De la naissance de la cybernétique aux attaques modernes : panorama des menaces, des acteurs et des enjeux de la cybersécurité.
Le terme “Cybernétique” apparaît en 1834, dans la classification des sciences proposée par André-Marie Ampère (1775-1836), physicien et fondateur de l’électrodynamique. Formé à partir du grec κῠβερνήτης (kubernêtês), il désigne “la science du gouvernement des hommes”.
En 1947, le mathématicien Norbert Wiener lui donne un nouveau sens. “Cybernétique” représente une vision unifiée des domaines naissants de l’automatique, de l’électronique et de la théorie mathématique de l’information (science constituée par l’ensemble des théories relatives au contrôle, à la régulation et à la communication entre l’être vivant et la machine). Le préfixe “cyber” est alors utilisé pour tout ce qui concerne le réseau interne et les nouveaux usages de l’informatique.
Le “cyberespace” est l’ensemble des infrastructures numériques, des données et des services mis en réseaux. Le terme “cyber” recouvre l’ensemble des activités liées à l’utilisation offensive du cyberespace : cyberattaque, cyberdéfense, cyberguerre…
Le système d’information (SI) est l’ensemble des ressources destinées à collecter, classifier, stocker, gérer, diffuser les informations au sein d’une organisation. L’information : c’est le nerf de la guerre pour toutes les entreprises, administrations, organisations, etc. Les composants du système d’information sont les actifs primordiaux (l’information) et supports.
La sécurité du SI consiste à assurer la sécurité de l’ensemble de ces actifs. La cybersécurité implique la sécurité informatique et la sécurité des réseaux des environnements connectés à Internet via le cyberespace.
État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.
La cybersécurité implique donc :
La cyberdéfense fait référence à l’ensemble des mesures techniques et non techniques permettant à un État de défendre les systèmes d’information jugés essentiels.
3 objectifs/critères de sécurité à atteindre :
D’autres objectifs complémentaires peuvent être pris en compte :
Une cyber-menace est une menace, qui, si elle se concrétise va affecter le bon fonctionnement du système informatique et des activités qui en dépendent. Elle est liée au fait que le système informatique est vulnérable.
La cyber-résilience fait référence à la capacité d’un système à s’adapter en cas d’attaque : correction du problème (remédiation), reprise d’activité…
Ce sont les causes potentielles d’un incident qui pourrait entraîner des dommages sur un bien si la menace se concrétise. Elles sont de plusieurs ordres :
Les premières attaques étaient l’œuvre d’informaticiens ingénieux, curieux, cherchant à démontrer leur compétences ou “un peu fous” comme : Gary McKinnon.
Internet est ensuite devenu un outil mondial, incontournable, utilisé par tous. Les entreprises ont exploité ce nouvel outil qui a changé leur fonctionnement, leur organisation, leur développement… Mais les systèmes informatiques se sont développés sans une réelle prise en compte de la sécurité, tout était possible… Et le crime organisé a rapidement vu qu’il pouvait tirer parti de la situation.
La menace est aujourd’hui protéiforme : criminelle, étatique, activiste, interne. Les cyberattaques sont la nouvelle arme des Etats.
Les groupes de cybercriminels se sont organisés et structurés. Certains se sont spécialisés dans le développement de programmes malveillants et virus informatiques. D’autres sont en charge de l’exploitation et de la commercialisation de services permettant de réaliser des attaques informatiques et/ou de la vente des données volées (ex : données de cartes bancaires). On compte aussi des hébergeurs qui stockent ces contenus malveillants, parfois sans le savoir. Et pour finir, des intermédiaires financiers pour collecter l’argent, grâce à des “mules” par exemple.
Les cyberattaques sont les nouvelles armes de certains États. Les États se sont donc dotés de service pour se défendre mais aussi pour attaquer (NSA…). Certains, comme la Russie ou la Chine, le font en cheville avec des groupes de hackers. Les spécialistes considèrent que le monde est dans un état de cyberguerre.
Ce sont des groupes qui revendiquent pour dénoncer, “mettre en lumière”, comme Anonymous ou pour faire leur propagande, comme les groupes djihadistes.
La menace provient d’un employé mécontent ou malhonnête.
Survolez les termes pour voir leur définition.
Malware – Logiciel malveillant
Charge utile
Exploit
Ingénierie sociale
Worm – Ver informatique
Virus
Trojan – Cheval de Troie
Botnet – Réseau de machines zombies
Ransomware – Cryptovirus – Rançongiciel
Wiper
Sniffer – Renifleur
Spyware – Espiogiciel
Keylogger – Enregistreur de frappe
Backdoor – Porte dérobée
Rootkit
IMSI Catcher
Adware – Publiciel
Spam – Pourriel
Hoax – Canular
Typosquatting
Les attaques reposent sur trois piliers :
On distingue plusieurs typologies d’attaques :
Objectif : l’usurpation d’identité en obtenant des données personnelles.
