Institut numerique

SECTION 1 : La malveillance externe, un risque protéiforme

La malveillance externe est celle qui émane de tiers à l’entreprise, elle est donc susceptible de provenir d’une multiplicité de personnes, aux motivations diverses, qu’il convient de détailler afin de mieux cerner le risque (§1). Et nous verrons que les données des entreprises sont véritablement le nerf de la guerre.

Pour parvenir à leurs fins, quelles qu’elles soient, ces personnes lancent de véritables attaques contre les entreprises. On parle volontiers de pirates informatique ou « hacker »(36), car ils cherchent souvent à s’introduire frauduleusement dans un système ou un réseau informatique. Mais la cybercriminalité ne se résume pas à cela, leur dessein est servi par de multiples procédés qui ont tous en commun de mettre en défaut l’intégrité, la disponibilité et la confidentialité des systèmes d’information des entreprises (§2).

§1 : Des motivations diverses

De nouvelles menaces sont apparues ces trois dernières années : des attaques ciblées dont les motivations sont d’ordre politique ou idéologique (C). D’autres menaces, plus sophistiquées se sont également développées dans des buts plus stratégiques comme l’intelligence économique et les intérêts géopolitiques (B). Néanmoins la principale motivation des cybercriminels reste l’argent, exacerbée par l’émergence d’une véritable industrie grâce à internet (A).

A) De la gloire au profit

Si les prémices de la cybercriminalité ont été marquées par des hackers isolés en quête de gloire au sein de leur communauté, se donnant pour défi de pénétrer dans tel ou tel système informatique, la donne a changé. Certes, les motivations classiques (quête de notoriété, curiosité ou encore vengeance) perdurent pour une minorité de pirates, mais la finalité aujourd’hui majoritaire est bel et bien l’argent. Les cybercriminels exploitent ainsi les réseaux, notamment internet, et les systèmes informatiques pour en tirer un gain financier direct ou indirect. A ce titre, la première convoitise des cybercriminels sont les données, qui ont une grande valeur pour certaines.

Parce que les systèmes d’information des entreprises centralisent et agrègent de nombreuses données, ils constituent une cible de choix pour qui s’intéresse à ces informations. Et ils sont nombreux car la plupart de ces données sont susceptibles d’être utilisées à des fins lucratives. A ce titre, ce sont surtout les données personnelles que les entreprises peuvent détenir qui intéressent les cybercriminels car elles ont une valeur marchande non négligeable : coordonnées bancaires au premier rang, mais aussi noms, prénoms, adresses postales ou électroniques. Car sur internet tout s’achète et a fortiori tout se vend. Selon un rapport de sécurité publié en 2009 par G Data(37), des informations bancaires coûteraient entre 2 et 300 euro ; pour une base de données privées, il faudrait débourser entre 10 et 250 euro, tandis qu’une carte d’identité ou un permis de conduire contrefaits se vendraient de 50 à 2500 euro pièce. De quoi motiver les hackers, d’autant plus qu’aujourd’hui, plus besoin d’être un as de l’informatique pour s’adonner à cette forme de criminalité, un novice mal intentionné n’aura qu’à se servir parmi les outils proposés sur le web.

On est bien loin en effet de l’image de l’informaticien de génie, agissant seul derrière son ordinateur, à la recherche des failles d’internet et élaborant des virus. La cybercriminalité est devenue une véritable industrie avec ses fournisseurs de services, ses virus clé en main, ses entreprises innovantes, ses fournisseurs de fichiers de coordonnées bancaires ou d’adresses mail. “Les cybercriminels forment une chaîne, composée d’individus aux compétences multiples, présents dans divers pays”, explique la Compagnie européenne d’intelligence stratégique(38) (CEIS).

Ainsi, le pirate qui a dérobé une liste de données bancaires après s’être introduit dans le système d’information d’une entreprise ne va pas forcément les exploiter lui-même en retirant de l’argent des comptes de ses victimes. Il pourra les vendre à un site de « gros » qui les revendra probablement « au détail », opération qui pourra là encore inclure plusieurs intermédiaires. De nombreuses personnes vont ainsi tirer profit du piratage initial, en tout anonymat bien sûr. En effet, sur ce type de site, vendeurs et acheteurs communiquent via une messagerie instantanée qui chiffre leurs coordonnées. Il est alors difficile pour les autorités de retracer toute la chaîne. Bien sûr, il n’est pas question de payer en espèces. Les cybercriminels utilisent une monnaie virtuelle. Ce type de service étant bien souvent, pour ne pas dire toujours, fourni par des sociétés basées dans des paradis fiscaux, les hackers peuvent effectuer des transferts d’argent instantanés et anonymes, sans jamais être inquiétés.

