Une attaque réussie : combien de marchés potentiels perdus ?
Une part importante des attaques informatiques à des fins d’espionnage traitées par le Centre de cyberdéfense vise des acteurs du secteur économique.
Les attaques utilisées pour l’espionnage à des fins économiques ou scientifiques, ont souvent de lourdes conséquences pour les intérêts nationaux. Il peut s’agir d’intrusion suivie de conservation à distance d’un accès au système visé : l’objectif de l’attaquant est de maintenir discrètement son accès le plus longtemps possible afin de capter l’information stratégique en temps voulu.
De fait, il faut parfois des années à une organisation pour s’aperçevoir qu’elle a été victime d’espionnage. L’attaquant dispose alors de toute latitude pour mettre la main sur l’ensemble des informations qu’il convoite.
En la matière, coexistent des attaques très sophistiquées et des attaques qui le sont beaucoup plus faiblement. Dans tous les cas, l’attaquant sait manifestement ce qu’il cherche et va se faire le plus discret possible pour pouvoir continuer ses méfaits le plus longtemps possible.
Qui peut conduire de telles attaques ? Il revient aux forces de police et non à l’ANSSI – qui apporte toutefois à celles-ci son expertise technique – d’en identifier les auteurs.
Toutefois, le Centre de cyberdéfense constate que ce type d’attaques est le plus souvent le fait de groupes structurés. Ces attaques très ciblées exploitent des codes conçus pour traverser les dispositifs de sécurité techniques de leur cible. Le développement de certains codes malveillants employés requiert parfois de très importants moyens mobilisant des centaines d’ingénieurs. S’agit-il d’États ou de concurrents ? Certaines cyber-attaques utilisent parfois une tactique militaire bien rodée, déployant l’éclaireur, le perceur (intrusion dans le système d’information), celui qui va déposer, celui qui va rechercher, celui qui va collecter et exfiltrer les informations. Dans certaines opérations, le niveau de sophistication technique et la division méthodique du travail mise en place laissent penser que seuls des États ou des organisations dotées d’importants moyens humains et matériels peuvent conduire de telles attaques.
Les modes opératoires de ces attaques rappellent celles que les analystes américains ont baptisé APT (Advanced Persistent Threat) et qui touchent régulièrement des institutions et des industriels américains œuvrant dans des secteurs sensibles.
Nombre de ces attaques sont très similaires, tant par leurs modes opératoires que par les techniques d’infiltration et d’exfiltration employées.
LES ATTAQUES CIBLÉES AVANCÉES (OU APT : ADVANCED PERSISTANT THREAT)
Ces attaques principalement menées pour l’espionnage à des fins économiques ou scientifiques utilisent généralement deux modes opératoires connus d’infiltration initiale : l’attaque par point d’eau et l’attaque par hameçonnage ciblé.
Pris sur le site de l’ANSSI