En janvier 2010, Google a révélé avoir été victime d'une cyberattaque sophistiquée en provenance de Chine. Les attaquants ont ciblé le réseau d'entreprise de Google, ce qui a entraîné un vol de propriété intellectuelle et l'accès aux comptes Gmail de militants des droits de l'homme. Outre Google, l'attaque a également ciblé plus de 30 entreprises des secteurs de la fintech, des médias, d'Internet et de la chimie.

Ces attaques ont été menées par le groupe chinois Elderwood et plus tard qualifiées par les experts en sécurité d'opération Aurora. Alors que s'est-il réellement passé? Comment a-t-il été réalisé? Et quelles ont été les suites de l'opération Aurora ?

Qu'est-ce que l'opération Aurora ?

L'opération Aurora était une série de cyberattaques ciblées contre des dizaines d'organisations, dont Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace et Dow Chemicals, entre autres. Google a d'abord partagé les détails des attaques dans un article de blog affirmant qu'il s'agissait d'attaques parrainées par l'État.

instagram viewer

Peu de temps après l'annonce de Google, plus de 30 autres entreprises ont révélé que le même adversaire avait piraté leurs réseaux d'entreprise.

Le nom des attaques provient de références dans le logiciel malveillant à un dossier nommé "Aurora" trouvé par les chercheurs de MacAfee sur l'un des ordinateurs utilisés par les attaquants.

Comment l'attaque a-t-elle été menée ?

Cette opération de cyber-espionnage a été initiée à l'aide du technique de harponnage. Initialement, les utilisateurs ciblés recevaient une URL malveillante dans un e-mail ou un message instantané qui déclenchait une série d'événements. Lorsque les utilisateurs cliquaient sur l'URL, cela les dirigeait vers un site Web qui exécutait d'autres codes JavaScript malveillants.

Le code JavaScript exploitait une vulnérabilité dans Microsoft Internet Explorer qui était assez inconnue à l'époque. De telles vulnérabilités sont souvent appelés "exploits zero-day".

L'exploit zero-day a permis à des logiciels malveillants de s'exécuter dans Windows et de mettre en place une porte dérobée permettant aux cybercriminels de prendre le contrôle du système et voler les informations d'identification, la propriété intellectuelle ou quoi que ce soit d'autre en cherchant.

Quel était le but de l'opération Aurora ?

L'opération Aurora était une attaque hautement sophistiquée et réussie. Mais les véritables raisons de l'attaque restent floues. Lorsque Google a dévoilé la bombe Aurora, il a déclaré les raisons et les conséquences suivantes :

  • Vol de propriété intellectuelle : Les attaquants ont ciblé l'infrastructure de l'entreprise, ce qui a entraîné un vol de propriété intellectuelle.
  • Cyber-espionnage : Il a également déclaré que les attaques faisaient partie d'une opération de cyberespionnage qui tentait d'infiltrer les comptes Gmail de dissidents chinois et de militants des droits de l'homme.

Cependant, quelques années plus tard, un directeur principal de Institut de technologie avancée de Microsoft a déclaré que les attaques visaient en fait à sonder le gouvernement américain, pour vérifier s'il avait découvert l'identité d'agents chinois infiltrés exerçant leurs fonctions aux États-Unis.

Pourquoi l'opération Aurora a-t-elle attiré autant d'attention ?

L'opération Aurora est une cyberattaque largement discutée en raison de la nature des attaques. Voici quelques points clés qui le distinguent :

  • Il s'agissait d'une campagne très ciblée dans laquelle les attaquants disposaient de renseignements approfondis sur leurs cibles. Cela pourrait faire allusion à l'implication d'une organisation plus large et même d'acteurs de l'État-nation.
  • Les cyberincidents se produisent tout le temps, mais de nombreuses entreprises n'en parlent pas. Pour une entreprise aussi sophistiquée que Google, sortir et le divulguer en public est un gros problème.
  • De nombreux experts en sécurité tiennent le gouvernement chinois responsable des attaques. Si les rumeurs sont vraies, alors vous avez une situation dans laquelle un gouvernement attaque des entreprises d'une manière jamais exposée auparavant.

Les conséquences de l'opération Aurora

Quatre mois après les attentats, Google a décidé de mettre fin à ses activités en Chine. Il a mis fin à Google.com.cn et redirigé tout le trafic vers Google.com.hk, une version de Google pour Hong Kong, car Hong Kong maintient des lois différentes de celles de la Chine continentale.

Google a également restructuré son approche pour atténuer les risques que de tels incidents se reproduisent. Il a mis en œuvre le architecture de confiance zéro appelé BeyondCorp, qui s'est avéré être une bonne décision.

