Comment mieux cerner l’environnement du hacker pour, en cas de cyberattaque, tenter de déjouer ou de détourner l’attention ou la volonté de l’auteur de l’agression ? L’analyse d’un responsable de la sécurité des systèmes d’information d’un groupe du CAC 40.
BPSI Pourquoi est-il indispensable, selon vous, de comprendre comment agissent les hackers ? Est-ce difficile ?
Le directeur de la protection du patrimoine informationnel (DPPI) de l’entreprise doit, en plus de comprendre qui potentiellement peut attaquer son entreprise, comprendre dans quel écosystème évolue celui qui cherche à attaquer le système d’information. Dans le cas d’une attaque, l’objectif est toujours, d’une part, de comprendre la motivation du hacker et l’objet de sa quête et, d’autre part, d’identifier l’origine de l’attaque.
Dans la recherche de la motivation des hackers, nous sommes confrontés à un vrai problème d’identification de l’assaillant, compte tenu de la facilité avec laquelle il lui est possible d’avancer « masqué » grâce à Internet et son réseau. À titre d’exemple, une attaque de type usurpation d’identité ayant pour objectif de détourner de l’argent sous la forme d’un mail d’une personne en apparence « hautement habilitée » à un comptable ayant la possibilité d’effectuer un virement bancaire, mail supporté par un appel téléphonique, nous donne trois points possibles pour identifier un hacker : une adresse IP issue du mail, un compte en banque (nécessaire pour virer l’argent) et, peut-être, un numéro de téléphone si vous disposez d’un système de dernière génération. Une analyse de type « forensic » pourrait donner trois adresses distinctes (parfois dans trois pays différents et connus pour masquer les noms) sans qu’il soit possible d’identifier le commanditaire de cette attaque.
Il est donc nécessaire de penser différemment pour tenter de deviner l’attaquant par une forme de recherche par analyse, analogie de l’attaque et autres formes de corrélation d’événements.
BPSI Quelles sont les principales motivations des hackers ?
Pour résumer, un hacker peut avoir trois motivations : le « fun », c’est-à-dire réussir à être meilleur que les experts de sécurité de l’entreprise visée, le profit, pour générer des bénéfices illicites lors de tentative d’extorsion d’argent, et l’espionnage, afin de renseigner un concurrent ou un État qui aurait commandité cette action.
Le « hacking for fun » est toujours d’actualité si on analyse les derniers cas d’attaque. La motivation du hacker est intéressante car il peut prendre plaisir à montrer qu’il est plus performant que les experts des entreprises. Cependant, on constate que même si la virulence de ce type d’attaque et l’impact sur l’image de la société est important, le coût direct pour l’entreprise est souvent faible. Le hacker, à moins de solliciter un rendez-vous pour un emploi, ne s’appuie pas sur son acte pour en tirer profit, si ce n’est dans le but d’une recherche de popularité dans le monde d’Internet.
Les deux plus importantes motivations des hackers intervenant à titre individuel sont la revanche (cas d’un licenciement ou d’une frustration d’origine commerciale) et l’argent.
En revanche, si l’attaque est commanditée (c’est-à-dire que l’origine de l’agression provient d’un conflit ou d’un concurrent), les principales motivations sont l’argent (mais avec un objectif de perte financière pour l’attaqué) et l’idéologie.
Dans le cas d’un hacher isolé, il arrive qu’il soit démasqué rapidement. Les montants engagés et perçus sont faibles au regard d’une attaque commanditée. De ce fait, les cibles de ces attaques sont le plus souvent des particuliers ou des petites entreprises. On peut poursuivre l’analyse et trouver des similitudes entre le type d’attaque et la localisation approximative du lieu de résidence du hacker. Il est évident que certains pays, par absence de législation, protègent implicitement les hackers, par exemple en Afrique, en Europe centrale, en Asie ou au Moyen-Orient, ainsi que des pays volontairement terre d’asile de la fraude bancaire et autres évasions fiscales (Panama, Bermudes, Luxembourg, et ex-colonies britanniques).
BPSI Pourquoi les cyberattaques sont-elles un métier à part entière ?
Comme dans toute activité organisée, le hacker va rapidement être amené à acheter des services sous Internet pour effectuer son action. De ce fait, il va être confronté à un objectif de rentabilité de son investissement. Il existe plusieurs tableaux comparatifs des coûts des outils pour effectuer une cyberattaque et on voit que, depuis une simple utilisation d’un numéro de carte de crédit volée jusqu’à l’achat d’un distributeur automatique de billets, le business model du hacker varie en fonction du retour sur investissement qu’il prévoit.
