Sécurité numérique et risques: enjeux et chances pour les entreprises

B. LES ATTAQUES COMPLEXES ET CIBLÉES

Les modes opératoires des attaques complexes et ciblées incorporent des actions légitimes d'usagers légitimes , ce qui rend ces attaques difficiles à détecter et analyser.

1. Les attaques complexes

La majorité des attaques numériques dangereuses se déroulent finalement en deux phases, une phase d' ingénierie sociale et une phase d' attaques dites techniques décrites précédemment.

L'ingénierie sociale permet d'acquérir de façon légitime des informations en vue d'un usage déloyal ou d'une escroquerie . Ce mode opératoire n'est pas de nature technologique mais exploite les failles humaines et sociales.

Le principe est d'obtenir d'une personne une information dont l'usage ne saute pas aux yeux de celui qui la transmet mais qui ne sera pas anodine, bien au contraire, pour celui qui tente d'obtenir de cette personne, un bien, un service ou des informations.

Toutes sortes d'exemples montrent chaque jour comment l'usurpateur exploite des leviers psychologiques pour parvenir à ses fins. C'est le cas de messages reliés à des sites pirates où l'enjeu de l'attaquant repose sur l'obtention d'un « clic » de sa cible.

a) Dissection d'une attaque complexe de vol d'identifiant de session

Dans l'exemple du schéma ci-après de dissection d'une attaque complexe, l'attaquant va recourir à des astuces pour décider l'utilisateur à cliquer sur le lien envoyé avec le courriel ( spam ). Les attaquants apportent actuellement de plus en plus de soin pour forger leur courriel piégé : ils exercent une pression sur l'usager en proposant un gain d'argent ou en se faisant passer pour un service informatique, un banquier.

L'emploi des historiques de navigation ou cookies est à l'origine de la majorité des problèmes de sécurité .

Étant précisé que cet historique ou cookie est un fichier détenu par un client et contenant des informations sur les échanges passés et en cours avec un site Internet . L'identifiant écrit dans le cookie consigne le fait que le client a réussi l'authentification auprès du serveur mais sert surtout à se faire reconnaître par le serveur.

Schéma n° 84 : Dissection d'une attaque complexe de vol d'identifiant de session

Source : OPECST

(1) L'attaquant en phase d'approche

La préparation menée par l'attaquant suppose la collecte d'informations.

Afin de mettre en place une stratégie, l'attaquant actif repère des sites qui gèrent les sessions à l'aide des exécutables JavaScript . Le schéma ci-dessus montre l'activité d'un utilisateur malveillant en quête de sites vulnérables aux attaques de type « XSS » :

L'attaquant commence par poster une critique sur les sites de commerce électronique (1), par exemple celui de l'organisme testé (ici, la banque).

Il constate que l'application web ne valide pas correctement l'entrée (2) ; il en conclut que l'application est vulnérable et qu'il pourra forger plus tard un identifiant au format JavaScript .

(2) La victime

Au cours d'un fonctionnement normal entre le client utilisateur de l'Internet (victime) et le serveur Internet de l'organisme (ici la banque, également victime), l'usager effectue des transactions d'achats sur le site de son organisme de crédit (3). La connexion au moyen de laquelle il a réalisé une authentification avec un nom et un mot de passe est sécurisée par le protocole SSL . L'usager obtient un cookie de la part du serveur.

Lors de chacune des phases d'authentification pendant laquelle l'usager fournit ses indications de nom et de mot de passe, le serveur a généré un identifiant de session unique dont la validité se limite à la durée de la session (par défaut, une durée de session est de vingt minutes).

Lorsque le serveur envoie le nouvel identifiant à l'usager, celui-ci l'écrit dans le fichier cookie à la suite des identifiants précédents expirés. Quand la session expire, l'usager s'authentifie une nouvelle fois, un nouvel identifiant de session sera alors généré selon ce même processus. Le serveur n'utilise toujours que le dernier identifiant du cookie .

(3) L'attaquant

1) L'attaquant forge un message suffisamment rusé pour inciter l'usager à ouvrir une pièce jointe (4-1).

2) L'usager lit le message malfaisant conformément au plan de l'attaquant (4-2). Le JavaScript s'exécute. L'attaquant a déjà vérifié sa présence.

3) Le JavaScript accède au cookie correspondant à la session (4-3) et redirige le client vers un autre serveur, malveillant, en envoyant à celui-ci la session en paramètre (4-4).

