Des experts en cyberdéfense sont massivement recrutés par les forces de sécurité dans la plupart des pays. Ces recrutements visent à accroître les capacités opérationnelles militaires dans le cyberespace. Une stratégie de dissuasion pourrait se mettre en place.

Les attaques ciblées ont le vent en poupe

Les conflits se sont (dé)matérialisées en 2012 aussi par des attaques ciblées comme celles ayant frappé la Géorgie ou l'Elysée. De nombreuses attaques ont également frappé des entreprises. De nombreux états se voient accusés de cyberattaques, y compris des états occidentaux. Mais la vérification d'une revendication est délicate. On peut la valider en croisant les relations entre groupes de pirates ou en identifiant les serveurs de contrôle partagés.

Le CommentGroup, un des groupes identifiés de pirates (peut-être chinois), a inauguré une nouvelle technique : le commentaire sur page HTML anodine d'un site web quelconque pour donner des ordres à des codes viraux. Ceux-ci viennent y chercher leurs instructions.

Mais cela n'empêche pas les botnets les plus classiques de poursuivre leurs ravages. Les ransomwares, menace déjà ancienne, connaissent un retour en force. Ces malwares bloquent les terminaux jusqu'au paiement d'une rançon. Les ransomwares récents se réclament de la police et exigent le paiement d'une « amende ». Certains touchent les smartphones. Le partage d'un système d'exploitation entre PC, tablettes et smartphones (Androïd, Windows 8...) renforcent le risque.

Grande variété des cyberattaques grâce au HaaS

Dans certains cas, les RSSI doivent faire face au HaaS (Hack as a Service), y compris pour des fermes de PC zombis infectés par des botnets. Des agresseurs vendent ainsi leurs capacités agressives, le cas échéant avec des services d'assistance et des garanties ! Ce HaaS peut être mis à disposition du simple particulier voulant casser le mot de passe de son voisin, d'entreprises voulant abattre des concurrents, etc. Des produits comme Blackhole possèdent des consoles d'administration graphiques !

Une attaque DDOS peut être vendue 5 $/heure ou 900 $/mois (-25% sur un an). Les prix peuvent variés selon les acheteurs. Un milliardaire koweitien a payé 400$ un pirate chinois pour récupérer des informations personnelles sur des membres de sa famille dans le cadre d'un conflit d'héritage. Il s'est malheureusement fait prendre, ce qui a nui à ses prétentions.

Bien sûr, les fournisseurs de HaaS peuvent s'entre-pirater afin de tenter d'éliminer des concurrents... Le phénomène a été constaté en 2012.

Les attaques opérées en 2012 ont des modes opératoires très différentes. L'attaque ciblée peut être aussi bien grossière (mail avec « merci de cliquer sur la pièce jointe ») que fine. L'injection de code malicieux dans un site grand public peut en fait viser une personne qui y va régulièrement, les autres victimes servant juste à l'effet brouillard pour empêcher d'identifier la vraie victime visée. Les objectifs sont également variés : extorsion de fonds, hacktivisme, cyberterrorisme...

Certains botnets utilisent des PC zombis pour préparer des attaques ultérieures. Ainsi, un botnet a scanné toutes les adresses Ipv4 en repérant les serveurs VoIP pour une raison inconnue à ce jour.

Bref, les spécialistes en sécurité doivent faire preuve par conséquent d'une grande variété de réactions... Certaines affaires médiatisées de manières sensationnalistes sèment la panique au lieu d'être étudiées calmement. Des pannes peuvent être faussement présentées comme des attaques. Certains RSSI prennent prétextes de ces affaires : les pirates sont plus forts que moi car ils sont soutenus par tel état, on ne peut rien faire, etc.

Le bon RSSI doit toujours se donner les moyens de retarder les intrusions, de les détecter et de réagir en cas d'intrusion. L'intrusion aura de toutes les façons lieu un jour ou l'autre.