Tendances - Les cybermenaces

L’Agence publie chaque année un panorama de la menace dans lequel elle fait état des grandes tendances de la menace cyber. Ces documents sont librement accessibles. 

Quelles sont les principales motivations des attaquants ?

Les motivations des attaquants sont multiples. Les cyberattaques peuvent être catégorisées selon leurs finalités : la recherche de gains financiers, l’espionnage et la déstabilisation. Le Cert-Fr traite et porte une attention particulière à l’ensemble de ces catégories de menaces, puisqu’elles sont susceptibles d’affecter ses bénéficiaires des secteurs publics et privés, et plus généralement les intérêts fondamentaux de la Nation.

L'appât du gain

Les attaques à but lucratif visent à générer un gain financier de façon directe ou indirecte. Elles sont le plus souvent réalisées par des groupes de cybercriminels organisés. La cybercriminalité affecte un large panel d’entités qui se voient ciblées souvent de manière opportuniste par les attaquants. De par ses effets systémiques sur la société et en particulier lorsqu'elle porte atteinte aux intérêts de la Nation, la cybercriminalité fait l’objet d’un traitement par l'ANSSI.

Le pré-positionnement stratégique

Après être parvenu à infiltrer un système d'information, l'attaquant peut décider de s'y installer. C'est ce que l'on appelle le pré-positionnement. Généralement, cela précède une attaque de longue durée dont la finalité n'est pas clairement établie. Ce pré-positionnement peut permettre à l’attaquant de conduire dans un second temps des actions de sabotage ou d’espionnage.

L'espionnage

Les cyberattaques ayant une finalité de renseignement étatique ou économique sont le plus souvent réalisées en infiltrant les systèmes d’information d’une organisation ou d’un individu pour s’emparer des données qui y sont conservées et les exploiter.

L’objectif de telles opérations est de conserver un accès discret et durable au système infiltré afin de capter toute information stratégique d'intérêt. De fait, il faut parfois des années à une organisation pour s’apercevoir qu’elle a été victime d’espionnage.

Un certain nombre de secteurs industriels (armement, spatial, aéronautique, industrie pharmaceutique, énergie, etc.) ou encore certaines activités de l’État (économie, finances, affaires étrangères, défense, etc.) sont particulièrement exposés à ce type de menace.

La déstabilisation

Les opérations de déstabilisation peuvent prendre plusieurs formes.

Certaines opérations d’influence reposent sur la compromission de contenus légitimes (boîtes mails, sites internet) afin de pouvoir les utiliser lors de campagne de diffusion de fausses informations. Ces contenus peuvent être altérés volontairement et diffusés publiquement.

Pour les auteurs de ces opérations, il s’agit avant tout de modifier les perceptions d'une population ou de déstabiliser un acteur donné ou un processus démocratique.

Une cyberattaque peut également être un moyen de porter atteinte à l’image d'autrui. Si elles sont souvent le fait d’« hacktivistes », les attaques défigurant un site internet ou le saturant de connexions automatisées peuvent être commises par des concurrents, des employés mécontents, voire par des organisations étatiques afin de décrédibiliser leur cible.

Enfin, certaines cyberattaques peuvent prendre la forme d’actions de sabotage informatique qui consistent à rendre inopérant tout ou partie du système d’information (y compris les systèmes industriels) d’une organisation via une cyberattaque.

Certains attaquants cherchent à se prépositionner sur des systèmes d’informations stratégiques dans la longue durée. La finalité de ces intrusions est souvent peu claire, entre espionnage et préparation d’actions de sabotage.

Quelles sont les capacités et techniques des attaquants ?

Les attaques se limitent rarement à une seule technique et sont perpétrées par une large palette d’acteurs, de l’individu isolé aux organisations offensives étatiques.

Les acteurs cybercriminels, bien qu’animés par une recherche du meilleur ratio coût/bénéficie, peuvent parfois adopter des modes opératoires semblables à ceux d’acteurs soutenus par des gouvernements, en préparant minutieusement leurs opérations, en persistant sur les réseaux de leurs victimes pendant de longues périodes à la recherche de ressources d’intérêt et parfois en exploitant des vulnérabilités inconnues (0-Day). Par ailleurs, cette mise à disposition d’outils et services malveillants prêts à l’emploi peut profiter à d’autres types d’attaquants, notamment motivés idéologiquement tels que les hacktivistes.

