Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Eric Filiol : comment déclencher et conduire une cyberattaque ?

mars 2009 par Emmanuelle Lamandé

Les cyberattaques se limitent-elles au cyberespace ? Existe-t-il une réalité cybernétique différente du monde réel ? Une cyberattaque est-elle vraiment différente d’une guerre classique ? A l’occasion du 3ème Forum International sur la Cybercriminalité, Eric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles de l’ESIEA, s’est attaché à cette problématique. Il nous a, ainsi, expliqué quelques éléments clés du mode opératoire des cyberguerriers.

En référence à l’ouvrage de Qiao Liang et Wang Xiangsui, « Unrestricted Warfare » (La guerre hors limites), il souligne que « la première règle de la guerre hors limites est qu’il n’y a pas de règles, rien n’est interdit ». De même que « tout dans ce monde peut devenir une arme ». Le but de la guerre est de prendre le contrôle sur des ressources, des populations, des esprits, des territoires, des informations,… Une cyberguerre est un ensemble de cyberattaques. Cependant, l’impact de cette dernière ne se limite pas au cyberespace. La finalité d’une cyberattaque existe dans le monde physique. L’objectif est, en effet, de viser la sphère réelle, soit en passant par le SIC, ou indirectement en attaquant un SIC.

TOUT est permis dans le cyberespace

Trois nouvelles caractéristiques sont, néanmoins, à prendre en compte dans le cyberespace : la disparition des notions de temps, d’espace et de preuve. L’oblitération du temps concerne principalement les victimes, pour qui l’attaque est perçue comme soudaine et immédiate. La victime n’a pas le temps de réagir et la possibilité d’analyser ce qui s’est passé après coup reste limitée. Tandis que l’attaquant peut temporiser et prévoir les choses longtemps à l’avance. Il existe donc une asymétrie très forte entre l’attaquant et la victime. En outre, dans le domaine numérique, tout est falsifiable. La notion de preuve n’a plus de sens. TOUT est donc permis dans le cyberespace.

Pour comprendre ce phénomène, deux autres concepts méritent d’être définis : celui d’infrastructure critique et d’interdépendance entre les systèmes. Toutes les définitions d’infrastructure critique ne concernent que l’infrastructure matérielle, or toutes ces informations fonctionnent avec de l’humain. La prise en compte des composantes humaines est vitale dans une cyberattaque : échelon décisionnel, personnel technique, personnel à fort potentiel médiatique,…, soit tout élément humain dont dépend l’infrastructure critique. Une cartographie fine de l’interdépendance des différents éléments est nécessaire. L’interdépendance des systèmes représente la liaison entre les cibles et les composantes dont dépend cette cible. La gestion de matrice des dépendances permet d’identifier des corrélations entre des éléments qui ne se voient pas. Il s’agit de la théorie des dominos, de la chaîne de dépendance entre la cible et les composantes. Il ne faut pas omettre la prise en compte des composantes externalisées et délocalisées (Data Centers, services de supervision, fournisseurs, sous-traitants,…). Il est, cependant, très difficile de tout cartographier.

Qui sont ces cyberguerriers ?

Ils possèdent tous une bonne maîtrise des SIC, soit potentiellement tout étudiant de 2nd ou 3è cycle en informatique/SSI. Cependant, la technique doit être organisée au niveau opérationnel, c’est-à-dire qu’ils ont besoin d’un encadrement logistique, tels la mafia, un groupe terroriste,…

Les différentes phases d’une attaque :

- La phase de renseignement est capitale car elle permet d’identifier les composantes critiques, d’établir la matrice des dépendances,… La nature des renseignements est à la fois technique et humaine. L’objectif est d’avoir une image très précise de la cible, de ses façons de procéder,… L’attaquant a le temps de tout planifier (renseignement, préparation,…). L’attaque doit, par contre, être soudaine pour la victime.
- La planification est une étape essentielle. Elle permet de prévoir, d’avoir une vision globale de l’attaque, d’organiser la coordination avec les différentes parties.
- La conduite : il s’agit de la partie opérationnelle. Son action ne s’inscrit pas dans un cadre isolé mais toujours en soutien ou en préparation d’une autre attaque.

Il faut viser tous les éléments de l’infrastructure dans la stratégie générale. Les attaques contre les personnes visent à mettre hors circuit les personnes qui ont une mission stratégique dans la gestion de l’infrastructure vitale.

Attaque de poste informatique stratégique, divulgation d’informations compromettantes, voire de fausses informations, à la presse, …, peuvent avoir des effets ravageurs. Les exemples ne manquent pas : prise de contrôle d’un train, d’une plate-forme boursière, déclenchement d’émeutes,… Les cas isolés peuvent, de plus, être coordonnés pour un réel effet dévastateur. Cependant, seule, la vision technique du pirate reste limitée.

Comment se protéger ?

Le levier fondamental de ce système n’est autre que la composante humaine. Il n’existe, malheureusement, pas de patch contre cela.

« La puissance d’un pays réside dans sa capacité à imposer des normes » (Bernard Carayon).

Eric Filiol a conclu son intervention en soulignant la nécessité de relocaliser les entreprises et les ressources critiques. Il ne faut pas délocaliser le savoir-faire, ni sous-traiter le patrimoine. Il s’agit, ainsi, de maîtriser ses Data Centers, ses services de supervision et la fabrication des ressources critiques. Enfin, la révolution doit, selon lui, se faire au niveau culturel. Une véritable culture de la sécurité et de la discrétion reste à développer, surtout au niveau des décideurs.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants