Cyberattaque
28/12/23 16:16
Difficile de parler des différents termes utilisés dans notre univers sans parler de cyberattaque. Bien qu’il soit possible de trouver différents autres vocables pour désigner une attaque cybernétique tel que piratage, hacking, ou bien des noms plus spécifiques dérivés des techniques d’attaque employées comme hameçonnage, rançongiciel ou leur équivalents anglo-saxons, la cyberattaque est le terme générique couramment employé. Sa définition pourrait être : une atteinte à des systèmes de traitement de l’information réalisée dans un but de nuisance. L’attaque cible tous dispositifs actifs du système d’information : postes de travail, serveurs, tablettes, smartphone, imprimantes, ressources cloud, objets connectés… etc. S’il y a bien une volonté de nuire à l’origine d’une cyberattaque, la motivation première est en général liée à un bénéfice de l’acteur de la menace, souvent un gain financier, direct ou indirect. En essayant de classer les attaques cyber en différentes catégorie, et quel que soit les critères choisis pour le classement, les mêmes groupes se dégagent. Le groupe probablement le plus important en nombre, et en tout état de cause le plus visible, est constitué par les cybercriminels. Il s’agit de groupes d’individus, souvent bien organisés, certains émanant d’organisations criminelles classiques dont la motivation est un gain rapide d’argent. Ces groupes pratiquent majoritairement des attaques à des fins d’extorsion souvent sous forme de rançon mais aussi en revendant les données volées, parfois même en faisant les deux en parallèle. Un des changements majeurs dans le domaine constaté ces dernières années est la structuration de ce milieu, j’irai même jusqu’à dire la professionnalisation. Il y a tout un écosystème, avec ses places de marché, ses centres de services disposant même d’organisation de support technique. Dans ce contexte, il n’est plus nécessaire de posséder les compétences avancées pour mener une attaque, il suffit de la volonté de le faire. Il est très facile de louer une plate-forme de rançongiciel sous forme de service, de l’utiliser et d’en tirer les bénéfices tout en ayant qu’une idée assez vague du fonctionnement de l’ensemble de la chaine d’attaque. Le modèle économique fonctionne même de plus en plus souvent sous forme de partage de revenus, il n’est même plus nécessaire de faire l’avance de fonds pour la location de la plate-forme.
A propos de ce type d’attaque, j’ai eu plusieurs fois l’occasion d’échanger avec des responsables de petites structures, petites et moyenne entreprises ou collectivités territoriales et j’ai été surpris et aussi contrarié par le fait qu’ils m’ont souvent dit : nous ne constituons pas une cible pour les cybercriminels. C’est un problème de perception du risque. Sur le fond ils ont probablement raison, même si c’est de moins en moins vrai : ils ne seront probablement pas ciblés spécifiquement par une groupe cybercriminel parce qu’ils sont la société X ou la collectivité Y, mais cela ne les empêchera pas pour autant de subir une attaque, de type opportuniste, par ce même groupe. En effet de très nombreuses attaques sont initialement menées à l’aveugle : il est relativement peu couteux d’envoyer des centaines de milliers, voire des millions de message d’hameçonnage et d’attendre de voir qui ‘mord’ au bout de la ligne. Un collaborateur peu avisé, un message trompeur un peu trop bien rédigé, un moment d’inattention et le click fatidique déclenche la primo-infection et la chaine d’attaque qui suit. Il y a même des groupes qui ont comme métier la détection des vulnérabilités sur les ressources exposées. A chaque fois qu’ils ont connaissance d’une vulnérabilité sur un type d’équipement (publication de CVE par exemple), ils analysent et scannent l’Internet à grande échelle, détecte les adresses des équipements vulnérables et constituent des listes qu’ils revendent ensuite en tout ou partie, parfois accompagnées du kit d’exploitation et d’un tutoriel d’utilisation. Ces organisations ne sont probablement pas des cibles dans l’esprit de leurs dirigeants mais elles seront attaquées néanmoins. Évidemment, il existe aussi des attaques dites ciblées, où la victime est connue à l’avance et a été choisi pour différentes raisons : l’intérêt des données qu’elle possède, la facilité de revente des informations qui pourraient être exfiltrées, parce qu’il s’agit d’une commande spécifique effectuée par un concurrent peu scrupuleux ou un état. Dans ce cas, les attaques sont généralement plus sophistiquées, plus personnalisées et souvent restent discrètes. En effet organiser et mener une attaque contre une organisation possédant des données sensibles et donc certainement très sensibilisées au sujet, nécessitera du temps et des investissements importants. Si l’attaque réussit, le groupe à l’origine va chercher à maximiser ces gains et donc à pouvoir agir dans la durée, pouvoir exfiltrer des informations sur un temps long et peut-être vendre plusieurs ensembles de données. Dans ce contexte, certaines attaques liées à la guerre économique ne cherchent pas à dérober des informations mais simplement à perturber la cible, à réduire ou stopper son activité. Dans ce cas, elles ne seront pas discrètes mais conçues pour causer le maximum de dégâts en un minimum de temps : atteinte à l’image, éventuellement couplée à des campagnes de désinformations, sabotage, inaccessibilité des sites (DDoS) … Dans ce secteur, lié à l’espionnage il existe un certain nombre d’acteur étatique qui agissent dans le cyberespace. Mais ici les choses se compliquent, d’abord parce qu’il est toujours difficile, sinon impossible, d’attribuer formellement une attaque à un agresseur et ensuite parce que les états-nations agissent rarement directement, sauf éventuellement dans le cas de conflits de haute intensité déclarés. En réalité il s’agit là encore de groupes cybercriminels, agissant sous mandat. Bien entendu de nombreux groupes cybercriminels de ce type sont connus pour être affiliés à tel ou tel pays ou tel organisation de renseignements mais en toute objectivité et du point de vue légal, il ne s'agit que d'hypothèses ou de conjectures, même si finalement personne n’est dupe.
