En mai dernier, le Costa Rica a été le premier pays au monde à avoir déclaré l’état d’urgence pour répondre à des cyberattaques contre ses services publics. Au-delà du symbole qui a marqué l’opinion internationale, quels enseignements tirer de cette affaire ? Retour d’expérience avec Raúl Rivera, Cyber & Intelligence Manager pour Mastercard Costa Rica.

Après les sauterelles, la peste, la grêle ou la mort des premiers-nés, les cyberattaques seront-elles la 11e plaie d’Égypte ? Loin des images bibliques, ce fléau frappe en tout cas durement le Costa Rica depuis près de trois mois. Au point que le 11 mai, peu après son investiture, le nouveau président Rodrigo Chaves a déclaré l’état d’urgence nationale. Une première.

« Déclarer l’état d’urgence a permis de concentrer les efforts de la nation sur les activités requises pour assurer le confinement, l’éradication et la remédiation des attaques du ransomware » du groupe criminel Conti, l’un des principaux assaillants, assure Raúl Rivera, Cyber & Intelligence Manager pour Mastercard Costa Rica.

De fait, cette déclaration a permis de réaffecter immédiatement des fonds d’urgence du Covid-19 à la lutte contre des cyberattaques dont l’ampleur était inédite. La première vague a frappé les systèmes nationaux du pays le 12 avril, notamment les services de sécurité sociale et les services de l’emploi, qui ont été fortement perturbés. Elles se sont succédées depuis, de plus en plus violentes. Le 18, les ministères du Travail et des Sciences, l’Institut national de météorologie et des organes de sécurité sociale ont été touchés, mais surtout le ministère des Finances.

Les pirates affirment lui avoir dérobé près d’un To de données. Cible privilégiée des cybercriminels : le service des déclarations de revenus pour les particuliers et celui de la gestion de l’import-export, poumon économique du pays. Ils ont exigé le paiement de 10 millions de dollars de rançon, avant de doubler la somme et les attaques devant le refus du gouvernement.

Cyberchantage à grande échelle

Une posture courageuse quand on sait que la crise coûterait chaque jour au Costa Rica la bagatelle de 38 millions de dollars. Et les pirates continuent de frapper : le 31 mai dernier, la Caisse de sécurité sociale du Costa Rica (CCSS) a été à nouveau attaquée, cette fois par le groupe russe de ransomware Hive. L’institution précise que le rançongiciel a été déployé sur au moins 30 des 1 500 serveurs gouvernementaux, ce qui a suffi à la contraindre à mettre ses systèmes hors ligne.

« Au-delà de l’impact sur la disponibilité des services nécessaires aux citoyens, une cyberattaque peut […] affecter la stabilité financière d’un pays, […] la protection de la confidentialité et de la vie privée, […] l’image ou la confiance que la nation projette au niveau local et international, […] le respect de lois et règlements nationaux et internationaux », énumère Raúl Rivera au micro d’inCyber.

Au point de pouvoir comparer les conséquences de ces attaques massives à une catastrophe naturelle ? Le Cyber & Intelligence Manager pour Mastercard ne va pas jusque-là, mais laisse la question ouverte. Concrètement, la remontée des recettes fiscales est quasiment paralysée, de même que la perception des taxes douanières, pour lesquelles les fonctionnaires doivent désormais remplir les formulaires manuellement. Les agents de l’État voient les retards de versements de leurs salaires s’accumuler, tandis que les citoyens ne peuvent plus accéder aux services publics en ligne.

« Les attaques visant les systèmes de sécurité sociale pourraient éventuellement compromettre la prise en charge en temps voulu des patients souffrant d’un problème de santé urgent », s’inquiète également Raúl Rivera.

« Une cyberattaque peut donc avoir des conséquences directes sur la vie des gens au niveau de la santé sociale, de l’accès aux services publics essentiels comme l’eau, l’électricité, la nourriture, les médicaments, entre autres, ainsi que de la sécurité d’autres services sociaux comme le contrôle du trafic aérien et les contrôles environnementaux », développe-t-il.

Salaires, impôts, santé, frappés de plein fouet

Et le pays a expérimenté un large éventail de ces conséquences funestes d’une cyberattaque, une situation qui peine à se résorber malgré l’état d’urgence. Et pour cause. Quelques heures seulement après la déclaration tonitruante du président Rodrigo Chaves, la Commission nationale de prévention des risques et de gestion des urgences (CNE) du Costa Rica annonçait qu’elle n’avait pas de feuille de route, pas de stratégie et pas de plan pour gérer cette crise. Une douche froide.

