Le Comité international de la Croix Rouge (CICR) vient de communiquer de nouveaux détails sur la cyberattaque dont il a été victime. Des éléments qui décrivent une attaque ciblée, et probablement orchestrée par un acteur étatique.

Un mois après les faits, les circonstances de l’attaque informatique contre le Comité international de la Croix Rouge (CICR) se précisent. Le 19 janvier 2022, l’ONG avait reconnu que les données sensibles de 515 000 personnes « très vulnérables » ont été dérobées à un de ses sous-traitants suite à une cyberattaque.

Ces victimes, dont les informations ont été volées, sont particulièrement vulnérables : des enfants séparés de leurs familles, des prisonniers, des réfugiés qui ont dû fuir des conflits armés ou des catastrophes naturelles. Dans un nouveau communiqué diffusé ce 16 février 2022, Robert Mardini, le directeur général du CICR, partage les conclusions d’un mois d’analyse de l’incident. Elles décrivent une attaque de haut vol.

Des hackers de niveau étatique

Depuis le début de cet incident, l’ONG fait preuve d’une transparence rare, saluée par la plupart des observateurs. « Il est de notre responsabilité, en tant qu’organisation humanitaire responsable […] de partager ce que nous pouvons à propos de cette attaque inacceptable », déclare Robert Mardini. Mais ces nouveaux éléments ne sont pas rassurants.

Le pire semble se confirmer : le CICR n’a pas été touché par hasard. L’organisation internationale pointe que les pirates ont déployés des « ressources considérables pour accéder à nos systèmes et ont utilisé des tactiques que la plupart des outils de détection n’auraient pas capté« , indique le communiqué.

Les pirates auraient utilisé des outils de hacking complexe et peu commun. D’après l’analyse du CICR, leur degrés de technicité exclut les hackers lambdas, et pointe vers de groupes classés comme Advanced persistent threat (APT). Un terme technique de cybersécurité utilisé pour désigner les groupes de pirates étatiques, ou dirigés par des États, qui déploient des stratégies et des outils d’attaque particulièrement sophistiqués et dévastateurs.

croix-rouge
CC Matthias Zomer

Une attaque sur mesure et une faille exploitée

Ici, les attaquants ont fait en sorte de masquer leur intrusion dans les serveurs du CICR. Ce qui leur a permis, toujours d’après l’ONG, de rester 70 jours dans les systèmes avant d’être repérés. L’enquête du CICR montre que des bouts de code ont été écrits spécifiquement pour cette attaque.

Le sous-traitant de l’organisation humanitaire disposait de couches de sécurité, d’outils anti-malware qui étaient actifs sur les zones attaquées. Certaines vagues d’attaques ont été bloquées, mais l’écrasante majorité des malwares déployés par les hackers étaient développés spécifiquement pour contourner ces protections. C’est seulement quand le CICR a augmenté ses moyens de protection, dans le cadre d’une amélioration planifiée, que l’intrusion a été détectée.

La faille exploitée, désignée par le terme jargonneux de CVE-2021-40539, était connue depuis septembre 2021. Cette dernière n’était pas patchée sur les serveurs du CICR. « Le processus de patch est une vaste activité pour toutes les grandes entreprises. Annuellement, nous implémentons des dizaines de milliers de patchs à travers tous nos systèmes. L’application des patchs critiques au moment opportun est essentielle à notre cybersécurité, mais malheureusement, nous n’avons pas appliqué ce patch à temps avant que l’attaque ait lieu », admet l’organisation dans son communiqué.

Des inquiétudes confirmées

L’absence de demande de rançon et de revendications de la part des pirates couplée à ces éléments techniques pointent vers une attaque ciblée, minutieusement orchestrée par un acteur de niveau étatique. La nouvelle est d’autant plus inquiétante vu la nature de la fuite, qui contient les noms, localisations et informations de contacts des victimes. Autant d’informations qu’un régime autoritaire pourrait utiliser pour traquer des dissidents et leurs familles, des ennemis politiques ou même de simples réfugiés.

Les données récoltées par le CICR n’était pas superflues, elles étaient nécessaire à la mission humanitaire que mène cette branche de l’organisation, « Restoring Family Links », à savoir aider des déplacés à retrouver leurs proches. Et les éléments partagés par l’ONG montrent qu’elle disposait de systèmes de sécurité (données chiffrées, dispositifs de détection) qui n’ont rien à voir avec de l’amateurisme, comme le soulève cet article de The New Humanitarian.

Ça n’a pas empêché cette base particulièrement sensible d’être compromise, et de potentiellement mettre en danger plus de 500 000 personnes. Cet incident est un avertissement pour le monde humanitaire. Les ONG ne sont pas à l’abri des cyberattaques et deviennent même des cibles pour des attaquants de haut niveau. S’y préparer pour protéger les populations vulnérables qu’elles soutiennent est maintenant incontournable.