La plupart des articles qu’il nous est donné de lire sur les cyberattaques se focalisent sur la forme qu’elles ont prise et les dégâts provoqués. C’est important, mais, pour autant, cela ne permet pas d’en saisir le déroulement concret. C’est dommage, car, à mieux connaître les étapes de telles attaques, il est plus ‘‘simple’’ de pointer nos faiblesses. Nous allons donc imaginer que je suis penché sur l’épaule d’un de ces pirates d’aujourd’hui pour vous décrire la manière dont il procède
Par dessus l’épaule d’un cyberpirate
Publié le 28 août 2021 ...
Approche et mode opératoire
L’efficacité de l’attaque d’un pirate informatique dépend de son choix d’une méthode et des lignes de codes à écrire, voire à récupérer sur le dark net. En disant cela, j’ai bien conscience que je vais en décevoir certains, car les pirates n’utilisent pas de lignes de code magique qu’ils dégainent comme un passe-partout.
Comme tous les hackeurs, ‘‘mon’’ pirate peut choisir une sorte d’attaque commando, associant effet de surprise et passage en force en lançant plusieurs attaques simultanées. Ce faisant, il veut profondément déstabiliser les systèmes de défense de sa cible.
A contrario, il peut choisir de se cacher dans l’ombre et progresser discrètement jusqu’à atteindre son objectif au sein du système informatique visé.
L’étape initiale de toute cyberattaque est là, dans le choix d’une approche appropriée en fonction de l’objectif. Si le but est de récolter des informations confidentielles, la seconde approche sera plus adaptée, tandis que la première sera choisie pour rendre inopérante une entreprise, par exemple.
Par où et par qui passer ?
Ensuite, peu importe l’option choisie, mon pirate va déployer des trésors de patience pour identifier le point d’entrée, la vulnérabilité à utiliser. Pour cela le plus souvent il se renseigne sur l’organisation de l’entreprise visée, ses différents établissements, son siège, ses sous-traitants, ses employés, etc. C’est un passage quasi obligatoire pour pouvoir identifier la personne à manipuler au sein de cette même société. Une fois ciblée, cette personne va sûrement recevoir un e-mail avec en pièce jointe un document qu’elle doit signer, lire, corriger, voire transmettre, en urgence. Cela va en réalité activer un logiciel malveillant.
Par où et par qui passer ?
Ensuite, peu importe l’option choisie, mon pirate va déployer des trésors de patience pour identifier le point d’entrée, la vulnérabilité à utiliser. Pour cela le plus souvent il se renseigne sur l’organisation de l’entreprise visée, ses différents établissements, son siège, ses sous-traitants, ses employés, etc. C’est un passage quasi obligatoire pour pouvoir identifier la personne à manipuler au sein de cette même société. Une fois ciblée, cette personne va sûrement recevoir un e-mail avec en pièce jointe un document qu’elle doit signer, lire, corriger, voire transmettre, en urgence. Cela va en réalité activer un logiciel malveillant.
L’oiseau fait son nid
Avant même d’infecter un système avec un logiciel malveillant, mon pirate a dû le concevoir, ou adapter un logiciel existant, afin de réaliser son attaque. Cela signifie que pour chaque nouvelle infection il peut être amené à repenser son code malveillant pour le faire correspondre à la cible. Après avoir été conçu et inséré dans l’entreprise, celui-ci va discrètement se propager dans le système d’information infecté et faire son bonhomme de chemin. Une fois en place il va commencer à intercepter et transmettre des informations. Mon pirate récolte ainsi des données confidentielles et se fait analyste puis stratège.
Fin et nouvelle étape
Contrairement à ce que je pensais, il ne suffit pas d’insérer un logiciel malveillant et de se tourner les pouces. Mon pirate doit en effet continuer à surveiller ce que fait son logiciel. Lui remonte-t-il, les bonnes informations, est-il suffisamment discret pour ne pas être repéré, etc ? Il est essentiel que le logiciel ne soit pas repéré, sinon toute la mission tombe à l’eau. Son utilisateur doit donc se tenir prêt à réagir…
Enfin, une fois les informations voulues récupérées, une phase très délicate commence, puisqu’il s’agit de se retirer sans se faire repérer. L’opération d’ordre informatique touche à sa fin. C’est le moment opportun d’effacer ses traces pour éviter d’être identifié. C’est aussi le moment, par exemple, de modifier, crypter ou supprimer des informations ou des fichiers avant de disparaître comme on est arrivé. Tout va dépendre de ce que veut faire mon pirate. Il peut voler des données pour les revendre, ou prouver que l’entreprise visée a des activités peu avouables. Il peut encore les crypter pour demander une rançon.
Je vais laisser « mon » pirate, car, via une messagerie cryptée évidemment, il doit participer à une ‘‘réunion’’. Il ne me le dira pas explicitement, mais s’il agit seul, il le fait également en groupe. Quant aux cibles et actions menées, « elles peuvent correspondre à des commandes privées ou publiques… Ça dépend ».
Tout cela n’est bien entendu que pure invention même si l’idée est de vous permettre de comprendre comment cela se passe dans la vraie vie…