On peut comprendre aisément que le ROI est aujourd’hui estimé à environ une semaine pour une petite « cyberattaque » et à moins d’un mois pour un investissement plus conséquent. Récemment, un ancien mode de hacking pour le profit appelé « RansomWare » (« rançongiciel ») a refait surface. Ce type de virus paralysant le PC contre une rançon s’appuie sur un mode de financement officiel. Dans le détail de ce type d’attaque, il vous est demandé d’acheter une carte de crédit prépayée dont le compte a été ouvert par le hacker, et de renseigner le numéro de cette carte directement sur l’écran de votre PC pour le débloquer.
BPSI Existe-t-il réellement une culture du hacking ?
Il est possible de différencier des attaques en provenance de particuliers et celles initiées par un État, comme il est possible de retrouver une certaine culture dans la cyberattaque. Les attaques à petits budgets (investissements faibles), mais ne rapportant que de petits montants, sont à différencier des autres catégories : celles des hackers qui ont pour objectif d’avoir une couverture mondiale et qui chassent le « gros poisson ».
Les attaques de faibles amplitudes sont souvent à l’initiative d’individus pour qui la motivation est simplement financière. Ce type d’attaque vient souvent des pays émergents qui n’ont pas le temps de construire une attaque de large amplitude et souhaitent de l’argent rapidement mais régulièrement.
A contrario, les attaques visant les « gros poissons » sont souvent à l’origine des pays développés qui vont prendre le temps de monter leur attaque et obtenir en contrepartie des montants importants. En connaissant la motivation et l’origine du hacker, on peut mieux élaborer la réponse.
BPSI Comment sont financées les attaques ?
On peut comprendre que pour une attaque organisée par un État à l’encontre d’un autre État, il n’y ait pas de limite dans la préparation et donc l’investissement initial. Dans le cas d’une attaque standard, on remarque que le hacker s’appuie sur un moyen légal de financement qui autorise le paiement international (dans un pays conciliant) pour se protéger des investigations. De ce fait, il bénéficie d’un financement officiel et anonyme.
Même si les polices européennes tentent de s’organiser pour contrer ce fléau, il est intéressant de voir que la crédibilité du hacker s’en trouve renforcée par ce mode de paiement qui est légitime. Les systèmes de type « Ukash » en sont un bon exemple et ce qui est incroyable, c’est que cette technique légitime le business model des hackers !
Il faut aussi remarquer que, dans un contexte de crise mondiale avec un taux de chômage en croissance, un certain nombre de délinquants ayant accès à Internet et capitalisant des compétences informatiques sont de plus en plus disponibles et voient le hacking comme une opportunité financière. Bien évidemment, le hacker doit avoir un accès privilégié, facile et libre à Internet dans le temps pour, d’une part se documenter, et, d’autre part lancer ses attaques et les suivre.
Pour résumer, on voit que l’environnement du hacker repose sur trois piliers : l’expertise dans l’informatique, une source de financement sécurisé, un hébergement anonyme et sécurisé.
BPSI Comment les entreprises peuvent-elles réagir ?
Dans le cas d’un conflit avec un hacker, le directeur de la protection du patrimoine informationnel (DPPI) de l’entreprise doit engager une réflexion pour comprendre l’écosystème de son agresseur. L’objectif est alors de mieux identifier quelles actions viseraient à déstabiliser l’agresseur, et tenter de le détourner de son objectif.
Il convient d’abord de bien définir les politiques, les standards et les contrôles des applications. Il est en effet nécessaire de mettre en place un haut niveau de protection de l’information dans l’entreprise sur le plan physique (barrières de sécurité) pour diminuer le nombre de cyberattaques, en particulier celles en provenance de hackers individuels. Ensuite, les utilisateurs doivent être formés aux risques informatiques et au repérage de toutes les actions qu’effectuent les utilisateurs de l’information dans une entreprise. Il faut transférer la responsabilité du risque de perte d’information auprès des utilisateurs en les formant.
Enfin, on peut recommander de développer une réflexion autour de la stratégie de réponse à une cyber-attaque. Il faut être prêt à développer une arborescence de la résolution du conflit dans laquelle l’objectif est d’engager le hacker dans une branche qui visera à le déstabiliser, autrement dit, le pousser dans une voie où il révélera ses propres points faibles et le désintéresser de sa cible.