Communication réalisée lors de la conférence Digital Intelligence DI 2014 à Nantes , le 17 septembre 2014.
Rubrique :
Security & Privacy
Titre de la conférence :
Cyberconflictualité, hacking d'influence et prévisibilité des attaques.
Par Thierry Berthier
Chercheur Chaire de Cyberdéfense & Cybersécurité Saint-Cyr Sogeti Thales.
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilité des attaques
1. Digital Intelligence -17 septembre 2014 Nantes
Cyberconflictualité, hacking d’influence et
prévisibilité des attaques
Thierry Berthier
Chaire de Cybersécurité & Cyberdéfense Saint-Cyr Sogeti Thales
http://www.chaire-cyber.fr/
http://cyberland.centerblog.net/
2. Cyberconflictualité – DI 2014
Les problématiques de cybersécurité &
cyberdéfense constituent l’une des priorités
du dernier Livre Blanc de la Défense
Nationale.
Les guerres, les révoltes et les conflits
humains se projettent aujourd’hui
systématiquement sur les espaces
numériques en créant de fortes
turbulences…
3. Cyberconflictualité – DI 2014
Quelques chiffres :
Le rythme des APT (Menaces Persistantes Avancées) a doublé
passant d’une APT dans le monde toutes les 3 secondes en
2012 à une APT toutes les 1,5 secondes en 2013…
Carte des infections par
Logiciels malveillants - 2012
Source Kaspersky Labs
7. Cyberconflictualité – DI 2014
En 2012, 70 % du trafic d’attaque a été généré par
un Top-groupe de 10 pays sur 180 étudiés.
Cette distribution est à rapprocher d’une loi de Pareto
(loi du “peu font beaucoup”) valable sur tous les
champs de bataille de l’espace physique.
La Chine est à l’origine de 33% des cyberattaques
mondiales.
10. Cyberconflictualité – DI 2014
On distingue différents types de hacking :
- Le hacking ludique ou opportuniste
- Le hacking d’acquisition / prise de contrôle
- Le hacking d’influence ou Hacktivisme
11. Cyberconflictualité – DI 2014
Le hacking ludique ou opportuniste :
- Il est souvent l’oeuvre de hackers débutants.
- Il n’implique pas de cible prédéfinie.
- L’attaque est réalisée à la suite de la détection de
vulnérabilités sur la cible.
- Il n’a pas d’objectif particulier si ce n’est le défi
technique lié à l’intrusion dans le système cible.
- Il est parfois revendiqué par le hacker pour renforcer
sa réputation sur les forums de hacking.
12. Cyberconflictualité – DI 2014
Le hacking d’acquisition d’information et prise
de contrôle d’infrastructures :
Il intervient dans les opérations de cyberespionnage
étatiques, de renseignement et de cybersubversion.
Il procède par des attaques furtives (via des APT).
Il est difficilement attribuable et non revendiqué.
Il est parfois complété par une opération de sabotage,
de destruction de données ou d’infrastructures
industrielles (exemple de Stuxnet en 2010).
Il est associé à des logiciels très sophistiqués : Flame,
Duqu, Careto Mask,…
13. Cyberconflictualité – DI 2014
Le hacking d’influence ou hacktivisme :
Il est lié à un conflit projeté sur le cyberespace.
Il est utilisé pour modifier la perception d’un
événement, et pour influencer une opinion
publique.
Il peut être présent lors d’OP de cybersubversion et de
cybermanipulation.
Il se manifeste souvent par un défacement du site
ciblé avec publication du message militant.
Il est toujours revendiqué.
14. Cyberconflictualité – DI 2014
Un hacking d’influence peut engendrer de fortes
turbulences comme l’a montré l’exemple du faux
tweet de la SEA à 136 Milliards de dollars…04/2013
16. Cyberconflictualité – DI 2014
Le hacking d’acquisition et de prise de contrôle est plus
sophistiqué. Il sous-entend :
- Un ou des objectifs stratégiques bien définis.