Si la facilité incite les cybercriminels à recourir à ce véritable marché noir, d’autres voies s’offrent à eux pour assouvir leur quête de profit. Le pirate pourra notamment choisir de soutirer directement de l’argent à l’entreprise en la menaçant de divulguer des informations qu’il lui aura dérobées dans le cas où elle ne lui donnerait par une certaine somme d’argent. La tentation de l’extorsion est forte pour les cybercriminels lorsqu’ils savent qu’ils sont en possession de données extrêmement sensibles, voire compromettantes pour une entreprise. Car la plupart du temps, l’entreprise, en proie à la panique, préférera céder à ce chantage plutôt que de provoquer un scandale.

Les raisons du développement de la cybercriminalité sont en fait intrinsèquement liées aux caractéristiques d’internet : la capacité d’agir à distance, l’anonymat, la possibilité de passer par un grand nombre d’intermédiaires (serveurs, fournisseurs d’accès, etc.) et l’absence de frontières du cyberespace en font un lieu et un moyen de prédilection pour la criminalité. Toutes ces caractéristiques rendent très difficiles la poursuite et l’arrestation des cybercriminels.

D’une manière générale, la criminalité informatique se caractérise par un rapport gains / risques largement supérieur aux délits classiques. Le faible investissement nécessaire comparé au risque encouru a de quoi séduire. Il est tellement plus simple et moins risqué de voler des données bancaires en piratant le système informatique d’une entreprise que de se procurer une arme et de braquer une banque.

En France, les atteintes à la sécurité des « systèmes de traitement automatique de données » (STAD) sont sanctionnées pénalement depuis la loi Godfrain du 5 janvier 1988(39). Elle punit notamment l’intrusion dans un système informatique de deux ans d’emprisonnement et de 30 000 euro d’amende (art L323-1 du Code pénal) et l’ajout, la modification ou la suppression de données de cinq ans d’emprisonnement et de 75 000 euro d’amende. Mais parallèlement, le piratage peut rapporter gros. Selon la Compagnie européenne d’intelligence stratégique (CEIS), un site internet de revente de données bancaires piratées (un “shop”, dans le jargon des cybercriminels) peut rapporter jusqu’à 200 000 dollars par mois, soit plus de 150 000 euro. « Au total, la cybercriminalité générerait quelque 1 000 milliards de dollars par an dans le monde, soit des revenus supérieurs à ceux du trafic de drogue, d’après des observations adressées au Sénat américain par Edward Amoroso, responsable des systèmes d’information de l’opérateur américain de télécommunications AT&T. »(40).

Outre l’argent, certains hackers sont animés par des motivations stratégiques. Dans un contexte de mondialisation et de concurrence accrue, cette menace, qui a toujours existé, profite des facilités octroyées par les nouvelles technologies pour se développer davantage.

B) Des motivations stratégiques : le cyber-espionnage

Le cyber-espionnage consiste à utiliser les outils technologiques pour surveiller ou soutirer des informations stratégiques. Ce phénomène n’est pas vraiment nouveau, il coïncide avec l’avènement des nouvelles technologies comme la cybercriminalité d’une manière générale. Ainsi, par exemple, l’entreprise d’équipements et de télécommunication Nortel aurait été la cible d’un espionnage généralisé dès le début des années 2000 et pendant près de dix ans(41). Si les méthodes ont évolué, les motivations sont intemporelles : nuire, copier, conquérir, se protéger, s’enrichir. Les atouts incontestables apportés par internet expliquent sans doute le développement du cyber-espionnage.

Il est très difficile de mesurer l’ampleur de ce phénomène du fait du manque crucial d’informations fiables sur ce type d’événement, d’une part parce que ce genre d’attaque informatique a pour but l’appropriation de données sensibles et sont donc conçues pour rester invisibles le plus longtemps possible, d’autre part parce que même lorsque les attaques sont détectées, les victimes, entreprises comme Etats, ne souhaitent pas communiquer sur la problématique pour des questions d’image.

