Le bref rapport publié dans le quotidien du Sans et le compte rendu détaillé du Cert Suisse sont d’accord : l’APT qui a frappé Ruag, entreprise Helvétique travaillant dans le domaine de l’aéronautique et de la défense, était difficilement détectable. Pas de journaux d’évènements pour témoigner de l’intrusion originelle, des mouvements de fichiers excessivement restreints, une diffusion lente et progressive au sein du réseau interne, diffusion elle-même limitée à des cibles très précises, toute cette activité barbouze s’est déroulée en dessous de la ligne de détection des radars. De septembre 2014 à janvier 2016, les cyber-espions ont tenu salon sur le réseau Ruag sans déclencher la moindre alarme. Les moyens d’attaque, explique l’analyse du Cert, sont connus : rootkit de la famille Turla, keyloggers, escalade de privilèges, infections cloisonnées système par système, échanges avec l’extérieur très contrôlés et limités dans le temps. Rien de franchement révolutionnaire d’un point de vue technique, mais un mode opératoire très discret, allant même jusqu’à utiliser les antiques « canaux de communication nommés », alias « named pipes », lors des dialogues entre machines infectées.
Le récent rapport Dbir 2016de Verizon débutait par un sinistre « 89% des brèches de sécurité exploitées sont liées à des activités d’espionnage ou de détournement financier » et continuait avec une métrique à contre-courant : l’accroissement du « temps d’exploitation avant découverte » (time to discover). Située en moyenne aux environs de 300 jours il y a deux ans, elle semblerait augmenter au fur et à mesure que les cyber-espions industriels ou aux ordres des Etats-Nation affinent leurs techniques. Ruag n’est ni un cas exceptionnel, ni un cas isolé.