Article de reference

Cyberattaque

Une cyberattaque (ou cyberattaque) se produit lorsqu'il y a une action non autorisée contre une infrastructure informatique qui compromet la confidentialité, l'intégrité ou la d...

Une cyberattaque (ou cyberattaque) se produit lorsqu'il y a une action non autorisée contre une infrastructure informatique qui compromet la confidentialité, l'intégrité ou la disponibilité de son contenu.

La dépendance croissante à l'égard de systèmes informatiques de plus en plus complexes et interconnectés dans la plupart des domaines de la vie est le principal facteur de vulnérabilité aux cyberattaques, car pratiquement tous les systèmes informatiques présentent des failles qui peuvent être exploitées par des attaquants. Bien qu'il soit impossible ou peu pratique de créer un système parfaitement sécurisé, il existe de nombreux mécanismes de défense qui peuvent rendre un système plus difficile à attaquer.

Les auteurs d'une cyberattaque peuvent être des criminels, des hacktivistes ou des États. Ils tentent de trouver des faiblesses dans un système, de les exploiter et de créer des logiciels malveillants pour atteindre leurs objectifs, puis de les diffuser sur le système ciblé. Une fois installé, le logiciel malveillant peut avoir divers effets en fonction de son objectif. La détection des cyberattaques est souvent absente ou retardée, en particulier lorsque le logiciel malveillant tente d'espionner le système sans être découvert. S'il est découvert, l'organisation ciblée peut tenter de recueillir des preuves de l'attaque, de supprimer le logiciel malveillant de ses systèmes et de combler la vulnérabilité qui a permis l'attaque.

Les cyberattaques peuvent causer de nombreux préjudices aux individus, aux organisations et aux gouvernements ciblés, notamment des pertes financières importantes et des vols d'identité . Elles sont généralement illégales, tant en tant que méthode criminelle que de guerre , bien qu'il soit difficile d'attribuer correctement l'attaque et que les auteurs soient rarement poursuivis.

Définitions

Une cyberattaque peut être définie comme toute tentative par un individu ou une organisation « d'utiliser un ou plusieurs ordinateurs et systèmes informatiques pour voler, exposer, modifier, désactiver ou éliminer des informations, ou pour violer des systèmes d'information informatique, des réseaux informatiques et des infrastructures informatiques ». Les définitions diffèrent quant au type de compromis requis – par exemple, exiger que le système produise des réponses inattendues ou provoque des blessures ou des dommages matériels. Certaines définitions excluent les attaques menées par des acteurs non étatiques et d'autres exigent que la cible soit un État. La sécurité d'un système repose sur le maintien de la triade de la CIA : confidentialité (pas d'accès non autorisé), intégrité (pas de modification non autorisée) et disponibilité. Bien que la disponibilité soit moins importante pour certains services basés sur le Web, elle peut être l'aspect le plus crucial pour les systèmes industriels.

Prévalence

Au cours des six premiers mois de 2017, deux milliards de données ont été volées ou affectées par des cyberattaques, et les paiements de rançon ont atteint 2 milliards de dollars , soit le double de 2016. En 2020, avec l'augmentation du travail à distance en raison de la pandémie mondiale de COVID-19, les statistiques sur la cybersécurité révèlent une augmentation considérable des données piratées et compromises. Le marché mondial de la sécurité de l'information devrait atteindre 170,4 milliards de dollars en 2022.

Vulnérabilité

Chronologie d'une vulnérabilité logicielle découverte par des attaquants avant un fournisseur ( zero day )

Au fil du temps, les systèmes informatiques occupent une place de plus en plus importante dans la vie quotidienne et les interactions. Si la complexité et la connectivité croissantes des systèmes augmentent l'efficacité, la puissance et la commodité de la technologie informatique, elles rendent également les systèmes plus vulnérables aux attaques et aggravent les conséquences d'une éventuelle attaque.