« La déclaration d’état d’urgence pourrait clairement être axée sur tout ce qui a un impact sur les services essentiels d’une nation. À l’heure actuelle, le plan national de cybersécurité du Costa Rica n’intègre pas encore les scénarios de risque envisageant la déclaration des services essentiels et les lignes d’action possibles pour la cyber-résilience de la nation », confirme Raúl Rivera.

En 2012, le ministère des Sciences, de l’Innovation, de la Technologie et des Télécommunications (MICITT) avait bien créé une équipe nationale de réponse aux incidents de cybersécurité (CSIRT). Et en 2017, le gouvernement du Costa Rica avait officiellement adopté une stratégie nationale de cybersécurité, avec les mesures à prendre pour protéger la nation contre les cyberattaques. Mais il semble que ces décisions sont restées lettre morte, d’où la situation actuelle. Depuis lors, le gouvernement colmate tant bien que mal les brèches :

« En collaboration avec les gouvernements d’Israël, des États-Unis et d’Espagne, le gouvernement du Costa Rica travaille sur une série d’actions de confinement pour contrôler les niveaux d’impact des incidents qui se sont produits », explique notre interlocuteur.

Des actions menées sous la pression des cybercriminels, qui poursuivent leurs attaques contre les infrastructures du pays. Pourtant, le gouvernement se projette déjà dans la phase suivante : « Une série d’actions sont en cours d’élaboration pour empêcher qu’une situation similaire ne se reproduise, en tenant compte à la fois des éléments technologiques, des processus et des personnes liés aux services gouvernementaux », ajoute-t-il. Son diagnostic est clair :

« Je pense que l’une des principales causes qui ont permis ces cyberattaques est de considérer la cybersécurité d’une nation comme un sujet uniquement lié aux aspects technologiques. »

Outre la déclaration des services essentiels déjà évoquée, Raúl Rivera insiste sur la nécessité de travailler à une « compréhension claire des cyber-risques associés et l’impact que ceux-ci peuvent générer pour un pays au-delà de la disponibilité des services ou de l’affectation de la confidentialité ou de la vie privée des données. »

Développer une « cyber-hygiène »

Il estime aussi indispensable « d’étudier les TTP (tactiques, techniques et procédures) utilisées par ces groupes criminels afin de comprendre comment nous pouvons nous préparer à mieux faire face aux menaces persistantes avancées (APT) que nous continuerons de subir à l’échelle mondiale. » Au-delà de ces indispensables diagnostics, il insiste sur le développement d’une « cyber-hygiène » dans les services publics, notamment « la séparation de l’environnement personnel et du travail. »

« La plupart de ces attaques sont menées à l’aide de services de courrier électronique normaux et d’autres applications de messagerie et les gens ne sont pas au courant des campagnes de phishing menées par les cyberattaquants », souligne-t-il.

Reste que le chantier est énorme au Costa Rica, qui part pratiquement d’une page blanche en matière de cybersécurité stratégique. Si toute une éducation aux risques cyber est à mener, les infrastructures, les procédures et même le Code pénal doivent être mis à niveau.

En effet, Rodrigo Chaves a parlé de cybercriminels et cyberterroristes. Si les premiers sont cités dans le Code pénal costaricien, ce n’est pas le cas des seconds. De plus, le président a déclaré que le pays était « en guerre », une situation inédite quand on sait que le Costa Rica a démantelé son armée il y a 70 ans.

Au-delà de cet aspect national, qui devra trouver des réponses en temps utile, le cas du Costa Rica, attaqué par des cybercriminels résidant souvent en Russie, soulève de réelles problématiques internationales :

« Le Costa Rica est l’un des pays qui a participé au projet initial de la Convention de Budapest, mais cet accord n’offre pas forcément les outils nécessaires pour pouvoir exercer des actions en justice contre toute personne ou groupe basé dans d’autres pays du monde qui ne font pas partie dudit accord, ce qui complique les actions en justice au niveau international », déplore Raúl Rivera.

À l’heure où la menace cyber ne cesse de croître au niveau mondial, le cas du Costa Rica devrait non seulement alerter chaque pays, mais aussi la communauté internationale, tant il est vrai que le cybercrime ne connaît pas les frontières.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.