Moyens : Mail (Sms…) qui semble légitime et qui redirige vers un site non légitime pour capter les données de l’utilisateur.
Exemple : envoi d’e-mail utilisant le logo et les couleurs d’une entreprise de référence, ex: une banque (à une liste d’e-mails volée ou achetée illégalement) faisant croire à la victime qu’elle s’adresse à un tiers de confiance afin de lui soutirer des informations personnelles (comme son numéro de carte bancaire et son cryptogramme, ses identifiants bancaires) en la redirigeant vers un faux site.
En 2015, plus de 2 millions d’internautes français ont cliqué sur des messages frauduleux. En 2018 83% des personnes interrogées (étude mondiale Proofpoint) ont été victimes d’attaques par phishing.
Variante où l’attaque est ciblée : Spear phishing.
Objectif : Obtenir une rançon en prenant “en otage” les données.
Moyens : Mails qui semble légitime avec une pièce jointe malveillante, site web infecté, plateforme de téléchargement.
le malware de type rançongiciel s’installe, chiffre toutes les données de la machine et demande un rançon en échange de la clé qui permettra de les déchiffrer.
Les actions de chiffrement ou de déchiffrement font appel à des techniques cryptographiques.
Consulter le glossaire de l’ANSSI.
Risques : Système informatique inaccessible, perte de toutes les données
Exemple : Envoi d’e-mail (à une liste d’e-mails volée ou achetée illégalement) contenant en pièce jointe un logiciel malveillant ou un lien vers ledit logiciel, qui dès qu’on l’ouvre, chiffre l’ensemble des données et demande une rançon en échange d’une clé de déchiffrement.
Quelques chiffres pour la France :
Objectif : Rendre un service indisponible et empêche les utilisateurs légitimes de l’utiliser. Bloquer l’accès à des sites ou à un réseau entier : banque, service de paiement, sites gouvernementaux.
Moyens : Détourner le trafic de millier d’ordinateurs ou objets connectés (devenus zombis) pour saturer une bande passante, un service, épuiser les ressources système.
Risques : Perte d’image, de productivité.
Dommage collatéral : perturbation du fonctionnement de l’ordinateur ou objet zombie.
Exemple : Scan d’Internet pour trouver des machines/objets non sécurisés qui vont être utilisés pour générer une attaque provoquant une indisponibilité de service. Ces machines constitueront alors un Botnet.
Objectif :Espionner, exfiltrer des informations sensibles pour de l’espionnage économique ou industriel, de l’atteinte à la propriété intellectuelle voire du sabotage comme dans le cas de TV5 Monde (voir Lu dans la presse).
C’est une attaque ciblée, elle est moins courante et son mode opératoire est complexe. Elle implique des compétences spécifiques et surtout une connaissance particulière de l’entreprise.
L’attaquant utilise un code malveillant spécifique, fait pour passer inaperçu dans le système, qui va permettre à l’attaquant de surveiller, explorer l’infrastructure, intercepter de l’information… Pour faire entrer ce code malveillant dans le système, l’attaquant va cibler une ou plusieurs personnes dans l’organisation, identifiées au préalable (étude de l’organigramme, surveillance sur les réseaux sociaux…) et lui envoyer un mail en l’incitant à ouvrir la pièce jointe.
Exemple de scénario
Objectif : vol d’argent
Moyens : Attaque ciblée, nécessite une bonne connaissance de l’entreprise (acquise grâce aux réseaux sociaux par exemple…). Utilisation de l’ingénierie sociale. Il s’agit d’usurper l’identité d’un donneur d’ordres afin de faire faire un ou plusieurs virements frauduleux par un collaborateur (en position de subordination hiérarchique de préférence) en prétextant urgence et confidentialité.
Risque : le dépôt de bilan
Les premières victimes ont d’abord été des entreprises “connues” :
Aujourd’hui toutes les entreprises/organismes sont de potentielles victimes (voir Lu dans la presse).
Petit cours de sensibilisation réalisé par le CDSE
Quelques explications par des professionnels
Consulter la fiche FOVI du SISSE.
Consulter la fiche de l’INHESJ sur l’ingénierie sociale.
