La géopolitique, nerf à vif de la guerre cyber 2023
C’est certainement l’un des tournants les plus évidents observés au cours de l’année 2022 : après de nombreuses années à considérer les inquiétudes cyber sous le prisme principal de la technique, c’est le critère géopolitique qui devrait être déterminant pour l’année à venir, et cela pour plusieurs raisons.
Une nouvelle Guerre froide version cyber
Cela n’aura échappé à personne : le conflit entre la Russie et l’Ukraine – et, plus largement, entre la Russie et un certain « bloc de l’Occident » – a été un des grands marqueurs de l’année 2022. Fait important : au-delà d’un focus assez évident sur les exactions commises sur le terrain, la presse n’a pas tardé à donner une place à un autre sujet – et à témoigner par là-même de son importance, celui des attaques et pressions cyber exercées dans le cadre de la guerre.
Pour Amaury Petrini, expert de la cybersécurité offensive, « on distingue clairement, à cette heure, deux blocs qui s’opposent dans un jeu d’attaque et de défense soutenu sur le plan informatique. On assiste à ce jour à la confirmation d’une Guerre froide 2.0, destinée à peser lourdement sur la cybersécurité en 2023. En un mot, le critère géopolitique est l’une des composantes déterminantes qu’il s’agira de bien prendre en compte pour les douze mois à venir ».
Deux « ours russes » en force
Parmi les groupes d’attaque qui devraient être particulièrement actifs et redoutables en 2023, le bien connu Fancy Bear et le petit nouveau Ember Bear sont pointés du doigt par les analystes. Ember Bear, qui accumule les appellations parallèles (UAC-0056, Lorec53, Lorec Bear, Bleeding Bear ou encore Saint Bear), est directement lié au sujet Russie-Ukraine. C’est du moins ce que semble avoir établi le spécialiste américain de la cybersécurité Crowdstrike. Quoiqu’il en soit, il montre un dynamisme certain dans ses offensives et fait définitivement partie des menaces à surveiller de près en 2023.
Installé dans le paysage depuis bien plus longtemps, le groupe de hackers Fancy Bear est l’autre force russe à ne pas négliger pour les prochains temps. Plus éloigné de l’actualité russo-ukrainienne, le groupe montre une diversification exponentielle du type d’attaques menées depuis 2019. Le perfectionnement de ses attaques et la multiplication de leur nombre est une certitude et en fait également une menace confirmée pour les pays occidentaux pour 2023.
Terrain(s) miné(s) en Asie
Le poids de la composante géopolitique sur le futur de la cybersécurité semble se confirmer lorsqu’on pousse le regard plus à l’est, vers l’Asie. Le conflit entre la Chine et Taïwan a déjà donné lieu à une grande attaque par déni de service à l’encontre de l’État insulaire. Cette cyberattaque a fait office de représailles suite à la visite sur l’île d’une grande figure des États-Unis – Nancy Pelosi, présidente de la Chambre des représentants. Il est fort probable que l’équilibrage des forces et les jeux d’alliance donnent lieu à de nouvelles cyberattaques en 2023, contre Taïwan, mais aussi contre ses principaux alliés, notamment le Japon et la Corée du Sud.
La Corée du Nord ne devrait pas être en reste. Le géant de la cybersécurité Trellix insiste bien sur ce point pour l’année à venir. Les cyberattaques nord-coréennes devraient notamment servir à appuyer les programmes nucléaires et de missiles balistiques.
Un réveil du « hacktivisme »
Toutes ces tensions géopolitiques – et tout particulièrement le conflit Russie-Ukraine – semblent par ailleurs alimenter les groupes de hackers activistes. Ces « hacktivistes », ce sont tous les pirates qui se mettent en action sur un grand sujet, sans être commandités par les pouvoirs publics et sans être motivés par un but financier. La Commission européenne a identifié environ 70 groupes de cette nature, clairement engagés, dans le cadre du conflit russo-ukrainien. On retrouve sans surprise le groupe de hacktivistes le plus médiatisé – Anonymous – mais aussi de nouvelles formations, comme la Cyber-armée de la Russie. Du fait de la poursuite des tensions géopolitiques décrites précédemment, le retour des hacktivistes sur le devant de la scène est un fait quasi confirmé pour 2023.