4) La victime remarque que l'interface utilisateur du site de commerce électronique a disparu pendant deux secondes mais ne s'inquiète pas (4-5).

5) Le serveur malfaisant reçoit la session de la victime et redirige celle-ci vers la page précédente (4-6).

6) L'utilisateur malfaisant a maintenant quelques minutes pour accéder au compte de l'usager de la banque et y agir en son nom (4-7).

Ce scénario montre l'une des nombreuses attaques en mesure d'exploiter des vulnérabilités liées aux développements des applications web . Ces vulnérabilités peuvent être volontairement masquées pour exploiter un jour une vulnérabilité « zero-day ».

Les informations contenues dans les fichiers ( cookies ) sont dangereuses, elles sont à l'origine de la plupart des attaques . De plus en plus d'activités, en particulier le nuage numérique, utilisent le principe des cookies . Pour éliminer le danger, il suffirait de ne pas utiliser les cookies . Néanmoins, comme ils renferment des renseignements précieux pour une exploitation commerciale, leur suppression n'est pas envisagée .

b) À nouvelles technologies, nouvelles attaques

(1) Les attaques visant l'informatique en nuage

Dans les environnements de l'informatique en nuage, trois aspects clés ont introduit de nouvelles vulnérabilités :

- les données et services sont délégués ;

- le fournisseur est multilocataire ;

- un ou plusieurs fournisseurs seront responsables des données et services.

De nouvelles menaces concernent quasiment tous les modèles de service : IaaS , PaaS et SaaS ; du fait de la perte de contrôle, les vulnérabilités des systèmes d'information classiques sont amplifiées .

Multilocation :

La violation de données est une vulnérabilité technologique liée au défaut de conception, à l'heure actuelle, des bases de données multilocataires pour gérer les accès aux données ouvrant un risque important de vol de données.

Convivialité :

La perte ou la fuite de données est une vulnérabilité liée aux usagers qui, par ignorance ou manque de vigilance, pourraient perdre leurs clés de chiffrement ou leurs mots de passe sans mettre en oeuvre des procédures de sauvegarde ou, peut-être mal implémentées par le fournisseur, ne prévoyant pas de processus de tests de restauration.

Le manque de transparence de la part du fournisseur sur les processus et outils de stockage ou de partage ne fournit pas aux usagers un tableau de bord pour la supervision de leurs données .

Accès non maîtrisés aux données :

La destruction de données est une vulnérabilité du fait de pirates ou d'origine involontaire comme l'oubli de sauvegarde ou la survenance d'une catastrophe naturelle, d'un incendie, etc.

Un adversaire accédant à des services du fournisseur peut se faufiler et accéder à des données confidentielles .

Gestion des identités et des politiques de sécurité :

Le détournement de compte est une vulnérabilité du fait du manque d'exigences dans les politiques de sécurité des mots de passe ou du fait d'opérations de « hameçonnage », de fraude et d'exploitation des vulnérabilités des logiciels.

L'espionnage , proche de l'intelligence économique, est une vulnérabilité du fait d'activités et d'opérations non maîtrisées de l'usager sur ses données, ou en réponse à des demandes non authentifiées.

Le vol des données stockées dans le nuage est une vulnérabilité du fait de la présence non détectée de pirates.

L'altération des données et leur divulgation est une vulnérabilité du fait de contournements de la part des usagers ou de pirates des politiques de sécurité en vigueur.

Services :

Le manque de fiabilité des interfaces entre les applications ou de mauvaises programmations les expose à des atteintes à leur intégrité et leur disponibilité.

Le déni de service de serveurs web , bases de données ou ressources dans les nuages informatiques sont des vulnérabilités liées à des flux « tempêtes » de services mal configurés . Les pirates inondent un service de requêtes pour empêcher les utilisateurs légitimes d'accéder à leurs données et/ou à leurs applications. Pour une entreprise dans cette situation, les conséquences seront une perte substantielle de son chiffre d'affaires, amplifiée s'il s'agit d'un serveur de paiement.

L'analyse des risques ne doit pas être occultée par le fait que la responsabilité incombe au fournisseur de services .

Cependant, la formation des usagers ne doit pas être négligée au prétexte que la responsabilité juridique incombe au fournisseur de services.

Le manque d'exigences du fournisseur de service dans son plan de recrutement peut entraîner la présence de pirates appartenant à des organisations criminelles.

