Embed Size (px)
DESCRIPTION
Communication réalisée lors de la conférence Digital Intelligence DI 2014 à Nantes , le 17 septembre 2014. Rubrique : Security & Privacy Titre de la conférence : Cyberconflictualité, hacking d'influence et prévisibilité des attaques. Par Thierry Berthier Chercheur Chaire de Cyberdéfense & Cybersécurité Saint-Cyr Sogeti Thales.
Citation preview
Digital Intelligence -17 septembre 2014 Nantes
Cyberconflictualité, hacking d’influence et prévisibilité des
attaquesThierry Berthier
Chaire de Cybersécurité & Cyberdéfense Saint-Cyr Sogeti Thaleshttp://www.chaire-cyber.fr/
http://cyberland.centerblog.net/
Cyberconflictualité – DI 2014
Les problématiques de cybersécurité & cyberdéfense constituent l’une des priorités du dernier Livre Blanc de la Défense Nationale.
Les guerres, les révoltes et les conflits humains se projettent aujourd’hui systématiquement sur les espaces numériques en créant de fortes turbulences…
Cyberconflictualité – DI 2014
Quelques chiffres : Le rythme des APT (Menaces Persistantes Avancées) a
doublé passant d’une APT dans le monde toutes les 3 secondes en 2012 à une APT toutes les 1,5 secondes en 2013…
Carte des infections par Logiciels malveillants - 2012Source Kaspersky Labs
Cyberconflictualité – DI 2014
La répartition technique des cyberattaques en 2013 :
Cyberconflictualité – DI 2014
La répartition des motivations :
Cyberconflictualité – DI 2014
La répartition des cibles en 2013 :
Cyberconflictualité – DI 2014
En 2012, 70 % du trafic d’attaque a été généré par un Top-groupe de 10 pays sur 180 étudiés.
Cette distribution est à rapprocher d’une loi de
Pareto (loi du “peu font beaucoup”) valable sur tous les champs de bataille de l’espace physique.
La Chine est à l’origine de 33% des cyberattaques mondiales.
Cyberconflictualité – DI 2014
Le Top10 des attaquants
Cyberconflictualité – DI 2014
Les ports les plus ciblés
Cyberconflictualité – DI 2014
On distingue différents types de hacking :
- Le hacking ludique ou opportuniste
- Le hacking d’acquisition / prise de contrôle
- Le hacking d’influence ou Hacktivisme
Cyberconflictualité – DI 2014
Le hacking ludique ou opportuniste :- Il est souvent l’oeuvre de hackers débutants.- Il n’implique pas de cible prédéfinie. - L’attaque est réalisée à la suite de la détection
de vulnérabilités sur la cible. - Il n’a pas d’objectif particulier si ce n’est le
défi technique lié à l’intrusion dans le système cible.
- Il est parfois revendiqué par le hacker pour renforcer sa réputation sur les forums de hacking.
Cyberconflictualité – DI 2014
Le hacking d’acquisition d’information et prise de contrôle d’infrastructures :
Il intervient dans les opérations de cyberespionnage étatiques, de renseignement et de cybersubversion.
Il procède par des attaques furtives (via des APT).
Il est difficilement attribuable et non revendiqué.
Il est parfois complété par une opération de sabotage, de destruction de données ou d’infrastructures industrielles (exemple de Stuxnet en 2010).
Il est associé à des logiciels très sophistiqués : Flame, Duqu, Careto Mask,…
Cyberconflictualité – DI 2014
Le hacking d’influence ou hacktivisme :Il est lié à un conflit projeté sur le cyberespace.Il est utilisé pour modifier la perception d’un
événement, et pour influencer une opinion publique.
Il peut être présent lors d’OP de cybersubversion et de cybermanipulation.
Il se manifeste souvent par un défacement du site ciblé avec publication du message militant.
Il est toujours revendiqué.
Cyberconflictualité – DI 2014
Un hacking d’influence peut engendrer de fortes turbulences comme l’a montré l’exemple du faux tweet de la SEA à 136 Milliards de dollars…04/2013
Cyberconflictualité – DI 2014
Tous les indices dévissent en quelques minutes…
Cyberconflictualité – DI 2014
Le hacking d’acquisition et de prise de contrôle est plus sophistiqué. Il sous-entend :
- Un ou des objectifs stratégiques bien définis. - Des moyens importants : équipe de
développement, ingénierie sociale, tests d’intrusion, exploitation de l’information captée, suivi de l’OP jusqu’à son terme.
- Il s’inscrit souvent dans la durée. - Il est supervisé par des organisations
étatiques, militaires… (renseignement, intelligence économique)
- Par exemple : L’OP Newscaster – découverte en mai.
Cyberconflictualité – DI2014
L’opération Newscaster ( Iran-USA, 2012-2014 )
Le cyberespionnage se construit à partir des réseaux sociaux et de
faux sites d’informations. L’attaquant instaure la confiance durant
plusieurs mois pour ensuite collecter l’information liée à sa cible.
Cyberconflictualité – DI 2014
L’idée est de créer des profils fictifs et de l’information
artificielle, instaurer la confiance dans la durée pour
mieux tromper sa cible. Réponse iranienne à Stuxnet…
Cyberconflictualité – DI 2014
Se prémunir des cyberattaques : - Par une défense périmétrique des systèmes :
antivirus efficaces, firewalls intelligents comme celui qui a été développé en Israël (apprenant le comportement des utilisateurs, via réseaux et analyse bayésienne…)
- Par le renforcement de la sécurité des OIV (Opérateurs d’Importance Vitale).
- Par une éducation à « l’hygiène informatique » des utilisateurs.
- Par une veille systématique des canaux de communication des hackers et par la construction de prévisions dans le cadre du hacking d’influence.
Cyberconflictualité – DI 2014
Contrer le hacking d’influence : L’idée est d’utiliser les projections
algorithmiques descellules de hackers pour construire un système
prédictifcapable de détecter les cibles probables et latemporalité des futures attaques : c’est
possible !Il faut cibler les cybercellules les plus
« hacktives » etcollecter l’ensemble de leurs projections
algorithmiquessur zone-h, sur les comptes Twitter, Facebook et
sur les sites web des cellules de hackers.
Cyberconflictualité – DI 2014
Contrer le hacking d’influence : La répartition des attaques par défacement selon
les cellules de hackers suit une loi de Pareto.Plus de 80 % des cyberagressions est l’œuvre de
moins de 10 % des cellules de hacking.Le hacker indonésien « Hmei7 » est à l’origine de
149289 défacements (parfois groupés – mai 2014).
La cellule turque GhoSt61 en revendique 283 206 !!
Cyberconflictualité – DI 2014
Contrer le hacking d’influence : Ces cellules revendiquent leurs attaques,
communiquent sur leurs espaces et fournissent de l’information (données et métadonnées) exploitable par croisement pour construire un ensemble de cibles potentielles, à l’instant T et selon une probabilité p.
L’historique des attaques supervisées par une cellule donne de l’information; les alliances et les coopérations entre cellules également.
Le graphe des relations entre cellules «parle» beaucoup
Cyberconflictualité – DI 2014
Contrer le hacking d’influence Un cas de prévisibilité importante :OPIsraël I en 2013 a ciblé de nombreux sites web
israéliens. Plus de 20 cellules (Moyen-Orient, Indonésie, Maghreb) se sont alliées pour attaquer.
Elles ont échangé régulièrement après l’OP1, il était presque certain qu’une OP2 aurait lieu en date anniversaire avec de bons candidats comme futures cibles (le site du ministère de l’agriculture israélien).
OPIsraël II a bien eu lieu impactant ce site…
Cyberconflictualité – DI 2014
Contrer le hacking d’influence
Cyberconflictualité – DI 2014
Contrer le hacking d’influence En conclusion, nous devons : - Systématiser la veille des projections
algorithmiques des cellules « hyperhacktives ».
- Construire l’ensemble des cibles potentielles, leur probabilité d’attaque et de temporalité.
- Utiliser les résultats de « Défacement » pour tenter de prévoir les cibles d’APT (Cas de la SEA).
![[French] Web hacking](https://img.pdfslide.fr/doc/110x75/5571f23949795947648c5a7a/french-web-hacking.jpg)
