Cyberattaque
Une cyberattaque est un acte malveillant envers un dispositif informatique via un réseau cybernétique. Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques.
Définitions
Il existe cependant de très nombreuses définitions selon les pays, les ONG, les organisations internationales, etc.
Pour A. Coustillère, vice-amiral chargé de la cyberdéfense française, la cyberattaque se définit comme « une action volontaire, offensive ou malveillante, menée au travers du cyberespace et destinée à provoquer un dommage aux informations et aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils sont le support »[1]. L’ANSSI, l’assimile à une « tentative d’atteinte à des systèmes d’information réalisée dans un but malveillant. Elle peut avoir pour objectif de voler des données (secrets militaires, diplomatiques ou industriels, données personnelles bancaires, etc.), de détruire, endommager ou altérer le fonctionnement normal de systèmes d’information (dont les systèmes industriels) ». En raison de la létalité réduite de certaines cyberattaques, Danino privilégie plutôt le terme de « vandalisme cybernétique », quand Leman-Langlois lui préfère le « vandalisme virtuel »[2]. Intentionnelle et planifiée, la cyberattaque résulte « de l’emploi de capacités cyber dans le but 1er d’atteindre des objectifs dans ou par le cyberespace […], utiliser des ordinateurs en réseau dans le but de perturber, interdire, dégrader, manipuler ou détruire des informations dans le système d’information cible ». Plus simplement, elle est l’une des méthodes pour affaiblir, paralyser, corrompre ou détruire une cible dépendant totalement ou en partie de la cybersphère.
Selon N. Ténèze, le terme de cyberattaque prête à confusion. En Effet, l'attaque en ligne, en elle-même, réduit donc le champ de la réflexion. La cybernétique est un mot valise intégrant le cyber (gouvernance ou pilotage selon la racine grecque), le cyber (crypté en anglais), l'électronique et l'automatisme. C'est pourquoi le terme de cyberagression, ou d'agression cybernétique comprend en effet davantage les crimes et les délits dans le cyberunivers[3].
Selon N. Ténèze, les agressions dans la cybersphère se répartissent en 12 grandes familles[3]:
- les ADS (Attaque par Déni de Services pour neutraliser un système informatique et le rendre inopérant)
- le cyberespionnage
- le cyberharcèlement
- la cyberfraude (triche aux examens, lors de vote, falsification de documents officiels, etc.)
- le cyber-whistleblowing (considéré comme un délit voire un crime dans les dictatures notamment)
- la cybercontrefaçon (musique, livre, jeux-vidéo, logiciels) et le cybermarché noir (achat en ligne de marchandises illégales)
- la cyberfinance criminelle
- la cyberpropagande
- la cyberusurpation d'identité
- le cybercambriolage (vol de données)
- le défaçage (modifier l'apparence d'un site, d'un blog, etc.)
Objectifs des cybercriminels
Les objectifs et les moyens des cybercriminels sont très variés. Une liste non-exhaustive des objectifs avec des profils associés peut cependant être établie :
Objectif | Profils | Moyens | Dangerosité |
---|---|---|---|
Lucratif | Mercenaires, escrocs, etc. | Élevés | Haute |
Géopolitique | Unités spécialisées, états, etc. | Élevés | Haute |
Ludique | Adolescents désœuvrés, scripts kiddies, etc. | Bas | Basse |
Technique | Experts chevronnés, etc. | Bas | Basse |
Pathologique | Vengeurs, employés mécontents, etc. | Bas | Moyenne |
Idéologique | Hacktivistes, terroristes, patriotes, etc. | Moyen | Moyenne |
Chronologie des cyberattaques
1982 : une première
En 1982, les services secrets américains auraient introduit volontairement un bug dans le logiciel canadien de gestion du gazoduc transsibérien, provoquant une importante explosion dans une zone inhabitée[4],[5].
De 1990 à 2000
Le début de l'année 1990 est concomitant à l'émergence d'une sous-culture criminelle cybernétique[6]. La première intervention de taille nationale sera l'Operation Sundevil en 1990. L'émergence du cyberespace accélère également la démocratisation du cracking, du phreaking et des techniques de hacking.
