Le risque d'une "pandémie massive à forte létalité" avait été identifié dans le Livre blanc sur la défense et la sécurité nationale de 2008. Cinq autres menaces (attaques informatiques, conflits militaires, catastrophes naturelles, etc.) y étaient décrites.
François Géré est historien.
Spécialiste en géostratégie, il est président fondateur de l’Institut français d’analyse stratégique (IFAS) et chargé de mission auprès de l’Institut des Hautes études de défense nationale (IHEDN) et directeur de recherches à l’Université de Paris 3. Il a publié en 2011, le Dictionnaire de la désinformation.
Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.
Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.
Certifié par l'Edhec et l'Inhesj en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.
Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.
François Géré : En préambule, il convient de préciser que le document de référence est le Livre blanc sur la défense et la sécurité nationale de 2008. Il a été actualisé en 2013 par un nouveau Livre blanc, plus succinct et, enfin en 2017 par la Revue stratégique. Or ces dix années d’intervalle ont été marquées par la guerre et la déstabilisation politique de la Lybie, l’aggravation des activités terroristes islamistes (attentats en France : Charlie Hebdo et Bataclan), l’intervention militaire française au Mali et au Sahel ainsi que la guerre d’Ukraine menée par des indépendantistes soutenus militairement par une Russie qui a annexé la Crimée. L’intensification des flux de réfugiés est venue s’ajouter à ces perturbations de la sécurité de l’Europe. Enfin, l’arrivée au pouvoir de Donald Trump a sérieusement écorné le multilatéralisme sur d’importants dossiers tels que la maîtrise des armements balistiques et nucléaires (abrogation du traité sur les forces nucléaires intermédiaires en Europe) et remis en question la dimension de l’engagement des Etats-Unis dans l’Alliance atlantique.
Fondamentalement, les menaces identifiées se sont confirmées, développées et aggravées. S’il n’y avait donc rien de nouveau c’est la réactivité et la souplesse d’adaptation face au prévisible qui doivent être critiquée. On était bien préparé face au terrorisme biologique mais la reconversion vers la pandémie d’un virus ne s’est pas faite en raison des rigidités administratives.
Jean-Paul Pinte : Les nombreux rapports existant sur le sujet ne manquent pas de faire remarquer que nous sommes toujours en décalage avec les actes cybercriminels qui évoluent avec des modes opératoires et une ingénierie sociale de plus en plus sophistiquée.
On a en effet trop tendance à comparer le cyberespace à l’espace physique mais il est aujourd’hui trop différent dans la mesure où il apporte plus de liberté dans l’action puisque sans frontières, sans limites dans l’imagination des acteurs qui mènent les attaques envers les acteurs de la société, les citoyens tout autant que l’état.
Selon NextInpact, seuls 82 des 629 rapports commerciaux sur la cybersécurité (13 %) publiés au cours de la dernière décennie discutent d'une menace pour la société civile, le reste se concentrant sur la cybercriminalité, les pirates oeuvrant au profit d'États-nations et l'espionnage économique, créant une vision déformée du paysage réel des cybermenaces, relève Catalin Cimpanu dans ZDNet.
Sur ces 82 rapports, seuls 22 avaient placé une menace pour la société civile au centre de leurs enquêtes, les 607 autres se concentrant sur les gangs de cybercriminalité et les groupes APT (pour Advanced Persistent Threats, du nom donné aux unités d'élite de pirates étatiques) déplore au surplus une équipe d'universitaires dans un article publié dans le Journal of Information Technology and Politics.
La pandémie COVID-19 a été à l’origine de nouvelles formes d’attaques dues aux pics et des creux évidents dans les volumes de transactions qui coïncident avec les périodes de ce confinement mondial. Les organisations de services financiers ont constaté une augmentation des nouveaux utilisateurs de services bancaires numériques, une modification de l’empreinte géographique des consommateurs qui voyageaient auparavant beaucoup et une réduction du nombre d’appareils utilisés par client. Plusieurs attaques ont ainsi visé des banques offrant des prêts liés à COVID-19.
La digitalisation de l’entreprise est inéluctable et apporte de nombreux bénéfices selon cet article de la Revue en ligne Informatiquenews. Dans le domaine de la production par exemple, la pandémie de Covid-19 a prouvé que les responsables logistiques étaient en demande de numérisation pour mieux planifier et répondre plus rapidement aux besoins de distributeurs. Comme la production, toutes les fonctions de l’entreprise, marketing, finances, RH… sont concernées, ce qui a pour effet d’offrir une plus grande surface d’attaque aux cybercriminels.
