Un univers sépare l’ARPANET de la défense américaine à la toile déployée aujourd’hui, omniprésente omnisciente même, tant son utilisation est sine qua non du fonctionnement de notre société. Cette évolution révolutionnaire fut accompagnée d’une évolution des mœurs, des modes de pensées, de notre médecine, des relations humaines et même de l’Humain lui-même. Ainsi, si les sociétés se transforment alors que la toile grandit, il en va de même pour toutes les facettes de ces sociétés, la criminalité, la politique ou la guerre. Les vingt dernières années ont vu naitre les termes de site de rencontres, cyber-médecine, voitures connectées, mais aussi cyberguerre et cybercriminalité. Quelles étaient les prémices de ces guerres et crimes d’Internet ? Qui étaient les premières personnes à détourner l’outil pour leur usage ? Comment l’image du nerd adolescent dans son garage a laissé la place aux cybersoldats agissant dans l’ombre d’une organisation illégale ou au contraire dans le cadre de fonctions étatiques tout à fait légitime ? Mais surtout comment se protéger et faire évoluer nos méthodes de défense face à cette affliction ?

Sommaire

1. La cybercriminalité d’hier
2. La cybercriminalité d’aujourd’hui
3. Les groupes criminels et étatiques actuels

1. La cybercriminalité d’hier

Les rêveurs et les « cyber-anarchistes »

Le terme hacker de l’action « to hack » est apparu en 1984 dans le dictionnaire français, mais son origine semble provenir du TechModel Railroad Club, club de modélisme des étudiants du MIT. À l’origine la définition est bien loin de ce que le terme nous inspire aujourd’hui. « Bidouiller », « détourner un outil de sa fonction première », voilà ce que signifie « hacker ». Les premiers hackers sont donc des bidouilleurs, et dès le départ la notion de légalité entre en ligne de compte. Steve Wozniak, futur pilier technique d’Apple est également connu pour avoir pratiqué le phreaking comprenez l’exploitation parfois illégale de réseaux téléphonique. Dans le même ordre d’idées, c’est en voulant debugger le pilote d’une imprimante Xerox, dont le code source est privé, que Richard Stallman lance le projet GNU. Véritable projet militant souhaitant sauvegarder une éthique née au sein du MIT une dizaine d’années plus tôt, GNU souhaite la libre circulation de l’information – comprendre ici, la libre circulation des codes sources des logiciels.

L’arrivée d’Internet

S’il existe une utilisation du talent informatique pour des buts plus ou moins crapuleux, dès les années 1980, avec les casseurs de protections logicielles, ce n’est qu’au début de la décennie 1990, avec la naissance de l’Internet moderne que la cybercriminalité dessine ses premiers traits. Pour autant, les premiers à détourner les fonctions du réseau ne le font pas dans des buts de cyber-espionnage, de racket ou financiers. C’est surtout le goût du défi, l’attrait du jeu et peut-être une vision du monde différente qui pousse des personnes comme Kevin Mitnick, Kevin Poulsen ou Adrian Lamo à s’introduire dans divers systèmes d’information. Il faut toutefois comprendre que, si leurs objectifs étaient bien loin de la plupart des cybercriminels d’aujourd’hui, les intrusions et exploits de ces hackers des origines ont causé de nombreux dégâts.

Le hacktivisme et cyberterrorisme

C’est en 1994 que le groupe Cult of Dead Cow définit ses actions (surtout du développement d’outils d’intrusion ou d’administration distribués librement) par le terme de hacktivisme. L’hacktivisme, dont la définition serait : l’intrusion de réseaux informatiques à des fins militantes, explose aux yeux du grand public avec la naissance d’Anonymous. À l’origine, le groupe, qui n’en est pas un, est un meme internet, né sur des forums populaires anglophones (4chan, Futaba). C’est en 2008, avec l’opération Chanology que le nom est lié à l’hacktivisme.

À cette période, le blog Gawker propose une vidéo de Tom Cruise faisant l’apologie de la scientologie. Suite à cette diffusion, l’Église de Scientologie attaque le média pour violation des droits d’auteurs. S’ensuit une réaction sur le forum de 4chan, les membres s’invitant mutuellement à attaquer l’Église en représailles.

Les attaques d’Anonymous se traduisent souvent par un DDoS (déni de service) ou de canulars téléphoniques. Le niveau technique est logiquement très bas, l’action étant plus un mouvement de foule peu coordonné sur Internet que l’organisation d’une cyber-attaque complexe. Néanmoins, ces cyber-émeutes ont beaucoup fonctionné durant la décennie 2000. Notamment grâce aux LOIC (Low Orbit Ion Canon) et HOIC (Hight Orbit Ion Canon), simples applications permettant d’effectuer de nombreuses requêtes sur une IP. Des sympathisants, peu compétents techniquement furent inquiétés après l’utilisation du logiciel, ces derniers n’ayant pas pensé à cacher leur IP.

