notes et transcriptions du cours “Défis et enjeux de la cybersécurité” proposé par l'Université Bretagne Sud sur la plateforme Fun Mooc.

Il faut bien avoir en tête que nous-mêmes, nous sommes à la fois vecteurs et victimes d’attaques. Pour exemple un adolescent français a été condamné pour avoir cyber harcelé plusieurs personnes. Il minimisait ses actions « ce n’est pas grave, c’est sur Internet », comme si sur Internet ça ne comptait pas. Nous-mêmes parfois, nous avons tendance à nous laisser aller sur les réseaux sociaux en utilisant des mots très durs, qu’on n’utiliserait pas forcément dans une situation d'échange direct.

Sans le vouloir forcément, nous pouvons être vecteurs d’attaque, en particulier contre d’autres personnes. Le cyber harcèlement dans le milieu scolaire est particulièrement violent, même si le harcèlement a toujours existé, ce qui change fondamentalement c’est qu’auparavant l’enfant pouvait s'y soustraire en rentrant au sein d'un environnement sécurisé dans son foyer. Désormais, avec Internet, les réseaux sociaux, le cyber harcèlement est permanent. L’enfant, l’adolescent, ne s’en sort plus et il y a malheureusement de plus en plus de suicides liés aux cyber harcèlement.

Donc soyons tous ensemble particulièrement vigilants par rapport à cela: au bout du bout il y aura toujours des personnes humaines qui sont soit vecteurs, soit victimes d’attaque.

Je parlais de personnes humaines, ce qui est fondamental d’avoir à l’esprit, c’est que les pirates vont beaucoup s’appuyer sur notre propre psychologie. C’est ce qu’on appellera dans le jargon l’ingénierie sociale. On va utiliser des moyens purement psychologiques pour mener ou amener à une attaque informatique. C’est globalement ce qu’on appelle le phishing, le pirate n’est pas idiot, pourquoi s’embêter pendant des heures et des heures à essayer de casser un système ultra sécurisé, alors qu’il lui suffira peut-être tout simplement de demander à quelqu’un l’information dont il a besoin. Le pirate ne va pas hésiter à demander directement vos mots de passe, vos identifiants, mais il aura pu faire tout un travail de préparation sur les réseaux sociaux, de création d’un lien de confiance et donc sa demande va peut-être paraître complètement naturelle.

Pour anecdote, il y a eu un exercice organisé par le Pentagone il y a quelques années. Les gens qui ont mené l’exercice, la « Red Team », comme on dit, les attaquants, à un moment l’un d’entre eux s’est dit finalement le plus simple est d’appeler un membre du Pentagone et de me faire passer pour le responsable informatique. Je vais lui demander identifiant et mot de passe et ça a marché, la personne a immédiatement donné son identifiant et son mot de passe ce qui a permis d'entamer une attaque.

Le pirate va d’abord passer par notre propre psychologie. Pourquoi s’embêter à mener une grosse attaque technique alors que le plus simple c’est encore de demander directement les informations dont il a besoin.

Le pirate peut être une personne individuelle. Début 2019 il y a eu une attaque sur un grand nombre de personnalités politiques allemandes. Au début, ils ont cru que c’était organisé, que ça venait d’un État. c’était en fait un adolescent allemand de 19 ans qui avait décidé de s’en prendre aux données et à ces personnalités politiques allemandes.

Le pirate est de plus en plus souvent un groupe ou une organisation. Ce qu’on constate c’est que les pirates s’organisent pour se répartir les tâches. Il y a ceux qui vont imaginer le malware, le virus, il y a ceux qui vont imaginer toute la partie ingénierie sociale, il y a ceux qui vont mener l’attaque par déni de service etc. Il y a une vraie répartition du travail parmi eux.

Enfin, le ou les pirates peuvent être directement ou indirectement un État. Évidemment pour des raisons d’espionnage, mais aussi de plus en plus fréquemment pour influencer les opinions. Ce qu’on appelait historiquement de la propagande et qu'on appellera plutôt aujourd’hui des fake news. Elles peuvent venir de personnes, de groupes, voire d’États qui veulent influencer l’opinion publique. Rappelons nous tous les débats autour des élections américaines de 2016, l’élection de Donald Trump.

Pour un État, le gros avantage d’une cyberattaque vient de l’extrême difficulté à identifier qui est derrière. On en revient à la notion d’organisation: il y a des groupes organisés, que très souvent on peut estimer téléguidés par des États, mais comme c’est presque impossible à prouver, on a simplement un certain nombre d’indices.

Quelles sont les motivations et les profils types de pirates?

