Qu’est-ce qu'une cyber-attaque?

-->
Une cyberattaque est un acte malveillant envers un dispositif informatique via un réseau cybernétique. Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques.


Sommaire [masquer]
1 Histoire
1.1 Estonie - 2007
1.2 2008-2009
1.3 Stuxnet et Flame
1.4 2011-2012
2 Mise en place de protections par les états
3 Notes et références
4 Voir aussi
4.1 Articles connexes
4.2 Liens externes

Histoire[modifier]

Selon le magazine américain « 60 minutes » du 8 novembre dernier [Quand ?], les grandes pannes du réseau électrique brésilien de janvier 2005 (Rio de Janeiro) et de septembre 2007 (Espirito Santo) seraient la conséquence de cyberattaques, dont la source n’est pas identifiée. Cette hypothèse a également été évoquée pour la coupure géante d'électricité du 10 novembre 2009, au Brésil, mais n'est avérée dans aucun de ces cas.
Estonie - 2007[modifier]

Le site du Centre informatique estonienmis hors service suite à la cyberattaque

La première cyberattaque recensée visant une structure étatique durant plusieurs semaines, avec des moyens suffisants pour saturer durablement les sites visés et causer un déni de service prolongé, a émané de sites russes contre des sites de l'administration estonienne, ainsi que ceux de banques et de journaux de ce pays. La majorité des institutions estoniennes ayant adopté une bureaucratie sans papier, entièrement informatique et reliées entre elles par l'internet[réf. nécessaire], ce pays se trouve très vulnérable à ce type d'attaques. Il s'agit d'une attaque simple mais efficace, qui consiste à connecter un maximum d'appareils à un même réseau et ainsi déclencher une saturation de celui-ci. Cette méthode est souvent utilisée pour sa discrétion (niveau traçabilité) car elle est dirigée par une seule personne contrôlant plusieurs ordinateurs infectés par celle-ci. Comme il y a un afflux d'appareils, l'option du traçage IP est à rejeter (par l'abondance de celles-ci). C'est la méthode dite du botnet.

L'attaque survient suite au conflit diplomatique généré autour du projet de déplacement du Soldat de bronze planifié par le gouvernement estonien en avril 2007 mais ayant abouti à des nuits d'émeutes, émanant d'une minorité de nationalistes russophones implantée dans le pays.

Bien que la jurisprudence de l'OTAN ne prenne alors pas encore en compte ce genre d'attaques, certains responsables estoniens considéraient la cyberattaque, par son organisation et sa durée, comme un acte de guerre à part entière, car les structures visées se sont retrouvés entièrement inopérantes, de la même manière que si elles avaient été frappés par des missiles. Le porte-parole du département de la défense estonien, Madis Mikko a déclaré « Si un aéroport ou une banque sont attaqués au missile, c'est la guerre. Mais si on fait la même chose avec des ordinateurs... comment appelle-t-on cela ? »1. Le président de l'Estonie, Toomas Hendrik, a considéré ces actes de déstabilisation comme une nouvelle forme de terrorisme. Mais de telles attaques posent un problème de "traçabilité", à savoir la possibilité de remonter jusqu'à leur auteur et surtout de le prouver.
2008-2009[modifier]

En 2008, c'est au tour de la Géorgie2. Cette fois, la Russie lance une invasion militaire classique, mais juste auparavant de vastes cyber-attaques mettent à genou toutes les infrastructures du pays. L'ampleur, la coordination et le très haut degré de sophistication sont tels qu'aucun groupe de pirates indépendants n'aurait pu les mettre en œuvre. Il s'agit donc très certainement d'un État, et tous les soupçons convergent vers la Russie.

La Corée du Sud en juillet 2009 a subi des cyberattaques à grande échelle. 25 sites dont les sites Internet de la présidence sud-coréenne, du ministère de la Défense, du ministère des Affaires étrangères, de la Shinhan Bank et Korea Exchange Bank ont été touchés, sur fond de tensions avec la Corée du Nord3. Selon la presse sud-coréenne, le National Intelligence Service aurait sous-entendu la responsabilité de Pyongyang, sans fournir de preuves.
Stuxnet et Flame[modifier]

Dans les années 2009-2010, le monde occidental s'inquiète de la prolifération de centrales nucléaires en Iran, officiellement civiles. Tous les médias s'interrogent régulièrement sur la probabilité d'un raid israélien qui permettrait d'en détruire au moins une pour envoyer un signal fort, mais soulignent que cela serait techniquement extrêmement risqué, impliquerait le survol de plusieurs pays qui s'y opposeraient et pourrait résulter en une réplique démesurée de l'Iran, comme l'envoi de missiles à longue portée sur les principales villes d'Israël.

