Technologies et criminalité

analysePar Thierry Berthier, maître de conférences en mathématiques à l’Université de Limoges et membre de la Chaire de cyberdéfense et cybersécurité Saint-Cyr, Sogeti et Thales.

L a rentabilité des cyberattaques dépasse désormais celle de tous les trafics de stupéfiants cumulés. Les groupes mafieux et le grand banditisme ont parfaite-

ment pris en compte les avantages compétitifs offerts par les activités cybercriminelles et ont pleinement investi le secteur. Les possibilités d’attaques vont au-delà du simple crime finan-cier puisqu’il est techniquement possible de désactiver le sti-mulateur cardiaque d’un individu implanté. Depuis 2018, les groupes cybercriminels se sont multipliés avec, pour certains d’entre eux, un soutien direct d’États en quête d’entités merce-naires sous-traitantes. La surface des cyberattaques augmente très régulièrement avec l’arrivée de nouvelles technologies numériques, en particulier issues des progrès de l’apprentis-sage statistique et de l’intelligence artificielle en général (IA). Notons que l’IA intervient autant en défense qu’en attaque et qu’elle augmente considérablement le niveau de sophistication des boucliers numériques et la toxicité des programmes mal-

veillants (malwares). La course technologique entre l’attaquant et l’attaqué est accélérée par différents facteurs : l’hypercon-nexion des systèmes, le déferlement de milliards d’objets connectés peu ou pas sécurisés, les migrations massives de données vers le cloud, les techniques de virtualisation, les puis-sances de calcul décuplées et l’algorithmique issue de l’appren-tissage machine (machine learning*). Cette conjonction de tendances donne à l’attaquant le choix des armes.

Données de cybersécurité couvrant la période 2018 – 2019Les données présentées infra illustrent (sans prétention d’ex-

haustivité) la grande diversité des attaques qui ont marqué l’année passée. Elles sont tirées de plusieurs rapports de cyber-sécurité publiés par des éditeurs de solutions, par des cabinets de conseil, des entreprises de services du numérique et par des organisations internationales (1). Ces rapports insistent

L’adage populaire qui prétend que le « crime ne paie pas » ne s’applique que très rarement au cybercrime. En 2015, le préjudice

global mondial engendré par la cybercriminalité s’élevait à 3000 milliards de dollars. Il devrait atteindre les 6000 milliards en 2020.

Cybercriminalité : le choix des armes

Photo ci-dessus :Selon une étude de l’université d’Oxford consacrée au rôle de la mafia et des organisations criminelles dans la cybercriminalité, cette dernière est avant tout le fait d’une nouvelle génération de criminels qui gère la plupart des opérations de cyberattaques dans le monde. Selon cette étude, les organisations criminelles associées à la cybercriminalité opèrent dans quatre domaines : assurer la protection des cybercriminels, investir dans des opérations de cybercriminalité, agir en tant que « fournisseurs de services » et aider à guider les cybercriminels dans leurs activités. (© Shutterstock/adike)

*Les termes suivis d’un astérisque sont expliqués dans un lexique p. 74.

