Internet, champ de bataille des temps modernes ?

Cyber-agressions, blocages de sites institutionnels, divulgation de données, vols d’informations stratégiques, manifestations et revendications… "hacktivistes" et pirates en tous genres multiplient, ces derniers temps, les actions d'éclat, particulièrement en France.

L’analyse d’attaques numériques dévastatrices comme celles qui ont touché Sony, RSA, Lockheed Martin ou les dénis de service en série récents des Anonymous, en représailles à la fermeture du site de partage de fichiers Megaupload.com permet de comprendre les motivations des hackers et décrypter le mode opératoire employé afin de mieux les combattre.
La délinquance informatique dispose de réseaux hautement spécialisés qui se composent et se recomposent de manière dynamique, avec une extraordinaire capacité d’adaptation. Assistons-nous à une cybercriminalité qui se développe ou à une cyberguerre montante ? Sur la toile, le combat est quotidien pour déjouer les agissements des réseaux criminels, dont les connaissances informatiques sont impressionnantes. L’an dernier, on a recensé 419 violations de données, 23 millions d’enregistrements impliqués, 1/3 provenant d’attaques malveillantes.

Une guérilla de mercenaires
Les « guérilleros » sont de simples individus (joueurs, novices en informatique ou  geeks), des salariés insatisfaits ou qui ont démissionné, des hacktivistes, des hackers professionnels travaillant pour les mafias… La frontière entre le crime organisé et l’hacktivisme est d’ailleurs parfois si mince qu’elle est difficile à cerner. Le hacking se « professionnalise ». Les pirates sont nombreux, organisés et formés. Véritables mercenaires, certains groupes vendent leurs services à prix élevé à des filières criminelles ou à des états pour nuire ou récupérer des données confidentielles, économiques ou privées. Ce « commerce » serait équivalent à celui du marché de la sécurité informatique.
On vole aussi bien des données personnelles (numéros de carte de crédit, dossier médical, e-mails, mot de passe, numéro de sécurité sociale, détails personnels et historique d’achats en ligne qui permettront de cibler de futures attaques d’entreprises par phishing) que des données professionnelles juridiques, commerciales, marketing et techniques (contrats, tarifs et remises, coûts de production, campagne prévue, informations concurrentielles, spécifications de produits, projets de R&D, résultats de tests, etc.).

Les particuliers, moins éduqués et moins protégés, représentent une cible choisie. Les sociétés, les associations et les administrations sont également d’excellentes cibles. Le vol numérique est moins risqué et moins pénalisé que le vol physique. Il est simple de se cacher et de fuir !

Les armes dépendent de l’objectif
Les pirates utilisent des kits logiciels criminels, des virus et des vers, des réseaux zombies (botnets) et leurs serveurs C & C… Les botnets ont été détournés de leur usage d’origine pour créer des réseaux de machines zombies. Ils relaient les spams (commerce illégal, manipulation d'informations…), le phishing, l’infection par des virus, vers et autres malwares, les attaques DoS (denial of service) et DDoS (distributed denial of service), la fraude au clic abusif sur un lien qui déclenchera un programme malveillant, l’extraction d’informations (pour la revente), des opérations de calcul distribué pour « craquer » des mots de passe ou la gestion d'accès à des sites de vente de contrefaçons ou de produits interdits… N’importe quelle machine connectée à internet peut devenir une machine zombie, parfois à l’insu de son propriétaire !

Attaques DoS / DDoS, le blocage commando
Une attaque par déni de service rend indisponible un service. Elle bloque, par exemple, un serveur de fichiers, rend impossible l'accès à un serveur web ou à un site internet, empêche la distribution du courriel… De plus en plus sophistiquées, elles impliquent une multitude de « soldats ou zombies ». On voit apparaître des attaques DoS et DDoS spécialisées dans la levée d’armées de zombies, que les pirates louent ensuite à des cybercriminels pour attaquer une cible particulière. Le nombre de dénis de service suit la forte progression du nombre d’échanges commerciaux sur Internet.
Aux attaques massives qui inondent le réseau pour l’empêcher de fonctionner, succède aujourd’hui une nouvelle génération de déni de service qui vise les applications. C’est un moyen moins détectable et plus intelligent qui utilise les ressources des équipements et des serveurs traversés (serveurs web, équipements pour les réseaux comme les répartiteurs de charge ou des pare-feu).

Le plus inquiétant actuellement, c’est qu’une même attaque combine plusieurs moyens, utilisés à l’origine individuellement.