Les années 2000, la professionnalisation de l’intrusion

La menace informatique n’est pas chose nouvelle, et si aujourd’hui nous ne pouvons que constater que les craintes des premiers experts en sécurité informatique se sont révélées exactes. C’est en 1967 que le département américain de la défense publie un rapport faisait état de menaces informatiques. C’est dans cette période que le gouvernement fédéral américain constitue la première équipe de pentesters, nommée Tiger Teams. Ces ingénieurs sont surtout des crackers des premières heures, opérant à la recherche de failles de très bas niveau proche du langage machine. Le métier de pentester reste jusqu’à la fin des années 80 une spécification étatique. C’est en 1995, qu’un ingénieur de Sun Microsystems du nom de Dan Farmer publie un document intitulé Improving the Security of Your Site by Breaking Into It explicitant la menace cyber, son avenir et le besoin de s’y préparer. La même année John Patrick, ingénieur chez IBM parle de « ethical hacker ».

Mais c’est réellement dans les années 2000 que l’on cesse d’être un ingénieur qui fait de la sécurité, le métier voué aux tests d’intrusion explose. L’OWASP (Open Web Application Security Project) est publié en 2003, la distribution Linux vouée aux tests d’intrusion Backtrack est éditée en 2006 et à la fin des années 2000 le chiffre d’affaires de la sécurité atteint les 6 milliards.

Le DDos avant le ransomware

C’est également au cours de cette décennie que se produisent les premières attaques crapuleuses de type DDoS. L’objectif étant le paiement d’une rançon contre l’arrêt de l’attaque. Si le plus vieux souvenir médiatique d’une agression par déni de service est celui d’un adolescent de 15 ans, Michael Calce « Mafiaboy ». Ses exploits ont provoqué plusieurs milliards de pertes de chiffre d’affaires. Le DDoS reste une manière simple de mettre à genoux un site internet ou un service connecté, ainsi il est l’outil privilégié de groupes d’hacktivistes, mais devient également une méthode rapide pour des organisations criminelles de faire de gros bénéfices sans prendre de risques inconsidérés.

attaque ddos cybersécurité botnet hacker victime

Il est difficile de situer la première demande de rançon informatique, la communication sur le sujet ayant longtemps été faite au compte-gouttes. Néanmoins, début 2010 le phénomène prend de l’ampleur et il est amplifié aux attaques étatiques venues se mêler au flux. En mai 2013, un blackhat affirme que son groupe a gagné plusieurs millions de dollars sur l’année en cours grâce à des réseaux de botnets loués à des tiers. De son propre aveu, une cible privilégiée est le site de pari en ligne la veille d’un grand évènement sportif ou celui du téléthon le jour de la récolte des dons. Les victimes paient généralement la rançon, le coût de l’attaque serait de toute façon supérieur à cette dernière.

2. La cybercriminalité d’aujourd’hui

La pandémie de ransomware

L’autre arme au service de groupes cybercriminels menaçant les entreprises est le ransomware. Le premier ransomware fût déployé en 1989 via disquette. Les victimes étaient les participants à une conférence sur le SIDA, le malware fût nommé le AIDS Trojan. L’auteur, un académicien du nom de Joseph L. Popp réclamait 189 dollars contre la restauration du système chiffré.

Il faudra attendre 2005 pour que le principe refasse surface et devienne une véritable épidémie sur Internet. GPCoder infectait les systèmes Windows, il chiffrait les fichiers selon leur extension et les tentatives de déverrouillage redirigeaient la victime sur un fichier décrivant la manière de payer la rançon.  La même année Archievus infecte et chiffre de nombreux postes Windows.

Bien qu’à partir de 2005 ces « virus chiffrant se propagent à nouveau, c’est bien aux alentours de 2010 que la technologie est utilisée massivement par des groupes organisés. Début 2011 le nombre d’attaques recensées est d’environ 60 000, début 2012 on en dénombre 200 000, pour une valeur monétaire d’environ 5 millions de dollars à la fin de l’année (19).

En 2014, CryptoWall provoque une vague de rançon chez les entreprises, on estime les gains à 325 millions de dollars. La pandémie de ransomwares débute et elle n’est pas près de s’arrêter.

Les groupes criminels et étatiques actuels

Identité des adversaires

Nous constatons donc la professionnalisation de la menace cyber, autant dans les rangs des ethicals hackers que ceux opérant en dehors du cadre légal. Si le hacker solitaire existe toujours, la majorité des menaces provient de groupes structurés aux visées financières ou politiques. Les motivations et identités de ces groupes sont souvent l’objet de fantasmes de la part du grand public, et même de ceux et celles chargés de les arrêter. En effet, comment cerner des gens agissant parfois à l’autre bout du globe. En 2013, MITRE – organisation affichant l’objectif de proposer un monde plus sûrédite le framework Att&ck  au service des acteurs et actrices de la cybersécurité.

