La nécessité d’une grille de lecture de la cyber criminalité

La nécessité d’une grille de lecture de la cyber criminalité

 

 

La multiplication des canaux de communications digitaux représente autant de sources d’opportunités que de risques d’attaques informationnelles. Cette situation s’explique par quatre phénomènes :

  • La croissance permanente du nombre de logiciels, de portails, et autres applications sur mobile.
  • La centralisation des informations via les bases de données, SAP, Oracle, et des différents systèmes dématérialisés de type Cloud.
  • La multiplication des acteurs qui constitue un risque. Si les utilisateurs des systèmes d’informations au sein des entreprises disposent de droits différents d’en connaître, l’accès aux données confidentielles reste une vulnérabilité majeure. A titre d’exemple, le cabinet Accenture a lancé en mars 20187 un message d’alerte plutôt inquiétant comme quoi un employé sur cinq opérant dans les entreprises de santé serait prêt à vendre des données confidentielles.
  • La monétarisation des actions malveillantes. La naissance et l’utilisation des crypto-monnaies, ainsi que le darkweb, permettent un relatif anonymat ainsi qu’une rémunération qui est difficilement traçable.

 

L’association de ces quatre paramètres a permis le développement de la cyber criminalité ciblant les gouvernements, les entreprises et les particuliers. Il est possible de louer les services de pirates informatique afin de mener des attaques ciblées, et de fait, de nuire à un concurrent gênant. Les cybers criminels peuvent être sollicités n’importe où dans le monde, et pour agir n’importe quand.

Deux types d’acteurs sont recensés, par les autorités compétentes.

D’une part les « white hat hackers » qui identifient les failles de cyber sécurité afin d’aider les acteurs impliqués à les résoudre, les services de cette première catégorie sont notamment accessible via des plateformes tel que hackerslist.com.

A l’opposé, les « black hat hackers » ont une volonté malveillante ou destructrice. Ces individus peuvent être sollicités sur les réseaux de types dark web pour quelques milliers de dollars. L’étude réalisée par le cabinet Accenture nous révèle que l’impact moyen d’une attaque informatique sur les entreprise est de 2,4 millions de dollars. En France 53% des attaques informatiques auraient couté au moins 400 000 euros aux entreprises. Sachant qu’en 2016, une entreprise sur deux en France a été victime d’une attaque informatique.

 

Le business model de la cyber criminalité

D’une manière générale une attaque informatique, au même titre que son équivalent militaire se déroule en trois temps, le renseignement, la planification, et l’opération. La phase de renseignement au sens large étant la plus essentielle car elle permet de connaitre les différentes failles exploitables. C’est notamment par cette étape que les informations sont recueillies pour les usurpations d’identités et ce qui est communément appelé l’arnaque au président, dont auraient été victime 500 entreprises françaises, pour une perte de 485 millions d’euro en cinq ans.

Le business model de la cybercriminalité se présente sous différentes formes :

  • L’espionnage économique afin d’avoir accès aux données confidentielles de la cible (fichier clients, prix, prévisions, secret d’entreprise.
  • La déstabilisation de l’activité virtuelle d’une entité en visant à rendre inaccessible un site internet, une boutique en ligne, ou un service client.
  • L’usurpation d’identité. Les cas les plus classiques sont l’usurpation de l’adresse email d’un cadre de l’entreprise pour inciter un subordonné à effectuer une tache en utilisant l’ingénierie sociale (un transfert monétaire par exemple) ou partager des informations confidentielles, dans le cas échéant afin de manipuler le marché.
  • La prise de contrôle d’un réseau informatique afin d’en rendre l’accès à ses usagers contre paiement d’une rançon. Ce type d’attaque utilisant les rancongiciels, s’est répandu avec la diffusion des crypto-monnaies, rendant l’opération intraçable par les autorités. Ces attaques seraient aujourd’hui en régression.
  • La constitution d’un parc de machine « esclave » qui pernet de perpétrer des attaques de type Botnet. Ce type d’attaque reste encore assez rare.

 

Dans de nombreux pays la cyber criminalité se montre un moyen illégal moins risqué, que les activités criminelles classiques telles que le trafique de drogue, la traite d’être humain, ou le racket. Le rapport annuel 2018 de cyber sécurité de Symantec, donne une cartographie des menaces par technique d’attaque, mais surtout par secteur économique ciblé. Dans le cas des objets connectés qui sont la menace la plus croissante (+600% entre 2016 et 2017), l’origine géographique des cybers déstabilisations recense la Chine (21%), les États-Unis (11%), le Brésil (7%), la Russie (6%), l’Inde (5%), le Japon (4%). Sur le site NORSE nous pouvons voir l’internationalisation des attaques informatiques en temps réel, ainsi le parallèle avec les tensions économiques ou politiques est plus facilement lisible. Le site securelist.com, initié par le Kaspersky Lab, est un des plus innovants dans l’observation des phénomènes de cybercriminalité. Les chercheurs du Global Reseach Analysis Team insistent sur le fait qu’en 2017, ce sont les gouvernements qui ont été le plus ciblés par les groupes d’ATP (hackers).

 

Ahmed Graouch