Ainsi, les cyberattaques sont des opérations malveillantes, menées au bénéfice direct ou indirect de l’agent à l’origine de cette opération. Le bénéfice est souvent un gain financier, mais peut aussi être une collecte d’information dans le cas d’espionnage voire le sabotage ou d’atteinte à l’image dans le cas d’opérations de déstabilisation mener par des états ou des groupe hacktivistes. Quelle soit opportuniste ou ciblée, plus elle est décelée tardivement et plus les dégâts seront importants et la phase de retour à l’état nominal long et complexe.
A propos de ce type d’attaque, j’ai eu plusieurs fois l’occasion d’échanger avec des responsables de petites structures, petites et moyenne entreprises ou collectivités territoriales et j’ai été surpris et aussi contrarié par le fait qu’ils m’ont souvent dit : nous ne constituons pas une cible pour les cybercriminels. C’est un problème de perception du risque. Sur le fond ils ont probablement raison, même si c’est de moins en moins vrai : ils ne seront probablement pas ciblés spécifiquement par une groupe cybercriminel parce qu’ils sont la société X ou la collectivité Y, mais cela ne les empêchera pas pour autant de subir une attaque, de type opportuniste, par ce même groupe. En effet de très nombreuses attaques sont initialement menées à l’aveugle : il est relativement peu couteux d’envoyer des centaines de milliers, voire des millions de message d’hameçonnage et d’attendre de voir qui ‘mord’ au bout de la ligne. Un collaborateur peu avisé, un message trompeur un peu trop bien rédigé, un moment d’inattention et le click fatidique déclenche la primo-infection et la chaine d’attaque qui suit. Il y a même des groupes qui ont comme métier la détection des vulnérabilités sur les ressources exposées. A chaque fois qu’ils ont connaissance d’une vulnérabilité sur un type d’équipement (publication de CVE par exemple), ils analysent et scannent l’Internet à grande échelle, détecte les adresses des équipements vulnérables et constituent des listes qu’ils revendent ensuite en tout ou partie, parfois accompagnées du kit d’exploitation et d’un tutoriel d’utilisation. Ces organisations ne sont probablement pas des cibles dans l’esprit de leurs dirigeants mais elles seront attaquées néanmoins. Évidemment, il existe aussi des attaques dites ciblées, où la victime est connue à l’avance et a été choisi pour différentes raisons : l’intérêt des données qu’elle possède, la facilité de revente des informations qui pourraient être exfiltrées, parce qu’il s’agit d’une commande spécifique effectuée par un concurrent peu scrupuleux ou un état. Dans ce cas, les attaques sont généralement plus sophistiquées, plus personnalisées et souvent restent discrètes. En effet organiser et mener une attaque contre une organisation possédant des données sensibles et donc certainement très sensibilisées au sujet, nécessitera du temps et des investissements importants. Si l’attaque réussit, le groupe à l’origine va chercher à maximiser ces gains et donc à pouvoir agir dans la durée, pouvoir exfiltrer des informations sur un temps long et peut-être vendre plusieurs ensembles de données. Dans ce contexte, certaines attaques liées à la guerre économique ne cherchent pas à dérober des informations mais simplement à perturber la cible, à réduire ou stopper son activité. Dans ce cas, elles ne seront pas discrètes mais conçues pour causer le maximum de dégâts en un minimum de temps : atteinte à l’image, éventuellement couplée à des campagnes de désinformations, sabotage, inaccessibilité des sites (DDoS) … Dans ce secteur, lié à l’espionnage il existe un certain nombre d’acteur étatique qui agissent dans le cyberespace. Mais ici les choses se compliquent, d’abord parce qu’il est toujours difficile, sinon impossible, d’attribuer formellement une attaque à un agresseur et ensuite parce que les états-nations agissent rarement directement, sauf éventuellement dans le cas de conflits de haute intensité déclarés. En réalité il s’agit là encore de groupes cybercriminels, agissant sous mandat. Bien entendu de nombreux groupes cybercriminels de ce type sont connus pour être affiliés à tel ou tel pays ou tel organisation de renseignements mais en toute objectivité et du point de vue légal, il ne s'agit que d'hypothèses ou de conjectures, même si finalement personne n’est dupe.
Ainsi, les cyberattaques sont des opérations malveillantes, menées au bénéfice direct ou indirect de l’agent à l’origine de cette opération. Le bénéfice est souvent un gain financier, mais peut aussi être une collecte d’information dans le cas d’espionnage voire le sabotage ou d’atteinte à l’image dans le cas d’opérations de déstabilisation mener par des états ou des groupe hacktivistes. Quelle soit opportuniste ou ciblée, plus elle est décelée tardivement et plus les dégâts seront importants et la phase de retour à l’état nominal long et complexe.