La fraude au fournisseur : le client reçoit une facture au nom d’un de ses fournisseurs, dont l’IBAN est modifié au préalable par l’attaquant…
Cours en ligne de sensibilisation
La fraude au faux technicien : l’attaquant contacte un client en se faisant passer pour l’assistance technique d’un prestataire de l’entreprise. Il cherche à prendre la main sur le poste du client…
Elles recouvrent toutes les attaques sans intermédiaire : zoomer avec un appareil sur l’écran d’une personne dans un lieu public, récupérer le mot de passe sur le post-it sous le clavier, intercepter les signaux d’un clavier bluetooth, introduire une clé USB dans le système…
Elles recouvrent toutes les attaques sans intermédiaire : zoomer avec un appareil sur l’écran d’une personne dans un lieu public, récupérer le mot de passe sur le post-it sous le clavier, intercepter les signaux d’un clavier bluetooth, introduire une clé USB dans le système…
Exemple : Evil maid attack
Utilisé pour décrire des scénarios dans lesquels l’attaquant accède à plusieurs reprises à l’appareil de sa victime (physiquement), souvent lors de déplacement de la victime, l’accès a lieu dans la chambre d’hôtel de la victime en son absence (d’où le nom).
Attaque destinée à infecter les ordinateurs de personnels d’un secteur d’activité précis ou d’une organisation ciblée. La technique du « point d’eau » consiste à piéger un site Internet “légitime” pour infecter les machines des visiteurs du domaine d’intérêt pour l’attaquant.
Par ex, des sites d’associations professionnelles ou de groupements sectoriels insuffisamment sécurisés et dont les vulnérabilités sont exploitées pour contaminer leurs membres. L’accès aux réseaux les plus sensibles de ceux-ci devient alors possible.
Elle consiste à intercepter les communications entre deux parties, sans que celles-ci ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion Internet de l’internaute lambda.
Le Darknet est accessible avec des logiciels spécifiques comme Tor qui préservent l’anonymat (identité du serveur dissimulé, échanges chiffrés).
A l’origine, conçu pour permettre aux personnes de s’exprimer librement sans crainte de représailles, il est aussi utilisé par tous les criminels du monde entier pour échanger, commercer. C’est devenu le marché noir de la cybercriminalité. Il fonctionne sur la base économique des marchés classiques : performance et rentabilité.
Les cybercriminels ont bien compris les ressorts du marketing et de la communication. Ils s’appuient sur les mêmes outils. Ils proposent des sites de vente avec vote sur la qualité de la marchandise et du vendeur. Seul le produit diffère : armes, drogue, service d’un tueur à gage mais aussi des kits de phishing, des données volées (bancaires, identité…), des virus, des failles, la location de botnet… Les cybercriminels proposent même des centres d’appel pour vous aider à payer votre rançon en bitcoin.
Quelques chiffres :
L’émission Infrarouge permet de bien comprendre ce phénomène – DARKNET, L’AUTRE RÉSEAU
Anonymisation des transactions grâce aux cryptomonnaies comme le Bitcoin, Monero. Ainsi, plus de la moitié des transactions passées en Bitcoin sont illégales.
Les cryptomonnaies sont des monnaies virtuelles, qui ne dépendent ni d’un État, ni d’une banque, qui se porteraient garants. Ce sont les utilisateurs qui sont garants de l’intégrité des transactions et ces dernières sont chiffrées (donc pas possible de savoir qui, quoi, où).
Le risque, c’est exploitation d’une vulnérabilité et la concrétisation d’une menace.
Elle repose sur la maîtrise des vulnérabilités.
L’enjeu: réduire les risques et limiter les impacts qui peuvent être financiers, juridiques et réglementaires, organisationnels, de communication (image, réputation).
Pour protéger l’information, il faut d’abord la qualifier : identifier son rôle, son importance stratégique.
Une classification des données permet de définir le degré de sensibilité d’une information (faible, normal, haut) et d’identifier sa classe (publique, privée ou restreinte, confidentielle…).
La protection d’une donnée doit être liée à cette classification. Par exemple, il est inutile de chiffrer les données d’un catalogue produits destinés au public.
Une bonne sécurité doit aussi assurer le respect de l’intimité numérique et la protection des données personnelles (Privacy et RGPD).
Ce sont tous les moyens logiciels mis en œuvre pour sécuriser les données et le fonctionnement des applications.
La sécurité logique repose sur la mise en œuvre adaptée de mécanismes cryptographiques (intégrité et confidentialité), de procédures de contrôle d’accès logique, d’authentification, des procédures de détection de logiciels malveillants (mise en œuvre anti-virus), d’intrusions, d’incidents, des tests de sécurité, des procédures de sauvegarde.
C’est le développement de solutions logicielles adaptées, leur intégration dans des environnements opérationnels (méthodologie de développement, robustesse des applications, jeux de tests, intégration des mécanismes de sécurité, contrôle de qualité…).
