Cyberattaque
Qu’est-ce qu’une cyberattaque ?
Dans la première édition de son CyberDico, publiée mi-juillet 2024, l’Agence nationale de la sécurité des systèmes d’information (Anssi) définit une cyberattaque comme consistant à « porter atteinte à un ou plusieurs systèmes informatiques dans le but de satisfaire des intérêts malveillants ».
Et de préciser que la cyberattaque « cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou liés par réseaux, connectés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des moyens de communication comme les smartphones, les tablettes et les objets connectés. La sécurité de ces dispositifs informatiques est mise en danger soit par voie informatique (virus, logiciel malveillant, etc.), soit par manipulation, soit par voie physique (effraction, destruction). Les quatre grandes finalités des cyberattaques sont : l’appât du gain, la déstabilisation, l’espionnage et le sabotage ».
Hélas, en incluant les atteintes physiques aux « dispositifs informatiques », cette définition, très large, n’exclut pas les atteintes physiques, au contraire de ce font les contrats d’assurance cyber et même… une autre définition de l’Anssi, présente dans son glossaire.
Là, on peut lire qu’une cyberattaque est un « ensemble coordonné d’actions menées dans le cyberespace qui visent des informations ou les systèmes qui les traitent, en portant atteinte à leur disponibilité, à leur intégrité, ou à leur confidentialité ». Cette définition est reprise par le projet ouvert M82.
Une cyberattaque peut être lancée de n’importe où par une personne ou un groupe de personnes, en utilisant une ou plusieurs stratégies d’attaque.
Les personnes qui mènent des cyberattaques sont généralement considérées comme des cybercriminels, même si le terme de cyberdélinquants serait probablement plus approprié, au regard du droit français.
Souvent qualifiés d’acteurs malveillants, de pirates, ou encore de hackers (mais à tort), ces individus agissent parfois seuls, faisant usage de leurs compétences en informatique pour élaborer et mener des attaques malveillantes. Ils peuvent également appartenir à une organisation criminelle et collaborer avec d’autres acteurs malveillants pour détecter, au sein de systèmes informatiques, des points faibles ou des problèmes – appelés vulnérabilités – susceptibles d’être exploités à des fins délictueuses.
Certains groupes d’experts informatiques œuvrant avec la bénédiction un gouvernement lancent aussi des cyberattaques. Ils sont alors appelés pirates ou attaquants d’État-nation (nation-state attackers), et sont accusés de s’en prendre aux infrastructures IT d’autres gouvernements, ainsi qu’à des entités non gouvernementales telles que des entreprises, des ONG ou des services publics. C’est pour eux que l’on parle d’APT, ou Advanced Persistant Threat.
Qu’est-ce qui motive une cyberattaque ?
Les cyberattaques sont conçues pour porter préjudice. Elles peuvent poursuivre différents objectifs, dont les suivants :
- Gain financier. La plupart des cyberattaques actuelles, particulièrement celles visant des entités commerciales, sont lancées à des fins de gain financier. Ces attaques ont souvent pour objet de voler des données sensibles, telles que les numéros de carte de crédit de clients ou les informations personnelles d’employés, dont les cybercriminels se servent ensuite pour accéder à de l’argent ou à des marchandises en utilisant l’identité des victimes. Ils peuvent également menacer la victime de divulguer publiquement ces données ou de les vendre à tiers, suivant une logique d’extorsion. La mise en vente des données dérobées peut également survenir en l’absence de toute tentative d’extorsion. L’opération peut être alors comparable à une forme de cyberespionnage industriel. Toujours animées par un motif financier, d’autres attaques sont conçues pour rendre inopérants les systèmes d’information. Les cybercriminels verrouillent les ordinateurs afin que leurs propriétaires et utilisateurs autorisés ne puissent plus accéder ni aux applications ni aux données dont ils ont besoin. Il ne reste plus alors aux cybercriminels qu’à exiger de l’organisation visée une rançon en échange du déverrouillage. Ces attaques peuvent impliquer le déploiement et l’activation de ransomware, mais pas nécessairement. L’activation d’une fonctionnalité légitime telle que BitLocker, de Windows, peut être suffisante pour engager une tentative d’extorsion. Ces attaques peuvent impliquer des collaborateurs soudoyés par les cyberdélinquants. Des appels à recrutement en ce sens ont déjà été observés. On parle alors de menace interne. Certaines attaques peuvent paraître relativement anodines, comme celles se limitant au déploiement de logiciels de minage de cryptoactifs sur les serveurs et postes de travail. Mais derrière l’apparence d’une attaque relativement bénigne, car non destructrice, et sans vol de données – on parle de cryptojacking –, peut se cacher une compromission en profondeur du système d’information, justifiant un important travail de nettoyage.