De la pratique crapuleuse à la terreur psychologique
Pour Romain Marcoux, expert technique en cybersécurité et conseiller en gouvernance, la montée en puissance des enjeux étatiques va de pair avec un changement des pratiques et des mentalités. Le cas des cyberattaques répétées contre de grandes structures hospitalières montrent clairement que la donne a changé. « Lorsqu’une rançon de 10 millions d’euros est demandée à l’hôpital de Corbeil-Essonnes pour récupérer ses données, les attaquants savent pertinemment qu’ils ne seront pas payés. Leur but est de tirer profit de ces données ? Il leur suffirait de les revendre sur le darknet, où elles sont négociées à prix d’or. Mais ils les publient gratuitement. Cette incohérence entre les intentions affichées et les actions prises nous révèle le vrai visage de ceux qui agissent : des pirates dont la finalité n’est pas de s’enrichir, mais d’exercer la terreur pour la terreur – faire de la menace cyber une peur plus forte que jamais ». En d’autres termes, l’année à venir devrait confirmer un nouveau statut pour les cyberattaques : de simple levier financier, elles deviennent arme de guerre à part entière.
Les types d’attaques à surveiller de près
Le palmarès des attaques les plus en vue est un exercice annuel, auquel se prêtent toutes les structures d’analyse spécialisées sur le sujet. Quelles sont donc les menaces qui demanderont une vigilance accrue à compter de janvier ?
L’ingénierie sociale et la Fraude au Président, des ombres grandissantes
Sans grande surprise, 2023 devrait montrer une poursuite des tendances observées sur les cinq dernières années. Rien ne change : le facteur humain reste et restera la première des failles de sécurité. Les méthodes d’ingénierie sociale devraient même gagner en efficacité et en capacité de nuisance sur l’année à venir.
Lorsque l’on interroge le Responsable de la sécurité des systèmes d’information d’un spécialiste de l’innovation automobile, Automative Cells Company, le constat est sans appel. « Parmi les chantiers prioritaires de mon année 2023, la sécurisation de l’identité des personnes et la sécurisation de la donnée auront une place cruciale », explique Martin Nakou Lelo. Cela va de pair avec un nécessaire effort de formation : « la faille humaine intervient à tous les échelons, et le maillon faible peut tout aussi se trouver du côté des opérateurs administratifs que des agents techniques. Dans un secteur sensible comme peut l’être celui de la technologie automobile, il va donc devenir de plus en plus important de mettre en place des programmes de sensibilisation auprès de tous les métiers, pour faire barrage aux techniques d’entrée les plus basiques utilisées par les cyberattaquants. »
Parmi les attaques entrant dans le champ de l’ingénierie sociale, Martin Nakou Lelo met particulièrement en garde contre la Fraude au Président, qui gagne beaucoup de terrain..
Le ransomware, toujours indétrônable
C’est la cyberattaque la plus répandue aux quatre coins du globe, et la période de Covid-19 a vu son explosion, dans un contexte de sur-numérisation des pratiques de travail. Comme tous les experts du secteur, Eric Schmitlin, directeur général et cofondateur d’Akyl, cabinet de conseil et d’audit en cybersécurité, annonce une variable inchangée pour 2023 : « le rançongiciel reste le roi de la place et il continue à se perfectionner encore et encore ». Un cap semble cependant avoir été franchi concernant la force de frappe. « On détecte à ce jour des ransomwares d’un niveau supérieur, parfois capables de contourner les dispositifs de type EDR (endpoint detection and response), pourtant présentés comme des solutions miracle ». Entreprises et structures publiques devront redoubler d’efforts pour faire face à l’inventivité constante des cyberattaquants.
Attaques zero-day et possibilité de K.O.
Pour Romain Marcoux, il ne faut pas négliger la courbe que suivent les attaques de type zero-day. « On constate une augmentation de la vulnérabilité aux zero-day, notamment sur tous les vecteurs d’exposition sur Internet, comme les passerelles VPN et les serveurs de messagerie. » Loin d’avoir été en tête des listes des attaques à surveiller jusqu’alors, il conviendrait d’en faire enfin un sujet de premier plan – d’autant plus que le coût subi par la victime est en règle générale écrasant.
