PARTIE 2 : INFILTRATION – IMPLANTANTION – EXPLOITATION
L’infiltration
L’infiltration par voie numérique est le point de départ de toute activité de « cyberespionnage », de « cybersabotage » et de « cyberinfluence ». Cette notion d’infiltration évoque à la fois la pénétration d’un système informatique et l’intrusion dans une communauté d’individus par le biais des réseaux sociaux.
Autrefois, l’infiltration ne pouvait se faire que par la voie d’agents clandestins pouvant aller jusqu’à la constitution de cellules révolutionnaires ou terroristes ou par le recrutement de membres du camp adverses, communément appelés des « taupes ». Une opération clandestine requiert une préparation ainsi qu’une exécution méticuleuse. Ces méthodes de renseignement sont cependant soumises aux faiblesses d’une « source humaine ». De plus, le renseignement humain représente un coût important. D’une part un coût de recrutement et de compensation, d’autre part un coût de suivi permettant aux organismes traitants de communiquer avec leurs agents, de les surveiller et de vérifier l’authenticité des informations qu’ils transmettent.
Le cyberespace élargit ainsi le champ des possibles. A l’ère du numérique, trois modes opératoires se distinguent à des fins d’infiltration :
- Le hacking classique, où l’attaquant s’insère dans un système en exploitant ses vulnérabilités techniques ;
- l’ingénierie sociale, qui s’appuie notamment sur l’usurpation d’identité pour tromper les utilisateurs ;
- l’utilisation de la chaîne d’approvisionnement pour introduire des composantes informatiques ou des logiciels préalablement corrompus chez la cible.
Ces différentes approches peuvent être combinées pour optimiser l’opération.
Le hacking implique de pouvoir identifier puis exploiter une faille dans le système informatique visé. Il a tendance à être le plus complexe à exécuter d’un point de vue technique. Les hackeurs les plus sophistiqués s’appuient généralement sur des failles dont les éditeurs de logiciels et systèmes d’exploitation ignorent l’existence, et contre lesquelles il n’existe quasiment aucune défense. Ces failles sont appelées des vulnérabilités « zero-day », sous-entendu que cela fait « zéro jour » que l’éditeur du logiciel en a connaissance. Les menaces persistantes avancées (Advance Persistant Threat ou APT) utilisent ces failles pour s’infiltrer durablement dans des systèmes sans être repérés. En effet, une vulnérabilité « zero-day » reste exploitable en moyenne sept an après avoir été mise au point. Le logiciel malveillant WannaCry a notamment utilisé ces failles « zero-day » lors de l’attaque de près de 300 000 ordinateurs dans le monde en 2017. L’attrait pour ces vulnérabilités est tel qu’il existe aujourd’hui des marchés plus ou moins officiels où les hackers professionnels identifient ces failles et les revendent, soit à l’entreprise qui commercialiseront le logiciel, soit au plus offrant, organismes gouvernementaux, groupes privés ou encore des cybercriminels.
Selon de nombreux experts en cybersécurité, l’utilisateur représente un enjeu clé de la sécurité des réseaux informatiques. Les hackeurs ont cerné cette fragilité et recourent à l’ingénierie sociale. Les attaques par ingénierie sociale sont des pièges tendus aux utilisateurs. Les plus répandues sont l’hameçonnage et le harponnage. Ils consistent à envoyer un message rédigé de manière à duper le destinataire afin de l’inciter, dans la plupart des cas, à cliquer sur un lien ou ouvrir une pièce jointe. Le message envoyé sert d’appas, tandis que les liens ou les pièces jointes servent d’hameçon : ils redirigent l’utilisateur vers une page web contrôlé par l’agresseur ou installent un logiciel malveillant qui donne à l’agresseur accès au système.
Le harponnage est par ailleurs une version plus élaborée et plus ciblée d’hameçonnage. Plutôt que d’envoyer un message générique à des centaines voire des milliers d’utilisateurs, l’agresseur crée un message sur mesure, aux allures véridiques et faisant écho aux centres d’intérêt des utilisateurs ciblés afin de baisser la garde de leurs victimes. L’adresse mail utilisée par l’expéditeur (le hackeur), sera souvent construite de manière à sembler légitime, imitant par exemple le format d’une adresse appartenant au même organisme que les destinataires visés. L’ingénierie sociale permet également d’infiltrer une communauté d’individus par le biais d’outils numériques. Cette seconde forme d’ingénierie sociale, utilisée principalement dans les opérations de cyber influence, vise à tromper les membres d’un réseau social (Facebook, Twitter…), ou d’une application de messagerie (WhatsApp par exemple) sur son identité afin d’obtenir l’accès à des groupes de discussions et légitimer le contenu de ses messages. Ce qui change ici avec le numérique, c’est qu’il n’y a pas besoin d’investie dans la création de faux documents pour corroborer sa « légende », comme les services de renseignements le feraient pour leurs officiers.