- Perturbation et vengeance. Les acteurs malveillants lancent aussi des attaques spécifiques pour semer le chaos, la confusion, le mécontentement, la frustration ou la suspicion. Ils peuvent agir de la sorte pour se venger d’actions menées à leur encontre. Ils peuvent avoir pour objectif d’embarrasser publiquement les entités visées ou de nuire à leur réputation. Ces attaques sont le plus souvent dirigées contre des organismes publics, mais elles peuvent aussi viser des entités commerciales ou des ONG. Les attaques de ce type sont parfois fomentées par des pirates d’État. Elles peuvent également être lancées par des pirates, dits « hacktivistes », en guise de protestation contre l’entité ciblée ; les plus connus sont un groupe secret décentralisé d’activistes internationaux, appelé Anonymous. Mais ces attaques peuvent également être le fait d’employés ou d’anciens collaborateurs mal intentionnés. On parle alors encore de menace interne.
- Les gouvernements du monde entier s’impliquent aussi dans des cyberattaques. Nombre d’entre eux reconnaissent ou sont soupçonnés de concevoir et mener des attaques contre d’autres pays dans le cadre de différends politiques, économiques et sociaux. Ces types d’attaques entrent dans la catégorie de la cyberguerre, avec des objectifs d’espionnage voire de sabotage.
Comment se déroule une cyberattaque ?
Pour lancer une cyberattaque, les pirates recourent à diverses techniques, selon que leur action est ciblée ou non.
Dans une attaque non ciblée, les acteurs malveillants tentent de pénétrer autant de systèmes et d’appareils que possible, généralement à la recherche de vulnérabilités qui leur permettront d’obtenir un accès sans être détectés ni bloqués. Ils peuvent, par exemple, lancer une attaque par hameçonnage (« phishing ») en adressant à un grand nombre de personnes des courriels dont l’ingénierie sociale adaptée incitera les destinataires à cliquer sur un lien qui téléchargera un code malveillant. Ce dernier peut être utilisé directement pour conduire une attaque à partir de l’hôte compromis, mais pas nécessairement : le code malveillant peut être dédié au vol de données d’identification, par exemple stockées par le navigateur Web. L’analyse de ces données pourra donner lieu à l’établissement d’accès initiaux sur le système d’information de la victime qui sera effectivement attaquée.
Dans une attaque ciblée, les pirates visent une organisation spécifique. Les méthodes utilisées varient alors selon les objectifs. À titre d’exemple, le groupe hacktiviste Anonymous était soupçonné en 2020 d’une attaque par déni de service distribué (DDoS, Distributed Denial-of-Service) à l’encontre du site Web des services de police de Minneapolis, suite au décès d’un homme de couleur après son arrestation par des policiers municipaux. Les pirates utilisent également des campagnes de harponnage (« spear-phishing ») lors d’attaques ciblées : ils envoient des courriels à des personnes spécifiques. Si elles cliquent sur des éléments inclus dans le message, elles peuvent télécharger un logiciel malveillant conçu pour corrompre la technologie de l’organisation, ou les données sensibles qu’elle détient, ou bien se trouver invitées à s’authentifier avec leurs données d’identification d’entreprise sur un site Web frauduleux.
Les cybercriminels créent souvent eux-mêmes les outils logiciels qu’ils utilisent dans leurs attaques et les partagent fréquemment sur le Web clandestin, le « DarkWeb » – souvent moyennant paiement, récurrent ou ponctuel.
Les cyberattaques se déroulent souvent en plusieurs phases. Pour commencer, les hackers sondent ou analysent leur cible à la recherche de vulnérabilités ou de points d’accès, puis lancent la compromission initiale et enfin exécutent l’attaque complète. La phase de reconnaissance peut être considérablement réduite lorsque les assaillants disposent déjà d’un accès initial acquis auprès d’un tiers l’ayant préalablement établi.
Quels sont les types de cyberattaque les plus répandus ?