Les attaquants sont à la recherche d’informations stratégiques qu’ils peuvent exploiter. A ce titre, les Etats et leurs institutions sont régulièrement espionnés par d’autres Etats, adversaires dans le cadre de conflits politiques ou simples concurrents commerciaux. Des soupçons se portent régulièrement sur la Chine. Il faut dire qu’en raison de son importante population, elle fait partie des pays qui émettent le plus grands nombres de cyber-attaques(42). Mais d’une manière générale, on peut penser que la plupart des pays développés mènent des opérations de cyber-espionnage. La première affaire de ce genre révélée en France fut le piratage du Ministère de l’Economie et des Finances en 2011 : « De l’espionnage pur » selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), qui avance à l’époque l’hypothèse d’un vol de données liées à la présidence française du G8 et du G20(43). De même en juillet 2012, Le Télégramme (quotidien local de Bretagne) révèle que les réseaux informatiques de l’Elysée ont été espionnés entre les deux tours de l’élection présidentielle(44). Les Etats-Unis seraient soupçonnés d’être à l’origine de cette opération d’après le journal L’Express. Plus récemment, la première puissance mondiale a également été accusée d’espionner les institutions européennes, provoquant de grandes tensions diplomatiques(45).

Mais les Etats ne sont ni les seuls instigateurs, ni les seules victimes en la matière. Les entreprises sont également des cibles et des acteurs du cyber-espionnage. Il s’agit même d’une menace très active car les données des entreprises peuvent avoir une haute valeur ajoutée. Informations liées à la recherche et au développement, données financières et commerciales tels que des contrats ou des négociations en cours ou encore des échanges confidentiels entre dirigeants, sont autant de données stratégiques susceptibles d’attiser les convoitises de concurrents. Et ce ne sont là que des exemples, les données des entreprises regorgent de trésors pour les espions en fonction de leur secteur d’activité notamment. Une société de sécurité informatique russe, Kaspersky Lab, a récemment révélé sur son site internet avoir découvert un vaste réseau de cyber-espionnage baptisé « NetTraveller », parfois combiné avec un autre réseau appelé « Red October ». Près de 350 systèmes d’informations dans 40 pays auraient ainsi été espionnés depuis 2004, des structures gouvernementales mais aussi des entreprises opérant dans des secteurs stratégiques (compagnies pétro gazières, secteur de l’exploration spatiale, des nanotechnologies, de l’énergie ainsi que de la médecine et des télécommunications)(46).

Sachant qu’aujourd’hui les données d’une entreprise représentent jusqu’à 49% de sa valeur(47), on pressent déjà l’importance des conséquences financières que leur compromission peut engendrer.

L’argent surtout, la stratégie toujours, mais aussi l’idéologie. En effet, des cybercriminels d’un nouveau genre sont récemment apparus. Ils sont animés par des intentions a priori plus louables, telles que la défense d’une politique, des droits de l’Homme ou plus généralement d’une certaine idéologie. A priori seulement, car leurs procédés sont les mêmes que ceux des hackers en quête d’argent, voire même plus violents. A ce titre, on parle « d’hacktivisme ». L’exemple le plus célèbre étant celui des Anonymous.

C) Des préoccupations idéologiques : l’hacktivisme

Le terme hacktivisme est issu de la contraction de « hacker » et de « activisme ». Le hacker, nous le connaissons bien à présent, et l’activisme est défini par le Larousse comme un « système de conduite qui privilégie l’action directe (en particulier dans le domaine politique, social) ». L’hacktivisme est donc une forme de cybercriminalité dans laquelle les pirates mettent leurs « talents » au service de leurs convictions politiques ou idéologiques en réalisant de véritables opérations coup de poing. Dans cette optique, les technologies de l’information constituent donc un moyen de faire valoir leurs idées.

Dans l’une de ses études, le Club de la Sécurité de l’Information Français (CLUSIF) distingue plusieurs catégories d’hacktivistes(48). Il y a les « cyber-indignés » qui utilisent internet et les réseaux sociaux pour diffuser leur propagande, collecter et diffuser des informations personnelles sur ceux qui les dérangent. Ces personnes militent aussi souvent dans le monde réel, le cyberespace constituant un outil supplémentaire pour se faire entendre. Les causes qu’ils défendent sont variées : écologie, paix, politique le plus souvent.