En marge du piratage technique et de l’ingénierie sociale, une autre méthode d’infiltration numérique prend une ampleur importante : il s’agit de l’infiltration par le biais de la chaîne d’approvisionnement. Cette approche consiste à prépositionner des vulnérabilités dans du matériel informatique qui sera ensuite acheté et utilisé par une organisation ou un individu. L’agresseur peut alors exploiter ces vulnérabilités pour accéder au composant et potentiellement à l’ensemble du réseau de l’organisme à distance. L’approche a l’avantage de permettre une infiltration plus discrète, plus en profondeur et donc d’envergure d’autant plus massive.
L’implantation
Une fois l’infiltration effectuée, l’implantation représente la seconde étape du processus de cyberattaque. Elle repose sur l’utilisation de logiciels malveillants (ou malware) qui permettent d’effectuer, selon leur complexité, un éventail quasi-illimité d’actions sur le système compromis. L’attaquant peut par exemple se servir d’un cheval de Troie, d’un virus, ou d’un vers informatique (voire d’une combinaison de ces outils) pour consolider son accès au système qu’il vient d’infiltrer, acquérir des droits d’administrateurs, se propager vers d’autres systèmes connectés au même réseau ou encore sonder un système ou réseau afin d’identifier l’emplacement des fichiers qui l’intéressent. Ces différentes actions forment donc la phase d’implantation.
Le cheval de Troie est généralement le moins complexe des trois. Il permet à lui seul d’effectuer une large panoplie d’attaques. Il sert très souvent à créer des portes dérobées dans le système de façon à faciliter l’implantation de l’agresseur, élargir ses accès et lui permettre de poursuivre son attaque en cas de fermeture du point d’entrée. L’agresseur peut ensuite se servir de ses accès pour installer des programmes plus nocifs tels que les virus et les vers informatiques, qui auraient autrement attiré l’attention de l’utilisateur ou d’un logiciel antivirus.
Les virus et vers informatique se distinguent des autres logiciels malveillants par leur capacité à se répliquer par eux-mêmes, et ainsi, à se propager sur un système ou réseau informatique. La différence entre les virus et les vers informatiques réside dans le fait que les virus nécessitent un fichier « hôte » (un PDF, une image…), et ne se répliquent que lorsque ce fichier est ouvert ou dupliqué. Les vers informatiques peuvent quant à eux se propager de manière complètement autonome une fois implantés sur un système, sans aucune action des utilisateurs, ce qui les rend d’autant plus dangereux. Les cyberattaques les plus redoutables et par extension les plus connues, émanent de vers informatiques.
En plus des systèmes informatiques d’entreprises ou encore étatiques, le « cyberclandestin », à travers la phase d’implantation est également capable de s’introduire dans les communautés numériques (notamment via les réseaux sociaux). Le clandestin cherchera d’abord à élargir son réseau de contacts, son cercle « d’amis » ou de « followers » et à rejoindre de nouveaux groupes afin de gagner en crédibilité et maximiser la portée de ses messages. Ces efforts peuvent être renforcés par la création d’autres faux-comptes sur le même réseau ainsi que de comptes associés, ayant le même nom ou la même photo, sur d’autres réseaux sociaux et automatiser leur activité à l’aide de logiciels robots (« bots »). Ces derniers permettront, selon le niveau de puissance du logiciel, de relayer les messages de comptes opérés par des humains, mais aussi de composer et diffuser des messages à partir de thèmes prédéfinis ou même de répondre à des utilisateurs du réseau communiquant sur ces thèmes et ceci en plusieurs langue. Cette phase d’implantation offre également l’occasion de collecter des données sur les utilisateurs des réseaux, soit à des fins d’espionnage, soit pour préparer la phase offensive de l’attaque. Une fois de plus, les bénéfices considérables d’une implantation par les moyens numériques sautent aux yeux par rapport aux contraintes de la clandestinité d’une source humaine. L’architecture des systèmes est souvent telle que, une fois infiltré, le cyberclandestin accède à un réseau bien plus vaste d’informations. Ses mouvements sont moins contraints et il est généralement plus libre de se déplacer, de se renseigner et ainsi d’effectuer des préparatifs au cœur du camp adverse sans se faire remarquer.
