La face cachée des cyberattaques

A l’annonce du versement par Colonial Pipeline de 5 millions de dollars en crypto monnaie à DarkSide, à la suite d’une cyber attaque par ransomware paralysant l’acheminement de 45% du carburant à la cote Est des Etats-Unis, ce montant constitue un véritable précédent dans l’anonymat du crime organisé en ligne.

Devant le succès de ce nouveau vecteur de criminalité, investir dans ce mode d’organisation cybercriminelle est alors devenu une activité très lucrative mais également une opportunité d’influer sur certains comportements individuels ou collectifs. Par conséquent, le recours aux TIC et aux réseaux est assimilé à une attaque militaire informatique se substituant aux armes classiques, lorsqu’il est employé pour altérer directement l’organisation d’un pays. L’orchestration de ces attaques intéresse alors aussi bien des groupes indépendants motivés par l’extorsion numérique, que des activistes animés par des motivations politiques, mais elle attire surtout des entités étatiques.

L’initiative indépendante :

L’image sans doute la plus véhiculée dans les esprits d’une cyberattaque est de nature indépendante réalisée par un groupement d’individus autonomes et organisés, à but lucratif ou non. Les types de pirates peuvent être de différentes natures. Historiquement, le hackeur représente la personnification même du pirate informatique, cherchant à défier la sécurité des systèmes informatiques. Ensuite, les hacktivist animés par des motivations politiques manifestent leur opposition par la diffusion de messages de valeurs morales telle la liberté d’expression et de penser. Les plus connus restent la communauté des Anonymous, grâce au piratage informatique réalisé à l’encontre de l’Eglise de scientologie en 2008. Le WhistleBlower peut s’inscrire dans la continuité du pirate précédent en ce qu’il est un lanceur d’alerte agissant individuellement le plus souvent. Eward Snowden est ainsi devenu l’homme le plus recherché du monde à la suite de ses révélations relatives au système de surveillance de masse global américain opéré par la NSA à travers les programmes Prism et UpStream. Enfin, le dernier et non des moindres, est le cybercriminel qui agit dans l’intention de nuire et à but lucratif. L’extorsion de milliers voir de millions de dollars, en une opération criminelle de bloquage des fonctionnement des systèmes informatiques d’une entité par le chantage au rançongiciel, est donc leur principale motivation.

La plus marquante de l’histoire reste celle de WannaCry en 2017 qui fut réalisée à l’échelle mondiale en touchant plus de 150 pays. Cette cyberattaque au ransomware qualifiée « d’un niveau sans précédent » par Europol, s’est attaquée aussi bien aux administrations, aux  entreprises, aux grands groupes qu’aux hôpitaux du monde entier, par l’intermédiaire d’un logiciel malveillant s’infiltrant grâce aux versions antérieures à Windows 10. Les origines de cette attaque massive restent incertaines. En recherchant le patient zéro, certaines enquêtes ont fortement soupçonné l’existence d’un lien avec le groupe de hackeurs Lazarus et donc avec la Corée du Nord. D’autres spécialistes ont évoqué un croisement avec les autorités chinoises mais aucun rapport définitif et certain n’a pu être établi.

Si les cyberattaques les plus médiatisées se focalisent souvent sur des actes provenant de groupements de hackeurs organisés et indépendants, l’origine de ces actes malveillants les plus nocifs s’en prenant aux infrastructures essentielles d’un pays, sont souvent commandités directement ou indirectement par des entités étatiques.

L’initiative étatique :

Les finalités poursuivies par les attaques d’origine étatique sont multiples. Elles peuvent consister en une opération de déstabilisation par propagande, par saturation des systèmes afin de provoquer leur arrêt de fonctionnement ou encore par défiguration, en s’attaquant à un site officiel de l’Etat pour le décrédibiliser et atteindre son image. Ces attaques peuvent également être motivées par l’espionnage numérique des informations stratégiques d’un pays, mais aussi par le sabotage, en rendant inopérant tout ou partie d’un système informatique d’une organisation. En marge de ces conflits étatiques, la menace la plus incontrôlable et nocive reste celle du cyberterrorisme, perpétré dans le but d’attaque et de propagande mais aussi d’obtenir des informations, des financements et de recruter des individus.

Tout commence en 2007, lorsque l’Estonie fut frappée d’une attaque cyber massive bloquant le fonctionnement de ses banques, ses médias ainsi que son gouvernement à la suite d’un événement anecdotique relatif à l’enlèvement du « soldat de bronze » matérialisant l’appartenance au bloc communiste. Ce cas historique représente une nouvelle forme de représailles étatiques tout aussi efficace qu’un embargo, dans lequel une entité étatique finance l’organisation d’un réseau criminel et la commission de ces actes.

L’ingérence dans le processus électoral par la captation de données appartenant aux potentiels électeurs d’un pays est une des principales motivations de ces attaques.

Par ailleurs, les autorités américaines soupçonnent fortement la Russie d’être impliquée dans la commission de l’attaque dont fut récemment victime le principal fournisseur de carburant américain (Colonial Pipeline). L’affaire de Cambridge Analytica a sans nul doute levé le voile sur cette finalité, en collectant des milliers de données par l’intermédiaire d’un sondage proposé par le réseau social Facebook, afin d’établir un profilage ciblé des orientations politiques des utilisateurs lors des précédentes élections présidentielles américaines. Ainsi, par le biais d’informations sélectionnées et proposées à des utilisateurs spécifiques, afin de les exposer à un contenu déterminé, cette entreprise a pu conditionner un certain comportement électoral.

