Sommaire

Préface

Les ressources exposées et les applicatifs sont de plus en plus nombreux dans un monde en pleine « digitalisation ». Les promesses offertes par ce nouveau monde sont nombreuses et chaque individu, chaque entreprise ou chaque État en attend des retombées.

La sécurité des systèmes d’information (#cybersécurité) est devenue une préoccupation majeure. Les États s’organisent pour identifier et protéger leurs ressources essentielles, et développer leurs compétences et leurs armes avec un objectif de dissuasion. L’État français n’est pas en reste en assumant avoir mis en place une force dédiée non seulement à la riposte, mais aussi à l’offensive. Les entreprises prennent conscience de la menace à travers notamment l’actualité, voire des incidents qu’elles ont pu subir, et organisent leurs défenses.

En cybersécurité, les groupes offensifs sont nombreux, et les motivations différentes. De façon caricaturale, nous pouvons identifier trois principaux groupes :

  • Le cybermercenaire, payé par des entreprises ou des États peu scrupuleux, et qui se cache sur le Web à travers différents réseaux qui lui permettent de rester anonyme. Il est très difficile de le rattacher à un État, car il peut potentiellement travailler pour tout le monde.

  • L’expert cybersécurité, payé par l’État-nation et qui travaille dans les services offensifs avec la motivation de servir les intérêts de son pays. Il participe à la guerre de l’information sur le champ de bataille « cyber ».

  • Le geek qui peut œuvrer en groupe, intéressé par le côté ludique et le challenge technique lié à l’exploitation d’une vulnérabilité. Le geek peut prévenir de la découverte d’une vulnérabilité ou l’utiliser dans des programmes de « bug bounty ».

Nous assistons à deux phénomènes sur les attaques : à la fois une généralisation avec des attaques techniquement triviales et principalement basées sur la tromperie d’un utilisateur (phishing entre autres) ou une erreur de configuration ; et en parallèle, une professionnalisation avec des attaques complexes, difficilement détectables, et qui permettent d’exfiltrer rapidement de la donnée ou de mettre en place des canaux de surveillance. Ces attaques sont revendues sur les marchés noirs ou bien gardées précieusement par les groupes offensifs pour être utilisées et réutilisées dans le cadre de leurs méfaits.

Pour les attaques visant les utilisateurs, de nombreuses mesures de sensibilisation peuvent être mises en place, mais elles ne pourront jamais prévenir totalement ce risque. Disons-le clairement, il s’agit là d’un échec, pour le moment, des systèmes automatisés et des outils de sécurité dont la proposition de valeur était autre. Les outils progressent, les analyses comportementales et l’IA (intelligence artificielle) permettront probablement dans les années à venir de mitiger un certain nombre de ces risques.

Pour se protéger des attaques complexes, il est important d’en étudier le fonctionnement et d’identifier, au cas par cas, les mécanismes de détection et de protection. Dans ce domaine, la coopération des équipes de recherche privées et publiques est indispensable. Les Frameworks offensifs permettent de partager dans des formats définis des codes d’exploitation qui permettent aux groupes de recherche d’identifier et d’exploiter des vulnérabilités. À partir de ce constat, des plans d’action doivent être mis en place pour corriger les failles découvertes sur les applicatifs.

Aujourd’hui, nous le voyons tous les jours, la difficulté réside dans la capacité des éditeurs de logiciels et des développeurs à corriger efficacement les vulnérabilités découvertes tant leur nombre augmente. En cybersécurité, ...