Comment les équipes de sécurité de Google tiennent tête aux cybercriminels

Personne n’est à l’abri des cyberattaques : universités, groupes de médias, autorités – ce ne sont que quelques exemples de cibles de cyberattaques survenues en Suisse ces derniers mois. À Zurich, deux équipes de Google luttent sur un pied d’égalité contre les pirates : la Red Team de Daniel Fabian simule des cyberattaques contre Google, tandis que l’équipe Project Zero de Tim Willis cherche des failles de sécurité dans les logiciels de Google et d’autres entreprises.

Temps de lecture : 7 minutes

Daniel Fabian, de la Red Team de Google qui simule des cyberattaques contre Google, sort sa tête de l'ascenseur en souriant. Tim Willis qui, avec Project Zero, cherche des failles de sécurité dans les logiciels de Google et d'autres entreprises, sort d'une salle de réunion avec un ordinateur portable sous le bras pour l'accueillir.

Juin 2023 : Un paquet de données contenant des informations personnelles de diplomates, de conseillers et conseillères fédéraux, de hauts fonctionnaires, ainsi que de nombreuses autres personnes vivant en Suisse et protégées par le Service fédéral de sécurité apparaît sur le Darknet. Le groupe de pirates Play les avait dérobées à une entreprise informatique bernoise, qui compte parmi ses clients des administrations fédérales suisses. Récemment, des pirates s’en sont également pris à des hôpitaux, des municipalités, de nombreuses entreprises, et même une foire d’art. Souvent, les cybercriminels cryptent toutes les données et réclament une rançon, « ransom » en anglais. Selon l’entreprise américaine de télécommunications Verizon, le coût moyen lié à une attaque de rançongiciel a doublé au cours des deux dernières années pour atteindre 26’000 dollars, sachant qu’une seule attaque peut également entraîner des rançons de plusieurs millions (source).

Un couloir dépourvu de décorations dont les murs sont recouverts de ruban adhésif de signalisation mène à une porte ouverte sur laquelle est apposé un triangle jaune d'avertissement.

Tout est-il hermétique ou le système logiciel reste-t-il accessible ? C’est ce que cherche l’équipe de Project Zero.

« Le seul moyen d’arrêter les pirates, c’est de penser comme eux. »

C’est l’introduction de chacun des six épisodes de la série YouTube « Hacking Google ». Des spécialistes de la sécurité de Google y donnent un aperçu de leurs tâches, de leurs méthodes et de leur motivation. Cette dernière augmente, car l’importance de ce travail ne cesse de croître : selon le cabinet de conseil Cobalt, en 2022, il n’y a jamais eu autant de cyberattaques graves contre l’infrastructure numérique dans le monde – notamment contre des services publics, des entreprises, des gouvernements et des personnes du monde entier (source).

En Suisse aussi, l’Office fédéral de la statistique a recensé en 2022 un total de 33’345 cas de cybercriminalité – soit une augmentation de plus de 35 pour cent par rapport à 2020¹. À l’échelle mondiale, les cyberattaques provoquent 318 milliards de dollars de dommage en Suisse, ce chiffre s’élève à 728 millions de dollars².

Google fait face à cette évolution avec notamment des mesures de protection intégrées : les paramètres de sécurité de Gmail bloquent par exemple 99,9 pour cent de tous les e-mails au contenu nuisible, comme les e-mails de phishing, les fausses demandes de paiement ou les logiciels malveillants. Le programme de protection pour une navigation sûre intégré au navigateur de Google, Chrome, repousse chaque jour plus de trois millions d’attaques. Des succès rendus possibles par l’utilisation de l’intelligence artificielle (IA). À l’avenir, l’IA contribuera de manière déterminante à la prévention des cyberattaques et à la réduction des coûts qui y sont liés. Dans les entreprises, l’utilisation de l’IA pour la surveillance préventive des risques et la formation continue des collaborateurs et collaboratrices dans ce domaine pourrait réduire de 130 millions de francs les risques de cybersécurité en Suisse. C’est l’estimation d’une étude réalisée par Public First pour le compte de Google. Les équipes de sécurité de Google veulent toujours avoir une longueur d’avance sur les cybercriminels. Elles collaborent pour cela avec les autorités gouvernementales, les entreprises et les spécialistes.

