Alors que la première journée de Black Hat USA 2022 touchait à sa fin, quelqu'un m'a demandé : « Qu'avez-vous retenu de la conférence d'aujourd'hui ?’ » Il y a eu plusieurs présentations intéressantes, et comme prévu, un certain nombre d'entre elles ont détaillé la cyberguerre en Ukraine, notamment la présentation de Robert Lipovsky et Anton Cherepanov d'ESET - Industroyer2: Sandworm’s Cyberwarfare Targets Ukraine’s Power Grid Again.
Mais il y a un moment qui m'a le plus marqué, un simple moment où toutes les mentions de l'Ukraine et l'analyse détaillée des cyberincidents que le pays a subis ont été mises en perspective. Juan Andres Guerrero et Thomas Hegel de SentinelOne ont présenté Real ‘Cyber War’: Espionage, DDoS, Leaks, and Wipers in the Russian Invasion of Ukraine, une chronologie détaillée des cyberattaques liées au conflit. Comme toutes les présentations relatives à la guerre, celle-ci s'est ouverte devant une salle pleine de plus d'un millier de participants ; Juan a cliqué sur la première diapositive et a rappelé à l'auditoire que si nous sommes ici pour parler des cyberattaques liées à la guerre, nous ne devons pas oublier qu'il y a une guerre - une vraie guerre - qui se déroule dans la rue et qui affecte la vie des gens.
Ce moment a été un rappel brutal que si le secteur de la cybersécurité est uni pour stopper les attaques en Ukraine, nous le faisons à distance alors que des personnes sont sur le terrain dans une véritable zone de guerre. Le reste de la présentation de Juan et Thomas était une chronologie fascinante des attaques et de la façon dont de nombreuses entreprises et organisations de cybersécurité se sont réunies pour fournir une coopération sans précédent, y compris le partage de la recherche et des renseignements. Une diapositive énumère les principaux contributeurs : CERT-UA, United States Cyber Command, Cybersecurity and Infrastructure Security Agency (CISA), SentinelLabs, Microsoft Threat Intelligence Center, TALOS, Symantec, Mandiant, Inquest Labs, red canary et ESET. Cette liste montre comment des entreprises qui se font normalement concurrence sont unies dans cette mission, et même dans des conditions normales - si tant est qu'il y en ait dans le secteur de la cybersécurité - travaillent ensemble pour maintenir l'environnement numérique sur lequel nous comptons sûr et accessible.
La présentation d'ESET faite par Robert et Anton détaillait la récente tentative des attaquants connus sous le nom de Sandworm, un groupe qui est attribué par les cyberagences de différents pays, y compris le CISA américain et le NCSC britannique, comme faisant partie du GRU russe, de déclencher une cyberattaque contre l'infrastructure électrique. Les efforts combinés et la connaissance des attaques précédentes contre les systèmes de contrôle industriel (ICS) utilisés dans les centrales électriques ont permis aux cyberdéfenseurs de la compagnie d'électricité, du CERT-UA et aux experts d'ESET de déjouer l'attaque potentielle. Cette attaque, connue sous le nom d'Industroyer2, est l'une des nombreuses attaques visant à provoquer des perturbations et des destructions, et démontre que les cyberattaques ont désormais atteint un niveau de maturité tel qu'elles constituent un atout, une arme, à la disposition de ceux qui souhaitent faire la guerre.
En résumé, ce que je retiens de cette journée, c'est la fierté d'être membre du secteur de la cybersécurité et, surtout, la nécessité de reconnaître et de remercier les équipes de cyberdéfense dévouées qui se sont mobilisées pour protéger les systèmes et les infrastructures contre un agresseur.