II. LES ATTAQUES CONTRE LE SYSTÈME D'INFORMATION
L'actualité se fait l'écho, de plus en plus souvent, d'attaques numériques couronnées de succès portant sur des sites de plus en plus officiels, des sommes de plus en plus importantes ou concernant un nombre de personnes toujours plus grand.
Anecdotiques il y a quelques années, ces attaques deviennent extrêmement professionnelles et ont tendance à se généraliser . Les exemples cités ci-dessous ne portent que sur environ une année et donnent un aperçu de l'ampleur de ce nouveau phénomène dont il importe d'endiguer l'expansion.
Cela va être d'autant plus difficile que les attaques ne sont pas forcément l'oeuvre d'informaticiens extrêmement compétents . De plus, des logiciels de piratage grand public commencent à apparaître .
|
Quelques exemples, bien loin d'être exhaustifs, d'attaques numériques récentes : « L'Armée électronique syrienne pirate « Le Monde ». Les hackeurs ont tenté de prendre la main sur le compte Twitter et de publier un message sur Le Monde.fr. » Le Monde - 21 janvier 2015 « Les hackers pro-islam » ciblent les sites français. Entre 20 et 30 groupes ont procédé à des cyberattaques. Peu d'entre eux se réclament du djihadisme » Le Monde - 18 - 19 janvier 2015. « Vague internationale d'escroquerie au virement. Des entreprises du CAC 40 se sont fait voler jusqu'à 20 millions d'euros par un réseau franco-israélien. » Le Monde - 12 novembre 2014. « Quinze personnes jugées dans « l'affaire de l'agence postale » . Le Monde - 12 novembre 2014. « Qui est le hacker sioniste soupçonné d'avoir piraté Rue89 ? Le site d'information a déposé deux plaintes après avoir fait l'objet de plusieurs attaques. » Le Monde - 10-11 août 2014. « Rançonné par des pirates informatiques, Domino's Pizzza refuse de payer. Les données de 600 000 clients du spécialiste de la livraison de pizza ont été piratées. » Le Monde - 19 juin 2014. « Vaste coup de filet contre les utilisateurs d'un logiciel grand public de piratage. Simple d'utilisation, Blackshades permet de prendre à distance le contrôle d'un ordinateur. » Le Monde - 25-26 mai 2014. « eBay , nouvelle victime des pirates informatiques. Le site d'enchères a annoncé avoir fait l'objet d'une intrusion de grande ampleur : 145 millions de données de ses clients auraient été volées. Le FBI prévient que ces attaques vont se multiplier. » Le Monde - 23 mai 2014. « Les hackeurs et le PDG au centre de la cible » . Les données personnelles de 70 millions de clients et les informations sur les cartes bancaires de 40 millions de clients de l' hypermarché nord-américain Target ont été pillées par des pirates informatiques. Un problème de sous-investissement en matière de sécurité informatique et de systèmes de paiement a été diagnostiqué. Le Monde - 7 mai 2014. |
En matière numérique, tout ne saurait être qualifié d'attaque . Les chiffres cités à cet égard sont souvent très exagérés. De plus, les attaques les plus réussies sont celles non perçues par leurs victimes - parfois durant des années. C'est la spécificité du risque numérique qu'une entreprise puisse rester dans l'ignorance d'une attaque informatique en cours et ne pas percevoir les conséquences à long terme de cette agression.
En réalité, le manque de maturité des systèmes et la fragilité dans leur conception ou leur implémentation ont produit de nombreuses vulnérabilités qui demeurent.
La confusion est souvent faite entre les notions d'attaques et de vulnérabilités.
Comme décrit au chapitre premier, l'ANSSI et le CLUSIF recensent des vulnérabilités et des attaques. Le NIST , avec le système SCAP , dresse des relevés quotidiens très complets des vulnérabilités des systèmes.
Ces observatoires se présentent sous forme de sites Internet, à l'échelle des pays, diffusant à un rythme quasi quotidien les nouvelles failles des systèmes et fournissant une base de classification et de recherche des vulnérabilités.
A. LA CLASSIFICATION DES ATTAQUES
Toutes ces attaques concernent des ressources physiques (objets précieux) ou humaines. De nombreux liens de dépendance existent entre ces ressources.
L'enjeu pour protéger ces ressources sera de comprendre cette notion de bien en tant que cible de l'attaque ainsi que les dépendances auxquelles elles sont soumises. Ainsi, une ressource n'est pas un système isolé, bien au contraire ; il s'agit donc d'exprimer une ressource par l'ensemble de ses interconnexions.
Toutes les attaques traditionnelles du domaine sociétal se retrouvent au sein de l'échange électronique , leur classification générale s'inspire des mêmes modes opératoires.
1. Les modes opératoires de base
Les modes opératoires de base d'une attaque numérique ne sont pas sans rappeler des techniques bien éprouvées, rappelées ci-dessous :
- mystification : simulation du comportement d'une machine pour tromper un utilisateur légitime et s'emparer de son nom et de son mot de passe (ex. : simulation de terminal) ;
- déguisement : accès illégitime consistant à se faire passer pour quelqu'un d'autre et obtenir les privilèges ou les droits d'accès de celui qu'on imite ;
- rejeu : consistant à pénétrer dans un système en envoyant la reproduction d'une séquence de connexion préalable d'un utilisateur légitime ;
- faufilement : attaque qui consiste à franchir le contrôle d'accès en même temps qu'un utilisateur légitime ;
- substitution : écoute sur une ligne, interception de la demande de déconnexion d'un utilisateur légitime , et bénéfice de la session en cours en se substituant à celui-ci ;
- saturation : attaque portant sur la disponibilité ; elle consiste à remplir une zone de stockage ou un canal de communication jusqu'à ce qu'on ne puisse plus l'utiliser .
2. Les modes opératoires combinés
Les attaques selon les modes opératoires de base étant bien souvent bloquées, les attaquants développent des modes opératoires combinant plusieurs attaques de base.
Le schéma ci-après présente (en clair) le comportement légitime et (en foncé) le comportement d'un attaquant.
Schéma n° 82 : Modes opératoires combinés pour une attaque avancée
Source : INSA Télécoms
Le scénario du haut du schéma ci-dessus permet à l'attaquant de prendre la forme du comportement légitime ou de le simuler par le déguisement. Le scénario du milieu permet l'écoute passive pour capturer les éléments de l'identification ; il les analyse en les rejouant et les modifiant en vue de fabriquer une nouvelle identité adaptée au mécanisme d'accès. Le scénario du bas permet d'intercepter les éléments de l'échange en les rendant non fonctionnels pour la source, par exemple un déni de service, puis de profiter de son dysfonctionnement pour introduire ses propres éléments. Une attaque par fichier historique de navigation ou cookie est une illustration de ce principe.
3. Les attaques sur la confidentialité et l'intégrité
L'authentification constitue un élément central pour contrer les vulnérabilités. Ce processus constitue une garantie lors de l'échange de données ou de documents et l'analyse de l'exposition du processus d'authentification s'effectue habituellement à partir de l'impact rapporté au maintien des propriétés d'intégrité et de confidentialité.
Il existe une multitude de protocoles d'authentification, les uns présentent des avantages dans leur déploiement, les autres dans leur robustesse, les protocoles tentent de parvenir à un compromis entre la facilité de leur déploiement, leur rapidité et leur robustesse .
Schéma n° 83 : Comparaison entre deux types de protocoles d'authentification
Source : OPECST