Mais ces actes peuvent également avoir une finalité industrielle à travers l’action d’une organisation gouvernementale. La manipulation économique des ressources d’un pays fut le but poursuivi par l’Advanced Persistent Threat perpétrée par la NSA sous l’administration Bush. Par la découverte du ver informatique Stuxnet (un logiciel malveillant) en collaborant avec une agence de renseignement technique israélienne, la NSA a ainsi pu ralentir l’enrichissement de l’uranium et de facto, contrôler l’avancement du programme nucléaire israélien, l’uranium étant un élément indispensable aux activités nucléaires civiles et militaires.

Mais l’instrumentalisation par une entité étatique des réseaux de cybercriminels la plus représentative, est sans doute les équipes de hackeurs manoeuvrées par la Corée du Nord. En recrutant dans les années 1990 des anciens spécialistes du décodage de l’ex-URSS, l’université Moran a alors donné naissance à la première génération de pirates nord coréens d’après Joo Seong-ha, journaliste réfugié nord-coréen. Le Bureau général de reconnaissance, étant un service de renseignement dans lequel Kim Jong-un veille personnellement à la sélection des éléments les plus doués du pays, constitue un organe supervisant des groupements de cybercriminels tel que Lazarus. Cette organisation nord-coréenne est alors assimilée à une véritable armée de hackeurs.

Les autorités russes font aussi parties des Etats les plus actifs dans cette cybermalveillance, comme en témoigne l’incident relatif à Colonial Pipeline. Cependant, le mode opératoire russe diffère par son angle d’attaque. En effet, la Russie fut à plusieurs reprises soupçonnée d’être impliquée dans des actes de cyberterrorisme. En 2015, la chaine de télévision francophone TV5 Monde fut victime d’une cyberattaque par défaçage, entrainant l’arrêt de la diffusion de ses programmes et la diffusion d’un contenu soutenant l’Etat islamique sur ses réseaux sociaux par le groupe Cybercaliphate. Selon l’enquête instruite par le Parquet de Paris, la revendication de l’attaque par l’Etat islamique serait un leurre orchestré par le groupe APT28, aussi connu sous le nom de FancyBear, dont la gestion dépendrait des services de renseignements russes. En effet, certaines similitudes dans l’exécution et le mode opératoire de l’attaque ont pu être recoupées en utilisant des serveurs et un code source communs en cyrillique. Et d’après l’entreprise de sécurité informatique américaine FireEye, ce groupement serait soutenu par le gouvernement russe.

La réalité de la menace :

Deux constats ressortent de l’étude annuelle CrowdStrike Global Security Attitude Survey de 2020.

D’une part, le succès des attaques par ransomwares, puisque 56% des entreprises interrogées dans le cadre de cette étude ont déclaré en avoir été victime en 2020. L’attaque par rançongiciel est alors inévitable. En effet, les attaques sont continues, constantes et présentes dans le monde entier d’après la carte interactive informant en temps réel des attaques en ligne.

De surcroit, de nombreuses entreprises préfèrent verser le montant de la rançon immédiatement, tel que Colonial Pipeline, et garder cette information confidentielle dans la mesure où cette vulnérabilité pourrait causer une baisse de confiance significative dans les capacités de l’entité à assurer sa sécurité, engendrant ainsi une baisse de ses cours d’actions et de ses ventes.

D’autre part, le rapport constate l’expansion des cyberattaques dans lesquelles des Etats sont impliqués puisque 87% des décideurs informatiques interrogés déclarent que les cyberattaques commanditées par des Etats sont bien plus fréquentes que celles dévoilées au public. Dès lors, les cyberattaques d’origine étatique représenteraient la plus grande menace en 2021, dans la mesure où les tensions internationales, caractérisées par la guerre commerciale opposant les Etats-Unis et la Chine, ont été aggravées par le contexte de vulnérabilité induit par la crise sanitaire.

Candice BARBIE

Sources :

  • SEYDTAGHIA , L’extorsion numérique, cette activité si ordinaire, éd. Le Temps, 14/05/2021
  • La Corée du Nord et son armée de hackeurs de lombre, éd. Courrier international, 05/06/2021 SEYDTAGHIA A., Oléoduc piraté: les Etats-Unis auraient payé une rançon de 5 millions de dollars, éd. Le Temps, 14/05/2021
  • Étude annuelle réalisée par CrowdStrike Global Security Atitude Survey, 2020 (lien de consultation : https://www.crowdstrike.com/resources/reports/global-attitude-survey-2020/)
  • KRIM M., Étude CrowdStrike : les cyberattaques étatiques représenteront la plus grande menace en 2021, éd. It Social, 23/02/2021
  • Menace informatique carte en temps réel (lien de consultation : https://cybermap.kaspersky.com/fr)
  • BERNARD M-V., Piratage de TV5 Monde : qui se cache derrière Cyber Caliphate ?, éd Franceinfo, 09/04/2015
  • UNTERSINGER M., Stuxnet: comment les Etats-Unis et Israël ont piraté le nucléaire iranien, éd. L’Obs, 17/11/2016

MasterIPIT