Tim Willis, de Project Zero chez Google, regarde l'objectif en souriant. Autour du cou, il porte un cordon avec une carte d'accès personnalisée.

Tim Willis cherche avec Team Project Zero en permanence des points faibles dans les produits Google, et dans ceux d’autres entreprises.

C’est également le cas des équipes de la série vidéo « Hacking Google ». Le cinquième des six épisodes est consacré à Project Zero, que Google a lancé en 2014 dans le but de détecter les graves failles de sécurité.

Ce projet fait suite à une attaque appelée « Opération Aurora », au cours de laquelle des pirates ont réussi à accéder à certaines parties du réseau de Google, en décembre 2009. Une faille dans un navigateur Internet très répandu leur a servi de porte d’entrée. « Google a alors réalisé que le maillon faible pouvait être un produit externe », explique Tim Willis, aujourd’hui à la tête de Project Zero. Depuis, son équipe cherche en permanence les failles dans les produits de Google et d’autres entreprises. « Nous nous concentrons sur les mêmes vulnérabilités que celles recherchées par les agresseurs et agresseuses, que le logiciel vienne de Google ou non. Lorsque nous trouvons des failles de sécurité, nous travaillons avec les développeurs et développeuses pour les combler dans les 90 jours », explique Tim Willis.

Le nom de l’équipe vient du terme anglais désignant une faille non découverte par le fabricant : « Zero Day » signifie que personne n’est préparé à une attaque via cette faille de sécurité, le délai d’avertissement est donc de zéro jour. Les hackeurs et hackeuses ne lancent généralement pas eux-mêmes d’attaque par la faille qu’ils ont découverte, mais vendent souvent leurs connaissances à d’autres criminels ou à des services secrets. « Malheureusement, il n’y aura jamais d’Internet totalement sûr. Mais nous voulons rendre le commerce des failles de sécurité aussi difficile que possible, et les efforts qui y sont liés aussi coûteux que possible », explique Tim Willis.

Sur l'ordinateur portable gris que Tim Willis porte sous son bras sont collés deux autocollants, l'un de Project Zero, l'autre du restaurant zurichois El Luchador.

Dans un blog consacré à Project Zero, Tim Willis et ses collègues montrent où ils ont trouvé des points faibles et lesquels.

Tim Willis, de Project Zero chez Google, est assis à une table ronde et travaille sur son ordinateur portable.

Lorsque Tim Willis et son équipe trouvent une faille de sécurité, ils essaient de la combler dans les 90 jours.

Pour trouver des failles, les membres de l’équipe n’ont dans certains cas besoin que de quelques jours, mais parfois aussi de semaines ou de mois. « Lorsque nous découvrons une faille de sécurité, nous informons l’entreprise concernée que nous publierons nos connaissances dans 90 jours », souligne Tim Willis. Google tient un blog sur Project Zero. On peut y voir où l’équipe de sécurité a trouvé quelles failles, et à quel moment l’entreprise concernée a mis à disposition un « patch », c’est-à-dire une solution pour corriger la faille de sécurité.

L’équipe Project Zero est également en mesure d’exploiter les failles détectées à des fins de démonstration en développant des « Exploits ». Ce n’est qu’ainsi qu’une faille de sécurité devient aussi une porte d’entrée qu’utilisent les acteurs des États nationaux, en particulier, comme les services secrets. « Cela nous permet de prouver que la faille représente un danger pour tous les utilisateurs et utilisatrices », explique Tim Willis. L’importance du travail de l’équipe est illustrée par ses résultats : à ce jour, elle a trouvé plus de 1’800 vulnérabilités graves dans des applications. Entre 2019 et 2021, elles ont concerné Google dans 16 pour cent des cas, le reste étant réparti entre d’autres entreprises.

Tim Willis est assis sur un fauteuil d'extérieur moderne, sur un rooftop, et travaille sur son ordinateur portable.

« Nous voulons rendre le commerce des failles de sécurité aussi difficile que possible, et les efforts qui y sont liés aussi coûteux que possible. »

Tim Willis, Team Project Zero

Daniel Fabian, de la Red Team de Google, se tient devant la façade d'un immeuble en souriant, vêtu d'un t-shirt de la Red Team, et touche sa casquette de basket-ball.