Utilisant une nomenclature héritée du monde militaire, l’acronyme Att&ack, signifie Adversial tactics, techniques and common knowledges. Conçu comme une solution proposant une source de données de type kill chaincomprendre une modélisation des procédés d’attaques – le framework relie, entre autres, dans des matrices, les groupes d’adversaire (les cybercriminels), leurs tactiques (le pourquoi de l’attaque), les techniques (les moyens utilisés pour parvenir à la tactique) et les victimes potentielles. Si nous nous attardons sur les groupes d’adversaires actuels, il y apparaît une certaine disparité. Nous pouvons en citer de manière non exhaustive :

Bronze Butler
Un groupe, potentiellement chinois et étatique, ciblant des entreprises japonaises afin de procéder à des exfiltrations de données (cyber-espionnage).

Admin@338
Groupe officiellement chinois, potentiellement étatique ciblant les organisations impliquées dans la politique financière.

Volatile Cedar
Groupe Libanais, ciblant diverses organisations à travers le monde dans un but idéologique.

Cobalt Group
À la différence des précédents, ce groupe possède des motivations financières. Il ciblait les systèmes ATM afin de dérober de l’argent en Europe de l’Est, en Asie Centrale et en Asie du Sud-Est.

Indrik Spider
Également aux motivations financières, ce groupe, actif depuis 2014, a procédé à des attaques bancaires ainsi qu’à la propagation de ransomware.

Du test d’intrusion à la Redteam

Face à ce constat de professionnalisation de l’attaque informatique la réponse de la cyberdéfense est-elle adaptée ? La notion de profiling proposée par des méthodes de travail telle que Att&ck est forcément intéressante, mais ne peut être envisagée que pour une société ayant déjà une certaine maturité en matière de cybersécurité. La question de la sécurité d’un réseau d’entreprise ou d’une plateforme applicative est souvent floue et les entreprises cherchent parfois l’obtention de la certification qu’ils ont mis en place une stratégie de défense afin de démontrer leur non-responsabilité aux yeux des assurances. De fait, certaines d’entre elles envisagent de procéder à un test d’intrusion.

redteam pentest audit cybersécurité nantes rennes paris

Véritable thermomètre de la cybersécurité, le pentest permet une remontée rapide, mais non exhaustive des faiblesses du système. Il est parfait pour donner une direction d’action, mais ne peut suffire à lui seul. Hélas, il possède souvent un périmètre d’action assez réduit et une fenêtre temporelle courte et contraignante. Procéder à des tests uniquement à certaines heures et modérer les méthodes d’attaques (pas de déni de service, pas de phishing sur les employé.es, etc.) sert à protéger l’activité du client d’éventuels effets de bord, mais a un effet pervers de s’éloigner de la réalité.

Les cybercriminels opèrent sans règle. Le test d’intrusion est donc très utile pour des entreprises voulant mettre à l’épreuve une parcelle de leur infrastructure (site web, réseau d’entreprise etc), mais ne suffira pas à préparer un grand groupe, cible potentielle des adversaires, à une attaque complexe, réaliste et mise en place sur une durée de temps parfois très longue.

Redteam

La solution, réservée à des entreprises ayant un niveau de maturité en cybersécurité plus élevé, se traduisant par de réelles capacités de supervision, de détection et d’intrusion, est une offre Redteam. Plus qu’un simple test d’intrusion, les auditeurs se mettent réellement dans la peau des attaquants et procèdent à des attaques bien plus longues et permissives qu’un simple test d’intrusion. De plus, grâce à des cadres comme Att&ck la prestation Redteam peut être personnalisée et cibler une entreprise via les mêmes tactiques que ses adversaires identifiés.

Plus longue, plus coûteuse et plus difficile à mettre en place, cette solution offre l’avantage de clairement identifier les faiblesses du système grâce à sa mise en situation réelle. Il convient ensuite de tirer les conclusions des attaques fictives d’agir en conséquence, cela peut-être un chemin laborieux, mais extrêmement bénéfique à l’égard d’une menace chaque jour grandissante et chaque jour plus virulente.

Je partage

Derniers articles

edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article
miniature entretien julien nocetti gafam

Julien Nocetti (spécialiste des enjeux numériques) : « Il existe aujourd’hui une asymétrie entre le pouvoir des Gafam et celui des États » (3/3)

Troisième volet de notre série d’entretiens avec des experts de la cyberstratégie et de la géopolitique. Après Olivier Kempf et Kevin Limonier, c’est au tour de Julien Nocetti – directeur de la chaire ‘Gouvernance du risque cyber’ à Rennes School of Business, enseignant à Saint-Cyr, chercheur à GEODE et à l’IFRI – de répondre à nos questions au sujet de l’influence des Gafam en Europe, de la notion de souveraineté numérique ou des enjeux liés aux nouvelles technologies d’ici 2030.

Lire l'article