Liam Fox hack soulève des questions sur la sécurité du gouvernement

Les révélations selon lesquelles un dossier divulgué de courriels confidentiels relatifs aux négociations commerciales post-Brexit, qui ont mis en doute l’avenir du NHS, ont été volés dans le courriel personnel de l’ex-ministre Liam Fox par des pirates informatiques soutenus par l’État russe dans le cadre d’une tentative présumée d’ingérence dans les élections générales de 2019, soulèveront d’autres questions sur l’état de la cybersécurité du gouvernement britannique.

Fox, qui a occupé – et a été démis de ses fonctions – de plusieurs postes ministériels au cours de sa carrière, aurait été victime de plusieurs intrusions successives d’acteurs liés au Kremlin entre le 12 juillet et le 21 octobre 2019, selon Reuters, qui cite des sources qui ont refusé d’être nommées citant une enquête judiciaire en cours.

Les sources ont déclaré à Reuters que Fox avait été la cible d’une attaque de phishing lance qui l’a trompé en remettant son mot de passe et les détails de connexion.

Un porte-parole du gouvernement a déclaré à l’agence de presse que le gouvernement disposait de systèmes « robustes » en place pour protéger les systèmes informatiques appartenant à des hauts fonctionnaires et à leur personnel.

Guy Phillips, vice-président des affaires internationales de NetDocuments, a déclaré : « Il est clair que cette violation de données sera une grande préoccupation pour le gouvernement britannique, et elle met en évidence la menace très réelle que les organisations font face pour protéger leurs documents sensibles.

« Malheureusement, les attaques malveillantes représentent encore plus d’un tiers des violations de données chaque année, il est donc essentiel que les organisations aient mis en place des mesures de sécurité pour éviter que les documents sensibles ne tombent entre de mauvaises mains.

« La protection des données et le chiffrement à plusieurs niveaux devraient être au cœur des pratiques actuelles de gestion des documents et des courriels, et inévitablement des questions seront soulevées si le ministère du Commerce et de l’Industrie est jugé insuffisant », a-t-il dit.

« Cette affaire est un autre exemple de la menace que représentent les attaques d’hameçonnage, en particulier lorsqu’elles sont ciblées par une ingénierie sociale intelligente. Le phishing – et le phishing d’accréditation en particulier – est la passerelle la plus courante vers les données précieuses des organisations et un vecteur d’attaque privilégié des acteurs de l’État-nation », a déclaré Dave Mount, directeur de l’Europe à Cofense.

Aussi efficaces et robustes soient les protections du gouvernement en matière de cybersécurité, les faits de l’histoire semblent montrer que les pirates ont été facilement en mesure de les rendre inutiles simplement en créant un leurre assez convaincant pour prendre en leur victime. Pour la plupart des professionnels de la cybersécurité, cela ne sera pas une surprise.

Tim Sadler, PDG de Tessian, a déclaré : « Le phishing est en train de devenir une méthode d’attaque lucrative et attrayante pour les cybercriminels. Il n’est pas surprenant – il est relativement simple à faire, très efficace et a un retour sur investissement élevé, surtout lorsque la cible est un individu de haut niveau. Qui plus est, les cibles de spear phishing et les escroqueries d’ingénierie sociale comme celle-ci souvent ne réalisent même pas qu’ils ont été trompés ou ont fait quelque chose de mal jusqu’à ce qu’il soit trop tard.

Comme souvent dans le cas des incidents de cybersécurité, la facilité d’accès pour les acteurs malveillants implique un manque de formation appropriée au sein d’une organisation, en particulier lorsqu’il s’agit de patrons, d’administrateurs et d’autres chefs d’entreprise ou de personnes très bien placées. Plus tôt en 2020, une enquête menée par Egress Software a révélé que plus la personne au sein d’une organisation était âgée, plus elle avait tendance à être blasée en matière de sécurité.

Egress a rapporté que de nombreuses personnes à des postes de direction croyaient qu’elles étaient trop importantes ou occupées à s’asseoir pendant des séances de formation en sécurité, ou qu’elles pensaient déjà tout ce qu’elles devaient savoir, un exemple de ce que les psychiatres appellent l’effet Dunning-Kruger.

Pendant ce temps, les gens plus bas dans la hiérarchie de l’organisation, en particulier le personnel informatique et de sécurité, ont aggravé le problème en étant réticents à soulever des préoccupations au sujet du comportement des hauts responsables, craignant l’embarras, repousser, ou même des représailles.

Cofense’s Mount a dit que c’était une vérité inconfortable que peu importe la qualité de ses garanties technologiques, les courriels malveillants seront toujours glisser à travers, de sorte que les individus doivent être enseignés à être vigilants.

« Grâce à la bonne formation et à la bonne technologie, les employés des utilisateurs finaux peuvent être votre meilleure défense contre les attaques de phishing. En effet, les données exclusives de Cofense indiquent que le taux de signalement des attaques de phishing par les employés a augmenté d’année en année depuis 2015 – ce qui suggère que lorsqu’une culture de sécurité collaborative est créée, les utilisateurs reconnaissent les menaces auxquelles ils sont confrontés quotidiennement et participent activement à la défense de leur organisation », a-t-il déclaré.

« Il reste bien sûr encore beaucoup à faire et les organisations – que ce soit dans le secteur privé ou public – doivent continuer à éduquer les utilisateurs à reconnaître les menaces émergentes et à les encourager àt e-mails suspects, rester attentif aux menaces et réduire les risque », a déclaré Mount.