Malgré l'objectif des développeurs de fournir un produit qui fonctionne entièrement comme prévu, pratiquement tous les logiciels et matériels contiennent des bogues. Si un bogue crée un risque de sécurité, il est appelé une vulnérabilité . Des correctifs sont souvent publiés pour corriger les vulnérabilités identifiées, mais celles qui restent inconnues ( zero day ) ainsi que celles qui n'ont pas été corrigées sont toujours susceptibles d'être exploitées. Le fournisseur de logiciels n'est pas légalement responsable du coût si une vulnérabilité est utilisée dans une attaque, ce qui crée une incitation à créer des logiciels moins chers mais moins sûrs. Les vulnérabilités varient dans leur capacité à être exploitées par des acteurs malveillants. Les plus précieuses permettent à l'attaquant d' injecter et d'exécuter son propre code (appelé malware ), sans que l'utilisateur n'en soit conscient. Sans une vulnérabilité permettant l'accès, l'attaquant ne peut pas accéder au système.

Protection

Les décisions d'architecture et de conception d'un système jouent un rôle majeur dans la détermination de son degré de sécurité. L'approche traditionnelle pour améliorer la sécurité consiste à détecter les systèmes vulnérables aux attaques et à renforcer ces systèmes pour rendre les attaques plus difficiles, mais elle n'est que partiellement efficace. L'évaluation formelle des risques de compromission de systèmes hautement complexes et interconnectés est peu pratique et la question connexe de savoir combien dépenser pour la sécurité est difficile à répondre. En raison de la nature en constante évolution et incertaine des cybermenaces, l'évaluation des risques peut produire des scénarios coûteux ou inabordables à atténuer. En 2019 , il n'existe aucun système de défense active largement utilisé et disponible dans le commerce pour protéger les systèmes en augmentant intentionnellement la complexité ou la variabilité des systèmes pour les rendre plus difficiles à attaquer. L' approche de la cyber-résilience , en revanche, suppose que des violations se produiront et se concentre sur la protection des fonctionnalités essentielles même si des parties sont compromises, en utilisant des approches telles que la micro-segmentation , la confiance zéro et la planification de la continuité des activités .

La majorité des attaques peuvent être évitées en s'assurant que tous les logiciels sont entièrement corrigés. Néanmoins, les systèmes entièrement corrigés restent vulnérables aux exploits utilisant des vulnérabilités zero-day . Le risque d'attaque le plus élevé se produit juste après qu'une vulnérabilité a été divulguée publiquement ou qu'un correctif est publié, car les attaquants peuvent créer des exploits plus rapidement qu'un correctif ne peut être développé et déployé.

Les solutions logicielles visent à empêcher les accès non autorisés et à détecter l’intrusion de logiciels malveillants. La formation des utilisateurs peut éviter les cyberattaques (par exemple, à ne pas cliquer sur un lien suspect ou une pièce jointe à un e-mail), en particulier celles qui dépendent d’une erreur de l’utilisateur. Cependant, trop de règles peuvent amener les employés à les ignorer, annulant ainsi toute amélioration de la sécurité. Certaines attaques internes peuvent également être évitées à l’aide de règles et de procédures. Les solutions techniques peuvent prévenir de nombreuses causes d’erreur humaine qui rendent les données vulnérables aux attaquants, telles que le chiffrement de toutes les données sensibles, l’interdiction pour les employés d’utiliser des mots de passe non sécurisés, l’installation d’un logiciel antivirus pour empêcher les logiciels malveillants et la mise en œuvre d’un système de correctifs robuste pour garantir que tous les appareils sont maintenus à jour.

Il existe peu de données probantes sur l’efficacité et la rentabilité des différentes mesures de prévention des cyberattaques. Bien que l’attention portée à la sécurité puisse réduire le risque d’attaque, il est impossible d’assurer une sécurité parfaite pour un système complexe, et de nombreuses mesures de sécurité présentent des inconvénients inacceptables en termes de coût ou de facilité d’utilisation. Par exemple, réduire la complexité et la fonctionnalité du système est efficace pour réduire la surface d’attaque . Déconnecter les systèmes d’Internet est une mesure vraiment efficace contre les attaques, mais elle est rarement réalisable. Dans certaines juridictions, il existe des exigences légales de protection contre les attaques.

Processus et types d'attaque

Chaîne de destruction des intrusions pour la sécurité des informations
Un autre modèle de la chaîne des cyberattaques

La cyber-chaîne de destruction est le processus par lequel les auteurs mènent des cyberattaques.

