Cybersecurity by numbers - Episode 5 (2/2) - Les 5 motivations des attaquants

L’Episode 2 de cette série d’articles a abordé 3 duos essentiels de la cybersécurité : la gestion des « Menaces vs Vulnérabilités », l’approche « Attaque vs Défense » et le dilemme « Sécurité vs Liberté ». Le tout s’applique dans le cadre du système d’information de toute organisation (grande ou petite) comme au cyberespace dans son ensemble où les Etats comme les cybercriminels découvrent un nouveau « terrain de jeu ».

A la suite de l’Episode 5 (1/2) sur les 5 actifs numériques à protéger, cet épisode apporte des éléments de réponse à la question sous-tendue : « mais au fait de quoi / de qui faut-il se protéger ? ». L’exercice est plus compliqué qu’on ne le croit car il est difficile voire impossible de stigmatiser ou de nommer, au risque de restreindre à quelques cas particuliers. Inversement, trop globaliser ou conceptualiser deviendra trop simple voire simpliste.

Pourtant, le point de départ, assez simple, peut être purement juridique. Dès 1988, la France a adopté une loi, dans sa pure tradition législative et dont elle peut d’enorgueillir : La Loi sur la Fraude informatique, dite « Godfrain » du nom du Député de Dordogne. Elle criminalise déjà la plupart des atteintes au système de traitement automatisé de données. Et elle a anticipé un texte majeur du Conseil de l’Europe dit « Convention de Budapest » de 2001 ! Il y a 20 ans. Cette dernière n’apporte pas grand-chose au contenu des cyber-crimes - qui doit surtout s’harmoniser- mais mobilise les Etats signataires dans la coopération internationale qui fait cruellement défaut. La convention compte aujourd’hui 67 signataires.

La cybercriminalité se segmente en 2 catégories : les atteintes aux systèmes et aux données et l’usage criminel des outils informatiques, transposant

dans le « virtuel » des crimes bien réels.

Il y a 20 ans, voire plus, les professionnels de la sécurité se préoccupaient de jeunes étudiants, en quête de gloire et cherchant à démontrer leurs capacités à « casser » le système avec leurs intrusions et nouveaux virus.

Désormais, ce sont des groupes criminels et terroristes, sans parler de certains Etats, qui ont envahi le terrain de jeu « cyber » pour leurs propres « intérêts ». Et ils remettent en cause l’équilibre de l’ensemble des sociétés.

D’ailleurs, nous pouvons désormais suivre la cyber menace en temps réel avec les « cyber threat map » des grands acteurs de la cybersécurité : FireEye, Fortinet, Kaspersky, Checkpoint

Les 5 motivations des attaquants sont désormais bien connues mais sans doute insuffisamment partagées : ludique, cupide, économique, stratégique et terroriste.

Le ludique : les exemples ne manquent pas et s’expliquent très simplement par la jeunesse d’un nouveau domaine technologique. Chercher et découvrir les failles d’un système, par défi ou ego, plus que par intérêt est dans nature des choses. Le film War Game en 1983, le fameux « ver de Morris » en 1988 ou le « virus de l’amour » en mai 2000 ne cherchaient pas à nuire à quiconque. Pourtant … Ces pratiques s’estompent peu à peu d’une part (cf. cependant le piratage d’une Jeep autonome ou de la console de jeux d’un avion), et se sont d’autre part professionnalisées (bug bounty par exemple).

Le cupide : Du ludique au cupide, il n’y a qu’un pas… Dès lors que le « business » s’est numérisé et que l’argent s’est dématérialisé, quoi de plus « normal » que d’attirer certains fraudeurs en tous genres. Le cas de Serge Humpisch (qui se vantait d’avoir « cassé le système des cartes de paiement ») est aussi significatif. Aujourd’hui, les hackers éthiques peuvent d’ailleurs aussi être très bien rémunérés pour ne pas publier les failles et les modes opératoires associés. Désormais, la menace s’est déplacée sous des formes très diverses et bien plus graves : fraude au président et sur les sites de rencontres (usurpation et demandes de virement) comme la peste du ransomware qui s’attaque même aux hôpitaux...

L’économique : plus délicat à aborder car souvent confiné au monde de l’entreprise et des affaires d’espionnage économique et industriel. L’étrange ressemblance de produits russes ou asiatiques avec leurs concurrents occidentaux laisse toujours songeur. Vieux comme le monde mais prenant une tournure particulière dans le monde cyber, à distance et sans trace. Pour n’en citer qu’une, l’affaire Ferrari / Mc Laren avait défrayé la chronique en 2007.