Attaques par déni de service : vigilance orange
Au premier semestre 2021, le nombre des attaques de type DDoS s’élevait à près de 5,4 millions, soit une augmentation de 11 % par rapport au premier semestre 2020. Le premier semestre 2022 avait encore vu une très légère hausse. Amaury Petrini met en garde contre des attaques de très grande ampleur pour 2023. La dangerosité croissante des attaques DDoS est directement liée aux progrès de l’intelligence artificielle et à la possibilité de mobiliser un nombre toujours plus important de botnets en une seule vague.
Les attaques APT et la carte de l’ultra-discrétion
Enfin, Amaury Petrini attire l’attention sur une forme d’espionnage très discret qui a joué à plein en 2022 et devrait continuer à faire planer son ombre sur 2023 : les attaques de type APT ou Advanced Persistent Threat (Menace Persistante Avancée). « Ces attaques furtives, très discrètes et visant à pouvoir se perpétrer sur le long terme ont un but précis : pouvoir faire le plus de mal possible. »
Repenser les habitudes et la stratégie cyber dès à présent
D’autres questions spécifiques se dessinent : 2023 doit être l’année du tournant sur plusieurs sujets de fond qui, peut-être, ne retiennent pas encore suffisamment l’attention. Elles pourraient pourtant avoir l’effet de bombes à retardement.
« Ce sera l’un des enjeux stratégiques majeurs de l’année 2023 : repenser la sous-traitance et la gestion confiée à des tiers. »
La sous-traitance, une question de cybersécurité à part entière
« Ce sera l’un des enjeux stratégiques majeurs de l’année 2023 : repenser la sous-traitance et la gestion confiée à des tiers. » Telle est l’analyse d’Eric Schmitlin, rejoint par de très nombreux confrères sur ce sujet. « Se pose la question de tout ce que l’on choisit de déléguer en s’ouvrant sur le cloud et, plus généralement, de la responsabilité partagée. Au sein des entreprises, on a vu se mettre en place, de manière plus ou moins consciente, l’idée suivante : une fois que l’on a placé ses données sur le cloud, on n’est plus responsable de rien. » C’est principalement le problème de la supply chain – les chaînes d’approvisionnement – ayant recours à des logiciels tiers.
En passant le relais, l’entreprise propriétaire des données oublie certains réflexes essentiels de vigilance. Pourtant, en cas d’attaque réussie, c’est bien l’entreprise qui en fera les frais. « C’est souvent par la porte du sous-traitant que les cyberattaquants vont choisir d’entrer, conscients de l’opportunité. » En 2023, repenser les choix de sous-traitance et le maintien d’une double vigilance doit donc être un sujet prioritaire.
« […] Une pénurie annoncé de 15 000 postes dans le champ cyber. »
La ressource humaine, un enjeu de taille
Pour la cybersécurité 2023, la problématique humaine ne sera pas simplement celle de l’ingénierie sociale et du besoin d’une vigilance renforcée de la part des employés. « Elle prend aussi la forme d’une pénurie annoncé de 15 000 postes dans le champ cyber », rappelle Laurent Moulin, expert en cybersécurité chez Spartan Conseil. « L’enjeu de formation n’est absolument pas secondaire : le personnel non formé aujourd’hui alimentera la pénurie d’experts et techniciens de demain. Et, face à une menace cyber appelée à s’intensifier toujours plus, le manque de professionnels suffisamment formés est destiné à devenir de plus en plus dommageable. »
« L’État, de fait, commence à se pencher plus sérieusement sur les enjeux de formation et de sensibilisation au sein des entreprises, en prenant en compte le problème de la taille. Dans les faits, un grand groupe – indépendamment de son activité – n’aura aucun mal à investir plusieurs dizaines de milliers d’euros par personne pour se prémunir contre les risques cyber. Au contraire, une entreprise de moins de 50 salariés – même si elle est spécialisée en informatique – considérera ne pas avoir suffisamment de marge financière pour investir dans la cybersécurité. Et cela risque de se traduire, à moyen-long terme, en un problème économique majeur pour la France, si tout son tissu d’entreprises n’est pas correctement préparé pour faire face à des menaces de plus en plus intenses. »
De fait, le gouvernement entend mettre en place, en 2023, un bouclier cyber. Celui-ci prendra la forme d’une enveloppe de 30 millions d’euros, visant à soutenir les entreprises en manque de moyens, mais aussi les collectivités territoriales et les particuliers, dans leur protection cyber. Pour Laurent Moulin, cette bonne volonté pourrait cependant s’avérer contre-productive : « Ce coup de pouce financier comporte un risque : voir de nombreuses entreprises se contenter de faire appel à un prestataire et se satisfaire d’un simple audit gratuit, sans prendre en compte toute l’ampleur et le caractère changeant des cybermenaces. »
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
FAQ
Une DDoS Attack ou Distributed Denial of Service Attack vise à compromettre le fonctionnement d’un réseau informatique. Pour y parvenir, l’attaque dite de déni de service peut indifféremment chercher à bloquer le serveur web, le serveur de fichier ou les boîtes mail. Dans la pratique, un très grand nombre de machines automatisées entrent en jeu pour saturer le système. C’est cet assaut en masse qui provoquera des pannes et dysfonctionnements en série.