  1. Reconnaissance : les attaquants potentiels recherchent des informations sur le système afin de le cibler. Ils peuvent rechercher des informations accessibles au public ou mener des attaques d'ingénierie sociale pour obtenir plus d'informations sur les systèmes de la cible.
  2. Armement : après avoir découvert une vulnérabilité , les attaquants créent un exploit pour y accéder et un logiciel malveillant pour mener l'attaque.
  3. Livraison : une fois terminé, le logiciel malveillant est livré à la cible. La plupart des violations de données et des insertions de logiciels malveillants sont activées par phishing , où l'attaquant envoie une communication malveillante, souvent un e-mail, pour tenter d'inciter le destinataire à cliquer sur un lien ou une pièce jointe pour diffuser le logiciel malveillant. Le téléchargement par drive-by-download ne nécessite aucun clic, seulement une visite sur un site Web malveillant. Parfois, des initiés sont à l'origine de l'attaque et peuvent utiliser leurs informations d'identification pour contourner la sécurité. Certaines attaques sont livrées indirectement par l'intermédiaire d'entreprises associées qui ont une relation commerciale avec la cible. D'autres peuvent être livrées en accédant directement au matériel, notamment dans les cas de corruption ou de chantage .
  4. Exploitation : le logiciel de l'attaquant est exécuté sur le système ciblé et crée souvent une porte dérobée pour permettre le contrôle à distance par l'attaquant.
  5. De nombreux attaquants ne lancent pas une attaque immédiatement. L'attaquant cherche souvent à persister après une interruption du système (comme un crash ou un redémarrage), à ​​échapper à la détection et à élever ses privilèges , et à sécuriser plusieurs canaux de communication avec ses contrôleurs. D'autres actions courantes incluent la réponse aux commandes à distance et la collecte et la copie de données sur un périphérique contrôlé par l'attaquant ( exfiltration de données ).

Activité

Une fois le logiciel malveillant installé, son activité varie considérablement en fonction des objectifs de l'attaquant. De nombreux attaquants tentent d'espionner un système sans l'affecter. Bien que ce type de logiciel malveillant puisse avoir des effets secondaires inattendus , il est souvent très difficile à détecter. Les botnets sont des réseaux d'appareils compromis qui peuvent être utilisés pour envoyer du spam ou effectuer par déni de service , inondant un système de trop de requêtes pour que le système puisse les traiter en même temps, le rendant ainsi inutilisable. Les attaquants peuvent également utiliser des ordinateurs pour extraire des cryptomonnaies , telles que Bitcoin , à leur propre profit.

Les ransomwares sont des logiciels utilisés pour crypter ou détruire des données ; les attaquants exigent un paiement pour la restauration du système ciblé. L'avènement de la cryptomonnaie permettant des transactions anonymes a conduit à une augmentation spectaculaire des demandes de ransomware.

Auteurs et motivations

Défiguration de site Web : les pirates de Lapsus$ ont remplacé le contenu d'un site Web

Le stéréotype du pirate informatique est celui d'un individu qui travaille pour son propre compte. Cependant, de nombreuses cybermenaces sont le fait d'équipes d'experts bien dotés en ressources. « Les revenus croissants des cybercriminels conduisent à de plus en plus d'attaques, à un professionnalisme croissant et à des attaquants hautement spécialisés. De plus, contrairement à d'autres formes de criminalité, la cybercriminalité peut être menée à distance et les cyberattaques sont souvent bien évolutives. » De nombreuses cyberattaques sont provoquées ou activées par des initiés, souvent des employés qui contournent les procédures de sécurité pour faire leur travail plus efficacement. Les attaquants varient considérablement en termes de compétences et de sophistication, ainsi que de détermination à attaquer une cible particulière, par opposition à choisir de manière opportuniste une cible facile à attaquer. Le niveau de compétence de l'attaquant détermine les types d'attaques qu'il est prêt à lancer. Les attaquants les plus sophistiqués peuvent persister sans être détectés sur un système renforcé pendant une période prolongée.