Les Grands Dossiers de Diplomatie n° 52Août - Septembre 201970

Technologies et criminalité

sur l’évolution rapide du spectre des menaces, sur l’agilité des groupes d’attaquants qui savent s’adapter aux changements et qui savent exploiter sans délai les vulnérabilités logicielles et matérielles des nouveaux systèmes.Le secteur de la finance est le plus attaqué depuis 2012. L’origine des cyberattaques demeure concentrée : 35 % de toutes les attaques détectées en 2018 provenaient d’adresses IP situées aux États-Unis et en Chine. Les attaques par applications web et applications spécifiques représentaient plus de 32 % de tout le trafic hostile durant l’année 2018. Ce trafic reste très concen-tré, puisque 73 % de toutes les activités hostiles appartiennent à quatre grandes catégories d’attaques : les attaques web, les attaques de reconnaissance (cyberespionnage), les attaques spécifiques aux services et les attaques par force brute (voir tableau 1 et p. 74). Ces chiffres montrent que les États-Unis et la Chine demeurent les principales sources des cyberattaques. Au niveau mondial, une adresse web (URL) sur dix serait considérée comme malveil-lante. Les attaques web ont connu une augmentation de 56 % au premier trimestre 2019. Les attaques par rançongiciel (ransom-ware) et cryptojacking ont vu leur rentabilité baisser en 2019 en raison d’une meilleure sensibilisation des entreprises et des particuliers. Les groupes cybercriminels se concentrent désor-mais sur le formjacking, une nouvelle famille d’attaques simples à mettre en œuvre qui permet à l’attaquant de s’enrichir très rapidement avec peu d’investissement initial et peu de risque en sortie. Le formjacking ressemble aux arnaques réalisées sur les distributeurs automatiques de billets. Le mode opératoire du formjacking consiste à injecter du code malveillant dans les sites de e-commerce afin de dérober les informations de cartes bancaires des acheteurs. En moyenne, plus de 4800 nouveaux sites web de e-commerce sont compromis chaque mois par des codes malveillants de formjacking. Des dizaines de milliers de sites ont été bloqués depuis le début de l’année.

Typologie des groupes d’attaquants et de leurs attaquesLes groupes d’attaquants actifs sur la période 2018 – 2019 font

preuve de détermination et de créativité dans le montage de leurs opérations.

Les groupes de hackers responsables d’attaques sur applications web et applications spécifiquesCertains groupes (voir tableau 2) ont multiplié les attaques sur applications web et applications spécifiques en 2018. Ils sont capables de monter des attaques sophistiquées sur des cibles sensibles, sur des infrastructures critiques étatiques ou industrielles en exploitant les nouvelles failles de sécurité et vulnérabilités dès leur publication. Les attaques reposent sur l’exploitation d’une vulnérabilité non corrigée ou d’un système mal configuré. Les nouveaux exploits (stratégie d’attaque) peuvent être très efficaces s’ils sont développés avant les cor-rectifs ou avant la publication des signatures malveillantes cor-respondantes. Ces attaques sont de plus en plus automatisées à l’aide d’une grande variété d’outils offensifs disponibles sur étagère ou développés spécifiquement selon l’objectif. Certains outils (Kits Exploit, Tool Kits, Metasploit) permettent d’indus-trialiser la recherche de vulnérabilités potentielles (scanner et audit de cibles) alors que d’autres outils automatisent l’exploi-tation de ces vulnérabilités sans intervention de l’attaquant (qui se contente de superviser l’opération). Certaines attaques

sur cibles à haut potentiel bien protégées nécessitent le déve-loppement d’outils spécifiques. La complexité et le coût de l’attaque peuvent fortement augmenter. Seuls des acteurs éta-tiques sont en mesure de monter ce type d’opérations. Les motivations des groupes actifs peuvent se décrire selon trois objectifs : l’accès, l’influence et le profit. • Accès (réseau, applications, données) : les attaquants cherchent un premier accès pour infiltrer une organisation ciblée et mener une attaque secondaire ;• Influence (hacktivisme, extorsion, chantage, atteinte à la répu-tation) : les attaquants utilisent l’accès au système d’information d’une cible pour s’immiscer dans ses activités et la contraindre : rançon, hacktivisme, extorsion de données ;• Profit (transactions financières, usurpation d’identité, ran-çons, commerce de données sensibles) : c’est en général le motif principal de ce type d’attaques (applications web et spé-cifiques). Les attaquants tentent de voler des données sensibles techniques ou des secrets industriels ou commerciaux pour les revendre au plus offrant.

Les groupes APT* spécialisés en cyberespionnage et attaques cibléesLes groupes APT (Advanced Persistent Threat) (2) sont capables de mener des attaques sophistiquées et furtives à objectif de

1. Secteurs, types et sources des attaquesSecteurs impactés en 2018 - 2019

Principaux types d’attaques Principaux pays sources d’attaques

Financier (17 %) Attaques web (46 %)Attaques spécifiques sur services (28 %)Attaques par déni de service distribué DoS – DDoS (8 %)

USA (42 %)Chine (8 %)Royaume-Uni (6 %)

Technologique (17 %)

