Très ciblées et sophistiquées, les attaques utilisées pour l’espionnage à des fins économiques ou scientifiques sont souvent le fait de groupes structurés et peuvent avoir de lourdes conséquences pour les intérêts nationaux. De fait, il faut parfois des années à une organisation pour s’apercevoir qu’elle a été victime d’espionnage, l’objectif de l’attaquant étant de maintenir discrètement son accès le plus longtemps possible afin de capter l’information stratégique en temps voulu.
Quels sont les différents types d’attaques ?
Les modes opératoires de ces attaques rappellent ceux que les analystes américains ont baptisé APT (Advanced Persistent Threat) et qui touchent régulièrement des institutions et des industriels œuvrant dans des secteurs sensibles. Nombre de ces attaques sont très similaires, tant par leurs modes opératoires que par les techniques d’infiltration et d’exfiltration employées.
Attaque par point d’eau (watering hole)
La technique du « point d’eau » consiste à piéger un site Internet légitime afin d’infecter les équipements des visiteurs du secteur d’activité visé par l’attaquant. Objectif : infiltrer discrètement les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblée pour récupérer des données.
- Le cybercriminel exploite une vulnérabilité d’un site web et y dépose un virus (malware). Le site qui sert d’ « appât » est choisi spécifiquement pour attirer la victime ciblée par l’attaque in fine.
- La victime ciblée est incitée à se rendre ou est redirigée automatiquement sur le site contaminé. Son navigateur exécute alors le malware et l’installe à son insu sur ces appareils (ordinateur, téléphone). Le cybercriminel dispose alors d’un accès total ou partiel à l’appareil infecté.
- Le cybercriminel demeure discret afin de capter le plus longtemps possible des données.
Pour s’en prémunir :
- Mettez à jour régulièrement tous vos principaux logiciels, notamment ceux en charge du filtrage du web.
- Effectuez des sauvegardes régulières sur des périphériques externes (ex : disque dur).
Pour aller plus loin, n’hésitez pas à consulter la page sur les conseils aux usagers qui reprend les bonnes pratiques à mettre en place pour sécuriser ses équipements et ses données.
Attaque par hameçonnage ciblé (spearphishing)
Cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénirie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée. Objectif : infiltrer le système d’information d’une organisation d’un secteur d’activité ciblé.
- Le cybercriminel, via un courriel, usurpe l’identité d’une personne morale (établissement financier, service public, concurrent…) ou d’une personne physique (collègue de travail, famille, ami…).
- Phase de contamination : le destinataire est invité à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site Web malveillant. Une première machine est ainsi contaminée.
- Phase d’infiltration : le cybercriminel en prend le contrôle pour manœuvrer au sein du système d’information de l’organisation qui est la véritable cible.
- « Escalade de privilège » : l’attaquant cherche à obtenir des droits « d’administrateur » pour pouvoir rebondir et s’implanter sur les postes de travail et les serveurs de l’organisation où sont stockées les informations convoitées (« propagation latérale »).
- Phase d’exfiltration : l’attaquant vole le plus discrètement possible des données soit en une seule fois, en profitant d’une période de moindre surveillance (la nuit, durant les vacances scolaires, lors d’un pont…), soit de manière progressive plus insidieuse.
- Il prend généralement soin de toujours effacer derrière lui toute trace de son activité malveillante.
Pour s’en prémunir :
- N’ayez pas une confiance aveugle dans le nom de l’expéditeur
- Méfiez-vous des pièces jointes et des liens dans des messages dont la provenance est douteuse
- Effectuez des sauvegardes régulièrement sur des périphériques externes
- Mettez à jour régulièrement tous vos principaux logiciels
Pour aller plus loin, n’hésitez pas à consulter la page sur les conseils aux usagers qui reprend les bonnes pratiques à mettre en place pour sécuriser ses équipements et ses données.
Vous êtes victime d’espionnage ?
Suite à une escroquerie ou une cyberattaque, la règle est le dépôt de plainte auprès d’un service de Police nationale ou de Gendarmerie nationale ou bien adresser un courrier au Procureur de la République près le Tribunal de Grande Instance compétent.
Pensez à notifier l’attaque à vos équipes informatiques, ou votre prestataire, pour qu’ils puissent, si vous ne pouvez pas le faire directement :
- conserver des traces de l’attaque : copie de l’état compromis du site Web (ou du serveur, si l’environnement n’est pas mutualisé), des équipements environnants (pare-feux, serveurs mandataires, etc.) et des journaux d’accès au site Web, et ceux de tous les services permettant de modifier le site à distance (FTP, SSH, etc.).
- rechercher d’autres intrusions opérées suite à l’exposition du site à une attaque.
- reconstruire le site uniquement après l’identification et la correction de la vulnérabilité utilisée par l’attaquant pour compromettre le site. La simple restauration du site dans un état « sain » ne bloquera pas la faille utilisée par l’attaquant, qui pourra rapidement compromettre le site à nouveau.
Des services spécialisés se chargent ensuite de l’enquête :
- Police nationale : l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) qui dépend de la Sous-direction de lutte contre la cybercriminalité (SDLC) : 01 47 44 97 55
- Gendarmerie nationale : le centre de lutte contre les criminalités numériques (C3N) du Service Central du Renseignement Criminel (SCRC) : cyber@gendarmerie.interieur.gouv.fr
- Préfecture de police : la Préfecture de police de Paris, de la Direction centrale du renseignement intérieur (DCRI) et ses équipes de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) compétente uniquement pour Paris et petite couronne (75, 92, 93 et 94) : 01 40 79 67 50
L’ANSSI, via les équipes du Centre de cyberdéfense, peut apporter son expertise technique pour aider la victime dans la résolution technique de l’attaque et la « réparation » du système.
Source : Extrait de « Risques » prévention des risques majeurs de GOUVERNEMENT.fr