Les motivations et les objectifs diffèrent également. Selon que la menace attendue est un espionnage passif, une manipulation de données ou un détournement actif, différentes méthodes d'atténuation peuvent être nécessaires.

Les fournisseurs de logiciels et les gouvernements s'intéressent principalement aux vulnérabilités non divulguées ( zero-days ), kits d'exploitation prêts à l'emploi basés sur des vulnérabilités connues, qui sont beaucoup moins chers. Le manque de transparence du marché entraîne des problèmes, comme l'impossibilité pour les acheteurs de garantir que la vulnérabilité zero-day n'a pas été vendue à un tiers. Les acheteurs et les vendeurs font de la publicité sur le dark web et utilisent la cryptomonnaie pour des transactions intraçables. En raison de la difficulté d'écrire et de maintenir des logiciels capables d'attaquer une grande variété de systèmes, les criminels ont découvert qu'ils pouvaient gagner plus d'argent en louant leurs exploits plutôt qu'en les utilisant directement.

La cybercriminalité en tant que service, où les pirates vendent des logiciels préemballés qui peuvent être utilisés pour provoquer une cyberattaque, est de plus en plus populaire en tant qu'activité à moindre risque et à plus haut profit que le piratage traditionnel. Une forme majeure de ce type de cybercriminalité consiste à créer un botnet d'appareils compromis et à le louer ou le vendre à un autre cybercriminel. Différents botnets sont équipés pour différentes tâches telles que les attaques DDOS ou le craquage de mots de passe. Il est également possible d'acheter le logiciel utilisé pour créer un botnet et des bots qui chargent les logiciels malveillants de l'acheteur sur les appareils d'un botnet. Le DDOS en tant que service utilisant des botnets conservés sous le contrôle du vendeur est également courant et peut être le premier produit de cybercriminalité en tant que service, et peut également être commis par inondation de SMS sur le réseau cellulaire. Les logiciels malveillants et les ransomwares en tant que service ont permis à des individus sans capacité technique de mener des cyberattaques.

Objectifs et conséquences

Les dix secteurs les plus touchés par les cyberattaques aux États-Unis en 2020
Coût total annualisé des cyberattaques par type d'attaque, 2016-2017

Les cibles des cyberattaques vont des particuliers aux entreprises et aux entités gouvernementales. De nombreuses cyberattaques sont déjouées ou échouent, mais celles qui réussissent peuvent avoir des conséquences dévastatrices. Comprendre les effets négatifs des cyberattaques aide les organisations à s'assurer que leurs stratégies de prévention sont rentables. Un article classe les dommages causés par les cyberattaques dans plusieurs domaines :

  • Dommages matériels, y compris blessures, décès ou destruction de biens
  • Dommages numériques, tels que la destruction de données ou l’introduction de logiciels malveillants
  • Les pertes économiques, telles que celles causées par des opérations perturbées, le coût des enquêtes ou les amendes réglementaires.
  • Préjudice psychologique , par exemple lorsque les utilisateurs sont contrariés par la fuite de leurs données
  • Atteinte à la réputation , perte de réputation causée par l'attaque
  • Des externalités négatives pour la société dans son ensemble, comme la perte de l’accès à un service important par les consommateurs en raison de l’attaque.

Données sur les consommateurs

Violations de données signalées aux États-Unis par année, 2005-2023

Des milliers de données sont volées chaque jour à des particuliers. Selon une estimation de 2020, 55 % des violations de données ont été causées par le crime organisé , 10 % par des administrateurs système , 10 % par des utilisateurs finaux tels que des clients ou des employés, et 10 % par des États ou des acteurs affiliés à l’État. Les criminels opportunistes peuvent être à l’origine de violations de données, souvent en utilisant des logiciels malveillants ou des attaques d’ingénierie sociale , mais ils passeront généralement à autre chose si la sécurité est supérieure à la moyenne. Les criminels plus organisés ont plus de ressources et sont plus ciblés dans leur ciblage de données particulières . Tous deux vendent les informations qu’ils obtiennent pour un gain financier. Une autre source de violations de données est celle des pirates informatiques à motivation politique , par exemple Anonymous , qui ciblent des objectifs particuliers. Les pirates informatiques parrainés par l’État ciblent soit des citoyens de leur pays, soit des entités étrangères, à des fins de répression politique et d’espionnage .