Si les actions de ces personnes outrepassent rarement les limites de la légalité, certains groupes sont bien plus violents, dans leurs propos en tout cas. On peut parler de « cyber-armées » qui soutiennent des régimes totalitaires et véhiculent des idées extrémistes. Les groupes terroristes se servent aussi de plus en plus d’internet pour diffuser leurs idéologies et préparer leurs attaques.

Mais c’est un groupe particulier d’hacktivistes qui a surtout fait parler de lui ces dernières années : les Anonymous(49). Le collectif est apparu en 2006, inspiré par l’anonymat utilisé par des visiteurs de sites internet pour publier des commentaires sans pouvoir être identifiés. N’importe qui peut se revendiquer membre de ce groupe qui se présente comme défenseur du droit à la liberté d’expression et qui incite à la désobéissance civile. Le groupe se dit pacifiste, néanmoins ses méthodes sont clairement illicites : attaques par déni de service(50), piratage, vol et divulgation d’informations personnelles/confidentielles. Et les motivations de ces attaques sont pour le moins hétéroclites : lutte contre l’Eglise de Scientologie, soutien à Wikileaks(51), lutte contre des pays pratiquant la censure sur internet, soutien à des hackers soumis à des procédures judiciaires, attaques contre les adversaires du piratage sur internet.

Le groupe n’est pas très structuré, mais les victimes sont nombreuses. C’est notamment le cas de HBGary(52). La mésaventure a débuté le 5 février 2011 avec l’annonce par le Financial Times selon laquelle Aaron Barr (PDG de l’époque de HBGary federal) envisageait de fournir au FBI des informations qu’il avait collectées sur le célèbre groupe d’hacktivistes. La punition des Anonymous ne s’est pas fait attendre : le lendemain, les serveurs de la société américaine sont piratés et plus de 70 000 mails sont diffusés sur le net. Le contenu de certains de ces mails contraint même Aaron Barr à la démission quelques semaines plus tard. De surcroît, plusieurs gros clients prennent leurs distances avec HBGary suite à cet incident et une plainte est déposée contre HBGary pour soupçon d’activités illégales(53).

Autre cas très médiatisé, celui de Sony, cité en introduction. Début avril 2011, les Anonymous réclament le débridage de la PS3 et l’arrêt des poursuites contre l’un des leurs, Georges Hotz. Le géant japonais de l’électronique ne cédant pas, les hacktivistes n’hésitent pas à mettre leurs menaces à exécution : entre le 16 avril et le 19 juin, plus de vingt attaques ont pour conséquence le détournement des données personnelles de plus de 100 millions d’individus au total(54). On remarque que le groupe de hackers ne se préoccupe pas des dommages collatéraux de leurs actions.

Et les exemples sont encore nombreux, surtout en 2011, année pendant laquelle les Anonymous ont été particulièrement actifs : Bank of America, EDF, Nintendo, pour ne citer que les plus importants(55).

Toutes ces attaques ont été menées avec plus ou moins de succès quant à la motivation avancée. Néanmoins, il en est toujours résulté des conséquences financières pour les victimes, avec a minima une sévère atteinte à leur image.

Les cybercriminels sont donc guidés par des motivations diverses, bien que l’appât du gain soit la plus répandue. Mais pour arriver à leurs fins, ils rivalisent tous d’ingéniosité. Leurs procédés, nombreux et redoutables, rendent les entreprises particulièrement vulnérables. Nous nous concentrerons sur les attaques les plus courantes.

§2 : Les attaques les plus courantes

Les attaques des cybercriminels peuvent prendre plusieurs formes. Il est difficile de les catégoriser car elles constituent bien souvent une combinaison de plusieurs actes et procédés. En outre, les subtilités du jargon informatique ne sont pas toujours faciles à saisir pour un novice. Pour simplifier, il apparaît que pour réaliser leur dessein, les pirates s’appuient tantôt sur la naïveté des individus – c’est ce que l’on appelle l’ingénierie sociale (A), tantôt sur les technologies avec pour outil principal des codes malveillants divers et variés (B). On parle d’attaques logiques au sens large car la diffusion de ce type de programme est généralement à elle seule déjà dommageable, mais elle peut aussi constituer la première étape ou un moyen de réaliser une attaque plus particulière. Par ailleurs, d’autres menaces planent sur les entreprises, telles que les attaques de serveurs web (C) ou encore les attaques par déni de service (D).