Daniel Fabian occupe un poste de responsable au sein de la Red Team.

L’équipe Red suit une tout autre voie pour rendre les produits Google plus sûrs pour tous et toutes.

« Nous simulons des attaques destinées à pirater Google », raconte Daniel Fabian, qui occupe un poste de responsable au sein de l’équipe basée à Zurich, New York et Mountain View. Le terme Red Team vient de l’armée américaine et désigne des unités qui se glissent dans le rôle des agresseurs et agresseuses afin de simuler différents scénarios d'attaque possibles et d'être ainsi mieux préparées. Daniel Fabian se souvient bien de ses débuts chez Google : « J’ai commencé le 7 décembre 2009, et une semaine plus tard, il y a eu une grave attaque visant les comptes de messagerie de militant·e·s des Droits humains en Chine, et touchant Google ainsi que d’autres entreprises. Cela a fait l’effet d’un rappel à l’ordre pour l’entreprise qui a renforcé ses mesures de sécurité. Peu de temps après, nous avons triplé nos équipes de sécurité. »

Chaque exercise de la Red Team commence par une introduction dans le système protégé pour y repérer les éventuels points faibles. Pour ce faire, les hackeurs et hackeuses de Google procèdent exactement comme des cybercriminels et profitent souvent de l’inattention humaine. Selon un rapport de l’entreprise de télécommunications américaine Verizon, elle joue un rôle décisif dans 74 pour cent des violations de sécurité (source). L’ingénierie sociale, c’est-à-dire la manipulation interpersonnelle, constitue souvent la première étape : un e-mail malveillant semble inoffensif parce qu’il est censé provenir d’un ou une collègue, par exemple, ou encore d’un employé d’un institut de recherche. En réalité, il s’agit d’un e-mail d’hameçonnage visant à récupérer des données confidentielles. Des périphériques USB manipulés connectés à l’ordinateur peuvent également être d’autres portes d’entrée.

Daniel Fabian de la Red Team de Google regarde son ordinateur portable d'un air concentré.

« Nous simulons des attaques Destinées à pirater Google. »

Daniel Fabian, Red Team

Dans les cercles de Google, le cas de la boule de plasma est bien connu. Ce jouet avec des effets de plasma a été envoyé anonymement par la Red Team à des collègues qui l’ont branché sur une prise USB pour le charger. En un dixième de seconde, le logiciel caché dans la boule de plasma a envoyé à l’ordinateur un programme ouvrant une porte dérobée à la Red Team.

Les objectifs des exercices sont définis par la Red Team en collaboration avec les responsables de la sécurité des différents secteurs de produit. Le Threat Analysis Group (TAG), qui observe et analyse les attaques de vrais pirates sur Internet, donne à la Red Team des indications importantes sur les domaines particulièrement ciblés par les cybercriminels. Si la Red Team a pu passer outre les mesures de sécurité, l’équipe de sécurité du secteur de produit prend le relais et comble les failles.

Un homme tient dans ses mains la fameuse boule de plasma que la Red Team a utilisée pour s'introduire dans le système via l'interface USB.

Dans le fameux cas de la boule de plasma, l’équipe Red a accédé au système via une interface USB.

L’équipe rouge est soutenue par des hackeurs et hackeuses externes et éthiques :

Google a été l'une des premières entreprises à introduire un programme de récompense pour les vulnérabilités. L’objectif est de détecter les failles de sécurité dans les produits et les services de Google. Les hackeurs et hackeuses éthiques – c’est-à-dire les personnes qui trouvent des failles et aident à améliorer la sécurité des produits et des services pour tous les Utilisateurs et utilisatrices – reçoivent une récompense financière. « Ils aiment démonter les choses pour mieux les comprendre et pour les rendre plus sûres », explique Daniel Fabian. Ainsi, les hackeurs et hackeuses éthiques et la Red Team contribuent à rendre les portes d’entrée de plus en plus difficiles à trouver pour les cybercriminels.

Photos : Marvin Zilm (8), Frederic Soguel (1), Screenshot : Youtube/Google;
Sources : ¹Office fédéral de la statistique; ²Étude de Comparitech, 2021