Reconnaissance (20 %)Attaque par force brute (17 %)Attaque par mauvaise source connue (14 %)

Chine (37 %)USA (21 %)Russie (5 %)

Business et services professionnels (12 %)

Attaques web (42 %)Attaques par déni de service distribué DoS – DDoS (20 %)Attaque par mauvaise source connue (15 %)

USA (26 %)Chine (15 %)France (10 %)

Éducation (11 %) Attaque par force brute (47 %)Attaques web (18 %)Reconnaissance (16 %)

USA (25 %)Pays-Bas (16 %)Vietnam (15 %)

Gouvernemental (9 %)

Attaques spécifiques sur services (27 %)Reconnaissance (21 %)Attaques par déni de service distribué DoS – DDoS (16 %)

USA (37 %)Allemagne (14 %)France (13 %)

2. Attaquants actifs en 2018-2019Équipes actives en 2018 – 2019(Attaques sur applications web et applications spécifiques)

Origine « Hacktivité »

APT39 Iran Attaques web, compromission de Outlook Web Access, installation de web shells ANTAK et ASPXSPY.Cible et exploite les serveurs web vulnérables.

APT 34 (OilRig) Iran Mêmes hacktivités qu’APT39.

APT27 (Emissary Panda, TG-3310) Chine Utilise des compromissions et vulnérabilités web pour cibler ses victimes.

APT35 (Newscaster, Magic Hound) Iran Réalise et automatise des injections SQL à partir d’outils distribués par l’éditeur iranien de solutions de cybersécurité ITSecTeam.

Les Grands Dossiers de Diplomatie n° 52Affaires stratégiques et relations internationales 71

Technologies et criminalité

collecte de renseignement, d’intelligence économique, et de cyberespionnage (voir tableaux 3 et 4). Les cibles peuvent être spécifiques ou multiples dans le cadre d’une attaque globale. Les groupes APT œuvrent le plus souvent pour le compte d’acteurs étatiques (agence de renseignement, composante militaire). Leurs attaques exploitent les vulnérabilités les plus complexes en s’appuyant sur des outils puissants se situant à la pointe de l’état de l’art de la cybersécurité offensive. Les groupes APT inscrivent leurs actions dans la durée.

3. « Hacktivité » des groupes APT (hors Chine)Groupes APT (Advanced Persistent Threat)

Origine « Hacktivité »(vol d’identifiants, usurpation d’identité, exfiltration de données, cyberespionnage)

APT38 Corée du Nord APT, cyberespionnage, intelligence économique, partage des ressources malwares avec Lazarus Group.Malwares associés : Backdoors, Tunnels, DataMiners, malwares destructeurs.Cibles : établissements financiers occidentaux (vol de plusieurs millions de dollars, paralysie des réseaux bancaires). Onze pays ciblés.

APT37ScarCruft, Group123

Corée du Nord APT, cyberespionnage, intelligence économique, destruction de réseaux.Cibles : industrie chimique, électronique, aérospatial, automobile, santé. Zones géographiques ciblées : Corée du Sud, Japon, Vietnam, Moyen-Orient. Exploitation de vulnérabilités « zero-day », malwares personnalisés et malwares destructeurs.

Lazarus Group (Mimikatz)

Corée du Nord APT, cyberespionnage, cryptolocker*…

Seedworm (MuddyWater)

Moyen-Orient, Iran. En lien avec un acteur étatique.Actif depuis 2017

APT, cyberespionnage.Cibles : compagnies de télécommunications et services IT en Amérique du Nord, Europe, Arabie Saoudite, Turquie, Russie, Jordanie, …131 victimes en 2018

APT34 (OilRig) Iran APT, cyberespionnage.Cibles : pays du Moyen-Orient, finance, administration, énergie, télécommunication, industrie chimique.Malwares associés : Powbat, Powruner, Bondupdater.Exploite la vulnérabilité Microsoft Office CVE-2017-11882.

APT33 Iran APT, cyberespionnage.Cibles : USA, Corée du Sud, Arabie saoudite, entreprises des secteurs aérospatial, défense et aéronautique.Malwares associés : Alfa Shell, Netwire, Nanocore, Dropshop, Shapeshift, Turndup.Techniques de spear-phishing, ingénierie sociale, faux profils.