2007
La première cyberattaque recensée visant une structure étatique durant plusieurs semaines, avec des moyens suffisants pour saturer durablement les sites visés et causer un déni de service prolongé, a émané de sites russes contre des sites de l'administration estonienne, ainsi que ceux de banques et de journaux de ce pays. La majorité des institutions estoniennes ayant adopté une bureaucratie sans papier, entièrement informatique et reliées entre elles par internet[réf. nécessaire], ce pays se trouve très vulnérable à ce type d'attaques.
Il s'agit d'une attaque simple mais efficace, qui consiste à connecter un maximum d'appareils à un même réseau et ainsi déclencher une saturation de celui-ci. Cette méthode est souvent utilisée pour sa discrétion (niveau traçabilité) car elle est dirigée par une seule personne contrôlant plusieurs ordinateurs infectés par celle-ci. Comme il y a un afflux d'appareils, l'option du traçage IP est à rejeter (par l'abondance de celles-ci). C'est la méthode dite du botnet.
L'attaque survient à la suite du conflit diplomatique généré autour du projet de déplacement du Soldat de bronze planifié par le gouvernement estonien en avril 2007 mais ayant abouti à des nuits d'émeutes, émanant d'une minorité de nationalistes russophones implantée dans le pays.
Bien que la jurisprudence de l'OTAN ne prenne alors pas encore en compte ce genre d'attaques, certains responsables estoniens considéraient la cyberattaque, par son organisation et sa durée, comme un acte de guerre à part entière, car les structures visées se sont retrouvés entièrement inopérantes, de la même manière que si elles avaient été frappés par des missiles. Le porte-parole du département de la défense estonien, Madis Mikko a déclaré « Si un aéroport ou une banque sont attaqués au missile, c'est la guerre. Mais si on fait la même chose avec des ordinateurs… comment appelle-t-on cela ? »[7]. Le président de l'Estonie, Toomas Hendrik Ilves, a considéré ces actes de déstabilisation comme une nouvelle forme de terrorisme. Mais de telles attaques posent un problème de "traçabilité", à savoir la possibilité de remonter jusqu'à leur auteur et surtout de le prouver.
Selon le magazine américain « 60 minutes » du 8 novembre dernier [Quand ?], les grandes pannes du réseau électrique brésilien de janvier 2005 (Rio de Janeiro) et de septembre 2007 (Espírito Santo) seraient la conséquence de cyberattaques, dont la source n’est pas identifiée. Cette hypothèse a également été évoquée pour la coupure géante d'électricité du 10 novembre 2009, au Brésil, mais n'est avérée dans aucun de ces cas.
2008-2009
La Corée du Sud en juillet 2009 a subi des cyberattaques à grande échelle. 25 sites dont les sites Internet de la présidence sud-coréenne, du ministère de la Défense, du ministère des Affaires étrangères, de la Shinhan Bank et Korea Exchange Bank ont été touchés, sur fond de tensions avec la Corée du Nord[8]. Selon la presse sud-coréenne, le National Intelligence Service aurait sous-entendu la responsabilité de Pyongyang, sans fournir de preuves.
2010
Dans les années 2009-2010, le monde occidental s'inquiète de la prolifération de centrales nucléaires en Iran, officiellement civiles. Tous les médias s'interrogent régulièrement sur la probabilité d'un raid israélien qui permettrait d'en détruire au moins une pour envoyer un signal fort, mais soulignent que cela serait techniquement extrêmement risqué, impliquerait le survol de plusieurs pays qui s'y opposeraient et pourrait résulter en une réplique démesurée de l'Iran, comme l'envoi de missiles à longue portée sur les principales villes d'Israël.
La cyberattaque qui va paralyser la centrale nucléaire de Bouchehr permet d'atteindre l'objectif visé (mettre la centrale iranienne hors d'état) sans prendre le moindre risque ni humain, ni politique, ni militaire. Elle va consister à paralyser les ordinateurs de la centrale avec un virus d'un niveau de sophistication extrême dont Israël et les États-Unis sont hautement soupçonnés.