Les attaquants étatiques peuvent avoir des capacités sophistiquées et développer des codes et des méthodes d’attaques très spécifiques. Ils s’inspirent également des méthodes cybercriminelles en s’appropriant des codes et outils traditionnellement utilisés par les attaquants cybercriminels tels que des rançongiciels. Pour se dissimuler, ils peuvent exploiter des outils légitimes présents sur les réseaux des victimes, échappant ainsi à la détection (selon la technique du living-off-the-land - LotL). Le développement de capacités offensives par des entreprises privées telles que NSO Group rend accessibles des capacités parfois de pointe à des acteurs n’ayant pas les moyens de les développer ou souhaitant maintenir une possibilité de déni plausible.

Afin de conduire leurs campagnes offensives, les attaquants peuvent utiliser plusieurs types d’attaques tels que : 

Les attaques sur la chaine d’approvisionnement (supply chain attack) :

Ce type d’attaque consiste à compromettre un tiers, comme un fournisseur de services logiciels ou un prestataire, afin de cibler la victime finale.  Cette technique est éprouvée et exploitée par plusieurs acteurs étatiques et cybercriminels depuis au moins 2016. Cette méthode présente un risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier ou une zone géographique précise notamment lorsque l’attaque cible un fournisseur de logiciels largement répandus, une entreprise de service numérique (ESN) locale ou spécialisée dans un secteur d’activité particulier.

Attaque par rançongiciel

Les attaques de type « rançongiciel » (ransomware) ciblent tous types d'organisations, y compris les acteurs publics et les services gouvernementaux. Très répandus, les rançongiciels sont des logiciels malveillants qui chiffrent l’ensemble des données, outils et applications de la victime (fichiers, messagerie, SAP, etc.). Pour les récupérer, cette dernière se voit demander le paiement d’une rançon en échange de la clé de déchiffrement. Les cybercriminels exfiltrent parfois les données internes de leur cible avant l’attaque, afin d’augmenter leur pression en menaçant de les publier.

Attaques par point d’eau

L'attaque par point d'eau (watering hole) consiste à piéger un site internet légitime afin d’infecter les équipements informatiques des visiteurs. Elle peut aussi bien être employée contre des entreprises privées que des institutions travaillant sur des secteurs sensibles et qui disposent de systèmes informatiques hautement protégés et difficiles à attaquer.

Défiguration de sites internet

Ce type d’attaque peut viser tout type d’organisation et exploite souvent des vulnérabilités connues mais non corrigées, pour ajouter ou modifier des informations dans une page web à des fins de revendications. Ces opérations sont généralement revendiquées par des hacktivistes pour motifs politiques ou idéologiques, ou à des fins de défi technique entre attaquants.

Quels sont les profils des attaquants ?

Les auteurs de cyberattaques affichent des profils d’une grande diversité. Selon ces profils, les motivations varieront. L’ANSSI constate cependant une tendance à la collaboration entre certaines catégories d’attaquants aux objectifs proches.

Etats et agences de renseignement

Les Etats et agences de renseignements ont la capacité de réaliser une opération offensive de longue durée (ressources stables, procédures, etc.) et d’adapter leurs outils et méthodes à la typologie de la cible.

Organisations criminelles

Du fait de la prolifération des kits d’attaques facilement accessibles en ligne et d’une spécialisation de l’offre technique sur le darknet, les organisations criminelles mènent des opérations de plus en plus sophistiquées et organisées, à des fins lucratives ou de fraude.

Hacktivistes

Cette catégorie d’attaquant se distingue généralement par des attaques peu sophistiquées. L’objectif de ces individus est ainsi de véhiculer des messages et idéologies en ayant recours à différentes méthodes pour amplifier l’écho de leur action. 

Entreprises spécialisées dans la vente de prestations et de services cyber-offensifs

Ces officines sont généralement dotées de capacités informatiques élevées sur le plan technique et proposent de véritables services de piratage à leurs clients.  Plusieurs offres de services sont possibles : des outils clé en main, de l’expertise humaine ou encore des capacités telles que des méthodes d’exploitation de vulnérabilités 0-Day. Si ces services sont généralement réservés à des clients étatiques dans le cadre de la lutte contre le terrorisme et la criminalité organisée, ils peuvent être détournés à des fins d’espionnage stratégique et politique à l’encontre d’autres cibles telles que des journalistes, des défenseurs des droits de l’Homme et de hauts responsables ainsi que d’entreprises détenant des données à caractère personnel ou stratégiques.

Amateurs

Également appelés « script-kiddies », ces attaquants sont dotés de connaissances informatiques et motivés par une quête de reconnaissance sociale, d'amusement, de défi. Ils conduisent généralement des attaques basiques mais sont parfois à même d’utiliser les kits d’attaques proposés en ligne.

Menace interne

Cette typologie d’attaquant peut être guidée par un esprit de vengeance aigu ou un sentiment d’injustice. Il peut par exemple s’agir d’un salarié licencié ou encore d’un prestataire mécontent suite au non renouvellement d’un marché.