--> La cyberattaque qui va paralyser la centrale nucléaire de Bouchehr permet d'atteindre l'objectif visé (mettre la centrale iranienne hors d'état) sans prendre le moindre risque ni humain, ni politique, ni militaire. Elle va consister à paralyser les ordinateurs de la centrale avec un virus d'un niveau de sophistication extrême dont Israël et les Etats-Unis sont hautement soupçonnés.

Le virus impliqué s'appelle Stuxnet4. Il est authentifié par Windows comme étant sans danger, ce qui implique qu'il utilise des clés numériques de sécurité volées dans des entreprises de logiciels de Taïwan. Il a transité jusqu'à la centrale par des clés USB donc avec des complices humains, le réseau informatique de la centrale n'étant pas connecté au monde extérieur. Il a déréglé le contrôle des automatismes, des robots, de la distribution d'électricité, tout un système de pilotage complexe de type SCADA fabriqué par l'Allemand Siemens. Le malware est passé inaperçu pendant des mois, causant progressivement de nombreux dégâts dont le dérèglement de centrifugeuses condiusant à leur destruction physique. Le développement d'un tel virus a nécessité probablement un investissement de plusieurs millions de dollars.

En 2011, c'est un second virus encore plus élaboré qui apparait, dénommé Flame, et qui semble avoir un lien de parenté avec Stuxnet.
2011-2012[modifier]

En mai 2011, c'est au tour de Lockheed Martin5, entreprise majeure du secteur de l'armement aux États-Unis qui fabrique notamment les avions de combat F-16, de subir de plein fouet une cyberattaque massive dont l'origine n'est toujours pas officiellement connue. Tous ses systèmes informatiques ont été paralysés pendant plusieurs heures et tous ses codes de sécurité ont été dérobés[réf. nécessaire].

En juin 2011, on apprend le piratage de plusieurs centaines de comptes Gmail appartenant à des hauts fonctionnaires américains, des dissidents chinois, des responsables de plusieurs pays asiatiques, des militaires et des journalistes 6. SelonGoogle, l'origine de cette cyberattaque se situe à Jinan, où se trouve un commandement militaire chinois, et surtout une école formée avec le soutien de l'armée, qui avait déjà été accusée d'avoir pénétré les serveurs de Google l'an dernier. La Chine a démenti.

En septembre 2011, une vague d'attaques informatiques est orchestrée au Japon, tout particulièrement contre des sites Internet du gouvernement7.

En juin 2012, jusqu'à 80 millions de dollars sont détournés dans une vague de cyberattaque visant des banques8 américaines, européennes et latino-américaines.
Mise en place de protections par les états[modifier]

La Chine a confirmé officiellement la création d' «une équipe spéciale dédiée à la protection contre les éventuelles cyberattaques»9. Une annonce qui n'a surpris aucun service de renseignement des autres pays engagés dans la cyberguerre, la Chine étant depuis longtemps[réf. nécessaire] l'un des pays les plus actifs sur ce front.

La Grande-Bretagne a annoncé en mai 2011 se doter de capacités offensives en matière de cyberguerre, et plus seulement défensives10. Le ministre de la Défense, Nick Harvey, estime que «le cybermonde fera désormais partie du champ de bataille de l'avenir».
On appelle cyber-attaque une tentative d’atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle peut avoir pour objectif de voler des données (secrets militaires, diplomatiques ou industriels, données personnelles, bancaires, etc.), de détruire, endommager ou altérer le fonctionnement normal de dispositifs informatiques, de prendre le contrôle de processus informatiques, ou de tromper les dispositifs d’authentification pour effectuer des opérations illégitimes.
Les dispositifs informatiques ciblés par ces attaques sont des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les ordiphones ou les tablettes.

Contrairement à l’image d’Epinal, les cyber-attaquants sont rarement des adolescents à la recherche d’un « coup » : individus parfois isolés, souvent réunis en bandes organisées ou dans des organisations criminelles, voire mafieuses. La première motivation de leurs agissements est en général l’appât du gain.

Les attaques informatiques peuvent viser un très grand nombre d’ordinateurs ou de systèmes : on parlera alors d’attaques massives, comme dans le cas de l’Estonie en 2007.
A l’inverse, les attaques dites ciblées ne visent quant à elles qu’une seule personne ou qu’un ensemble de personnes. Elles sont généralement précédées d’une collecte d’informations destinées à connaître les vulnérabilités du système d’information visé et à récupérer des éléments personnels des utilisateurs afin de pouvoir pénétrer le système sans éveiller les soupçons.

Quelles sont ses différentes formes ?
Les attaques informatiques peuvent prendre des formes extrêmement variées.