Les cyberattaques impliquent le plus souvent les techniques suivantes :
- Logiciels malveillants (malware). Ces logiciels servent à attaquer des systèmes informatiques. Rançongiciels (ransomware), logiciels espions (spyware), voleurs de données (stealer) et chevaux de Troie (Trojan) sont autant d’exemples de ces programmes malveillants. Selon son type de code, un logiciel malveillant peut permettre à un pirate de voler ou de copier secrètement des données sensibles, de bloquer l’accès à des fichiers, de perturber le fonctionnement d’un système ou de rendre ce dernier inexploitable.
- Hameçonnage (phishing). Par ce procédé, le pirate adresse des courriels élaborés suivant des techniques d’ingénierie sociale plus ou moins élaborées pour inciter les destinataires à les ouvrir. Trompés, les destinataires téléchargent alors le logiciel malveillant contenu dans le courriel, soit en ouvrant une pièce jointe, soit en cliquant sur un lien. La qualification de cyberattaque peut être là considérée comme abusive, en cela qu’il peut s’agir seulement d’une technique préparatoire d’une cyberattaque.
- Interception (man-in-the-middle, MitM). Dans l’attaque en interception, les agresseurs s’insinuent secrètement entre deux parties, par exemple entre des ordinateurs personnels et un établissement financier. Selon ses caractéristiques exactes, l’attaque peut entrer plus spécifiquement dans la catégorie « homme dans le navigateur » (man-in-the-browser attack), « monstre du milieu » (monster-in-the-middle attack) ou « machine du milieu » (machine-in-the-middle attack). Cette technique est parfois également appelée attaque par interception ou par écoute (eavesdropping attack).
- Déni de service distribué (DDoS). Ici, les assaillants bombardent les serveurs d’une organisation d’un grand nombre de demandes de données simultanées, rendant ainsi les serveurs incapables de gérer les requêtes légitimes.
- Injection SQL. Les pirates insèrent un code malveillant sur des serveurs en utilisant le langage de requêtage de bases de données SQL (Structured Query Language) pour que les serveurs dévoilent des données sensibles.
- Exploitation de vulnérabilité inédite (zero-day exploit). Cette attaque intervient lorsqu’une faille, qui vient juste d’être identifiée dans une infrastructure informatique, est exploitée par des pirates alors qu’aucun correctif n’est encore disponible. Là encore, la qualification de cyberattaque peut être considérée comme abusive, en cela qu’il peut s’agir seulement d’une technique préparatoire.
- Téléchargement à la dérobée (drive-by download). Ce téléchargement se produit lorsqu’un internaute peu méfiant se rend sur un site Web qui infecte alors son ordinateur avec un logiciel malveillant. Là encore, la qualification de cyberattaque peut être considérée comme abusive, en cela qu’il peut s’agir seulement d’une technique préliminaire.
- Attaque par identifiants (credential-based attack). Cette attaque intervient lorsque des pirates volent les identifiants que des employés utilisent pour accéder aux systèmes de l’organisation, puis s’en servent pour accéder illégalement à des ordinateurs et voler des données sensibles ou perturber l’activité d’une organisation. Là encore, la qualification de cyberattaque peut être là considérée comme abusive, en cela qu’il peut s’agir seulement d’une technique préliminaire, touchant à la phase d’établissement d’un accès initial.
Comment se prémunir contre une cyberattaque ?
Aucun moyen ne saurait garantir à une organisation d’échapper à une cyberattaque. Toutefois, de nombreuses bonnes pratiques en la matière contribuent à atténuer le risque.
Diminuer le risque de cyberattaque repose sur le recours combiné à des professionnels expérimentés, à des procédures et à des technologies de sécurité.
L’approche implique en outre trois grandes catégories de mesures défensives :
- empêcher les tentatives d’attaque d’intrusion dans les systèmes informatiques de l’organisation ;
- détecter les intrusions ; et
- interrompre les attaques en cours, dans l’idéal le plus tôt possible.