Le virus impliqué s'appelle Stuxnet[9]. Il est authentifié par Windows comme étant sans danger, ce qui implique qu'il utilise des clés numériques de sécurité volées dans des entreprises de logiciels de Taïwan. Il a transité jusqu'à la centrale par des clés USB donc avec des complices humains, le réseau informatique de la centrale n'étant pas connecté au monde extérieur. Il a déréglé le contrôle des automatismes, des robots, de la distribution d'électricité, tout un système de pilotage complexe de type SCADA fabriqué par l'Allemand Siemens. Le malware est passé inaperçu pendant des mois, causant progressivement de nombreux dégâts dont le dérèglement de centrifugeuses conduisant à leur destruction physique. Le développement d'un tel virus a nécessité probablement un investissement de plusieurs millions de dollars.
En 2011, c'est un second virus encore plus élaboré qui apparait, dénommé Flame, et qui semble avoir un lien de parenté avec Stuxnet.
2011-2012
En mai 2011, c'est au tour de Lockheed Martin[10], entreprise majeure du secteur de l'armement aux États-Unis qui fabrique notamment les avions de combat F-16, de subir de plein fouet une cyberattaque massive dont l'origine n'est toujours pas officiellement connue. Tous ses systèmes informatiques ont été paralysés pendant plusieurs heures et tous ses codes de sécurité ont été dérobés[11].
En juin 2011, on apprend le piratage de plusieurs centaines de comptes Gmail appartenant à des hauts fonctionnaires américains, des dissidents chinois, des responsables de plusieurs pays asiatiques, des militaires et des journalistes [12]. Selon Google, l'origine de cette cyberattaque se situe à Jinan, où se trouve un commandement militaire chinois, et surtout une école formée avec le soutien de l'armée, qui avait déjà été accusée d'avoir pénétré les serveurs de Google l'an dernier. La Chine a démenti.
En septembre 2011, une vague d'attaques informatiques est orchestrée au Japon, tout particulièrement contre des sites Internet du gouvernement[13].
En juin 2012, jusqu'à 80 millions de dollars sont détournés dans une vague de cyberattaque visant des banques[14] américaines, européennes et latino-américaines.
2014
En février 2014, les établissements américains du groupe de loisirs Las Vegas Sands sont victimes d'une cyberattaque majeure incluant le piratage du réseau informatique, un vol massif de données confidentielles puis la mise hors service d'une partie importante du système d'information et de télécommunications[15],[16]. Le piratage serait attribué à un groupe de hackers iraniens et ferait suite à la suggestion publique en octobre 2013 du milliardaire Sheldon Adelson, actionnaire majoritaire de Las Vegas Sands, de « raser » Téhéran sous le feu nucléaire[15],[16].
En novembre et décembre 2014, Sony Pictures Entertainment est victime d'une très importante fuite de l'ensemble de ses données, qui sont révélées par à-coup et revendiqué par le groupe « Guardian of Peace »[17],[18].
2015
Les 8 et 9 avril 2015, TV5 Monde est victime d'une cyberattaque entraînant l'arrêt de la diffusion de ses programmes.
2016
La Banque du Bangladesh est victime en février 2016 d'un piratage informatique et s'est fait dérober 81 millions de dollars[19],[20],[21].
Une autre banque, équatorienne cette fois, la Banco del Austro, fut également victime d'une cyberattaque, en janvier 2015. Cette attaque ne fut confirmée que le dimanche 22 mai 2016. Le préjudice est estimé à 10,7 millions d’euros[22].
2017
Les 12 et 13 mai 2017, une cyberattaque de grande ampleur paralyse les ordinateurs de multinationales et de services publics d'une centaine de pays. Des hôpitaux britanniques, les multinationales Renault et FedEx, le ministère russe de l'Intérieur, l'opérateur de télécoms espagnol Telefónica, la compagnie ferroviaire allemande Deutsche Bahn font partie des victimes.
