Vous êtes sur le site public du Cert-IST
Profil type des attaquants et leurs motivations

Date :06 Avril 2014

Publication: Article

Sur le front de la menace, on peut schématiquement répartir les attaquants dans 4 catégories :

  • Les amateurs
  • Les hacktivistes
  • Les cyber-criminel
  • Les cyber-espions

 

Les amateurs

Cette première catégorie regroupe les auteurs d’attaques de faible ampleur, réalisées de façon artisanale. Voici quelques exemples d’attaques de cette catégorie :

  • Défacement de site web avec des revendications fantaisistes ou puériles,
  • Ver expérimental, ou virus amateur lancé sur Internet sans objectif précis,
  • Arnaques artisanales (du type « Nigerian scam ») visant à convaincre des victimes d’envoyer de l’argent à un escroc.

Cette catégorie d’attaquants était dominante au début des années 2000, avec en particulier les grandes vagues virales telles que CodeRed ou Slammer. Elle est désormais un élément mineur du paysage, même si bien sûr, elle est toujours présente.

 

Les hacktivistes

Cette catégorie est devenue visible en fin 2010, lorsque le mouvement des Anonymous a pris la défense de Wikileaks en lançant des attaques DDOS. Le blocage effectif de MasterCard et Visa a alors démontré la puissance que pouvait avoir un mouvement collaboratif de ce type.

N’importe quel groupe ayant des revendications "politiques" peut aujourd’hui faire le choix d’utiliser des attaques informatiques pour donner de la visibilité à son mouvement. Les attaques sont ici typiquement le vol d’informations (en volant le plus souvent des données « faciles à attraper » - on parle d’attaques visant les « low-hanging fruits » - sur des sites web mal protégés) et d’attaques en déni de service.

Ces attaques ont été très présentes en 2011 mais ont depuis décru. Il faut dire que dans certains cas, ce type d’attaques a été très sévèrement puni (10 ans de prison pour un membre d’Anonymous ayant participé au piratage de la société Stratfor, 183 000 $ d’amende pour avoir participé à une attaque DDOS), ce qui a sans doute un effet dissuasif.

Ce risque reste néanmoins présent. En particulier, en 2013, le groupe SEA (Syrian Electronic Army), qui prend parti pour Bachar el-Assad, et que nous classons dans le groupe des hacktivistes, a réalisé de nombreuses cyber-attaques en prenant par exemple le contrôle de plusieurs comptes Twitter (dont Associated Press, The Guardian, New York Post) ou en détournant des serveurs DNS (New York Times, Twitter, Qatar). Il s’agit d’attaques peu sophistiquées, basées sur l’ingénierie sociale, mais des cibles de renom peuvent en être victimes.

 

 

Les cyber-criminels

Cette catégorie est la plus connue du grand public, et elle est présente sur la scène des cyber-attaques depuis à peu près 2003. Elle regroupe les attaques crapuleuses de grandes ampleurs, visant à détourner de l’argent. Cela inclut typiquement :

  • Spam,
  • Botnets,
  • Vol de données bancaires,
  • Escroquerie de type "faux antivirus" ou "ransomware".

Contrairement aux "escrocs amateurs" (que nous avons mentionnés dans la catégorie "amateur"), le monde des cyber-criminels est très organisé est très professionnel. Les outils utilisés sont très sophistiqués (exploit-kits, infrastructure fastflux, etc…). De multiples acteurs, avec chacun leur spécialité, interagissent dans cet écosystème : commanditaires, développeurs, gestionnaire d’infrastructure, vendeurs, etc…

Les victimes favorites des cyber-criminels sont les particuliers, car la méthode privilégiée consiste ici à voler un peu d’argent au plus grand nombre possible (par exemple en installant un faux antivirus sur le poste puis en demandant une somme d’argent raisonnable pour désinfecter le poste).

Cette catégorie est apparue au début des années 2000, et jusqu’en 2010 elle est restée la menace la plus visible.

 

Les cyber-espions

A partir de 2010, les attaques de cyber-espionnage ont pris une place de plus en plus importante dans le paysage de la menace, suite à la médiatisation d’un nombre croissant d’incidents de ce type.

Les attaques de cyber-espionnage sont des attaques dans lesquelles le pirate rentre au sein du système d’information cible, s’y installe discrètement, puis progresse jusqu’à sa cible finale. Il procède alors au vol de données sensibles, ou au sabotage de l’élément visé.

Ces attaques sont classiquement désignées sous le terme d’APT (Advanced Persistant Threat). Elles existent depuis longtemps (toujours ?) à un certain niveau (attaques étatiques et opérations "spéciales"). Par contre à partir de 2010, de plus en plus d’incidents de ce type ont été publiquement annoncés et le risque "APT" est devenu prédominant. Depuis cette date, on sait que le cyber-espionnage n’est plus une menace qui se limite à des cibles stratégiques : elle concerne désormais toutes les entreprises. Il y a plusieurs explications à ce phénomène :

  • Ces cyber-attaques sont assez faciles à réaliser, et la prise de risque est minime si l’attaquant est dans un pays lointain. Il est donc tentant d’utiliser ces attaques de façon plus large.
  • Certains pays (on mentionne souvent la Chine) ont peut-être utilisé cette technique de façon très large, là où auparavant les autres pays l’utilisaient avec parcimonie.

 

Quid des attaques internes ?

Il est couramment admis qu’en termes d’incidents, la menace interne représente un risque significatif que l’on quantifie souvent par la règle des 80/20 : 80% des incidents sont internes et 20% sont externes. On peut donc se poser la question de l’importance de la menace interne dans le paysage de la cyber-menace.

Le rapport DBIR-2013 de Verizon présente sur ce point des chiffres intéressants. Selon ce rapport, en 2012 :

  • 69% des incidents provenaient de l’intérieur de l’entreprise, mais ces incidents internes sont en très grande majorité accidentels (il s’agit par exemple de la perte de données).
  • 92% des attaques volontaires provenaient de l’extérieur de l’entreprise.

On voit donc que les attaques internes constituent une très faible proportion de la menace. Elles ne doivent bien sur pas, être négligées puisque le coût de ces attaques est souvent très important, puisque l’attaquant connait bien le SI et cause souvent des dégâts importants.