Ainsi les actes de piratage se multiplient : le coût mondial de la cybercriminalité supporté par les entreprises représente 600 Md$ chaque année, à comparer au marché des stupéfiants qui est de 400 Md$. Ces chiffres vertigineux sont d’ailleurs précisés par IBM Security qui publiait en juillet 2020 que le coût estimé par entreprise d’une violation de données est en moyenne de 3,86 millions de dollars.
C’est donc sans surprise que la cybercriminalité arrive en tête des risques en 2020 selon une étude menée auprès des directeurs de risques par l’assureur Allianz.
Ce rapport en ligne nous indique les différentes techniques et leurs stratégies les plus utilisées en 2019.
- La découverte de logiciels de sécurité | stratégie : la découverte
Cette technique indique que les adversaires comprennent les contrôles de sécurité en place afin de les contourner. Elle a été utilisée pour un large éventail de types et de familles de logiciels malveillants.
- Les fichiers ou informations obscurcis | stratégie : la fraude à la défense
L'une des principales méthodes que les hackers peuvent employer pour rendre la détection ou le suivi des recherches difficiles est l'obscurcissement, le chiffrement ou toute autre manipulation de la structure d'un fichier, comme l'utilisation d'un protocole de chiffrement standard.
- Le processus d’injection | stratégie : la fraude à la défense
C’est une technique qui consiste à exécuter un code personnalisé dans l'espace d'adresse d'un autre processus. Elle fait partie de la fraude à la défense, de l'escalade des privilèges, dans certains cas, de la persistance. La popularité du processus d’injection peut être attribuée aux avantages de se cacher derrière des processus légitimes, qui comprennent, entre autres, l'injection de bibliothèques de liens dynamiques (DLL), l'injection d'exécutables portables, les appels de système ptrace et le détournement de VDSO.
- La découverte d'informations système | stratégie : la découverte
Elle est un moyen supplémentaire pour un adversaire d'obtenir des informations détaillées sur un système d'exploitation et un matériel, notamment la version, les correctifs, les hotfixes, les services packs et l'architecture. Cela permet d'éclairer les décisions de l'adversaire et de façonner les vecteurs dans lesquels un adversaire poursuit une attaque.
- Le processus de découverte | Stratégie : Découverte
Comme pour les autres techniques de découverte, l'énumération des configurations du système peut être un élément clé pour éclairer les décisions des adversaires. Cette technique est indépendante de la plate-forme, à l'exception de changements mineurs dans le format de commande.
- Le Software Packing | stratégie : fraude à l’évasion
Il est associé aux runtime ou aux software packers et consiste à compresser un fichier ou un exécutable initial. Alors que des programmeurs inoffensifs l’ont utilisé pour réduire les coûts de stockage, leurs adversaires favorisent cette technique, car le conditionnement d'un exécutable modifie sa signature de fichier et réduit sa taille, ce qui rend la détection basée sur la signature ou l'empreinte plus difficile.
- La Dynamic Link Library (DLL) Side-Loading | stratégie : fraude à la défense
Il ne peut être effectué que dans les systèmes d'exploitation Windows, se produit lorsqu'un fichier DLL malveillant usurpé est placé dans un répertoire de sorte que le fichier malveillant est chargé à la place de la DLL légitime. Cette technique aide les acteurs de la menace à échapper aux défenses en introduisant clandestinement du code malveillant dans des services ou des processus légitimes, au lieu d'exécuter des processus nouveaux et non reconnus.
- Les données chiffrées | stratégie : l’exfiltration
Autre technique très populaire utilisée par les adversaires, en chiffrant les données avant de les exfiltrer, les acteurs peuvent plus efficacement dissimuler le contenu des données volées. Diverses méthodes de chiffrement sont utilisées aujourd'hui.
- L’exécution par interface de programmation d’application (API) | stratégie : l’exécution
L'utilisation abusive de l'exécution par API (T1106) démontre un abus contradictoire des interfaces d'application légitimes. Cette technique permet plus particulièrement aux utilisateurs d'extraire des données et de s'interfacer à un niveau macro avec des programmes et des scripts.
- Le protocole de chiffrement standard | Stratégie : la commande et le contrôle
Tout comme pour la technique de données chiffrées, les adversaires peuvent dissimuler le trafic C2 derrière des mécanismes de codage régulièrement utilisés. Cette technique fait partie de la tactique de commandement et de contrôle, qui est considérée comme l'une des dernières étapes d'une attaque.