L’APT, une tactique militaire
Ce sont les attaques les plus sophistiquées et les plus structurées. Alliant patience et furtivité, elles mixent plusieurs modes opératoires et leur impact financier est d’autant plus important qu’elles sont détectées tardivement. L’APT (Advanced Persistent Threat) relève d’une stratégie digne d’un manuel militaire. Presque toujours commanditée, elle est méthodiquement organisée. Les attaquants identifient les objectifs à atteindre et les moyens d’accès. Ils déterminent les ressources à mettre en œuvre, les niveaux d’expertise requis pour atteindre la cible.
Les attaquants recherchent sur Internet, avec des outils logiciels, toutes les informations concernant la cible. Ils visent quelques postes de travail avec des techniques de phishing pour installer des postes d’observation avancés, afin de préparer les phases ultérieures. Renseignés sur les réseaux, la sécurité et les services utilisés et disposant d’accès basiques au réseau de l’entreprise ciblée, les assaillants lancent une offensive de grande ampleur, via l’exploitation des vulnérabilités identifiées ou l’attaque depuis les postes avancés, c’est-à-dire avec des complicités internes (volontaires ou non). Pour masquer leur forfait et la cible réelle, ils créent un écran de fumée. Ils affaiblissent les défenses par un tir de barrage ou une attaque massive visible de tous. Dans les deux cas, l’attaque par déni de service peut être utilisée. Une fois l’accès obtenu, quelques opérations techniques permettent d’accroître leurs privilèges afin de rendre le code malveillant installé, transparent et persistant sur le système. Le réseau est ensuite exploré pour atteindre les serveurs de données. En utilisant les vulnérabilités applicatives, les informations résidant ou transitant par le poste compromis ou des mécanismes réseau, ils accèdent à de nouvelles machines disposant de droits d’accès plus importants et contenant des informations plus sensibles. A chaque étape, du code malveillant est installé et la machine « verrouillée », comme un bastion,  pour conserver un contrôle durable.
Les pirates recherchent un canal « permanent » pour extraire des informations immédiates mais aussi, pour pouvoir exfiltrer ultérieurement des documents ou des mises à jour. Des outils de rebond, des proxys et des outils de chiffrement sont ensuite installés. Ils vont parfois jusqu’à faire muter le code utilisé afin que l’opération demeure indétectable par les solutions de sécurité installées. Le chemin ainsi sécurisé leur permet également de quitter le champ d’action.

L’APT conduit toujours à une fuite de données
Le but est de voler et d’exfiltrer d’un réseau informatique, des informations précises sur une personne, un groupe d’individus ou une organisation. Lorsque l’opération est terminée, l’attaquant disparaît en effaçant toutes ses traces ou sabote les installations qu’il occupait et espionnait.
L'inter-connectivité de plus en plus grande rend les frontières plus complexes à définir et la sécurité plus difficile à appliquer. Les fusions-acquisitions, les besoins des filiales d’une entreprise… ont ouvert le système d’information. Les entrepreneurs, les sous-traitants, les clients, les fournisseurs et les employés sont de plus connectés et reliés entre eux par Internet. La démocratisation du haut débit et de l’utilisation de PC, tablettes et smartphones personnels, les comportements individuels ou collectifs négligents ainsi que les outils de piratage informatique automatisé facilitent la vie des hackers mais compliquent sérieusement celle des responsables informatiques.

Contre-attaque ou guerre de tranchées ?
On assiste donc à une véritable et interminable partie de cyber-échecs où les pirates semblent avoir l’avantage. Le comportement humain est encore une fois l’élément-clé… Il s’agit des utilisateurs comme des informaticiens. La maladresse et l’erreur humaine qui font exécuter un traitement non souhaité sont les premiers risques. La formation des utilisateurs, inconscients ou ignorants des dangers qu'ils font courir au système d’information, est indispensable. Ceux-ci peuvent, sans le savoir, introduire des programmes malveillants en connectant simplement un ordinateur portable ou une tablette personnelle sur le réseau de l'entreprise ou encore en utilisant une clé USB sur leur PC. L’authentification est le premier rempart aux attaques informatiques. Les noms d’utilisateurs et les mots de passe sont personnels et ne doivent jamais être communiqués... même pour rendre service. Détourner les mots de passe est un exercice courant pour les hackers qui cherchent les accès à privilèges pour prendre le contrôle d'un système ou d'un réseau.

Construire une base de défense
Il est capital de disposer d’architectures IT cohérentes. Le partitionnement, la protection interne, la visibilité et le contrôle sont des moyens de défense en profondeur. Le filtrage bi-directionnel, contrôlant les données entrantes ET sortantes, est essentiel pour prévenir une attaque mais aussi pour la détecter lorsque l’intrusion a déjà eu lieu.
Quoi qu’il en soit, les moyens de défense et la protection à mettre en place doivent être proportionnels à la valeur des actifs à protéger. Il faut aussi analyser correctement les vulnérabilités propres à chaque site, définir le niveau de sécurité souhaité et enfin, mettre en place une politique de sécurité qui tienne compte des problèmes liés au poste d’administrateur et des problèmes de l’utilisateur afin d’éviter d’en créer de nouveaux…

L’histoire est sans fin…
C'est un travail de chaque instant, comportant des tests de défense continus, la mise en place des meilleures technologies de chaque catégorie, se chevauchant légèrement pour aider à découvrir les éventuels incidents que les solutions « tout-en-un » peuvent manquer. Enfin, il faut poursuivre sans cesse l’éducation et la sensibilisation des salariés... car le problème se situe souvent entre le clavier et le fauteuil !