APT32 OceanLotus Group

Vietnam APT, cyberespionnage, espionnage industriel.Cibles : entreprises étrangères investissant au Vietnam.Malwares associés : Komprogo, Beacon, Phoreal, Soundbite, Windshield.Ingénierie sociale.

APT29 Russie APT, cyberespionnage, influence.Cibles : organismes publics d’Europe occidentale, think tanks, fondations politiques.Malwares associés : Uploader, tDiscover, Hammertoss.Ingénierie sociale sur les réseaux sociaux, faux profils, utilise des réseaux compromis

APT28 (Fancy Bear, Sofacy Group, Pawn Storm, Tsar Team)

RussieActif depuis 2007Probablement en lien avec le GRU russe

APT, cyberespionnage.Malwares associés : Chopstick, Sourface, Eviltoss, cryptage RSA.Cibles : TV5Monde, Bundestag, Maison-Blanche, OTAN, En Marche, entreprises de sécurité et défense…Région du Caucase, Géorgie.

4. « Hacktivité » des groupes APT chinoisGroupes APT (Advanced Persistent Threat)

Hacktivité(Vol d’identifiants, usurpation d’identité, exfiltration de données sensibles, cyberespionnage, intelligence économique)

APT30 APT, cyberespionnage, intelligence économique.Cibles : pays d’Asie du Sud-Est. Actif depuis 2005.Malwares associés : Flashflood, Spaceship, Shipshape, téléchargeurs, backdoors, CnC malveillants.

APT19 (Codoso Team)

APT, cyberespionnage. Cibles : fonds d’investissements, banques. Malwares associés : Beacon, Cobaltstrike.Exploite la vulnérabilité Windows CVE 2017-0199.

APT18 (Wekby) APT, cyberespionnage, intelligence économique.Cibles : aérospatial, défense, sécurité, télécommunications, transports, santé. Malwares associés : Ghost RAT. Exploite les vulnérabilités « zero-day ». Exploite la vulnérabilité CVE - 201565119.

APT17 (Tailgator Team, Deputy Dog)

APT, cyberespionnage, intelligence économique.Cibles : USA, fondations, organismes publics américains, entreprises du numérique, cabinets juridiques internationaux.Malwares associés : Blackcoffee, CnC, attaques réseaux.

APT16 APT, cyberespionnage, intelligence économique.Cibles : Japon, Taïwan, entreprises technologiques, finance, médias, services publics taïwanais et japonais.Malwares associés : Elmer, Ironhalo, spear-phishing, faux profils, ingénierie sociale.

APT12 (Calc Team)

APT, cyberespionnage, intelligence économique.Cibles : Taïwan, USA, industries de défense, gouvernements, médias.Malwares associés : Waterspout, Riptide, Hightide, Threbyte, phishing, ingénierie sociale.

APT10 (MenuPass)

APT, cyberespionnage, intelligence économique.Cibles : entreprises (USA, Europe, Japon) d’ingénierie, construction, aérospatial. Actif depuis 2009.Spear phishing, intrusions réseau via des fournisseurs de services managés. Malwares associés : Haymaker, Snugride, Bugjuice, Quasarrat.

APT3 (UPS Team)

APT, cyberespionnage, intelligence économique.Cibles : USA, Europe, entreprises technologiques, aérospatial, défense, sécurité, télécommunications, transports.Malwares associés : Sogu, Shotput, Cookiecutter, zero-days, phishing.

APT1 (Unité 61398, Comment Crew)

APT, cyberespionnage, Armée populaire de libération. Cibles : industries de défense, sécurité, électronique, télécommunications, chimie, médias, transport, énergie.Malwares associés : Backdoors Dalbot, Barkiofork, Trojan Ecltys, Revird, Badname, Wualess, spear-phishing, ingénierie sociale, faux profils.

