[AUDIO_VIDE] Bienvenue dans cette vidéo consacrée à la menace et aux attaques sur des systèmes d'information. Pour bien apprécier les risques et les gérer au mieux, il faut connaître la menace et ses modes d'action, afin de pouvoir estimer quels sont ses moyens, ses opportunités d'action, sa motivation, etc ; la finalité étant, comme nous l'avons vu précédemment, de mettre en place les actions et les protections adéquates pour protéger le système d'information au meilleur coût. Cette vidéo n'a pas pour but de rentrer dans les détails opérationnels des attaques, mais plutôt de présenter rapidement un état de la menace et des modèles d'attaque. Avant d'aller plus loin, nous allons à nouveau prendre le temps de définir certaines notions afin d'avoir des bases communes. Tout d'abord, une vulnérabilité est la faiblesse d'un bien, que ce soit de conception ou de réalisation, liée à son installation et à sa configuration, ou encore à son utilisation. Par exemple, une vulnérabilité de conception présente dans le code source d'une application peut être une saisie clavier d'utilisateurs qui n'est pas vérifiée et qui permet des actions non autorisées sur une base de données. Une menace est la cause potentielle d'un incident qui pourrait entraîner des dommages sur ce bien si celle-ci se concrétisait ; intrusion d'un individu extérieur sur le réseau de l'entreprise, téléchargement d'un fichier client confidentiel, indisponibilité du système d'information. Une attaque est une action malveillante destinée à porter atteinte à la sécurité d'un bien. Elle représente donc la concrétisation d'une menace et nécessite l'exploitation d'au moins une vulnérabilité. Ainsi, tout le travail des experts sécurité consiste à s'assurer que le système d'information ne possède aucune vulnérabilité. En pratique, il s'agit d'être en mesure de maîtriser ces vulnérabilités plutôt que de viser un objectif zéro défaut qui est inatteignable. Il existe différentes sources de menaces lorsque nous parlons de cybersécurité : la délinquance, le crime organisé, l'intelligence économique, l'espionnage et l'influence-déstabilisation. Aujourd'hui, en ce début de décennie 2020, la menace cyber est de plus en plus présente avec la cybercriminalité liée au crime organisée qui est en pleine croissance ; par exemple, attaque par phishing avec ransomware et vol de données personnelles, ou encore arnaque au président avec extorsion de fonds qui est une fausse demande de virement bancaire. À noter qu'aujourd'hui la question de la sécurité économique est primordiale et que l'espionnage industriel, tel que les cyberattaques contre des sites industriels, est un sujet adressé par de nombreux acteurs dont les États. Avec la numérisation de nos sociétés, cybersécurité, sécurité économique et souveraineté sont plus que jamais liées. Par ailleurs, une autre menace plus structurelle pèse sur le cyberespace ; il s'agit de celle liée aux ressources énergétiques et matérielles. L'approvisionnement en matériaux et en énergie, la maîtrise des consommations et la fin de vie des équipements et des services sont aussi des problématiques dont il faudra maîtriser les risques. [AUDIO_VIDE] Une cyberattaque se déroule en plusieurs étapes. Comme le propose actuellement l'ANSSI, elle peut être modélisée par les enchaînements de Connaître, Rentrer, Trouver et Exploiter. Pour la phase connaître, il s'agit d'une phase de recherche de l'information et d'ingénierie sociale. Cela peut être de la recherche en source ouverte, qui peut être suivie d'attaques dites passives, la plus connue étant le phishing, ou hameçonnage en français. Elle vise, par exemple, par l'envoi d'un nombre très important d'e-mails, à abuser de la naïveté de clients ou d'employés en reproduisant des messages légitimes pour collecter des informations telles que des identifiants, des mots de passe et des numéros de carte bancaire. Ces attaques peuvent être ciblées vers une entreprise ou un individu ; il s'agit alors de spear phishing, ou harponnage. Pour la phase Rentrer, c'est le début de la phase dite active de l'attaque où il s'agit de violation d'accès non autorisé. C'est une phase d'attaque intrusive qui exploite une ou des vulnérabilités techniques ; l'objectif au fil des étapes étant finalement de dérober des informations confidentielles, par exemple, des mots de passe, ou de prendre le contrôle des serveurs ou postes de travail. Lors de cette étape, l'attaquant peut viser l'installation