Le modèle de nuage numérique adopté doit préserver des usages détournés et fournir les contrôles de base comme la complexité du mot de passe et celle des clés, la résistance aux dénis de service, le contrôle des données malveillantes potentiellement hébergées, le contrôle des réseaux de « zombies »

Mutualisation :

La faiblesse du cloisonnement entre les machines virtuelles (systèmes, routeurs, etc.) dans le cadre de la mutualisation peut entraîner des effets sur des usagers provoqués par le manque de fiabilité de ses « colocataires ».

(2) La sécurisation des objets connectés

Les objets connectés désignent des systèmes mobiles capables d'embarquer des capacités de traitements les rendant autonomes pour fournir un service.

Aujourd'hui, l'intérêt des objets connectés n'est plus à démontrer, ils envahissent d'ores et déjà le quotidien. Le nombre d'objets connectés va s'accroître dans des proportions inimaginables. Pour s'en tenir aux ordres de grandeur, assez divers, évoqués par les personnes entendues dans le cadre du présent rapport, il pourrait s'agir de cinquante milliards d'objets connectés dans le monde avant 2020 (selon M. Patrick Hereng de Total ), de dix-huit à quatre-vingts milliards avant 2018 (d'après les études déjà citées de Be Intelligence ou de l' IDATE ), de cinquante milliards en 2050 , (d'après M. Christian Daviot de l'ANSSI) ou encore de l'hypothèse que, avec le développement futur du big data , il y aurait mille fois plus d'objets connectés que d'humains (selon M. Philippe Wolf, ingénieur général de l'armement). Ces quantités représenteront un chiffre d'affaires croissant très rapidement pour atteindre des montants extrêmement élevés. Chaque personne pourrait être équipée d'une centaine objets connectés et chaque logement de cinq cents environ. Certains téléphones portables possèdent déjà une cinquantaine de capteurs : gyroscope, etc.

Les perspectives qu'offrent ces nouveaux objets sont impressionnantes, tant dans le développement de nouveaux modèles d'affaires, prometteurs d'une économie florissante, que des services qu'ils vont rendre à l'Homme.

Néanmoins, actuellement, ces systèmes ont été conçus au mépris de mécanismes sérieux de sécurisation . La difficulté de les gérer reste également une préoccupation majeure.

Ces objets sont déjà présents sur des sites industriels de criticité élevée . Comment les entreprises et, en particulier, les opérateurs d'importance vitale, vont-elles pouvoir se protéger, d'autant qu'elles auront investi des sommes considérables dans des plans de sécurité et que ces petits objets viendront mettre en échec leurs efforts ?

2. Les attaquants chevronnés

Les attaques complexes mettant en évidence la vulnérabilité du numérique sont conçues par des individus possédant une certaine psychologie que vos rapporteurs ont tenté de comprendre - tout en se limitant à un certain profil correspondant à un niveau technique très élevé.

a) La psychologie du hacker

La sécurité du numérique est généralement considérée comme menacée le plus gravement quand des hackers interviennent - ou, à l'inverse, protégée au mieux s'il est fait appel à des hackers - c'est pourquoi vos rapporteurs ont souhaité mieux connaître ce qui se cache derrière cette appellation censée expliquer nombre d'agissements incompris.

Hacker vient de hache. Il désigne celui qui se sert d'une hache pour pénétrer dans un système informatique plutôt que de s'encombrer de mots de passe ou de protocoles . Ce terme signifie aussi que des programmes, des logiciels peuvent être simplifiés jusqu'à offrir une structure plus simple, voire plus élégante, le hacker s'apparente alors davantage à l' élagueur .

Dans le premier sens, le hacker évoque le cambrioleur . Comme lui, il est un spécialiste de l'effraction de ce qui empêche d'entrer quelque part. Comme lui, il s'efforce de laisser le moins de traces possible de son effraction.

Toutefois, dans le contexte de la construction de l'Internet et de l'invention des micro-ordinateurs, ceux qui sont qualifiés de hackers ont joué un rôle inventif, créatif qui en fait bien plus que des cambrioleurs ou des élagueurs du numérique.

Au départ, l'Internet a été conçu comme un lieu de liberté totale d'accès à l'information , à une information gratuite - cette information incluait aussi l'accès aux modes de fabrication et de fonctionnement des composants, des ordinateurs, des réseaux et de ceux qui les utilisaient.