Cette cyberattaque se répand grâce à des e-mails comportant un lien internet qui, une fois cliqué[réf. nécessaire], permet au virus d'être téléchargé dans l'ordinateur sans que l'utilisateur ait donné son accord. Il se répand aussi grâce au protocole SMB, puis exploite le système obsolète Windows XP, et toutes les versions antérieures à Windows 10 n'ayant pas effectué les mises à jour, pour libérer une charge utile, constituée de malwares, qui chiffrent les données contenues dans l'ordinateur avant de réclamer une rançon à l'utilisateur en échange de clés de décodage. Les ordinateurs contaminés par le virus sont estimés à plus de 230 000, dans 150 pays.
Parallèlement, une autre cyberattaque (nommée Adylkuzz et plus silencieuse que WannaCry), fait des centaines de milliers de victimes. Elle repose sur les ressources des ordinateurs infectés pour faire du cryptomining, c'est-à-dire créer et miner une monnaie virtuelle concurrente du Bitcoin, le Monero.
Le 27 juin 2017, une nouvelle vague massive de cyberattaques « rappelant le mode d'action du virus WannaCry en mai » a touché simultanément des entreprises majeures en Ukraine, affectant le fonctionnant des banques et aéroports, en Russie, le géant pétrolier Rosneft a été visé ainsi que des grosses banques ukrainiennes, Mars, Nivea, Auchan et des structures gouvernementales ukrainiennes, « Le site du gouvernement a cessé de fonctionner », a déclaré à l'AFP une porte-parole ministériel. Des informations émanant de plusieurs entreprises font état « d'un virus faisant apparaître une demande de rançon de 300 dollars sur l'écran de leurs ordinateurs ». Sur sa page Facebook, le métro de Kiev indiquait « ne pas pouvoir accepter de paiements en carte bancaire à ses guichets à cause d'une cyberattaque ». À l'aéroport Borispol de Kiev en raison de dysfonctionnements des panneaux d'affichage, des vols pourraient être retardés[23]. Dans les heures qui suivent les attaques s'amplifient et elles sont qualifiées de « cyberattaque mondiale » et touchent plusieurs multinationales dont le français Saint-Gobain. Le parquet de Paris ouvre une enquête en flagrance pour « accès et maintien frauduleux dans des systèmes de traitement automatisé de données, "entrave au fonctionnement de ces systèmes, extorsions et tentatives d'extorsions »[24].
2018
En avril 2018, des pirates informatiques ciblent l’infrastructure informatique en Russie et en Iran, avec des répercussions sur les fournisseurs de services Internet et les centres de données. Aucun vol de données n'est signalé, l’objectif aurait été d’« envoyer un message »[25].
En août 2018, une étude menée par la société McAfee annonce une croissance importantes des cyberattaques « sans fichier » extrêmement difficile à détecter[26].
Le 2 novembre 2018 la banque HSBC révèle un incident de sécurité touchant un nombre non précisé de clients "HSBC a appris que des utilisateurs non autorisés avaient eu accès à des comptes en ligne entre le 4 et le 14 octobre 2018"[27].
Le 13 décembre 2018, le ministère des Affaires étrangères informe d'un piratage de sa messagerie e-mail. Les noms, e-mails et numéros de téléphone de « personnes à prévenir » inscrits sur une liste du ministère ont pu être dérobés[28].
2019
Le 4 janvier 2019, la révélation d’une importante cyberattaque en Allemagne provoque une vive émotion. Des milliers de documents confidentiels, appartenant à des responsables politiques sont publiés en ligne[29]. Un étudiant de 20 ans avoue avoir effectué le piratage. Aucun lien n’a été découvert avec un service de renseignement d’un pays étranger[30].
Fin janvier 2019, Airbus annonce avoir été victime d'une intrusion dans le système d'information de sa branche des avions commerciaux. Paradoxalement, avec sa filiale Airbus CyberSecurity, l'avionneur est aussi un expert en sécurité informatique[31].
