Mettre en perspective des évènements de l'année écoulée, relativiser d'autres et détecter des tendances issues de signaux faibles sont les trois objectifs du Panorama annuel de la Cybercriminalité réalisé par le Club de la sécurité informatique en France (CLUSIF). Depuis quelques années, les accidents sont présentés dans ce panorama. L'édition 2012 a été présentée le 17 janvier 2013 à Paris. 2012 a été, selon ce panorama, l'année de la cyberguerre formalisée et de la concrétisation de menaces envisagées les années précédentes faute d'avoir été celle de la fin du monde.
En 2011, le Clusif avait détecté l'émergence des menaces sur mobiles. L'année 2012 a confirmé le phénomène avec, par exemple, l'arrestation d'un pirate français ayant coûté 500 000 euros aux opérateurs. Les envois de SMS surtaxés par des botnets sur mobiles sont notamment très à la mode. Tous les systèmes d'exploitation de mobiles sont concernés. L'AppStore de Google est cependant moins fiable car moins vérifié que celui d'Apple. L'émergence du haut débit mobile et du NFC (non-crypté) facilitent le phénomène.
De la même façon, le hacktivisme (militantisme via le piratage informatique) poursuit son chemin, une pétition ayant même été transmise à l'exécutif américain pour dépénaliser les attaques DDOS en les interprétant comme des manifestations dématérialisées. Le piratage des machines, notamment biomédicales, sont passées de la théorie au proof-of-concept : il a été montré qu'en piratant un pacemaker, on pouvait envoyer une décharge de 830 volts à un porteur.
Des pannes très coûteuses en 2012
L'année 2012 a été également marquée par de nombreux incidents de type accidentel. Les pannes seraient, selon le Clusif, étudiées par les cybercriminels comme modèles de futures actions. Le cloud d'Amazon a connu de multiples pannes : confusion production/test, pannes électriques, etc. Par répercussion, des services comme Dropbox, Flipboard ou Pinterest ont été impactés tout comme de nombreuses entreprises moins connues. Pour le Clusif, le cloud est une source de risques importants, un incident ayant un impact considérable, systémique.
Une autre panne, unique, a eu un impact considérable. Knight Capital, un opérateur de trading haute fréquence en bourse, a connu un tel incident le 6 août en lien avec le test d'une nouvelle version de son logiciel métier. Le logiciel s'est retrouvé connecté à la production, achetait haut et vendait bas. Des valeurs boursières ont vu des modifications de 150%. Le logiciel a fonctionné 45 minutes et a entrainé 440 millions de dollars de pertes. L'entreprise a dû être recapitalisée en urgence et risque le rachat par un concurrent. Ce n'est pas le bogue le plus coûteux de l'histoire mais le troisième après les 9 milliards du black out électrique de New York en 2003 (9 milliards de dollars) et les 500 millions d'euros du crash d'Ariane 5 à cause d'erreurs logicielles.
Les cyberconflits se développent
2012 a été aussi l'année où les cyberconflits se sont formalisés. L'Iran et Israël ont formulé leurs doctrines militaires en la matière, d'autres (France, Brésil...) formulent une doctrine purement défensive tandis que les Etats-Unis assument une démarche offensive. Les hacktivistes ne sont donc plus les seuls à faire du cyberespace un lieu de guerre : les états l'envisagent également. Les attaques préventives sont également envisagées.
Stuxnet est un bon exemple. Si Israël et les Etats-Unis sont accusés, si des ouvrages publiés comprennent des informations pointues sur l'opération en se réclamant de révélations para-gouvernementales, rien n'est bien clair. L'application d'une démarche militaire avec utilisation du droit international des conflits armés est tout à fait envisagée dans le cyberespace. Des jurisprudences internationales pourraient bien apparaître prochainement avec qualification (terrorisme, attaque militaire...) des cyberattaques.
En Syrie, des attaques et opérations d'infiltrations ont été menées par le pouvoir contre des opposants. Certains de ceux-ci auraient été torturés pour révéler leurs identifiants et mots de passe pour laisser les forces de sécurité de la dictature agir dans leur réseau amical.