Mais il ne s'agissait pas d'informations gratuites sur tout le monde ni d'un accès à tout le monde.

Et c'est là que les hackers sont intervenus, notamment pour qu'existent les micro-ordinateurs face aux ordinateurs géants des grandes firmes informatiques.

Peu pris au sérieux à leurs débuts, les hackers sentaient que la mise à disposition de tous de micro-ordinateurs ne pouvait qu'advenir et ils se sont employés, par tous les moyens, comme mus par une obsession, à transformer leur intuition en réalité.

Souvent en cours d'études dans des universités américaines renommées mais également obsédés par l'informatique dès le plus jeune âge - parfois seulement vers la dizaine ou la quinzaine d'années - ceux qui devaient être appelés hackers mettaient gratuitement en commun leurs connaissances et considéraient que l'argent, le marché, tout interdit ne pouvaient que compromettre leur quête.

Parmi ces jeunes passionnés se trouvaient nombre d'inventeurs géniaux inconnus du public mais renommés dans le milieu de l'informatique et d'autres dont le monde entier connaît aujourd'hui le parcours et la fortune, en particulier :

- Steve Jobs et son associé M. Steve Wozniak à l'origine d' Apple ;

- M. Bill Gates, fondateur de Microsoft , qui, le premier, a estimé que l'ingéniosité technique des hackers méritait une juste rétribution.

Ces hackers ont fréquemment eu raison face à l'ordre établi des universités - dont ils manquaient souvent les cours, utilisant, sans autorisation et à des heures de fermeture, les ordinateurs et négligeant l'obtention des diplômes.

L'esprit hacker perdure aujourd'hui et pénétrer des systèmes informatiques demeure un défi à relever .

Défi d'autant plus excitant que des fabricants de matériel, des entreprises, des administrations, des États prétendent que leurs systèmes informatique sont sûrs, voire inviolables.

D'où de multiples pénétrations de systèmes par des hackers suivies de mises en garde, plus ou moins publiques, attirant l'attention sur des failles de systèmes informatiques.

Lorsque ces alertes ne sont pas prises au sérieux, lorsque la victime de ces attaques menace de répression, il arrive que la situation s'envenime.

À l'inverse, certaines firmes, certains États tirent immédiatement profit de ces alertes et vont même, parfois, jusqu'à engager les hackers ayant mis les failles en évidence.

Ces éléments montrent que, contrairement au cambrioleur, le hacker n'est pas d'abord mû par le désir de voler mais par celui de déjouer les barrières destinées à empêcher d'entrer. Un peu comme ces obsédés de la découverte du sous-sol parisien qui explorent toutes les entrées possibles de celui-ci souvent ignorées, là-aussi, des propriétaires des immeubles situés au-dessus de galeries ou de salles souterraines, de grottes.

C'est pourquoi des entreprises, des administrations, des États estiment qu' un bon usage du hacker peut consister à l'embaucher pour, cette fois, aider à bâtir une protection dynamique d'un système informatique .

Au cours de leurs visites et auditions, vos rapporteurs ont pu constater que des entreprises, voire des administrations, en charge de sécurité informatique avaient engagé des hackers , présentés toujours prudemment comme des « anciens hackers » comme s'il fallait rassurer l'interlocuteur et témoigner d'un supposé repentir. Il est à souhaiter, au contraire, qu'il s'agisse bien toujours de hackers en état d'inventivité maximale pour être à la hauteur des attaques à surmonter.

Ce rapide survol de la psychologie des hackers pourrait inspirer plusieurs propositions de recommandations comme :

- les prédispositions à l'informatique et à son usage n'attendent ni les années ni une formation officielle sanctionnée ou non par un diplôme, d'où la nécessité de développer sensibilisation, éducation et formation à l'informatique dès le plus jeune âge compte tenu du besoin très fortement croissant de spécialistes en ce domaine ;

- la nécessité de repérer les hackers pour bénéficier des retombées positives de cette tournure d'esprit particulière ;

- l'intérêt de conserver en France les personnes dotées de talents de hacker . En effet, de plus en plus souvent, celles qui fondent de nouvelles petites entreprises innovantes dans le numérique sont majoritairement recrutées par des entreprises américaines ou engagées à l'étranger ;

- les hackers constituent aujourd'hui une richesse nationale dont il pourrait être tiré parti pour renforcer la sécurité du numérique et la résilience à la suite d'attaques ayant abouti .