Connectivité fiable de bout en bout. Infrastructure réseau sécurisée au niveau des accès au réseau et du transport de l’information :
C’est la gestion du parc informatique, la gestion des configurations et des mises à jour, la gestion des incidents, le plan de sauvegarde, le plan de secours, le plan de continuité, le plan de tests, l’analyse des fichiers de journalisation, la gestion des contrats de maintenance.
C’est la protection des sources énergétiques et de la climatisation, les mesures de sécurité (incendies, inondations, catastrophes naturelles, gestion et contrôle des accès physiques aux locaux…)
Renforcer la sécurité de son système d’information en 42 mesures
Ces règles représentent le socle minimum à respecter pour protéger les informations de son organisation.
Télécharger le PDF
Janvier 2015 : campagne de phishing contenant un cheval de Troie à destination des journalistes de TV5 Monde. Trois journalistes ouvrent la pièce jointe, un ver informatique se télécharge.
Les utilisateurs étant en compte administrateur, le ver informatique circule où il veut. Le réseau à plat (sans partition) lui permet de s’étendre à la partie métier (diffusion télé).
8 avril 2015, TV5 monde cesse d’émettre (destruction des serveurs), les comptes Facebook et Twitter de la chaîne sont piratés pour publication de messages djihadistes.
Intervention immédiate de l’ANSSI pour rétablir le système informatique et la diffusion. Malgré tout, en juillet le réseau informatique n’est toujours pas entièrement opérationnel.
La piste djihadiste, vue comme un leurre, s’oriente vers celle d’un groupe de hackers russes nommé APT28, soutenu par le gouvernement russe. Coût de l’attaque : 5 millions d’euros, investissement pour la protection l’année suivante : 3 millions d’euros.
En savoir plus :
Juillet 2015 : le groupe de hacker “The Impact Team” somme le site de rencontres extra-conjugales Ashey Madison de fermer, sous peine de voir les données de ses clients publiées. Le site n’obtempère pas.
Un mois plus tard, les données (mails, noms, coordonnées, pratiques sexuelles, préférences et fantasmes), de 37 millions d’utilisateurs d’une cinquantaine de pays sont postés sur un site accessible via le réseau d’anonymisation Tor.
Les pirates voulaient pointer la défaillance de la politique de gestion des données du site Ashley Madison : mauvaise sécurité du site, pas de sauvegarde. Mais surtout, les données pour lesquelles les membres avaient payé un supplément pour qu’elles soient effacées n’avaient pas disparu !!!
A la suite de cette fuite, de nombreux membres d’Ashley Madison ont reçu des mails les menaçant de dévoiler leur activité cachée à leurs proches s’ils ne payaient pas une rançon.
Des membres s’étaient inscris avec leur e-mail professionnel, mettant dans l’embarras leur employeur. Le résultat : plusieurs suicides, divorces et démission du PDG d’Ashley Madison.
En savoir plus :
Avril 2016 : des escrocs, basés à l’étranger, piratent la boîte mail d’un membre de la direction du bailleur social dunkerquois Cottage Social des Flandres.
Les escrocs envoient des mails à une salarié du service comptabilité, lui demandant de verser de l’argent à un avocat en charge d’acquérir des sociétés à l’étranger pour le compte du groupe dunkerquois.
Celle-ci a réalisé 23 versements, d’un montant de 400 000 euros chacuns, sur une période de 2 mois (soit presque 10 millions d’euros) sur un compte situé à Bratislava, Slovaquie.
Lorsque la salariée part en vacances et “passe la main” à son directeur de service, celui-ci découvre l’escroquerie. Les escrocs avaient inventé un scénario bien rodé pour la convaincre.
La perte représente 25% du CA et la société dût revoir à la baisse ses projets de construction.
En savoir plus :
Avril 2017 : des attaquants compromettent les serveurs de MeDoc, une petite entreprise ukrainienne éditant un logiciel de comptabilité.
Les attaquants exploitent la procédure de mise à jour du logiciel pour introduire un logiciel malveillant de type ransomware chez les entreprises clientes.
En utilisant l’exploit (développé par la NSA) EthernalBlue, qui a fuité quelques mois avant, ainsi que la faiblesse des mots de passe, le ransomware appelé NotPetya se propage au sein de ces entreprises, puis à toutes celles en contact avec elles.
Cette cyberattaque est faite pour détruire, la rançon est impossible à payer, c’est en fait un wiper. En moins d’une heure les postes de travail chez saint Gobain, Maersk, Merck, FedEx … sont détruits.
La faille exploitée par EthernalBlue avait été patchée quelques mois auparavant ! L’attaque a coûté 10 milliards de dollars à travers le monde. Certaines entreprises touchées ont mis plus d’un mois avant de retrouver un fonctionnement normal.
En savoir plus:
Sources
Cybersécurité – 5e éd. – Sécurité informatique et réseaux
Solange Ghernaouti