Professionalisation des cyber-délinquants et industrialisation des attaques
On pourrait croire qu’avec l’arsenal défensif mis aujourd’hui à disposition des entreprises, mener des attaques est désormais réservé à une élite de hackers sur-expérimentés. Or il n’en est rien, bien au contraire ! La sécurité informatique est un art ingrat et profondément déséquilibré. Les dés sont pipés et le combat est bien inégal…
La sécurité informatique est un art ingrat et profondément déséquilibré !
D’un côté, les DSI : des professionnels qui ont pour mission de
protéger le système d’information 24/24 et 7 jours sur 7 contre toutes les
formes de menaces possibles et imaginables. Et ce, en restant dans un cadre
légal très strict, leur interdisant toute contre-attaque ou mesure offensive.
Sans compter les contraintes de production et de disponibilité allant parfois à
l’inverse de ce que la sécurité nécessiterait.
De l’autre, les
cyber-délinquants : des individus susceptibles d’attaquer à tout moment,
peu importent les moyens utilisés et le lieu, en s’affranchissant d’obligations
légales et en profitant des failles imposées par les contraintes de production
des entreprises ou engendrées par les comportements humains.
Les dés sont pipés et le combat est bien inégal…
On pourrait croire qu’avec l’arsenal défensif mis aujourd’hui à disposition des entreprises, mener des attaques est désormais réservé à une élite de hackers sur-expérimentés. Or il n’en est rien, bien au contraire !
D’abord, parce que cet arsenal conduit à l’inverse de l’objectif recherché en
induisant une complexité croissante. Or la complexité, par essence coûteuse,
est l’ennemi numéro 1 de la sécurité. Mieux vaut rationaliser, se focaliser sur
quelques outils modernes pensés pour faciliter l’exploitation et simplifier
ainsi sa défense : on ne protège bien que ce que l’on maîtrise bien.
Ensuite, parce que les attaques
sont paradoxalement plus complexes à déjouer pour les DSI, mais plus faciles à
conduire pour les hackers. Et ceci pour une simple et bonne raison : la
cybercriminalité s’est professionnalisée et industrialisée.
Vers une industrialisation des attaques
Au fil des années, le
« hacking » est passé du stade de hobby, où le challenge constituait
le cœur des motivations, au stade de système organisé, où l’argent est devenu
le but ultime.
De même que l’automatisation des
processus a fini par engendrer la révolution industrielle en multipliant la
puissance de production, l’automatisation des attaques conduit à une
industrialisation des cyber-menaces. A bien y réfléchir, dès lors que la motivation
première des cybercriminels n’est autre que l’appât du gain, cette
industrialisation était prévisible et inévitable. Il ne s’agit au final que de
mettre en place des processus à même de rendre les activités cybercriminelles
plus efficientes. Des processus dont la mise en œuvre est évidemment simplifiée
par le caractère nativement informatisé et hyper-connecté de l’univers dans
lequel s’expriment ces activités.
Dès lors, les cyber-délinquants
sont devenus de véritables professionnels mais, contrairement aux idées reçues,
ils ne sont pas pour autant organisés en mafias. Ce que l’on définit ici comme
« organisation » n’est en réalité qu’un réseau d’activités
complémentaires engendrant un « business model » très décentralisé :
il se compose de ceux qui trouvent comment exploiter les failles, ceux qui
inventent les outils industrialisés pour les commercialiser à grande échelle
sous forme de kits, et ceux qui achètent ces kits pour mettre en place leurs
arnaques, commander des attaques massives, paralyser des serveurs, etc. ;
chacun des acteurs de ce réseau pouvant
se situer à n’importe quel endroit de la planète.
Il ne faut également pas perdre
de vue que dans de nombreux pays touchés par la crise économique (en Europe de
l’Est comme en Amérique du Sud), de brillants jeunes diplômés d’universités
informatiques et mathématiques réputées se retrouvent sans emploi. Beaucoup
n’ont guère d’autres ressources que de chercher dans l’illégalité des revenus
et des « employeurs » à même d’exploiter leurs compétences.
Des kits d’attaques prêts à l’emploi
Ainsi donc, la majorité des
menaces véhiculées par le Web sont aujourd’hui produites par des kits
« clés en main » utilisables par tous, ou presque. Ils se nomment
BlackHole, ProPack, Nuclear, CritXPack, Cool, et peuvent tester en quelques
secondes des dizaines de vulnérabilités, non seulement du système et du
navigateur, mais aussi de l’écosystème logiciel comme Java, Adobe Reader,
QuickTime, Flash, Office… Le tout formant autant de portes d’entrées
potentielles si les machines ne sont pas à jour (or elles ne le sont
malheureusement jamais totalement !).
Certains de ces kits sont d’une
déroutante simplicité. Ils bénéficient d’interfaces utilisateurs conviviales et
parfois même d’un véritable support comme chez un éditeur de logiciel. Et pas
besoin de chercher bien loin pour maîtriser tous ces outils : on trouve
pléthore de tutoriels sur YouTube !
Et les hacktivistes dans tout ça ? On me rétorquera qu’ils ne sont ni des « cybercriminels », ni nécessairement des « professionnels » du hacking. C’est tout à fait vrai, tout du moins en ce qui concerne leurs motivations, qui ne sont pas pécuniaires. Mais les outils utilisés pour leurs offensives découlent en partie de cette industrialisation des attaques, de la simplicité de mise en œuvre d’outils génériques et automatisés comme LOIC (Low Orbit Ion Cannon), et de la facilité avec laquelle on accède à des tutoriels vidéo.
Changer d’attitude
Cette professionnalisation des cybercriminels et cette industrialisation des attaques ont un impact direct sur la façon dont on doit aujourd’hui construire ses défenses. Nos besoins défensifs ont changé car les menaces ont évolué. La volumétrie induite par l’industrialisation des menaces et l’intelligence avec laquelle sont menées les attaques ciblées nous oblige à nous rendre à l’évidence : le concept de forteresse imprenable n’est plus ! Il faut orienter sa sécurité en se disant que, oui, des compromissions vont inévitablement survenir. Ce changement de posture permet de modifier sa stratégie de défense : dites-vous que vous devez protéger un supermarché en partant du principe que le vol est inévitable. Pour réduire les risques au minimum, des moyens de défense adaptés sont mis en œuvre (caméras, barrières électroniques, vigiles, …). Il en va de même pour nos systèmes d’information !
Les vraies questions à se poser sont désormais : « Quelles sont les informations les plus vitales ? », « Comment limite-t-on les risques et les dégâts ? », « Comment rend-on le risque acceptable ? », « Que dois-je mettre en œuvre pour remédier rapidement à une attaque réussie ? », « Quels niveaux d’alertes puis-je mettre en place et qui devra y réagir ? ». Parallèlement, il faut opter pour des outils plus intelligents, capables de patcher les failles à la volée (Virtual Patching) sans perturber la production, d’analyser les comportements anormaux au travers du réseau et surtout d’offrir une bien meilleure visibilité sur ce qui se passe au sein de l’infrastructure.