Les Grands Dossiers de Diplomatie n° 52Août - Septembre 201972

Technologies et criminalité

Les groupes cryptomineurs actifs en 2018L’installation malveillante d’un logiciel clandestin de crypto-minage (CMM — Coin Mining Malware) sur une machine cible constitue une cyberattaque fréquente. Elle se construit en général à partir des vulnérabilités non corrigées et parfois d’un haut niveau de compromission de la machine cible qui peut héberger d’autres malwares. Durant l’année 2018 et le début 2019, l’activité malveillante de cryptominage était associée à trois principaux groupes actifs : Rocke, 8220 Mining Group et Tor2Mine) (voir tableau 5).Le niveau d’activité de ces groupes cryptomineurs est forte-ment lié au cours des cryptomonnaies minées. Quand ce cours a tendance à baisser, l’activité du groupe diminue également.

L’intelligence artifi cielle vecteur de nouveaux boucliers et de nouvelles attaques L’IA au service de la protection du système d’information

Les progrès de l’apprentissage statistique (machine learning*et sciences des données) permettent d’améliorer la détection de cyberattaques inédites ou d’activités malveillantes. Il existe de nombreuses solutions de supervision du réseau d’une entre-prise qui embarquent des technologies UBA (user behavior analytics). Celles-ci sont capables « d’apprendre » le fonction-nement normal d’un système d’information en collectant l’en-semble des données produites par les composantes du réseau. Une fois cette phase d’apprentissage réalisée, le système est capable de détecter des comportements ou des séquences d’évènements anormaux et de donner l’alerte. Les attaques ciblées furtives (APT) méritent une approche par l’analyse UBA. Le machine learning fournit alors une réponse efficace. En col-lectant et en exploitant l’ensemble des données qui remontent du réseau, il est possible d’entraîner des composantes d’ap-prentissage statistique sur ces données puis de construire des modèles de normalité.

Ces technologies fondées sur l’apprentissage statistique détectent très efficacement des exfiltrations de données réa-lisées par un employé de l’entreprise (menace interne) ou par un attaquant extérieur. Les agissements d’Edward Snowden sur les systèmes de la NSA auraient été immédiatement détectés par une solution SIEM* UBA et l’exfiltration de données sen-sibles aurait été rapidement stoppée… En France, la campagne d’attaque WannaCry a été détectée par les solutions UBA très en amont, dès les premiers signaux faibles collectés. Les clients ayant opté pour ces solutions n’ont pas été impactés par WannaCry.

L’IA fournit aussi des outils puissants pour lutter contre les attaques distribuées DDoS et pour les mitiger, c’est-à-dire maintenir le trafic légitime durant l’attaque tout en bloquant le trafic malveillant. L’hébergeur OVH a développé des puissantes solutions anti-DDoS qui embarquent de l’IA.

L’IA au service de l’attaquant Les cyberattaques qui s’appuient sur l’intelligence artificielle sont encore rares. Elles vont se développer et se généraliser à très court terme. Des outils open source seront bientôt dis-ponibles pour encapsuler un malware dans une couche de machine learning. Cette technologie va rendre le malware plus « intelligent » dans son activation, dans le choix de sa cible et le rendre bien moins traçable ou rétro-analysable une fois l’attaque exécutée. Cette nouvelle forme d’attaque (3) a été présentée pour la première fois par une équipe de chercheurs d’IBM à Blackhat 2018. L’approche est très prometteuse et nous montre que le niveau de complexité des cyberattaques ciblées va considérablement augmenter dans les prochaines années. L’IA appliquée à la fouille de données permet également d’in-dustrialiser la phase d’ingénierie sociale, en particulier lorsque l’attaquant cherche à tout connaître de sa cible. L’IA élargit le spectre de détection des cibles potentielles en fonction des vul-nérabilités détectées. Enfin, elle facilite la construction d’archi-tectures de données fictives immersives utilisées dans la phase d’ingénierie sociale d’une cyberattaque. La mise à disposition gratuite de puissants outils OSINT de threat intelligence, de reconnaissance de périmètre et de tests de pénétration (4) contribue à un mouvement de dissémination de cyberarmes sophistiquées offrant aux équipes de hackers des capacités offensives décuplées sur étagère. Cette dissémination qui laisse le choix des armes aux attaquants constitue certainement la cybermenace la plus préoccupante.

