Publié 12/05/2023|Modifié 28/09/2023
Espionnage
Très ciblées et sophistiquées, les attaques à des fins d’espionnage (économiques, scientifiques ou politiques) sont souvent le fait de groupes structurés et peuvent avoir de lourdes conséquences pour les intérêts nationaux.
Il faut parfois des années à une organisation pour s’apercevoir qu’elle a été victime d’espionnage, car l’objectif de l’attaquant est de maintenir discrètement et le plus longtemps possible son accès pour capter l’information stratégique en temps voulu.
Les différents types d'attaques
Ces attaques
aux modes opératoires variés touchent régulièrement des institutions et industriels
œuvrant dans des secteurs sensibles.
Attaque par point d’eau (watering hole)
Cette
technique consiste à piéger un site en ligne légitime afin d’infecter les
équipements des visiteurs du secteur d’activité visé par l’attaquant.
Objectif :
infiltrer discrètement les ordinateurs de personnels œuvrant dans un secteur
d’activité ou une organisation ciblée pour récupérer des données.
- Le cybercriminel exploite une vulnérabilité d’un site et y dépose un virus (« malware »). Le site qui sert d’« appât » est choisi spécifiquement pour attirer la victime ciblée par l’attaque in fine.
- La victime ciblée est incitée à se rendre ou est redirigée automatiquement sur le site contaminé. Son navigateur exécute alors le « malware » et l’installe à son insu sur ses appareils (ordinateur, téléphone). Le cybercriminel dispose alors d’un accès total ou partiel à l’appareil infecté.
- Le cybercriminel reste discret afin de capter le plus longtemps possible des données.
- Je mets à jour régulièrement tous mes principaux logiciels, notamment ceux en charge du filtrage.
- J’effectue des sauvegardes régulières sur des périphériques externes (ex : disque dur).
Attaque par hameçonnage ciblé (spearphishing)
Cette
attaque repose généralement sur une usurpation de l’identité de l’expéditeur,
et procède par ingénierie sociale forte afin de lier l’objet du courriel et le
corps du message à l’activité de la personne ou de l’organisation ciblée.
Objectif :
infiltrer le système d’information d’une organisation d’un secteur d’activité
ciblé.
- Le cybercriminel, via un courriel, usurpe l’identité d’une personne morale (établissement financier, service public, concurrent, etc.) ou d’une personne physique (collègue de travail, famille, ami, etc.).
- Phase de contamination : le destinataire est invité à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site malveillant. Une première machine est ainsi contaminée.
- Phase d’infiltration : le cybercriminel en prend le contrôle pour manœuvrer dans le système d’information de l’organisation qui est la véritable cible.
- Phase d’escalade de privilège : l’attaquant cherche à obtenir des droits « d’administrateur » pour pouvoir rebondir et s’implanter sur les postes de travail et les serveurs de l’organisation où sont stockées les informations visées (« propagation latérale »).
- Phase d’exfiltration : l’attaquant vole le plus discrètement possible des données, soit en une seule fois, en profitant d’une période de moindre surveillance (la nuit, durant les vacances scolaires, lors d’un pont…), soit de manière progressive plus insidieuse.
- Il prend généralement soin de toujours effacer derrière lui toute trace de son activité malveillante.
- Ne pas avoir une confiance spontanée dans le nom de l’expéditeur.
- Se méfier des pièces jointes et des liens dans des messages dont la provenance est douteuse.
- Faire des sauvegardes régulièrement sur des périphériques externes.
- Mettre à jour régulièrement tous mes principaux logiciels.
Je suis victime d’espionnage
Je notifie l’attaque à mes équipes informatiques ou mon prestataire pour qu’ils
puissent, si je ne peux pas le faire directement :
- Garder des traces de l’attaque : copie de l'état infecté du site Web (ou du serveur, si l'environnement n'est pas mutualisé), des équipements environnants (pare-feu, serveurs mandataires, etc.) et des journaux d'accès au site, et ceux de tous les services permettant de modifier le site à distance.
- Rechercher d’autres intrusions opérées suite à l’exposition du site à une attaque.
- Reconstruire le site uniquement après l’identification et la correction de la vulnérabilité utilisée par l'attaquant pour agir sur le site. La simple restauration du site dans un état « sain » ne bloquera pas la faille utilisée par l'attaquant, qui pourra rapidement agir sur le site à nouveau.
Des services spécialisés se chargent ensuite de l'enquête :
- Police nationale : l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) qui dépend de la Sous-direction de lutte contre la cybercriminalité (SDLC)
- Gendarmerie nationale : le centre de lutte contre les criminalités numériques (C3N) du Service central du renseignement criminel (SCRC) : cyber@gendarmerie.interieur.gouv.fr
- Préfecture de police : la brigade de lutte contre la
cybercriminalité (BL2C) compétente uniquement
pour Paris et petite couronne (75, 92, 93 et 94).
Liens utiles
- Agence nationale de la sécurité des systèmes d'information (ANSSI)
- Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) (site spécialisé pour les services informatiques)
- Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC)
- Brigade contre la cybercriminalité (BL2C)