La deuxième édition de la journée de la cyberdéfense se tenait le 27 mars à l'EPITA. Organisée par le ministère de la Défense pour sensibiliser les étudiants aux problématiques de cybersécurité, elle permettait aux Epitéens de mieux comprendre les différentes missions de l'armée en la matière.
Le mode opératoire d'une cyber-attaque ciblée en 6 étapes
Si n'importe qui peut être victime d'une attaque sur Internet, toutes les attaques n'ont pas le même but. En première position des attaques les plus virulentes se trouvent les Advanced Persistent Threat (APT), des « menaces persistantes avancées » utilisées pour « faire du mal et récupérer les informations » dixit le Lieutenant Bardou du CALID. Ces opérations offensives se répètent afin de mieux cerner puis envahir le système visé à l'aide de malwares très performants, parfois développés par des équipes composées de plusieurs dizaines de membres. Elles fonctionnent selon un processus divisé en 6 étapes distinctes :
Le choix de la cible est le point de départ de toute attaque. L'assaillant va d'abord trouver un site ou un serveur susceptible de l'intéresser. Un email contenant un malware est ensuite envoyé pour infiltrer la cible. Cette étape peut se répéter par la suite avec l'envoi de malwares plus « puissants » si l'attaquant le juge opportun.
Le malware installé, l'attaquant recherche alors les potentielles failles de la machine, du serveur ou du réseau. Il s'agit de voir par exemple ce que permettent les statuts d'utilisateur et d'administrateurs, de « comprendre » le mode de fonctionnement de la cible.
C'est là que l'attaque commence à prendre formes. Le « pirate » élève ses privilèges et obtient les droits d'administrateur qui lui permettent d'agir directement et de manière plus discrète.
Il s'agit d'une simple vérification : l'attaquant vérifie si sa méthode est utile pour lui permettre d'atteindre ses objectifs. Si ses codes et malwares sont opérationnels, il pourra procéder à l'étape suivante. Il peut éventuellement préparer un « écran de fumée » pour camoufler l'intention première de l'attaque.
La vérification effectuée, l'attaque est définitivement entamée. Les informations sensibles sont récupérées et transmises à des serveurs « amis ».
L'opération terminée et toutes les informations récupérées, l'assaillant peut choisir de saboter le réseau attaqué et de détruire les données, voire l'outil informatique. Plus « simple » à mettre en place, la destruction de données est d'ailleurs souvent préconisée plutôt que leur exfiltration.