Thierry Berthier

Notes

(1) Rapport ISTR (Internet Security Threat Report) no 24, Symantec février 2019 (https://symc.ly/2YH1iDg). Rapport ENISA Threat Landscape Report 2018(https://bit.ly/2G5RHQ4). Rapport European Cyber Security Perspectives 2019 (https://bit.ly/2LIBXW2). Rapport 2019 Forcepoint Cybersecurity Predictions (https://bit.ly/2TShz5s). Rapport NTT Security 2019 Global Threat Intelligence Report (https://bit.ly/2XMpJ52). Rapport Kaspersky The State of Industrial Cybersecurity 2018 (https://bit.ly/2LIHtrs).

(2) https://www.fireeye.fr/current-threats/apt-groups.html

(3) DeepLocker – IBM (https://ubm.io/2TVj8UA ).

(4) SpiderFoot (https://spiderfoot.net/index.html).

5. Groupes de cryptominage actifs en 2018Groupes Description

Rocke Début d’activité au printemps 2018.Rocke ferait partie d’un groupe cybercriminel basé en Chine. Le groupe a utilisé les vulnérabilités Strunts, WebLogic, Java associées à de l’ingénierie sociale, en particulier de fausses mises à jour de Google Chrome et Adobe Flash.L’activité de Rocke s’est estompée fin 2018 avec la chute des cours des cryptomonnaies.

8220 Mining Group

Début d’activité en mai 2017.Utilisation d’images docker malveillantes. Origine probable du groupe : Chine.Cibles : Drupal, Apache, Hadoop YARN.

Tor2Mine Le groupe utilise Tor2web pour accéder à Tor Hidden Services. Il utilise également des scripts shell malveillants camouflés comme des fichiers JPEG. Il a utilisé Oracle WebLogic, Apache Struts2 et PowerShell.

Photo ci-contre :Selon une étude récente — menée par le groupe d’assurances allemand Allianz — consacrée aux risques qui pourraient apparaître avec le développement de l’intelligence artificielle, « la mauvaise utilisation d’une IA forte pourrait augmenter le risque de cyberattaques si des hackers mal intentionnés entraînent cette IA pour attaquer ». (© Shutterstock/enzozo)

Les Grands Dossiers de Diplomatie n° 52Affaires stratégiques et relations internationales 73

Technologies et criminalité

Les attaques web désignent une vaste famille de cyberattaques composée des sous-familles suivantes :

• Les attaques réseaux : L’usurpation IP : l’attaquant envoie des paquets binaires sur le réseau en utilisant une adresse qui n’a pas été à l’ordinateur qui les émet.Le balayage de ports : l’attaquant recherche les ports ouverts sur un serveur de réseau dans le but de réaliser une intrusion sur un système. L’attaque par rebond : l’attaquant utilise un ou plusieurs serveurs relais à leur insu pour mener d’autres attaques depuis ces systèmes tout en restant camoufl é. L’attaque « Man in the Middle » : le but de cette attaque est d’intercepter les communications entre deux machines sans que les émetteurs et récepteurs ne se rendent compte que le canal de communication est corrompu.L’attaque de type relais-dépôt : l’attaquant prend le contrôle d’un site peu sécurisé pour mener des attaques sur des tiers à partir de ce site ou pour héberger des programmes malveillants. L’attaque par déni de service et déni distribué DoS et DDoS : le but de cette attaque est de rendre un service indisponible en saturant un serveur sous un fl ot de requêtes. On parle alors d’inondation d’un réseau ou d’une box wifi .

• Les attaques de systèmes :Les attaques Fork Bomb : elles consistent à créer un très grand nombre de processus simultanément de manière à saturer l’espace disponible dans la liste des processus d’un système.

Les attaques par écran bleu : le but de l’attaquant est de provoquer une erreur systèmes sur la ou les machines ciblées (division par 0, dépassement de capacités)

• Les attaques de mot de passe :L’attaque par force brute (ou brute force) :l’attaquant cherche à découvrir un mot de passe valide ou une clé. Il teste alors toutes les combinaisons possibles. Cette attaque est effi cace sur des mots de passe de 5 à 6 caractères. L’attaque par dictionnaires : l’attaquant teste une série de mots de passe potentiels (et fréquents) fi gurant dans un dictionnaire. Cette méthode complète l’attaque brute force.