[[page]]
Des experts en cyberdéfense sont massivement recrutés par les forces de sécurité dans la plupart des pays. Ces recrutements visent à accroître les capacités opérationnelles militaires dans le cyberespace. Une stratégie de dissuasion pourrait se mettre en place.
Les attaques ciblées ont le vent en poupe
Les conflits se sont (dé)matérialisées en 2012 aussi par des attaques ciblées comme celles ayant frappé la Géorgie ou l'Elysée. De nombreuses attaques ont également frappé des entreprises. De nombreux états se voient accusés de cyberattaques, y compris des états occidentaux. Mais la vérification d'une revendication est délicate. On peut la valider en croisant les relations entre groupes de pirates ou en identifiant les serveurs de contrôle partagés.
Le CommentGroup, un des groupes identifiés de pirates (peut-être chinois), a inauguré une nouvelle technique : le commentaire sur page HTML anodine d'un site web quelconque pour donner des ordres à des codes viraux. Ceux-ci viennent y chercher leurs instructions.
Mais cela n'empêche pas les botnets les plus classiques de poursuivre leurs ravages. Les ransomwares, menace déjà ancienne, connaissent un retour en force. Ces malwares bloquent les terminaux jusqu'au paiement d'une rançon. Les ransomwares récents se réclament de la police et exigent le paiement d'une « amende ». Certains touchent les smartphones. Le partage d'un système d'exploitation entre PC, tablettes et smartphones (Androïd, Windows 8...) renforcent le risque.
Grande variété des cyberattaques grâce au HaaS
Dans certains cas, les RSSI doivent faire face au HaaS (Hack as a Service), y compris pour des fermes de PC zombis infectés par des botnets. Des agresseurs vendent ainsi leurs capacités agressives, le cas échéant avec des services d'assistance et des garanties ! Ce HaaS peut être mis à disposition du simple particulier voulant casser le mot de passe de son voisin, d'entreprises voulant abattre des concurrents, etc. Des produits comme Blackhole possèdent des consoles d'administration graphiques !
Une attaque DDOS peut être vendue 5 $/heure ou 900 $/mois (-25% sur un an). Les prix peuvent variés selon les acheteurs. Un milliardaire koweitien a payé 400$ un pirate chinois pour récupérer des informations personnelles sur des membres de sa famille dans le cadre d'un conflit d'héritage. Il s'est malheureusement fait prendre, ce qui a nui à ses prétentions.
Bien sûr, les fournisseurs de HaaS peuvent s'entre-pirater afin de tenter d'éliminer des concurrents... Le phénomène a été constaté en 2012.
Les attaques opérées en 2012 ont des modes opératoires très différentes. L'attaque ciblée peut être aussi bien grossière (mail avec « merci de cliquer sur la pièce jointe ») que fine. L'injection de code malicieux dans un site grand public peut en fait viser une personne qui y va régulièrement, les autres victimes servant juste à l'effet brouillard pour empêcher d'identifier la vraie victime visée. Les objectifs sont également variés : extorsion de fonds, hacktivisme, cyberterrorisme...
Certains botnets utilisent des PC zombis pour préparer des attaques ultérieures. Ainsi, un botnet a scanné toutes les adresses Ipv4 en repérant les serveurs VoIP pour une raison inconnue à ce jour.
Bref, les spécialistes en sécurité doivent faire preuve par conséquent d'une grande variété de réactions... Certaines affaires médiatisées de manières sensationnalistes sèment la panique au lieu d'être étudiées calmement. Des pannes peuvent être faussement présentées comme des attaques. Certains RSSI prennent prétextes de ces affaires : les pirates sont plus forts que moi car ils sont soutenus par tel état, on ne peut rien faire, etc.
Le bon RSSI doit toujours se donner les moyens de retarder les intrusions, de les détecter et de réagir en cas d'intrusion. L'intrusion aura de toutes les façons lieu un jour ou l'autre.