--> Un premier type d’attaque informatique, dit de déni de service, vise à saturer un système d’information ou de communication afin de l’empêcher de fournir le service attendu ou, au moins, d’en limiter fortement sa capacité. S’agissant des systèmes reliés à Internet, comme les pages web ou les télé-services, cette paralysie est simple à obtenir : on les inonde de requêtes informatiques (rechargement à l’infini d’une page Web par exemple), ce qui a pour effet de les saturer et de les empêcher de répondre aux requêtes légitimes. Pour ce faire, les attaquants peuvent utiliser des « BotNets » (abréviation de Robot Networks) - réseaux de machines « zombies » constitués d’ordinateurs dont les attaquants ont pris le contrôle, situés en général dans des régions très variées du monde - pour leur faire exécuter des actions prédéfinies.

Un deuxième type d’attaque vise à s’introduire dans un système d’information pour voler des données stockées, les modifier ou les détruire, ou pour prendre le contrôle du système. Il peut être réalisé par l’envoi de messages invitant à ouvrir une pièce jointe ou à visiter une page web en cliquant sur un lien afin de contaminer, avec un code malveillant, les postes de travail de ceux qui auraient suivi cette invitation.

Ces codes, conçus spécifiquement pour chaque attaque, ne sont généralement pas connus des antivirus ; ceux-ci ne peuvent donc pas les détecter.

Dans le cas d’attaques massives, ces messages, souvent publicitaires en apparence, sont adressés à un très grand nombre de destinataires. Les machines compromises sont alors soit fouillées pour y voler des données intéressantes pouvant par la suite être revendues, soit utilisées pour constituer un « BotNet ». Les adresses de ces machines « zombies » font l’objet d’un important commerce entre cyber-délinquants.



Les attaques de ce type peuvent également être ciblées, visant spécifiquement des personnes dont on attend des informations précieuses ou des postes informatiques permettant d’autres actions ciblées. Elles chercheront alors à être les plus furtives possibles, en utilisant des messages spécifiquement conçus pour apparaître comme provenant d’une personne connue ou de confiance. Elles sont de plus en plus difficiles à détecter.
Etes-vous concerné par cette menace?
Toute personne, tout organisme utilisant un ordinateur est concerné.

Même si votre ordinateur ne contient pas de données que vous considérez comme sensibles, il est important de garder à l’esprit qu’un ordinateur compromis peut servir à mener des attaques. Vous pourriez alors être le complice involontaire d’attaques informatiques.
Même si votre ordinateur n’est pas relié à Internet, vous n’êtes pas à l’abri d’une attaque par le biais de supports amovibles qui pourraient compromettre votre sécurité le moment venu. Méfiez-vous des clefs USB trouvées par terre !


Exemples historiques


En avril 2011, le service en ligne PlayStation Network de Sony a été victime d’une attaque informatique d’envergure donnant aux attaquants accès aux données de 77 millions d’utilisateurs. Mots de passe, informations personnelles et informations bancaires ont alors été dérobés et publiés sur Internet. Les conséquences économiques de cette attaque pour Sony ont été lourdes, les pertes directes atteignant, à elles seules, 121,5 millions d’euros.

En mars 2011, les ministères économique et financier français ont révélé avoir été victimes d’une attaque informatique d’ampleur ayant permis de les espionner. L’attaque a commencé par l’envoi de courriels contenant une pièce jointe piégée par un code malicieux non encore répertorié par les antivirus. L’ouverture de cette pièce jointe par des utilisateurs a permis l’installation d’un cheval de Troie, transformant leurs postes en têtes de pont pour les attaquants. Ces derniers ont ensuite pu, par l’intermédiaire de ces têtes de pont, compromettre d’autres postes, puis passer des ordres pour exfiltrer les données choisies (informations économiques et financières sur la France, notamment dans le cadre du G20).

En 2010, un des plus imposants réseaux de machines « zombies » appelé Mariposa est découvert. Près de 13 millions d’ordinateurs auraient été compromis et utilisés à des fins malveillantes.

En mars 2008, une chaîne de magasins d’alimentation américaine a été victime d’une attaque informatique qui a permis de dérober les informations de plus de 4,2 millions de cartes bancaires. Un logiciel malveillant était installé dans tous les magasins de la chaîne en Nouvelle-Angleterre et dans l’État de New York, et dans la majorité de ceux de Floride. Il interceptait les données au moment où elles étaient transmises aux banques.

En 2007, l’Estonie (dont l’e-administration est l’une des plus développées d’Europe) a été le premier Etat à subir des attaques informatiques de grande ampleur. L’administration estonienne, des banques et des journaux ont été paralysés durant plusieurs semaines par l’envoi massif de requêtes informatiques saturant les ordinateurs, serveurs et réseaux. Ces attaques faisaient suite au déplacement d’une statue symbolique pour la minorité russe du pays.

En l’an 2000, le virus informatique " I love You " s’est répandu en quatre jours sur plus de 3 millions d’ordinateurs dans le monde, entrainant une perte financière estimée à 7 milliards de dollars pour les seuls Etats-Unis.