En guise de conclusion le rapport donne quelques recommandations et actions générales qui peuvent servir de point de départ pour détecter et déjouer les cyberattaques qui reposent sur ces techniques suscitées :
surveiller les nouvelles instances ou les changements inhabituels apportés aux processus communs, aux fichiers de configuration, aux appels d'API ou aux systèmes de fichiers ;
surveiller les arguments de commande inhabituels ou fréquents, qui sont souvent utilisés dans le cadre des techniques de découverte ;
maintenez les programmes antivirus et anti-logiciels malveillants à jour pour garder une longueur d'avance sur les logiciels malveillants nouvellement emballés ou chiffrés ;
activez les mises à jour automatiques des logiciels pour empêcher les cyberattaquants d'identifier et d'exploiter les systèmes ou les logiciels vulnérables.
Il faut enfin et aussi signaler les attaques qui ne manqueront pas de viser tous les acteurs de la société comme les objets connectés ainsi que toute l’intelligence artificielle demain vecteur mais aussi moyen de contrer des attaques.
Les technologies du bureau et le télétravail seront aussi autant de domaines aujourd’hui prisés par les cyberdélinquants.
François Géré : A l’exception (grave) près des migrations de population dans bassin méditerranéen, le livre blanc de 2008 était parvenu, dans l’ensemble, à identifier les menaces potentielles majeures, notamment le terrorisme, la cybercriminalité ainsi qu’une remontée en puissance agressive de la Russie. Les risques sanitaires d’une grande pandémie létale avaient été répertoriés. Seulement voilà, identifier sur le papier la virtualité d’une crise et se donner les moyens d’y répondre sont deux activités différentes quand bien même la seconde est supposée suivre la première. On a insisté, avec raison, sur la nécessité d’anticiper les crises par le renforcement du renseignement supposé favoriser la prévention et déjouer la surprise stratégique. Mais toutes ces bonnes résolutions n’ont été suivies d’effets politiques et financiers. La montée en puissance militaire russe n’a pas été intégrée politiquement. Tandis que les dépenses de défense de la Russie augmentaient à grande vitesse, les Européens cherchaient à obtenir la clientèle de Poutine pour moderniser ses forces. Dans le même temps les budgets de défense des Etats européens déclinaient diminuant d’autant les capacités de réaction. En quinze ans, un écart de potentiel militaire effectivement utilisable, s’est creusé entre la Russie et les Etats d’Europe occidentale. Ce vide a été rapidement comblé par l’agressivité nouvelle d’une Russie qui ne vise pas l’invasion d’antan mais pousse progressivement ses pions dans le cadre d’une stratégie de récupération de puissance et d’influence. Dernier exemple, la recommandation de renforcement de la lutte contre le terrorisme n’est pas parvenu à se traduire en réforme profonde des services affectés à cette mission. Les querelles de compétence, les lourdeurs bureaucratiques n’ont pas été surmontées en dépit des effets d’annonce.
Ce phénomène propre à chaque Etat se retrouve aggravé au niveau de l’Union européenne qui multiplie les mêmes effets d’annonce sans parvenir à les concrétiser. Les appels à la coordination du renseignement demeurent lettre morte.
Jean-Paul Pinte : Selon ce site, LexisNexis® Risk Solutions a publié aujourd’hui son rapport semestriel sur la cybercriminalité, qui suit l’activité mondiale de la cybercriminalité de janvier 2020 à juin 2020. Le rapport analyse en détail la manière dont la pandémie COVID-19 a eu un impact sur l’économie numérique mondiale, les économies régionales, les industries, les entreprises et le comportement des consommateurs. La période a connu une forte croissance du volume des transactions par rapport à 2019, mais une baisse générale du volume des attaques mondiales. Cela est probablement lié à la croissance de l’activité réelle des clients en raison de l’évolution des habitudes de consommation durant le confinement et la pandémie Covid 19.
Le rapport sur la cybercriminalité de LexisNexis Risk Solutions analyse les données de plus de 22,5 milliards de transactions traitées par le LexisNexis® Digital Identity Network®, soit une croissance de 37 % par rapport à l’année précédente. Les transactions sur les appareils mobiles continuent également à augmenter, 66 % de toutes les transactions provenant d’appareils mobiles au cours du premier semestre 2020, contre 20 % au début 2015. Le Digital Identity Network® constate également une augmentation des transactions provenant de nouveaux appareils et de nouvelles identités numériques. Nous attribuons ce phénomène au fait que de nombreux consommateurs novices en matière d’identité numérique se sont connectés en ligne pour se procurer des biens et des services qui n’étaient plus disponibles physiquement ou plus difficiles d’accès dans un magasin, pendant la pandémie.
