essais et d’autres informations sensibles concernant la production de masse des futurs vaccins. Depuis le début de la pandémie, partout dans le monde, des centaines de sociétés pharmaceutiques et autres organisations de santé ont été les cibles de cyberattaques ; plusieurs hôpitaux ont notamment été victimes de ransomware. L’une de ces attaques a même indirectement conduit à la mort d’une patiente, en Allemagne.
Alors que plusieurs vaccins sont sur le point d’être approuvés, le phénomène s’est intensifié. Les agences de renseignement évoquent une véritable guerre mondiale, une « guerre de propriété intellectuelle ». Adam Meyers, vice-président senior chez Crowdstrike, spécialiste de la sécurité informatique, a déclaré que des pays comme la Russie et la Chine se sont lancés dans le piratage d’entreprises occidentales il y a vingt ans déjà, mais depuis le mois de mars, ils « se sont concentrés sur un seul sujet », autrement dit, la COVID-19.
Une question de fierté nationale
Depuis des mois, les laboratoires du monde entier sont sur le pied de guerre. Les annonces récentes de Pfizer/BioNTech, Moderna et AstraZeneka/Oxford — à qui donnera le plus gros pourcentage d’efficacité — donnent à ces dernières semaines un air de « sprint final » après ces mois de recherche. Un sprint dont on ne connaît pas encore le vainqueur. Le numéro un bénéficiera de retombées économiques exceptionnelles ; mais selon Adam Meyers, il ne s’agit pas que de cela : « les enjeux sont bien plus importants pour les personnes impliquées. C’est devenu une question de fierté nationale ». Après tout, il est quasiment question de « sauver le monde »…
Devenir la première nation à proposer le vaccin, voilà un titre que beaucoup convoitent ; d’où la recrudescence des tentatives de vol de données. Mais le sujet est particulièrement délicat. Malgré les cyberattaques qu’ils subissent, les gouvernements occidentaux demeurent réticents à accuser l’un ou l’autre pays, principalement par crainte de répercussions diplomatiques. De leur côté, les pays pointés du doigt nient en bloc toute implication dans ces actes de piratage.
La Russie a ainsi déclaré qu’elle n’avait « aucune connaissance » de ces tentatives. Idem du côté de l’Iran qui nie s’être engagé dans une telle cyberguerre. La Chine, quant à elle, a déclaré qu’elle n’avait aucun intérêt à se livrer à de tels actes : « La recherche et le développement de la Chine sur les vaccins anti-COVID-19 sont en avance sur les autres pays. Nous n’avons pas besoin de voler ce que font les autres pour avoir accès à un vaccin », a déclaré Wang Wenbin, porte-parole du ministère chinois des Affaires étrangères.
Les experts en sécurité informatique affirment pourtant le contraire. Selon eux, dans les faits, les groupes de pirates « parrainés » par un gouvernement ont généralement des liens avec des agences nationales d’espionnage ou de défense. Cette année, le National Cyber Security Center du Royaume-Uni a ainsi déclaré que des laboratoires de recherche sur les vaccins anti-COVID étaient ciblés au Royaume-Uni, aux États-Unis et au Canada par des pirates informatiques du groupe Cozy Bear — un groupe de pirates lié aux renseignements russes, notamment le FSB (le successeur du KGB soviétique).
Dès le mois de mai déjà, des pirates informatiques liés à l’Iran ont été accusés d’avoir tenté de voler des données au fabricant de médicaments américain Gilead Research, alors que la société travaillait sur un traitement contre la COVID-19 ; ces derniers ont pour cela utilisé une fausse page de connexion par e-mail, pour inciter certains membres du personnel à leur donner accès aux systèmes de l’entreprise (une tentative de phishing en somme).
En septembre, le quotidien espagnol El País rapportait que des pirates chinois avaient attaqué à plusieurs reprises des entreprises du secteur de la santé et de la pharmacie. Le Centre national du renseignement espagnol (CNI) faisait alors état d’une « campagne particulièrement virulente » contre les laboratoires, et pas seulement en Espagne. Paz Esteban, chef du CNI, soulignait par ailleurs que le travail à distance de nombreuses personnes — imposé par la situation sanitaire — avait malheureusement augmenté l’exposition aux cyberattaques.