A) L’ingénierie sociale : première porte d’entrée des cybercriminels

L’ingénierie sociale consiste à obtenir des individus la communication d’informations clés, ou encore la fourniture d’un bien ou d’un service. C’est une forme d’escroquerie, par laquelle le hacker abuse de la confiance, l’ignorance ou la crédulité de personnes possédant ce qu’il veut obtenir. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé. Les salariés de l’entreprise sont alors au premier plan.

Le tiers malveillant peut procéder par divers moyens de communication : téléphone, courrier ou par mail. Le schéma est toujours le même : cela commence par la mise en confiance de l’utilisateur en se faisant passer pour un supérieur hiérarchique, un client, un fournisseur, un employé de banque ou encore de l’administration. Bien entendu le cybercriminel étaye son mensonge avec des détails trompeurs comme par exemple la présence du logo de l’organisation dont il affirme être membre dans le courrier.

Puis vient la mise en alerte de la victime en invoquant par exemple un prétexte de sécurité ou une situation d’urgence. En effrayant son interlocuteur, le cybercriminel a toutes les chances d’obtenir une réaction rapide.

Enfin, quelque chose doit venir rassurer la personne ciblée, il peut s’agir d’un remerciement ou encore d’une simple phrase indiquant que tout rentrera dans l’ordre une fois l’information demandée transmise.

Le « phishing » ou hameçonnage est une forme d’ingénierie sociale particulièrement répandue. On retrouve le processus que l’on vient de détailler : le cybercriminel se présente comme un tiers de confiance afin de soutirer des renseignements à une personne (mot de passe, coordonnées bancaires,…) en prétextant un faux motif (nécessité d’une mise à jour technique de la base de données client, expiration du mot de passe, …). La victime communique naïvement les informations demandées ce qui permet au « phisheur » de débiter son compte ou encore de revendre ces informations. Bien souvent une importante quantité des mails sont ainsi diffusés afin de multiplier les chances de réussite. Le « phisheur » prendra naturellement soin d’utiliser des adresses IP(56) différentes afin de ne pas être localisé. Mais cette tâche peut même être confiée à un sous-traitant spécialisé : un « spammeur », afin de brouiller encore plus les pistes. On retrouve la multiplicité d’acteurs qui caractérise la cybercriminalité actuelle.

L’objectif de ces attaques est principalement l’obtention de données bancaires ou bien de mots de passes permettant ensuite au hacker d’accéder à de telles données. Le « phishing » cible surtout les particuliers, car il s’agit d’un public moins averti ou en tout cas plus enclin à céder à l’inquiétude distillée par le « phisheur » et à livrer des informations personnelles. Pour autant les entreprises ne sont pas épargnées. On peut très bien imaginer qu’une secrétaire ou même un dirigeant peu attentif communique des données sensibles en réponse à un mail provenant en apparence d’un collaborateur ou encore de l’administration fiscale, sans se douter qu’il s’agit en réalité d’un tiers malveillant. Des données personnelles, comme des informations stratégiques pourraient ainsi être divulguées. On peut aussi très bien imaginer qu’un employé se fasse piéger par un mail censé provenir de la direction informatique de son entreprise lui réclamant la communication de ses identifiant et mot de passe professionnels en prétextant une réinitialisation du système. Une fois les codes d’accès obtenus, rien de plus facile pour le pirate que de pénétrer dans le système d’information de l’entreprise et de porter atteinte à ses données ou à saboter le système. En réalité, selon les motivations des attaquants, beaucoup de scénarios sont envisageables.

Contre ce type de menace, une seule parade : une grande vigilance et du bon sens. La sensibilisation du personnel à ces attaques peut suffire à réduire considérablement ce risque. Ce qui n’est pas le cas pour les attaques logiques.

B) Les attaques logiques : armes principales des pirates

Elles consistent en la diffusion de codes ou programmes malveillants dans un ordinateur ou plus largement un système. Virus, vers, cheval de Troie, logiciel espion (spyware), pour ne citer que les plus connus. Si certaines subtilités nous échappent nécessairement, et sans faire un cours d’informatique, une définition sommaire de ces différents codes malveillants s’impose (1) avant de détailler leurs propriétés les plus inquiétantes (2), contre lesquelles les protections techniques sont peu efficaces (3).