De nombreuses entreprises fournissent inutilement des privilèges d'accès élevés, ce qui leur permet d'apporter des modifications au réseau et de fonctionner sans restrictions. Ainsi, si un attaquant trouve un moyen d'accéder à un système avec des privilèges de niveau administrateur, il peut facilement abuser de ces privilèges.

Le modèle de confiance zéro fonctionne sur le principes d'accès au moindre privilège et la nano-segmentation. C'est une nouvelle façon d'établir la confiance dans laquelle les utilisateurs peuvent accéder uniquement aux parties d'un réseau dont ils ont vraiment besoin. Ainsi, si les informations d'identification d'un utilisateur sont compromises, les attaquants ne peuvent accéder qu'aux outils et applications disponibles pour cet utilisateur particulier.

Plus tard, de nombreuses autres entreprises ont commencé à adopter le paradigme de la confiance zéro en réglementant l'accès aux outils et applications sensibles sur leurs réseaux. L'objectif est de vérifier chaque utilisateur et d'empêcher les attaquants de causer des dommages étendus.

Défense contre l'opération Aurora et les attaques similaires

Les attaques de l'opération Aurora ont révélé que même les organisations disposant de ressources importantes comme Google, Yahoo et Adobe peuvent toujours être victimes. Si les grandes entreprises informatiques disposant d'un financement énorme peuvent être piratées, les petites entreprises disposant de moins de ressources auront du mal à se défendre contre de telles attaques. Cependant, l'opération Aurora nous a également appris certaines leçons importantes qui peuvent nous aider à nous défendre contre des attaques similaires.

Attention à l'ingénierie sociale

Les attaques ont mis en évidence le risque de l'élément humain dans la cybersécurité. Les humains sont les principaux propagateurs d'attaques et la nature de l'ingénierie sociale consistant à cliquer sur des liens inconnus n'a pas changé.

Pour s'assurer que les attaques de type Aurora ne se reproduisent plus, les entreprises doivent revenir à la bases de la sécurité de l'information. Ils doivent éduquer les employés sur les pratiques de sécurité en matière de cybersécurité et sur la manière dont ils interagissent avec la technologie.

La nature des attaques est devenue si sophistiquée que même un professionnel de la sécurité chevronné a du mal à distinguer une bonne URL d'une malveillante.

Utiliser le chiffrement

Les VPN, les serveurs proxy et plusieurs couches de cryptage peuvent être utilisés pour masquer les communications malveillantes sur un réseau.

Pour détecter et empêcher les communications d'ordinateurs compromis, toutes les connexions réseau doivent être surveillées, en particulier celles sortant du réseau de l'entreprise. L'identification d'une activité réseau anormale et la surveillance du volume de données sortant d'un PC peuvent être un bon moyen d'évaluer sa santé.

Exécuter la prévention de l'exécution des données

Une autre façon de minimiser les menaces de sécurité consiste à exécuter la prévention de l'exécution des données (DEP) sur votre ordinateur. DEP est une fonction de sécurité qui empêche l'exécution de scripts non autorisés dans la mémoire de votre ordinateur.

Vous pouvez l'activer en allant sur Système et sécurité > Système > Paramètres système avancés dans le Panneau de configuration.

L'activation de la fonction DEP rendra plus difficile pour les attaquants de mener des attaques de type Aurora.

Aurora et la voie à suivre

Le monde n'a jamais été aussi exposé aux risques d'attaques parrainées par l'État qu'aujourd'hui. Étant donné que la plupart des entreprises s'appuient désormais sur une main-d'œuvre distante, le maintien de la sécurité est plus difficile que jamais.

Heureusement, les entreprises adoptent rapidement l'approche de sécurité zéro confiance qui fonctionne sur le principe de ne faire confiance à personne sans vérification continue.

Démystifié: 6 mythes sur la sécurité Zero Trust

Le modèle Zero Trust est un moyen efficace de limiter les violations de données, mais il existe trop d'idées fausses sur sa mise en œuvre.

Lire la suite

PartagerTweeterE-mail
Rubriques connexes
  • Sécurité
  • La cyber-sécurité
  • Cyber ​​guerre
  • Google
  • Sécurité en ligne
A propos de l'auteur
Fawad Ali (30 articles publiés)

Fawad est ingénieur en informatique et communication, entrepreneur en herbe et écrivain. Il est entré dans l'arène de la rédaction de contenu en 2017 et a travaillé avec deux agences de marketing numérique et de nombreux clients B2B et B2C depuis lors. Il écrit sur la sécurité et la technologie au MUO, dans le but d'éduquer, de divertir et d'engager le public.

Plus de Fawad Ali

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner