Selon le rapport annuel Riskmap Report for 2016, 36% des cyber-attaques ciblent désormais des organisations gouvernementales, estime Fortinet.
On parle davantage des cyber-attaques contre les entreprises, nettement moins des cyber-attaques contre les gouvernements. Or, elles comptent pour 36%, selon Control Risk qui a chiffré le phénomène pour Fortinet. La situation est d’autant plus critique qu’elle est récente.
La crainte historique des gouvernements vis-à-vis d’une attaque capable d’infiltrer les infrastructures critiques s’est concrétisée en décembre 2015, quand une menace APT (Advanced Persistent Threat) a ciblé le service public ukrainien, donnant ainsi lieu à la toute première intrusion qui a mis à l’arrêt le réseau de distribution électrique d’une nation. En 2015, les gouvernements américain, néerlandais, irlandais et turc ont été sous le feu d’attaques de type DDoS (Advanced Persistent Threat) dont l’objectif était de mettre à l’arrêt les opérations des entités ciblées. Plus récemment, en janvier, la Thaïlande a subi le courroux de protestants suite à une décision de justice jugée inique, avec, à la clé, 300 sites gouvernements ciblés par des attaques. Au cours du même mois, des hackers affiliés à la mouvance Anonymous, ont initié des attaques similaires contre les gouvernements d’Arabie Saoudite et du Nigéria
Les attaques de type DDoS deviennent une arme de destruction pour les maîtres chanteurs et terroristes de l’ère digitale. Elles prennent différentes formes : certaines visent à mettre un système à l’arrêt, tandis que d’autres saturent les systèmes en demandes de ressources (bande passante, ressources CPU, espace disque dur). De plus en plus, les attaques visant la couche applicative 7 utilisent des mécanismes particulièrement sophistiqués pour pirater les réseaux et services IT gouvernementaux. Plutôt que de se contenter d’un flooding traditionnel sur un réseau (trafic ou sessions), ces attaques jouent la carte de la furtivité vis-à-vis des outils de sécurité en place et ciblent des applications et services jusqu’à saturation des ressources au niveau de la couche applicative.
Le périmètre des attaques s’est également élargi. Il y a dix ans, les attaques à 50 Gbps étaient exceptionnelles. Aujourd’hui elles sont monnaie courante. En décembre 2015, la BBC a subi une attaque DDoS à 602 Gbps, la plus fulgurante à ce jour. Le cabinet d’analyste Quadrant Knowledge Solutions estime que le marché mondial de lutte contre les DDoS est appelé à bondir sur les cinq prochaines années, à un taux moyen de croissance annuel de 27,6%…
Les menaces APT peuvent prendre la forme d’un logiciel malveillant utilisé pour pirater des systèmes informatiques, comme dans le cas de l’attaque sur le réseau de distribution électrique en Ukraine. Elles utilisent également des systèmes de fourniture de services (cas du phishing notamment) ou visent une exfiltration de données. Les hackers conçoivent des emails de spear-phishing contenant des fichiers joint malveillants (bien que présentés comme légitimes et sains), ou lancent des attaques de type zero-day, qui tirent parti de vulnérabilités logicielles pour permettre à un assaillant de prendre le contrôle du système cible. Une fois la menace au sein d’une organisation, l’exfiltration de données peut démarrer. Les mots de passes, fichiers, bases de données, comptes email et autres données confidentielles sont ainsi récupérés. À l’issue du piratage, l’assaillant est susceptible de rester actif sur le réseau ciblé pour recueillir de nouvelles données.
Certaines de ces attaques ont été initiées à l’aide d’e-mails malveillants, rédigés dans la langue des personnes ciblées, et contenant des documents à priori inoffensifs, mais en réalité malveillants. Les assaillants ont également imaginé des algorithmes pour concevoir des vers qui s’embarquent sur des clés USB ou de disques durs. L’attaque progresse au fur et à mesure que ces dispositifs se connectent d’un système à un autre.