Après une violation de données, les criminels gagnent de l'argent en vendant des données, telles que des noms d'utilisateur, des mots de passe, des informations sur les réseaux sociaux ou les comptes de fidélité des clients , des numéros de cartes de débit et de crédit, et des informations personnelles sur la santé (voir violation de données médicales ). Ces informations peuvent être utilisées à diverses fins, telles que le spam , l'obtention de produits avec les informations de fidélité ou de paiement d'une victime, la fraude aux médicaments sur ordonnance , la fraude à l'assurance , et surtout le vol d'identité . externalité négative pour l'entreprise.

Infrastructures critiques

Pompes à essence hors service en raison d' achats de panique après la cyberattaque du Colonial Pipeline à Oak Hill, en Virginie

Les infrastructures critiques sont celles considérées comme les plus essentielles, comme les soins de santé, l’approvisionnement en eau, les transports et les services financiers, qui sont de plus en plus régies par des systèmes cyberphysiques qui dépendent de l’accès au réseau pour leur fonctionnement. Depuis des années, les auteurs mettent en garde contre les conséquences cataclysmiques des cyberattaques qui ne se sont pas matérialisées en 2023. [ Ces scénarios extrêmes pourraient encore se produire, mais de nombreux experts considèrent qu’il est peu probable que les défis liés à l’infliction de dommages physiques ou à la propagation de la terreur puissent être surmontés. Des cyberattaques de plus petite envergure, entraînant parfois l’interruption de services essentiels, se produisent régulièrement.

Sociétés et organisations

Il existe peu de preuves empiriques de dommages économiques (tels que des atteintes à la réputation ) causés par les violations, à l’exception du coût direct pour des questions telles que les efforts de rétablissement juridiques, techniques et de relations publiques. Les études qui ont tenté de corréler les cyberattaques aux baisses à court terme des cours des actions ont abouti à des résultats contradictoires, certaines constatant des pertes modestes, d’autres n’ayant constaté aucun effet, et certains chercheurs critiquant ces études pour des raisons méthodologiques. L’effet sur le cours des actions peut varier en fonction du type d’attaque. Certains experts ont fait valoir que les preuves suggèrent que les coûts directs ou les atteintes à la réputation causés par les violations ne sont pas suffisants pour inciter suffisamment à leur prévention.

Gouvernements

En 2022, les sites Web du gouvernement du Costa Rica ont été inaccessibles en raison d' une attaque de ransomware .

Les sites Web et les services gouvernementaux font partie de ceux qui sont touchés par les cyberattaques. Certains experts émettent l’hypothèse que les cyberattaques affaiblissent la confiance de la société ou la confiance dans le gouvernement, mais en 2023, cette notion n’a que des preuves limitées.

Réponses

Réagir rapidement aux attaques est un moyen efficace de limiter les dégâts. Cette réponse nécessitera probablement une grande variété de compétences, allant de l'enquête technique aux relations juridiques et publiques. En raison de la prévalence des cyberattaques, certaines entreprises planifient leur réponse aux incidents avant qu'une attaque ne soit détectée et peuvent désigner une équipe d'intervention d'urgence informatique pour être prête à gérer les incidents.

Détection

De nombreuses attaques ne sont jamais détectées. Parmi celles qui le sont, le délai moyen de découverte est de 197 jours. Certains systèmes peuvent détecter et signaler des anomalies pouvant indiquer une attaque, en utilisant des technologies telles qu'un antivirus , un pare-feu ou un système de détection d'intrusion . Une fois qu'une activité suspecte est suspectée, les enquêteurs recherchent des indicateurs d'attaque et des indicateurs de compromission . La découverte est plus rapide et plus probable si l'attaque vise la disponibilité des informations (par exemple avec une attaque par déni de service ) plutôt que l'intégrité (modification des données) ou la confidentialité (copie des données sans les modifier). Les acteurs étatiques sont plus susceptibles de garder l'attaque secrète. Les attaques sophistiquées utilisant des exploits précieux ont moins de chances d'être détectées ou annoncées, car l'auteur souhaite protéger l'utilité de l'exploit.