Les bonnes pratiques sont notamment les suivantes :
- mise en œuvre de protections périmétriques, telle que des pare-feu, pour bloquer les tentatives d’attaque et l’accès à des domaines connus comme étant malveillants ;
- utilisation d’un logiciel de protection contre les programmes malveillants, à savoir un logiciel antivirus, ou mieux encore un EDR aidant à la détection et à la réponse sur les hôtes ;
- utilisation d’un programme de gestion de correctifs pour gérer les vulnérabilités logicielles identifiées susceptibles d’être exploitées par les pirates informatiques ;
- mise en œuvre de configurations de sécurité, politiques de mot de passe et contrôles des accès utilisateur adaptés ;
- tenue à jour d’un programme de surveillance et de détection pour identifier les activités suspectes et donner l’alerte ;
- création de plans d’intervention en cas d’incident visant à guider l’intervention si une brèche se produit dans la sécurité – ou est juste soupçonnée ; et
- formation et pédagogie auprès des utilisateurs portant sur les différents scénarios d’attaque et le rôle que chacun doit jouer dans la protection de l’organisation. La sensibilisation des directions, générale et métiers, s’impose également, notamment pour aider à la prise de la conscience de la menace réelle, loin des idées reçues.
Quelles sont les cyberattaques les plus connues ?
Détectée en décembre 2020, l’attaque massive baptisée SolarWinds ciblait des agences fédérales du gouvernement des États-Unis, ainsi que des infrastructures et de grandes entreprises privées. Elle est considérée comme l’une des pires attaques de cyberespionnage qu’ait subi le gouvernement des États-Unis. Le 13 décembre 2020, on apprend que l’éditeur de logiciels d’administration SolarWinds, basé à Austin, au Texas, a été victime d’une attaque ayant compromis les mises à jour de sa plateforme logicielle Orion. Au cours de cette attaque, les pirates ont introduit leur propre logiciel malveillant – aujourd’hui connu sous le nom de Sunburst ou Solorigate – dans les mises à jour, ces dernières étant ensuite distribuées à de nombreux clients de SolarWinds. La première victime confirmée de cette porte dérobée est la société de cybersécurité FireEye, qui divulgue le 8 décembre la compromission de sa sécurité par des pirates soupçonnés être des pirates d’État. Très vite, on apprend que la campagne d’attaques SolarWinds a affecté d’autres organisations, notamment les géants de la technologie Microsoft et VMware, ainsi que de nombreuses agences gouvernementales des États-Unis. Les enquêtes vont révéler que les assaillants – qui auraient été soutenus par le gouvernement russe – avaient infiltré les systèmes ciblés depuis mars 2020 sans avoir été détectés. En janvier 2021, les enquêteurs essayaient toujours de déterminer l’envergure de l’attaque.
Voici un récapitulatif de quelques-unes des attaques les plus notoires, en remontant jusqu’à 2009 :
- En 2021, les ransomwares se sont imposés comme une menace dont la progression ne semble pas proche de s’arrêter. Face à l’agressivité des cyberdélinquants, la cybersécurité s’est imposée comme un véritable sujet de société en France, et au-delà.
- En 2020, les cyberattaques avec ransomware connaissent une véritable explosion. Plus de 1 650 d’entre elles sont recensées à travers le monde.
- 2019 marque un tournant dans le domaine des attaques avec ransomware. En début d’année, l’ESN française Altran est touchée. Au mois de novembre suivant, ce sera au tour du CHU de Rouen.
- L’année 2017 continue de marquer les esprits dans le monde IT, de nombreuses années plus tard, en raison des importants épisodes WannaCry et NotPetya. À cela s’ajoute l’attaque ayant frappé Equifax.
- En 2014, la société Sony Pictures Entertainment fait l’objet d’une attaque qui compromet à la fois des données personnelles et des données de propriété intellectuelle de l’entreprise, notamment des films encore non diffusés ; les autorités des États-Unis accusent la Corée du Nord.
- En 2013, Target subit une brèche de sécurité qui entraîne le vol de données de paiement appartenant à 110 millions de clients.
- En mars 2011, RSA reconnaît avoir été victime d’une cyberattaque ayant notamment permis aux pirates d’exfiltrer des informations liées à SecurID, sa solution d’authentification forte.
Tendances en matière de cyberattaques
Le nombre des cyberattaques a considérablement augmenté en 2020, après une hausse des cyberincidents depuis plusieurs années. Cette tendance augure des nombreux défis qui vont miner l’avenir de la cybersécurité.
Les types et la sophistication des cyberattaques sont également montés en puissance au cours des deux dernières décennies : les cyberdélinquants lançant des attaques avec ransomware empruntent désormais beaucoup, pour leurs techniques et procédures, aux APT.
En outre, les cyberdélinquants ont fait la preuve de leur résilience face aux tentatives de perturbation de leurs activités, ainsi que leur capacité à recruter, voire même à former, de nouveaux collaborateurs. Certains groupes fonctionnent comme de véritables PME.