Stuxnet, Bercy, RSA. Depuis ce week-end, l'on peut même rajouter Safran.
Si le grand public ne se préoccupe pas quotidiennement de l’état des attaques informatiques, et ce à juste titre, il va sans dire que la sphère security n’aura pas attendu l’accélération médiatique des derniers mois pour appréhender un environnement de menaces qu’elle sait hétérogènes, adaptatives et préjudiciables. L'environnement (le cyberespace pour faire simple) et son évolution sont connus, étudiés et projetés depuis plus d’une décennie. A priori les prévisions les plus pessimistes de cette époque pourraient presque être considérées comme optimistes aujourd'hui vue la gravité des attaques (Epsilon, RSA) et leur nombre. Et encore, nous ne parlons là que des affaires qui sont connues et qui représentent probablement la partie émergée de l'iceberg.
Passons rapidement le caractère hétérogène du point de vue de l’origine géographique tout comme du mode opératoire, même s’il faut noter qu’environ 2 fois sur 3, la Chine est citée. Avec plus ou moins de bonheur comme avec l'affaire Renault. Ce seul point mériterait une étude complète et approfondie qui sort de mon champ d’actions (mais pas forcément de compétences, question de priorités).
Idem pour les menaces adaptatives avec l’apparition très techno-marketée d’un type de menaces « spécifiques » avec les APT. Personnellement, je préfère considérer qu’une attaque bien conçue est une attaque réussie, qu’elle peut être effectuée par un unique individu (ou plusieurs), et qu’elle peut représenter un coût temporel variant de quelques minutes (attaques triviales à la Script Kiddies, force brute, voire DDoS) à plusieurs mois.
Pour ce dernier type d’attaque sera utilisée la palette à disposition la plus complète, allant évidemment de l’ingénierie sociale à l’utilisation de maliciels de type keyloggers ou troyens (cas plutôt courants) en passant par la pose de sniffers qu'ils soient logiques ou physiques. Ces techniques opératoires sont complémentaires et souvent séquencées et ont comme finalité la mise en œuvre de reconnaissances ultra discrètes du réseau puis de l’infrastructure cible. Avec l'objectif final l'aspect offensif proprement dit comme l'envoi d'une pièce jointe piégée à des destinataires sélectionnés (cas de l'attaque de Bercy, par exemple). Tout cela est relativement schématique et ne balaye que les modus operandi les plus couramment usités.
Enfin, nous arrivons aux préjudices qui est l’objet principal de ma réflexion car il est, in fine, le nerf de la guerre. J’aurais tendance à dire que les moyens et les techniques importent peu et que seuls comptent les résultats, mais ce serait gravement insulter l’ensemble de mes collègues férus de reverse engineering et autres exploits et oublier que j’ai aussi débuté dans le métier en « pissant de la ligne de code ». Mais ceci est une autre histoire ! :)
(la suite dans le prochain billet)
Aucun commentaire:
Enregistrer un commentaire