La collecte des preuves est effectuée immédiatement, en donnant la priorité aux preuves volatiles qui sont susceptibles d'être effacées rapidement. La collecte de données sur la violation peut faciliter un litige ultérieur ou des poursuites pénales, mais seulement si les données sont collectées conformément aux normes juridiques et que la chaîne de traçabilité est maintenue.

Récupération

Le confinement du système affecté est souvent une priorité élevée après une attaque, et peut être mis en œuvre par l'arrêt, l'isolement, l'utilisation d'un système sandbox pour en savoir plus sur l'adversaire la correction de la vulnérabilité et la reconstruction . Une fois la manière exacte dont le système a été compromis identifiée, il ne reste généralement qu'une ou deux vulnérabilités techniques à traiter afin de contenir la violation et d'empêcher qu'elle ne se reproduise. Un test de pénétration peut alors vérifier que le correctif fonctionne comme prévu. Si des logiciels malveillants sont impliqués, l'organisation doit enquêter et fermer tous les vecteurs d'infiltration et d'exfiltration, ainsi que localiser et supprimer tous les logiciels malveillants de ses systèmes. Le confinement peut compromettre l'enquête, et certaines tactiques (comme l'arrêt des serveurs) peuvent violer les obligations contractuelles de l'entreprise. Une fois la violation entièrement contenue, l'entreprise peut alors travailler à la restauration de tous les systèmes opérationnels. Le maintien d'une sauvegarde et le test des procédures de réponse aux incidents sont utilisés pour améliorer la récupération.

Attribution

Il est difficile d’attribuer la responsabilité d’une cyberattaque et cela n’intéresse que peu les entreprises qui en sont la cible. En revanche, les services secrets ont souvent un intérêt impérieux à découvrir si un État est à l’origine de l’attaque. Contrairement aux attaques menées en personne, il est difficile de déterminer l’entité derrière une cyberattaque. Un autre défi dans l’attribution des cyberattaques est la possibilité d’une attaque sous fausse bannière , où l’auteur réel fait croire que quelqu’un d’autre a provoqué l’attaque. Chaque étape de l’attaque peut laisser des artefacts , tels que des entrées dans les fichiers journaux, qui peuvent être utilisés pour aider à déterminer les objectifs et l’identité de l’attaquant. Au lendemain d’une attaque, les enquêteurs commencent souvent par sauvegarder autant d’artefacts qu’ils peuvent trouver, puis tentent d’identifier l’attaquant. Les organismes chargés de l’application de la loi peuvent enquêter sur les incidents cybernétiques bien que les pirates informatiques responsables soient rarement arrêtés.

Légalité

La plupart des États conviennent que les cyberattaques sont régies par les lois régissant l’ usage de la force en droit international [ et que, par conséquent, les cyberattaques en tant que forme de guerre sont susceptibles de violer l’interdiction de l’agression . Par conséquent, elles pourraient être poursuivies comme crime d’agression ] . Il existe également un consensus sur le fait que les cyberattaques sont régies par le droit international humanitaire [ et que si elles visent des infrastructures civiles, elles pourraient être poursuivies comme crime de guerre , crime contre l’humanité ou acte de génocide . Les tribunaux internationaux ne peuvent pas faire appliquer ces lois sans une attribution solide de l’attaque, sans laquelle les contre-mesures d’un État ne sont pas non plus légales

Dans de nombreux pays, les cyberattaques sont passibles de poursuites en vertu de diverses lois visant la cybercriminalité . L’attribution de l’attaque au-delà de tout doute raisonnable à l’accusé constitue également un défi majeur dans les procédures pénales. En 2021, les États membres des Nations Unies ont commencé à négocier un projet de traité sur la cybercriminalité.

De nombreuses juridictions disposent de lois sur la notification des violations de données qui obligent les organisations à informer les personnes dont les données personnelles ont été compromises lors d’une cyberattaque.

Plus d articles de Worldlex Wiki

Revenez a l index pour explorer davantage de pages sur l histoire, la science, la culture, la geographie et la societe en francais.

Explorer l index