• Les attaques de sites web : La défi guration (le défacement) : L’attaquant obtient des droits d’administration du site ciblé et modifi e sa page d’accueil en la remplaçant par du contenu de revendication, d’activisme ou de propagande. Il s’agit d’un détournement de contenu qui permet à l’attaquant de diffuser un message. L’attaque par injection SQL : l’attaquant exploite une faille de sécurité et injecte des requêtes SQL sur une base de données associée au site web. L’injection peut mettre bloquer un service ou modifi er les contenus d’un site. L’attaque XSS ou cross-site scripting : L’attaquant exploite les vulnérabilités XSS afi n d’injecter du contenu dans une page web dans le but de provoquer des actions réponses du navigateur utilisé. Les attaques CSRF (Cross-site Request Forgeries) :L’attaquant cible l’utilisateur d’une application ou d’un

service. Il cherche à faire exécuter involontairement des requêtes HTML aux utilisateurs d’un site vulnérable. Les attaques par hameçonnage (phishing) : L’attaquant cherche envoie un faux message à sa cible afi n d’obtenir des renseignements qui lui permettront de s’introduire dans le système.

• Les attaques d’applications, services et applications spécifi ques :

L’exploit : il s’agit d’un programme permettant d’exploiter une vulnérabilité ou une faille de sécurité existant sur une application, sur un système d’exploitation ou sur une composante hardware (matériel). L’attaque par dépassement de la mémoire tampon : l’attaquant cherche à écrire des données en dehors de la mémoire tampon utilisable afi n de provoquer un dépassement de capacité et une erreur système. L’attaque Shellcode : l’attaquant cherche à exécuter un code binaire détournant un programme de son exécution normale.

Les attaques de reconnaissance (cyberespionnage) : ce sont des attaques exploratoires qui ont pour objectif de tester les systèmes de défense d’une future cible. L’attaquant cherche à détecter les éventuelles failles de sécurité qu’il pourra exploiter lors de l’attaque principale. L’attaque de reconnaissance est souvent liée aux attaques de cyberespionnage et aux APT.

Lexique*APT (Advanced Persistent Threat, menace persistante avancée) : désigne une cyberattaque furtive, ciblée, qui s’inscrit dans la durée. L’objectif d’une APT est de pénétrer un système d’information sans être détecté afi n d’en exfi ltrer des données valorisables. Il s’agit souvent d’attaques très sophistiquées et dont la mise en œuvre reste coûteuse. APTn suivi d’un numéro désigne également l’identifi ant du groupe de hackers responsable d’attaques APT. Ces groupes sont presque toujours liés à des entités étatiques avec lesquelles ils interagissent.

* Cryptolocker : désigne une classe de malwares capables de chiffrer (crypter) les données d’une cible. Une opération de cryptolocker a pour objectif de saboter le système d’information de la cible ou de lui réclamer une rançon afi n de déchiffrer les données cryptées.

* Machine learning (ou « apprentissage automatique » ou encore « apprentissage statistique ») : désigne l’ensemble des techniques et algorithmes statistiques qui permettent à un système d’apprendre des fonctions de classifi cation à partir d’un ensemble de données d’entraînement initial puis, une fois cette phase d’apprentissage réalisée, de classifi er automatiquement de nouvelles données (images, vidéos, sons, textes) dans des catégories qui les caractérisent. Les techniques d’apprentissage automatique relèvent de l’intelligence artifi cielle.

* SIEM (Security Information and Event Management) : logiciel de gestion des évènements de sécurité du système d’information d’une entreprise ou d’une administration. Le SIEM collecte l’ensemble des données du réseau qui proviennent des différents capteurs et sondes puis analyse ces données pour en extraire éventuellement des alertes de sécurité. Les SIEM UBA (User Behavior Analytics) s’appuient sur l’apprentissage statistique pour traiter les données et produire des alertes d’anormalité potentielle.

Les différents types d’attaques

Les Grands Dossiers de Diplomatie n° 52Août - Septembre 201974