Le stratégique : encore plus délicat à définir car historiquement limité aux entreprises mondialisées et aux stratégies industrielles des états. Les vols de données, les sabotages, les manipulations et déstabilisations par voie numérique se multiplient et sont devenues plus visibles (cf. le sabotage de Aramco, ou les divulgations de Snowden). La sauvegarde des PME / PMI comme, à des niveaux différent mais liés, la puissance des géants du numérique et la manipulation des élections sont d’autres exemples majeurs. Grande question : la démocratie et le principe du « secret » survivront-t-il dans le monde numérique ? Et entre-t-on dans une guerre froide numérique ?

Le terroriste : certainement le volet le plus complexe car couvrant toutes les formes de mécanisme de la « peur » qui se développent dans les sociétés modernes. Au-delà des objets et des contenus qui recouvrent le fondamentalisme religieux comme la pédo-pornographie, l’hacktivisme ou les trafics de médicaments, comme les chantages et l’extorsion ou la surveillance généralisée (y compris privée), ce sont les questions du dilemme « sécurité / liberté » et de l’anonymat numérique qui doivent trouver les meilleurs équilibres. Un triste exemple : la divulgation des utilisateurs de la plateforme de rencontre en ligne Ashley Madison en 2015 ayant détruit des familles et conduit des membres au suicide…

Allons plus loin, car concrètement, de quoi parle-t-on ? Si l’on se réfère à quelques études, publications, analyses, rapports sur la « cyber menace » mondiale, nous sommes vite submergés de termes anglo-saxons accessibles aux seuls experts et par une hétérogénéité de visions. Mais ce sont plus des techniques d’attaques.

Pour certains, il y a 7 types de cyber-attaques - Malware, Phishing, Denial of Service, Botnet, « man in the middle », SQL injection, Password attack-, pour d’autres ce sera 10 -en ajoutant cross site scripting, rootkits et Zero day.

Nous sommes bien ici dans une technique que dans une nature, un objet plus qu’un sujet, un mécanisme plus qu’une finalité. A part le « denial of service », l’impact (atteinte à la disponibilité) est peu perceptible.

L’ANSSI ajoute de son côté, 3 cyber-attaques plus concrètes : vol de données (interne / externe), Fraude au président et Rançongiciel. Constatant l’intérêt économique de ces attaques.

Dès 2002, l’auteur de ces lignes avait proposé une segmentation en 7 catégories structurées par l’intersection des 3 cercles : Infrastructures / Applications / Données, qui nous renvoie au triptyque proposé dans l’Episode 3 sur les Politiques. Rappelons-les : Sabotage, Intrusion, Fraude (escroqueries), Atteinte à la vie privée, Espionnage, Piratage (contrefaçon / détournement) et Contenus illégaux. Voir Sécuriser l’entreprise connectée – Le virus de la confiance (Editions d’organisation – pages 98-118)

Pratiquement, ces typologies à 5 types de motivation (acteurs) ou à 10 types d’attaques ou plus (mécanismes) sont structurantes à plusieurs niveaux pour les professionnels qui doivent désormais parfaitement collaborer et communiquer.

en termes :

·     d’anticipation : les activités de renseignement (Threat intelligence) doivent se développer dans un souci de transparence au sein de tout l’écosystème (entreprises, gouvernements, fournisseurs). Ce qui n’est pas le plus aisé mais devient critique.

·     de protection : le facteur humain reste l’élément clé à ce niveau, à la fois en termes de comportements (via la sensibilisation) et de compétences (via la certification).

·     de détection : les techniques d’attaque évoluent finalement peu, mais s’adaptent vite et se dissimulent mieux nécessitant une extrême rapidité d’action. Ici encore le partage d’information entre le public et le privé devient majeur.

L'Épisode 6 (1/2) abordera, avec une certaine logique, les 6 degrés de l’acculturation à la cybersécurité (cf. Episode 4).

Série d'épisodes reprenant une conférence du 3 Décembre 2018, à l'invitation du MEDEF Ile de France et de Gérard PELIKS lors d'un lundi de la Cybersécurité. "Cybersécurité vs Sécurité Numérique - Le poids des mots, Le choc des nombres."