3. Les caractéristiques d'une cyberattitude

Vos rapporteurs ont insisté, dès le début de ce rapport, sur la différence entre le réel, le virtuel et l'imaginaire ; il est important de souligner que cette distinction, pas toujours aisée à opérer en pratique, a des effets sur le psychisme des utilisateurs du numérique.

4. La cybercriminalité

Les attaques de nature technique sont le privilège d'individus malveillants usant des technologies comme arme de persuasion. Ces individus, qui ne se confondent pas systématiquement avec les hackers décrits ci-dessus, sont des criminels particuliers dont les crimes relèvent de la cybercriminalité qui en étudie les différentes formes.

Le terme de « cybercrime » est récent puisqu'il fut pour la première fois employé, à l'occasion d'une réunion du G8 dont l'un des objets visait, en 1999, la défense des États contre les nouvelles formes électroniques du crime. Quelques années plus tard, une convention sur la cybercriminalité ^{9 ( * )} , STCE n° 185, a été proposée ; elle est aujourd'hui ratifiée par vingt-trois États, membres ou non membres, dont les États-Unis d'Amérique.

C'est la criminologie , encore appelée « science du crime », qui en étudie ses différentes formes en s'intéressant aux circonstances qui ont conduit un individu au crime. La criminologie se fonde sur les méthodes de la statistique descriptive pour identifier une certaine forme de la normalité et certaines typologies de la criminalité même si comme le précisait le père fondateur de ce concept, Émile Durkheim, ces modèles statistiques s'avèrent sans doute inexacts pour de multiples raisons, ne serait-ce que parce que les circonstances ne sont pas reproductibles.

Toutefois, la difficulté de mesurer les « cybercrimes » n'a fait que renforcer les menaces criminelles à l'encontre des sphères sociétales . Depuis plus de deux ans, de nouveaux observatoires institutionnels apparaissent et organisent une instrumentation de plus en plus pertinente des cybercrimes. Dès lors, les prochaines années seront déterminantes pour apporter une vision claire de la cybercriminalité et rétablir la confiance citoyenne.

La taxonomie de Marcus Rogers relève plusieurs profils caractérisés par deux critères : leur compétence et leur motivation. Il détaille huit profils allant du novice aux plus expérimentés dans leurs actes et dont l'intérêt est le gain ou la reconnaissance sociale.

Schéma n° 85 : Typologie des attaquants

Source : Marcus Rogers

Vers la fin des années 1990, les objectifs des délinquants (cyberdélinquants de type novice ou cyberpunk, NV ou CP ) ou criminels étaient alors variés mais rarement commerciaux, puisque le e-commerce balbutiait. Il s'agissait plutôt de défier les forces de l'ordre ou de se faire reconnaître par sa communauté en réalisant des exploits ; l'anonymat conférait une impunité naturelle aux auteurs de ces infractions.

Les nouveaux enjeux commerciaux, l'adhésion quasi universelle de l'Internet en tant que « compagnon du quotidien », l'expertise facilement partagée entre tous les acteurs, pour le bien et le mal, sont devenus cette fois le lot quotidien des mafias à la recherche de profits financiers. Elles se sont massivement organisées et installées autour des sphères de l'échange : sociétale et technologique. Ainsi le succès de l'échange électronique a-t-il rapidement fait naître les convoitises d'individus dangereux (de type PC , PT ) agissant seuls ou en mafias profitant d'usagers maladroits ou d'administrateurs non encore aguerris à leurs techniques d'attaques.

Ces individus sont aux yeux de la loi des délinquants, des escrocs, parfois des criminels mais rendent-ils l'Internet dangereux ? Le développement de la criminalité de l'échange menace-t-il la sécurité des échanges électroniques ?

Tout d'abord, les vulnérabilités des systèmes, dont la fragilité a été accrue par la dextérité des hackers de type VW et OG et l'hétérogénéité des systèmes communicants, se sont rapidement développées, prenant des formes inquiétantes et encore peu connues : le mariage entre « robots attaquants » et « vers » ou « virus » active leur propagation et constitue de ce fait une attaque en masse sous le poids de laquelle la digue a du mal à ne pas céder.

---

* ⁹ Convention sur la cybercriminalité du Conseil de l'Europe (STCE n° 185), ouverte à la signature en 2001 et entrée en vigueur le 1 ^er juillet 2004. http://www.europarl.europa.eu/activities/committees/