Le ransomware ou rançongiciel prend généralement la forme d’un e-mail contenant un lien ou une pièce jointe infectée. Dans le cas d’une structure, ce n’est pas un seul ordinateur qui est mis en danger : c’est le serveur et, à travers lui, un plus grand nombre d’équipements. Quel que soit l’ampleur de l’attaque et le nombre de machines infectées, le principe reste le même : après avoir cliqué sur le lien ou téléchargé la pièce jointe, les équipements ne répondent plus. Dans le cas d’une structure, les hackers derrière l’attaque sont en mesure de récupérer les droits administrateur. Ils peuvent dès lors identifier les données sensibles pour les bloquer et les chiffrer. Un message de rançon est reproduit sur les équipements concernés : les cyber-attaquants promettent de fournir la clé de déchiffrage ou le mot de passe qui permettront un retour à la normale, à condition que la victime accepte de s’acquitter du paiement d’une certaine sommes – souvent en bitcoins. Dans les faits, rien ne garantit que les hackers tiendront parole ou que les éléments fournis permettront réellement un déblocage.
Cozy Bear, également connu sous le nom de APT29, fait partie des groupes de hackers soupçonnés d’entretenir des relations étroites avec le gouvernement russe. Le groupe a été mis en lumière au moment de la crise de Covid-19. Il est alors accusé d’avoir tenté de dérober des données sensibles auprès des services publics de différents États, à savoir le Canada, le Royaume-Uni et les États-Unis d’Amérique. Ces informations portaient sur les pistes de développement d’un vaccin contre le coronavirus. Cozy Bear a également opéré aux côtés de Fancy Bear, autre groupe de hackers rattaché à la Russie, pour infiltrer la base de données du Parti démocrate américain, à partir de l’été 2015. Cozy Bear est par ailleurs très actif dans ses attaques contre des entreprises et des think thanks.
Fancy Bear, également connu sous le nom de APT28, est un groupe de hackers qui, selon de nombreux médias et enquêteurs, est directement lié au gouvernement russe. Des preuves de ce lien de dépendance ont pu être apportées depuis 2018, mettant à mal les démentis publics réitérés par le groupe. Fancy Bear se démarque notamment par des actions de nature politique, notamment le piratage des bases de données du gouvernement géorgien en 2008, avec à la clé des informations cruciales concernant l’invasion du pays par les troupes de Poutine. Les pirates d’APT28 ont également tenté de nuire à la campagne présidentielle de Joe Biden, sur la période 2020-2021. L’une des marques de fabrique de Fancy Bear est, presque ironiquement, de ne pas signer les attaques perpétrées.
Le lab
Analyses et démocratisation de la cybersécurité
Le Lab est un espace contributif sur la cybersécurité où Guardia invite des professionnels et des experts du secteur à partager leurs travaux de recherche.
Qui sont les femmes et les hommes qui feront la... Voir la suite
Qui sont les femmes et les hommes qui feront la... Voir la suite
Qui sont les femmes et les hommes qui feront la... Voir la suite