François Géré : Il est facile d’émettre des recommandations mais bien plus difficile de les concrétiser.
L’OTAN doit faire face à une crise majeure de crédibilité que le Président Macron a voulu souligner par une déclaration spectaculaire dénonçant une panne intellectuelle, sans remettre en cause les capacités opérationnelles. L’organisation atlantique est un grand corps doté de membres puissants mais privé de tête capable de penser ses finalités politiques et ses priorités stratégiques. Il est remarquable que lors de la crise du COVID l’OTAN n’ait pris aucune initiative et se soit abstenu d’un rôle quelconque, fût-il indirect. Or elle dispose moyens de lutte contre les menaces biologiques et bactériologiques et aurait pu déployer des moyens de secours en faveur de ses Etats membres. La difficulté principale ne se situe pas au niveau des moyens militaires et des ressources financières mais au niveau de la définition des priorités politiques accordées à l’évaluation de la menace. Les Etats membres de l’Alliance qui s’est considérablement élargie avec de nouveaux membres ne voient plus le monde de la même manière qu’au temps de l’Union soviétique. Ils ont tendance à faire passer leurs intérêts particuliers avant l’intérêt collectif. Chacun voit la menace à sa porte. Pour les Baltes, les Scandinaves et les Polonais, la menace vient de Moscou. Pour les pays du Sud, le terrorisme et l’invasion des migrants constituent la priorité. La Turquie d’Erdogan a pris l’habitude de manipuler l’OTAN au service de sa propre politique allant jusqu’à acheter à la Russie des matériels stratégiques comme le SA-400 de défense anti aérienne. A cela s’ajoute une intervention militaire unilatérale en Syrie et une confrontation dangereuse avec la Grèce en Méditerranée. Cela revient à tourner le dos à l’esprit de coopération de défense qui constitue en principe le fondement politique de l’Alliance.
Traditionnellement les dirigeants américains s’efforçaient, bon gré, mal gré, de réaliser une synthèse entre les divergences d’intérêts stratégiques des Etats membres. Or avec Donald Trump ce n’est plus le cas. Loin de chercher à unir les partenaires il pousse à leur division sur la base d’exigences financières. Les Européens doivent dépenser plus non pour assurer leur autonomie de défense mais pour acheter américain. Le président des Etats-Unis manipule les alliés européens en fonction de leurs achats. Washington pénalise l’Allemagne pour favoriser la Pologne. Trump exige une augmentation de l’effort de défense non plus en fonction de besoins stratégiques mais pour des raisons purement financières. Ainsi se comprend la formule provocatrice d’Emmanuel Macron sur la « mort cérébrale de l’OTAN ». Dans ces conditions, hormis un changement de politique des Etats-Unis menée par un président responsable, la solution aux menaces actuelles et à venir devrait se fonder sur l’autonomie stratégique de l’Union européenne. Mais cet objectif paraît difficile à atteindre sans une coopération politique avec les Etats-Unis. On ne peut qu’espérer un renouveau de la définition du lien transatlantique pour retrouver un consensus sur le traitement des défis de sécurité de l’ensemble de la zone dans les années qui viennent.
Pour faire face à des menaces globalement bien identifiées, ce ne sont donc pas les moyens qui manquent mais leur pilotage politique et leur coordination bureaucratique. //FG.
Jean-Paul Pinte : Nous devons veiller à ce que tous les consommateurs, en particulier ceux qui pourraient être novices en matière de numérique, soient protégés. Les entreprises doivent s’armer d’une défense multi-niveaux capable de détecter tout le spectre des attaques possibles et à l’épreuve de l’évolution des menaces".
"Alors que le profil de la cybercriminalité continuera à se remodeler pour s’adapter à l’économie numérique mondiale en pleine croissance, la capacité des entreprises à reconnaître de manière fiable les bons clients de confiance doit rester constante", a ajouté le Dr Stephen Topliss, vice-président de la fraude et de l’identité chez LexisNexis Risk Solutions. "Nous devons identifier et bloquer les fraudeurs - qu’ils soient occasionnels ou qu’il s’agisse de réseaux de fraude très étendus - dès le moment où ils effectuent des transactions, le partage d’information doit être tout aussi primordiale pour les entreprises mondiales que ça l’est déjà pour les cybercriminels".
Une nouvelle culture de la sécurité devra naître suite à la pandémie nous rappelle cet article.
Durant l’été, Atlantico vous propose une sélection de ses meilleurs articles de l’année.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !