Le 3 décembre dernier, le spécialiste de la cybercriminalité Ali Moutaïb donnait une conférence à l’École de Guerre Économique (EGE) sur la réalité du cyberespionnage. En voici le compte-rendu.
État des lieux des menaces : Cyberespionnage et cybercriminalité
Par le terme de cyberespionnage on entend des techniques utilisées par des États et des entreprises pour récupérer des informations stratégiques. Les principales techniques utilisées sont l’usurpation d’identité, l’utilisation de logiciels malveillants (malware), le phishing.
Au cours des dernières années, la cybercriminalité a connu une évolution d’importance. Les petits hackers se sont professionnalisés via le dark web. Si « l’hacktivisme » a toujours existé, le phénomène s’est accentué avec l’apparition d’Anonymous, depuis 2010 et du cyber-terrorisme des principales organisations terroristes. Aujourd’hui, la cyber-sécurité a pris une place importante dans les débats publics tandis que les attaques s’enchainent et sont de plus en plus importantes (TV5 Monde par exemple).
Étude de cas : les Advanced Persistent Threat (APT)
Les APT désignent des attaques qui mettent en œuvre de réelles compétences techniques et stratégiques, utilisant souvent des failles zero day[1]. On parle d’attaques avancées, car elles nécessitent beaucoup de temps, d’hommes (au moins 10 personnes) et d’argent, contrairement aux attaques classiques. Les cibles sont les données stratégiques d’États ou d’entreprises (processus de fabrication, des documents classés confidentiels, des contrats, des brevets, etc.). Ces dernières peuvent être obtenues sur la longue durée avec le maintien de backdoors au sein des entreprises et des Etats.
Ceux qui mènent des attaques APT sont des unités spéciales d’États ou des groupes mercenaires. Les équipes disposent généralement de profils variés (hackers classiques, personnes chargées du renseignement, chargés de veille technologique, analystes métiers, développeurs, etc..).
Généralement, les APT se divisent en quatre étapes principales :
1/ La reconnaissance et le repérage (cartographie des acteurs de la cible, des collaborateurs, via des sources ouvertes et humaines, social engineering (cibles trop bavardes sur Linkedin par exemple)).
2/ L’intrusion via les failles repérées.
3/ La collecte des informations (cartographie interne des serveurs pour trouver les plus intéressants et les collecter, choix d’un espace spécifique pour rassembler les informations qui seront cryptées)
4/ La diversion pour pouvoir exfiltrer les infos sans se faire repérer par les robots de défense.
Les conséquences des APT sont de plus en plus élevées et font l’objet d’une médiatisation importante. À titre d’exemple on peut citer, entre 2010 et 2013 les attaques de Stuxnet, Nightdragon ou de Bercy.
Les solutions envisageables
Les solutions ne doivent pas forcément être recherchées dans des « produits miracles » que certains acteurs vendent aux entreprises pour se protéger. C’est le facteur humain qui est responsable de 90% des failles et qui doit, par conséquent, mobiliser la majorité des efforts de sécurité. Pour cela, il semble nécessaire de sensibiliser les utilisateurs et de mettre en place une surveillance permanente du réseau qui pourrait être prise en charge par une cellule incident/ veille/ renseignement. Enfin, prendre conscience de l’aspect permanent de la menace tout en sachant placer la protection sur des points sensibles représentent des réflexes à adopter pour se mettre à l’abri.
[1] Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est une vulnérabilité d’un produit qui est soit inconnue du fournisseur du produit, soit qui ne dispose pas de correctif approprié. Une exploitation zero-day est susceptible d’engendrer la création d’un ver car, par définition, la grande majorité des utilisateurs ne sera pas protégée contre cette faille jusqu’à ce qu’elle soit découverte et corrigée.
Florian Estebe et Antoine Pélaprat