En mars 2019, des chercheurs de Kaspersky signalent que des centaines de milliers d'ordinateurs Asus ont été victimes d'un logiciel malveillant[32].
En juin 2019, les États-Unis lancent des cyberattaques contre l'Iran[33].
En juin, le New York Times rapporte que le gouvernement américain a intensifié ses cyberattaques contre le réseau électrique russe. Selon l'hebdomadaire : « l’administration Trump, dans le cadre élargi d’une guerre froide numérique entre Washington et Moscou, utilise de nouveaux pouvoirs pour déployer des outils informatiques de manière plus agressive »[34].
2020
En 2020, avec la généralisation du télétravail, les cyberattaques se sont intensifiées. Neuf organisations françaises sur dix ont été ciblées cette année[35]. Voir les 10 attaques informatiques les plus marquantes des douze derniers mois[36].
2021
Le 6 avril 2021, le retour de la classe à la maison, une forte attaque informatique venue de l'étranger touchait le Centre national d'enseignement à distance (CNED)[37].
Le 7 mai 2021, le Colonial Pipeline aux États-Unis cesse ses activités pendant près d'une semaine suite a une attaque ransomware.
Chiffres clés
Le cabinet d'étude PWC estime à 177.300 le nombre de cyberattaques quotidiennes à travers le monde[Quand ?].
En 2014, le nombre d'incidents a augmenté de 48 %. Depuis 2009, les incidents détectés ont augmenté de 66 % par an (en moyenne).
Par ailleurs, le coût annuel moyen attribué aux cyberattaques atteint les 2,7 millions de dollars en 2014, soit une augmentation de 34 % vs 2013[38].
Selon la société américaine Akamai Technologies, au 2e trimestre 2014, les 10 principaux pays d'origine des cyberattaques sont[39]:
Rang | Pays | % des Attaques |
---|---|---|
1 | Chine | 43 |
2 | Indonésie | 15 |
3 | États-Unis | 13 |
4 | Taïwan | 3,7 |
5 | Inde | 2,1 |
6 | Russie | 2,0 |
7 | Brésil | 1,7 |
8 | Corée du Sud | 1,4 |
9 | Turquie | 1,2 |
10 | Roumanie | 1,2 |
- | Autres | 16 |
Notes et références
- France, Défense Nationale, « Glossaire interarmées de terminologie opérationnelle », PIA-7.2.6.3_GIAT-0(2012), no 001/DEF/CICDE/NP
- Stéphane LEMAN-LANGLOIS, « Le crime comme moyen de contrôle du cyberespace commer-cial », in Criminologie, 2006
- « Combattre les cyberagressions / editionsnuvis », sur editionsnuvis (consulté le ).
- « Des Canadiens auraient aidé la CIA dans un sabotage informatique contre l'URSS », sur Lapresse.ca,
- (en) « CIA plot led to huge blast in Siberian gas pipeline », sur telegraph.co.uk,
- Philippe Baumard, LA CYBERCRIMINALITÉ COMPORTEMENTALE : HISTORIQUE ET RÉGULATION, vol. 3, (lire en ligne)
- L'OTAN s'alarme des cyberattaques dont est victime l'Estonie sur lemonde.fr
- http://pourconvaincre.blogspot.com/2009/07/cyberattaques-contre-la-coree-du-sud.html
- « Rue 89 », sur Rue89 (consulté le ).