• Tout d’abord historiquement il y a le hacker, le pirate. Sa logique à lui, c’est une logique de défi technique. Il faut se remettre dans le contexte des débuts d’Internet et de l’informatique au sens large. Au milieu des années 60 aux États-Unis dans le milieu universitaire. L’allocation de la ressource était très limitée. L’étudiant disposait ainsi de très peu de temps d’ordinateur, il a donc voulu s’en attribuer plus et il a commencé à pirater le système de son université avec cette notion de défi: je veux rentrer dans un système qui est sécurisé et montrer de quoi je suis capable, je peux le faire.
• La deuxième motivation des pirates c’est l’hactivist, le pirate qui a des motivations politiques. Vous avez sans doute tous entendu parler des Anonymous. Leur première action d’éclat a été contre l’église de scientologie et Tom Cruise. Il s’agit par les nouveaux moyens technologiques, en particulier Internet, de diffuser un message politique, de remettre en cause un certain nombre d’éléments politiques ou de placer des débats au cœur de l’actualité, en particulier vis-à-vis d’États peu démocratiques. Donc l’activiste c’est le pirate, ou le groupe de pirates, qui ont des motivations politiques.
• Le whistleblower ou lanceur d’alerte. Typiquement c’est Edward Snowden. Vous avez sans doute déjà entendu parler de lui. Il a dénoncé les programmes de surveillance massive d’une agence de renseignement américaine, la NSA qui avait industrialisé, à l’échelle du monde, l’écoute de pays et de dizaines de millions de gens dans le cadre, disaient-ils, de la lutte contre le terrorisme. Whistleblower, lanceur d’alertes, je diffuse au monde entier grâce à Internet des informations que certains auraient voulu garder cachées.
• Le cybercriminel motiver par l'apat du gain. C’est devenu massif aujourd’hui et une vraie problématique. Le cybercriminel veut notre argent en tant que personnes privées, mais également celui des entreprises, des banques etc.

On peut distinguer les attaques visibles des attaques invisibles.

• DDOS¹⁾ et PDOS²⁾: attaques par déni de service, attaques permanentes par déni de service. L’attaquant va bombarder une ressource Internet de tellement de requêtes, qu’elle ne pourra plus fonctionner normalement. Il y a eu plusieurs séries d’attaques par déni de service, ça se produit très fréquemment. En 2016, juste avant les élections américaines, il y a eu une attaque qui est restée dans les annales, puisque toute la côte Est des États-Unis est tombée: Amazon, Facebook, Twitter, etc. Le hacker avait piraté des dizaines de milliers d’objets connectés, en particulier des caméras et s’était attaqué à au service DNS. Permanent Denial Of Service, il n’y a plus une notion de provisoire, mais de définitif, voire de destructif. Une petite parenthèse, certains disent que dans l’attaque par déni de service, comme il n’y a pas eu d’intrusion ou de destruction, peut-être considérée comme une nouvelle forme de manifestation, de sit-in. On a le droit de manifester dans la rue et même parfois d’empêcher l’accès à des bâtiments, notamment publics. L’attaque par déni de service est bien sûr considérée comme illégale, mais il existe quand même une sorte de questionnement démocratique derrière cette nouvelle forme de manifestation possible.
• Le défaçage: remplacement du contenu. Ça se produit malheureusement très fréquemment. C’est ce qui s’est passé en 2015 avec la grande attaque de TV5 Monde.
• Ransomware ou rançongiciel. Le malware, le virus va complètement chiffrer votre disque dur et vous allez devoir payer pour accéder de nouveau à vos propres données.
• Crypto-jacking: monopolisation des ressources matérielles pour pour générer de la monnaie électronique.

Ce sont les plus dangereuses, les plus pernicieuses.

• Fuite de données: Le pirate s'introduit dans votre système sans que vous le sachiez et essaye de rester caché le plus longtemps possible et d’exfiltrer de votre système informatique, les données que vous souhaiteriez garder confidentielles: appels d’offres en cours, projets de recherche et developpement, tout ce qui fait le cœur de votre système, ce qui constitue réellement sa valeur. Vous allez peut-être perdre des contrats, il va se passer des évènements que vous n’allez pas comprendre, tout simplement parce qu’au cœur même de votre système d'information vous avez un espion informatique qui fait fuiter en permanence de la donnée.
• APT pour Advanced Persistent Threats. Les pirates se mettent de plus en plus en organisation. Un APT est un groupe, une organisation qui va décortiquer vos systèmes, les étudier à fond et ensuite les pénétrer. Chacun en prenant un bout: le site internet, les bases de données, etc.Pour ceux qui suivent un peu l’actualité, on parle souvent d’APT reliés à des groupes de pirates, eux-mêmes rattachés à des pays, par exemple Fancy Bear pour les Russes, Lazarus pour les Nord-Coréens. Donc dans l’APT, la menace évoluée permanente si on traduit littéralement, il y a vraiment une notion de préparation, d’organisation et de piratage continu sur le long terme, par rapport à vos ressources sensibles ou que vous souhaiteriez garder secrètes.

< Précédent | Sommaire | Suivant >