La Police Nationale présente les multiples facettes de la cyber criminalité
lundi 27 mai 2019Même si nous apprendrons que « les statistiques en matière de sécurité sont à prendre avec des pincettes », ce volume vertigineux illustre la puissance du phénomène. Pourtant, aujourd’hui, il n’a plus rien d’exceptionnel. Nous verrons par la suite que l’association du « machine learning » et de la cybersécurité devient une nécessité absolue.
Entreprises, institutions et particuliers sont les cibles récurrentes des pirates. « Se protéger c’est d’abord comprendre les vecteurs d’attaque des pirates », François Beauvois lève ainsi le voile sur les méthodes et pratiques de ces malfaiteurs du web.
L’hameçonnage
L’hameçonnage ou la servitude involontaire : on estime ainsi que 10 à 15% des employés ont un comportement de « cliqueur fou ». Cette inépuisable maladresse peut pourtant compromettre l’ensemble du système informatique d’une entreprise via un simple courriel frauduleux à l’apparence légitime. Ces courriels prennent une tournure de plus en plus anodine, à l’instar de la facture professionnelle. L’ampleur du phénomène est méconnue, les entreprises ne souhaitant pas dévoiler leurs propres faiblesses, parfois à la limite de l’incompétence.
Mais la préparation d’un courriel d’hameçonnage efficace demande une certaine expertise : rédaction professionnelle, parfois en plusieurs langues, avec un contenu ciblé. Il reste alors aux pirates un choix pléthorique de scénarios d’attaque.
Les malwares
La « kalachnikov » du cyber criminel reste la principale menace. Les malwares recouvrent tous leurs besoins : vol de mot de passe, de données financières et industrielles, prise de contrôle de webcams, etc. Peu de gens seront passés à côté de « Wannacry », un rançongiciel terriblement efficace qui a contraint Renault, en 2017, à interrompre sa chaine de production pendant deux jours. La spécificité de ces malwares : une fois infiltré ils cryptent à la volée vos fichiers, la clef de déchiffrage étant ensuite monnayé en échange de cryptomonnaie.
Le déni de service
L’archaïque et peu discret déni de service (DOS), héritage d’une « faiblesse » du protocole TCP/IP, reste très efficace. Le serveur « tombe » sous l’action d’un très grand nombre de requêtes. Une version plus subtile existe, ralentir fortement la connexion d’un serveur, sans l’exclure du réseau. La navigation en dent de scie découragera le visiteur, qui pourra, par exemple, décider de partir vers la concurrence.
Néanmoins les débits et cibles évoluent. Par exemple, le piratage des caméras de surveillance permet d’exploiter leur bande passante. Les attaquent par déni de service distribués (DDOS), permettent alors de dégrader suffisamment les services d’une entreprise et exiger une rançon. Ainsi le malware Mira a atteint des débits records de 1,2To/s avec cette méthode. Il a ensuite été supplanté par Memcrashed avec un débit de 1,7To/s qui aura eu raison de Github.
La compromission de site internet
Plus furtif, ce type d’attaque remplace par exemple un service de paiement d’un site de vente par un système de paiement compromis sur lequel le pirate a la main.
Vol de puissance de calcul
Tendance récente, les « cryptojacker ». Alors qu’avec les rançongiciels le gain n’est pas garanti, certaines victimes refusant parfois de payer, avec les « cryptojacker » le pirate vole discrètement de la puissance de calcul afin de miner des cryptomonnaies. Ce vecteur d’attaque est en train de détrôner le rançongiciel car il conjugue furtivité et efficacité.
Ces attaques ne seraient pas toutes réalisables sans un vaste réseau de machines « zombie » ou « botnet ». Ainsi, les particuliers vulnérables, comme les personnes âgées, sont mises à contribution : leurs machines infectées, devenues ainsi des auxiliaires dociles du pirate, permettent d’anonymiser et de distribuer l’attaque. Le nœud final, côté attaquant, sera localisé dans un pays dont la législation n’oblige pas à conserver les logs d’activité du serveur. On citera par exemple les Pays-Bas.
Tout est devenu monétisable
Ainsi, les informations sur d’éventuelles failles, détectées automatiquement via des scans réseaux, les 0-day, les kits d’attaquant ou même les documents volés peuvent se retrouver en vente sur le « darknet ».
Les pirates isolés d’hier ont fait long feu : il s’agit aujourd’hui de véritables entreprises, capables de croiser et exploiter la moindre information sur leurs victimes, par exemple un profil LinkedIn, mais aussi de créer des bénéficiaires vers des « mules » au sein d’un établissement bancaire qui transmettront ensuite les fonds vers les pays de l’Est.
Les moyens de défense existent mais ils exigent une prise de conscience des dirigeants et le coût nécessaire pour se protéger est parfois trop contraignant pour l’activité de l’entreprise. Par exemple, tester toutes les pièces jointes d’e-mail via des « sandbox », des espaces isolés du réseau, imputerait un délai déraisonnable sur la réception des courriels.
Face à cette guerre du numérique, de nouvelles méthodes sont nécessaires, et l’emploi de solution faisant appel au machine learning peut être une solution. Le traitement de données massives, en flux continu et automatisé deviendra bientôt une nécessité afin d’analyser les flux financiers de plus en plus complexes, la signature des malwares ou encore le niveau d’infection ou de vulnérabilité d’un système informatique.
La police nationale s’adapte à ces nouveaux défis par le recrutement d’agents contractuels spécialistes en cybersécurité, de réservistes civils effectuant des missions de sensibilisation et le développement d’outils spécifiques.
Toutefois, l’action la plus importante se situe au niveau du citoyen : porter plainte.
Compte-rendu rédigé par Thomas Denimal et Colin Parellier, étudiants du Mastère Spécialisé Big Data de Télécom Paris, promotion 2019-2020.
Image d’entête source Siècle Digital