d'un programme malveillant de type cheval de Troie permettant l'installation d'un rootkit depuis un serveur de l'attaquant, qui pourra ainsi élever ses privilèges et entre autres accéder par la suite aux postes de travail à distance. Passons à la phase Trouver. Cette étape consiste pour l'attaquant à se déplacer virtuellement dans le système ou le réseau pour trouver les données ou les processus cibles. Ces manœuvres de latéralisation peuvent nécessiter l'exploitation de nouvelles vulnérabilités visant, par exemple, des élévations de privilèges sur les droits d'accès aux fichiers. Passons maintenant à la phase Exploiter. Il s'agit de la phase utile de l'attaque de collecte d'informations lors de laquelle les données vont être exfiltrées ou destructive avec la modification ou suppression de données et des processus perturbés ou détruits ; c'est la phase d'action sur les objectifs. À la fin de cette étape, l'attaquant cherchera généralement à effacer ses traces. Des attaques jugées destructrices pour une économie ou une société peuvent, par exemple, être exécutées à l'aide de virus. Les virus informatiques constituent des attaques massives qui tendent à devenir de plus en plus ciblées sur un secteur d'activité, télécommunications, banque, défense, énergie, et à devenir de plus en plus sophistiquées et furtives. Les attaques les plus sophistiquées, souvent conçues et réalisées par des groupes de hackers professionnels pouvant travailler également pour des États, sont appelées APT pour Advanced Persistent Threat. Il s'agit d'attaques infectant un système d'information où les pirates utilisent un cheval de Troie et où ils peuvent rester des années avant l'exploitation du système d'information, c'est-à -dire destruction, exfiltration d'informations, etc. À noter que les groupes de hackers à l'origine de ces attaques sont désignés par APT avec un numéro ; APT28, par exemple, désignerait un groupe russe qui se ferait appeler Fancy Bear. Compte tenu des techniques de masquage et de leurre numérique, il y a aujourd'hui une très grande difficulté à attribuer les attaques cyber. Pour cette raison, et contrairement à certains pays, la France ne fait pas d'attribution. Ces attaques sont de type ciblées avec pour objectif de rester longtemps au sein du système d'information de l'organisation infectée, pour ainsi agir au moment opportun avec le plus d'efficacité. Voici un exemple de déroulement d'une attaque de type APT. Première étape, un attaquant choisit sa cible puis envoie à un individu un courriel contenant une pièce jointe piégée ; si cet individu ouvre la pièce jointe, cela installera un virus de type cheval de Troie sur le poste de la victime, le but d'un cheval de Troie étant de laisser une porte ouverte sur le poste sans que l'utilisateur ne le sache. Une fois le trojan installé, la machine infectée annonce par Internet la compromission à l'attaquant qui prendra ensuite le contrôle du poste cible. La machine cible devient une tête de pont, c'est-à -dire une machine contrôlée par un attaquant qu'il va utiliser pour infecter le reste du réseau. En passant par la tête de pont, l'attaquant prend le contrôle des serveurs ; il récupère ensuite les mots de passe stockés, lesquels permettent de prendre le contrôle et de transformer d'autres postes en ordinateurs rebonds. Ces ordinateurs rebonds vont être utilisés pour récupérer du contenu stocké sur des serveurs de fichiers ; l'attaquant va ensuite exfiltrer le contenu avant de supprimer ses traces. Pour finir, l'attaquant conserve l'accès aux machines pour une future utilisation. Pour se prémunir de ce type d'attaques, il faut analyser les flux réseaux, limiter les privilèges d'administration, avoir une politique de gestion des mots de passe efficace, etc, et, bien sûr, il faut sensibiliser les personnels. [AUDIO_VIDE] Nous venons d'aborder différentes menaces qui pèsent sur les systèmes d'information et de recenser quelques techniques d'attaque. Il faut retenir que dans la plupart des systèmes d'information une grande masse d'informations est récoltée par le site Internet de l'organisation, par exemple, pour du e-commerce. La sécurité par mot de passe, les règles d'authentification ou la limitation des accès sont des mesures nécessaires mais pas suffisantes pour assurer une sécurité optimale. Comme nous allons le voir dans la suite de ce MOOC, il faut également intégrer la sécurité au niveau des applicatifs dès la conception.