- Des moyens importants : équipe de développement,
ingénierie sociale, tests d’intrusion, exploitation de
l’information captée, suivi de l’OP jusqu’à son terme.
- Il s’inscrit souvent dans la durée.
- Il est supervisé par des organisations étatiques,
militaires… (renseignement, intelligence économique)
- Par exemple : L’OP Newscaster – découverte en mai.
17. Cyberconflictualité – DI2014
L’opération Newscaster ( Iran-USA, 2012-2014 )
Le cyberespionnage se construit à partir des réseaux sociaux et de
faux sites d’informations. L’attaquant instaure la confiance durant
plusieurs mois pour ensuite collecter l’information liée à sa cible.
18. Cyberconflictualité – DI 2014
L’idée est de créer des profils fictifs et de l’information
artificielle, instaurer la confiance dans la durée pour
mieux tromper sa cible. Réponse iranienne à Stuxnet…
19. Cyberconflictualité – DI 2014
Se prémunir des cyberattaques :
- Par une défense périmétrique des systèmes : antivirus
efficaces, firewalls intelligents comme celui qui a été
développé en Israël (apprenant le comportement des
utilisateurs, via réseaux et analyse bayésienne…)
- Par le renforcement de la sécurité des OIV
(Opérateurs d’Importance Vitale).
- Par une éducation à « l’hygiène informatique » des
utilisateurs.
- Par une veille systématique des canaux de
communication des hackers et par la construction de
prévisions dans le cadre du hacking d’influence.
20. Cyberconflictualité – DI 2014
Contrer le hacking d’influence :
L’idée est d’utiliser les projections algorithmiques des
cellules de hackers pour construire un système prédictif
capable de détecter les cibles probables et la
temporalité des futures attaques : c’est possible !
Il faut cibler les cybercellules les plus « hacktives » et
collecter l’ensemble de leurs projections algorithmiques
sur zone-h, sur les comptes Twitter, Facebook et sur les
sites web des cellules de hackers.
21. Cyberconflictualité – DI 2014
Contrer le hacking d’influence :
La répartition des attaques par défacement selon les
cellules de hackers suit une loi de Pareto.
Plus de 80 % des cyberagressions est l’oeuvre de moins
de 10 % des cellules de hacking.
Le hacker indonésien « Hmei7 » est à l’origine de
149289 défacements (parfois groupés – mai 2014).
La cellule turque GhoSt61 en revendique 283 206 !!
22. Cyberconflictualité – DI 2014
Contrer le hacking d’influence :
Ces cellules revendiquent leurs attaques, communiquent
sur leurs espaces et fournissent de l’information
(données et métadonnées) exploitable par
croisement pour construire un ensemble de cibles
potentielles, à l’instant T et selon une probabilité p.
L’historique des attaques supervisées par une cellule
donne de l’information; les alliances et les
coopérations entre cellules également.
Le graphe des relations entre cellules «parle» beaucoup
23. Cyberconflictualité – DI 2014
Contrer le hacking d’influence
Un cas de prévisibilité importante :
OPIsraël I en 2013 a ciblé de nombreux sites web
israéliens. Plus de 20 cellules (Moyen-Orient,
Indonésie, Maghreb) se sont alliées pour attaquer.
Elles ont échangé régulièrement après l’OP1, il était
presque certain qu’une OP2 aurait lieu en date
anniversaire avec de bons candidats comme futures
cibles (le site du ministère de l’agriculture israélien).
OPIsraël II a bien eu lieu impactant ce site…
25. Cyberconflictualité – DI 2014
Contrer le hacking d’influence
En conclusion, nous devons :
- Systématiser la veille des projections algorithmiques
des cellules « hyperhacktives ».
- Construire l’ensemble des cibles potentielles, leur
probabilité d’attaque et de temporalité.
- Utiliser les résultats de « Défacement » pour tenter
de prévoir les cibles d’APT (Cas de la SEA).