L’exploitation
L’exploitation représente la phase offensive du processus de violation d’un système numérique. Pour ce faire, les logiciels malveillants et les réseaux d’influence préalablement établis sont activés à des fins diverses : espionnage, sabotage, influence.
Les attaques à fin d’espionnage sont les plus simples à effectuer. Un cheval de Troie relativement basique suffit souvent pour identifier l’emplacement des documents répondant à des critères définis par l’agresseur et les exfiltrer. Le logiciel malveillant est alors qualifié de logiciel-espion. Il peut également permettre d’effectuer des captures d’écrans, de récupérer le flux d’enregistrement d’une caméra de vidéo-surveillance, ou même d’activer discrètement le microphone d’un téléphone ou d’un ordinateur pour enregistrer son utilisateur. La simplicité du cyberespionnage en fait l’opération la plus difficile à détecter. Cette simplicité n’amoindrie cependant pas les conséquences de ces exactions, liées notamment aux masses d’informations hautement confidentielles qui peuvent être ainsi récupérées.
Les opérations de sabotage visent quant à elles à empêcher ou dégrader le fonctionnement d’un système sans usage manifeste de la force. Le cybersabotage peut prendre plusieurs formes, les attaques par « déni de service », sont les attaques les plus faciles à réaliser, et par conséquent les plus répandues. L’agresseur inonde sa cible de requêtes de façon à ce que ses services, noyés sous le poids des sollicitations, deviennent inaccessibles. L’agresseur profite le plus souvent d’infiltrations préalables dans des systèmes peu ou pas protégés tels que les ordinateurs, smartphones et autres objets connectés pour créer un botnet (un réseau de systèmes-robots). Malgré un enjeu majeur, les attaques par « déni de service » sont souvent éphémères. Dans les cas les plus sévères, les services sont rétablis en quelques jours. Pour des dégâts plus sévères, l’hackeur doit pouvoir s’appuyer sur un logiciel malveillant implanté sur les systèmes de sa cible. D’ailleurs, une cyberattaque peut également causer desdégâts physiques. On dit alors que l’attaque est « cyber-cinétique » car elle combine impacts numériques et matériels. En effet, des attaques orchestrées dans le cyberespace peuvent gagner la vie réelle et avoir des conséquences humaines dramatiques.
Toutefois, la majorité des attaques visant les contenus digitaux sont d’une tout autre nature et relèvent de la cyberinfluence, une arme de dissuasion. Plutôt que de dissimuler ou provoquer une erreur matérielle, les agresseurs utilisent de plus en plus le cyberespace pour agir directement sur la psychologie des internautes, ceci afin d’influer sur leur comportement politique, et plus particulièrement, sur leur comportement électoral. Une telle exploitation des données et des accès numériques acquis pendant les précédentes phases d’infiltration et d’implantations s’est popularisée en trois temps : premièrement, l’application de la data science pour mieux cibler les actions d’influence politique, deuxièmement, la récupération d’algorithmes développés dans le secteur commercial pour étendre et accélérer cette application de la data science, troisièmement, l’utilisation des réseaux sociaux pour industrialiser la diffusion de contenus basés sur ces algorithmes. La cyberinfluence s’articule autour de trois caractéristiques fondamentales liées au numérique : la désintermédiation, la viralité et l’anonymat. Une fois diffusée, l’information peut immédiatement être relayée par des millions, voire des milliards d’utilisateurs réels ou fictifs, créant aussitôt une sorte d’effet boule de neige. Le principe fondamental d’anonymat sur internet peut alors empêcher de remonter à la véritable source de l’information, voire dans le cas d’une campagne ciblée, empêcher les autorités d’avoir connaissance des tentatives d’influence. La conséquence est évidente : aujourd’hui l’information se propage plus rapidement qu’elle ne peut être vérifiée et démentie par un tiers, que ce soit les médias, l’Etat ou les utilisateurs eux- mêmes.