La situation a également été signalée par Tom Burt, vice-président du département sécurité et confiance client chez Microsoft, qui a déclaré au début du mois dans un communiqué que l’entreprise avait « détecté des cyberattaques de la part de trois acteurs des États-nations ciblant sept sociétés de premier plan, directement impliquées dans la recherche de vaccins et de traitements contre la COVID-19 ». Selon la firme, les cibles comprennent des sociétés pharmaceutiques et des chercheurs situés au Canada, en France, en Inde, en Corée du Sud et aux États-Unis. Ces attaques sont issues du groupe de hackers russes Strontium (aussi nommé Fancy Bear, APT28, Pawn Storm parmi d’autres alias), et de deux groupes originaires de Corée du Nord, nommés Zinc (alias Lazarus Group) et Cerium.
Des techniques diverses pour voler des informations
Ces attaques diverses sont-elles parvenues à leurs fins ? Des sources britanniques ont affirmé qu’aucun acte de piratage envers le Royaume-Uni n’avait abouti — même si, en réalité, ceci reste impossible à prouver. Étant donné la fréquence des attaques et les niveaux de sécurité très variables d’une entreprise à l’autre, il est fort probable au contraire que plusieurs de ces attaques aient atteint tout ou partie de leur objectif.
Ces dernières semaines, la menace n’a fait que croître, principalement axée sur les méthodes de production et les données liées au succès des différents essais de candidats-vaccins. Les sociétés pharmaceutiques sont bien sensibilisées au risque et disposent généralement de ressources suffisantes pour se défendre contre les cyberattaques. En revanche, certaines institutions universitaires ne sont pas aussi bien préparées à ce genre de scénario. « Parfois, les chercheurs sont assez surpris lorsque vous leur dites ce qui peut se passer », constate un spécialiste de la sécurité informatique.
Une attaque typique est appelée « pulvérisation de mots de passe », utilisée notamment par les hackers russes. Elle consiste à tester les mots de passe les plus courants (« 123456 », « coucou2020 », « motdepasse », etc.) sur un certain nombre de comptes et services différents pour accéder à un maximum de données sensibles. À savoir que ce type d’attaque échappe à la plupart des techniques de détection, car du point de vue d’un utilisateur, cela ressemble simplement à un échec de connexion isolé. Il est pourtant simple de l’éviter, mais combien de personnes, aujourd’hui encore, ne font pas l’effort de choisir un mot de passe à haut degré de sécurité ?
Le « spear phishing » est une attaque un peu plus sophistiquée, employée par les groupes Zinc et Cerium. Elle consiste à créer des mails personnalisés, invitant le destinataire à cliquer sur un lien qui installera un code malveillant dans le système de l’entreprise. Les messages interceptés par les experts en sécurité de chez Microsoft prenaient par exemple la forme d’une offre de recrutement ou bien étaient soi-disant envoyés par des représentants de l’Organisation mondiale de la santé. De la même façon, un groupe de hackers lié à la Chine a tenté de recruter des scientifiques via LinkedIn ; une fois le dialogue engagé, il est relativement aisé d’obtenir des informations pouvant conduire à une attaque par phishing.
À ce jour, aucune attaque de type ransomware — où la cible doit verser une somme d’argent pour pouvoir reprendre le contrôle de ses systèmes et ses données — n’a en revanche été utilisée pour soutirer les données entourant les futurs vaccins. Il apparaît qu’une fois entrés dans le système, les hackers se focalisent sur le vol et l’exfiltration des données, sans pour autant nuire au système en place.
Tout comme Martin McKee, professeur de santé publique à la London School of Hygiene and Tropical Medicine, on pourrait se demander pourquoi certains États essaient de voler des données, alors que tant d’informations et de résultats de recherche autour de la COVID-19 sont publiés dans le domaine public. En réalité, certains pays accordent tout simplement une grande importance au développement de leurs capacités de piratage et par conséquent, aiment les déployer. « Ces personnes le font simplement parce qu’elles le peuvent», conclut McKee.