- http://www.lockheedmartin.com/us/news/press-releases/2011/may/LockheedMartinCustomerPro.html Lockheed Martin
- (en-US) Christopher Drew, « Stolen Data Is Tracked to Hacking at Lockheed (Published 2011) », The New York Times, (ISSN 0362-4331, lire en ligne, consulté le )
- http://eco.rue89.com/2011/06/02/gmail-pirate-bienvenue-dans-lere-de-la-cyberguerre-207511
- Cyberattaques au Japon : des sites du gouvernement touchés Génération NT - 21/09/2011
- 80 millions de dollars sont détournés dans une cyberattaque visant des banques, Le Monde, 25-06/2012
- Guillaume Serries, « Cyberattaque : l'Iran fait sauter la banque à Vegas », ZDNet, (lire en ligne)
- (en) Ben Elgin et Michael Riley, « Now at the Sands Casino: An Iranian Hacker in Every Server », Bloomberg Businessweek, (lire en ligne)
- Cyril Coantiec, « Piratage de Sony : le rappel des faits date par date », Le Figaro, (lire en ligne)
- Thomas Sotinel et Sarah Belouezzane, « Sony cède aux hackeurs et annule la sortie de son film », Le Monde, (lire en ligne)
- « La banque centrale du Bangladesh se fait dérober 81 millions de dollars », Le Figaro, (lire en ligne)
- Étienne Goetz, « L’incroyable cyber-braquage de la banque centrale du Bangladesh », Les Échos, (lire en ligne)
- Martin Untersinger, « Des pirates informatiques dérobent 81 millions de dollars au Bangladesh », Le Monde, (lire en ligne)
- « Une troisième banque suspectée d’avoir été victime du « cybercasse » à 90 millions de dollars », sur Courrier International, (consulté le )
- « Vaste cyberattaque contre des entreprises ukrainiennes et russes », sur Nouvel Obs,
- « Cyberattaque mondiale : le parquet de Paris ouvre une enquête en flagrance », sur France Info,
- « Une cyberattaque mondiale vise 200 000 interrupteurs de réseau », sur Siècle Digital, (consulté le )
- « Les cyberattaques sans fichiers ont progressé en 2018 - Le Monde Informatique », sur LeMondeInformatique (consulté le )
- (en) Catalin Cimpanu, « HSBC discloses security incident », sur ZDNet (consulté le )
- « Le ministère des Affaires étrangères alerte suite à un piratage de sa base email », sur ZDNet France (consulté le )
- « Vive émotion en Allemagne, après les révélations d’une cyberattaque massive », Le Monde.fr, (lire en ligne, consulté le )
- « Piratage de députés et de youtubeurs en Allemagne : le principal suspect a avoué », Le Monde.fr, (lire en ligne, consulté le )
- « Cybermenace : « Les infrastructures stratégiques seront perturbées » », Le Monde, (lire en ligne, consulté le )
- « Des centaines de milliers d’ordinateurs Asus victimes d’un piratage sophistiqué », Le Monde, (lire en ligne, consulté le )
- « Les Etats-Unis ont lancé des cyberattaques contre l’Iran », sur nouvelobs.com, L'Obs, (consulté le ).
- (en-US) David E. Sanger et Nicole Perlroth, « U.S. Escalates Online Attacks on Russia’s Power Grid », The New York Times, (ISSN 0362-4331, lire en ligne, consulté le )
- Marina Fabre, « En 2020, 90% des organisations françaises ont été visées par des cyberattaques »
- lassurenmouv, « Risques cyber : les attaques les plus marquantes de cette année | L'assurance en mouvement » (consulté le )
- Par Le Parisien Le 7 avril 2021 à 10h17, « Ecole à la maison : une enquête ouverte après la cyberattaque du Cned », sur leparisien.fr, (consulté le )
- Plus de 117.300 cyberattaques ont lieu chaque jour dans le monde, Challenges, 1er octobre 2014
- http://www.stateoftheinternet.com/downloads/pdfs/2014-state-of-the-internet-connectivity-report-2014-q2.pdf
Voir aussi
Articles connexes
Liens externes
- Le droit Pénal à l'épreuve des cyberattaques (04/2021)Le cercle des juristes, « Le droit pénal à l’épreuve des cyberattaques », .
- Le temps des cyberguerres sur lemonde.fr
- Cyberattaques : guerre, crime, terrorisme...
- Guerre de l'information - Information Warfare
- Digital Attack Map ; cartographie des cyberattaque par déni de service (en) est une visualisation de données des attaques DDoS dans le monde (projet Google Ideas / Arbor Networks)
- Portail de la sécurité informatique
- Portail du renseignement
- Portail de la sécurité de l’information