1) Définitions des principaux logiciels malveillants

Bombe logique :

Il s’agit d’un « programme en attente d’un événement spécifique déterminé par le programmateur qui se déclenche quand celui-ci se produit »(57).
L’événement déclencheur est souvent une date et la conséquence pourra être l’affichage d’un message ou d’un logo sur l’écran de la victime, ce qui est un moindre mal. En effet, un tel code malveillant peut aussi bien provoquer la destruction d’informations et plus rarement la destruction du matériel.

Cheval de Troie :

« En informatique un cheval de Troie est un programme ou un fichier qui comporte une fonctionnalité cachée connue de l’attaquant seul. Elle lui permet de contourner des contrôles de sécurité en vigueur »(58). Ce type de programme nécessite d’être installé sur le système cible. Et pour ce faire, les instigateurs de ce type d’attaques doivent s’appuyer sur des failles de sécurité, logicielles ou humaines. Dans ce dernier cas, le but est d’inspirer la confiance de la cible en donnant au cheval de Troie l’apparence d’un vrai programme et en faisant en sorte qu’une fois installé, le code malveillant soit indétectable. Seules une bonne connaissance du système et des programmes et une grande vigilance peuvent permettre de réduire ce risque.

Logiciel espion :

C’est un logiciel malveillant « qui infecte un ordinateur dans le but de collecter et transmettre à des tiers des informations de l’environnement sur lequel il est installé sans que l’utilisateur n’en ait conscience »(59).

Ces programmes permettent donc aux tiers malveillant de pénétrer dans le système d’information d’une entreprise et d’y piocher les informations qu’ils convoitent. Les entreprises peuvent ainsi être espionnées et/ou volées sans s’en rendre compte.

Virus et ver :

Le virus, appelé ainsi par similitude avec celui qui attaque le corps humain, est un « programme malicieux capable de se reproduire et qui comporte des fonctions nuisibles pour le système d’information : on parle d’infection »(60). Il dispose de fonctions lui permettant de tester s’il a déjà contaminé un programme et de se propager en se recopiant pour se déclencher ensuite comme une bombe logique quand un événement se produit.

Le ver est un « programme malicieux qui a la faculté de se déplacer à travers un réseau qu’il cherche à perturber en le rendant indisponible »(61).

Contrairement au virus, le ver n’a pas besoin d’un programme hôte pour se reproduire, il va simplement se copier via un réseau ou internet, d’ordinateur en ordinateur. Ce type de réplication peut donc non seulement affecter un ordinateur, mais aussi dégrader les performances du réseau dans une entreprise. Comme un virus, un ver peut contenir une action nuisible du type destruction de données ou envoi d’informations confidentielles.

La distinction ver/virus étant pour le moins subtile, nous les traiterons comme des synonymes.

2) Des propriétés inquiétantes

La particularité de ces codes malveillants est qu’ils peuvent se propager à l’infini, et la cible première de leur concepteur (si toutefois il en avait une) ne sera donc pas la seule victime, loin de là. L’un des virus les plus connu est apparu pour la première fois en 2000, alors envoyé sous forme d’une pièce jointe appelée « I love you » via un courrier électronique. En ouvrant le fichier, le destinataire déclenche automatiquement l’exécution du programme malveillant qui va ensuite se reproduire en envoyant le même mail grevé de la pièce jointe malveillante à tous les contacts de la victime première. Il s’agit du premier virus utilisant la naïveté des utilisateurs, cédant à la tentation d’ouvrir la fausse lettre d’amour jointe à ce courriel. En quelques jours, ce virus (qui pour être précis, fait en réalité partie de la catégorie des vers informatiques) se serait ainsi répandu dans le monde entier, faisant des millions de victimes.

On peut donc véritablement parler d’attaque massive, d’autant que les sources d’infection virale sont multiples : propagation à travers le réseau (mail, navigation sur internet), mais aussi de plus en plus à travers les médias de stockage. Une pratique se répand en effet comme une traînée de poudre, elle consiste pour le tiers malveillant à « perdre » volontairement une clé USB infectée, dans un lieu public notamment. N’importe qui pourra la recueillir et lorsque cette personne la connectera à son ordinateur, le virus s’exécutera automatiquement.

Bien souvent, un virus ou un ver va donc toucher une entreprise sans qu’aucun tiers malveillant ne l’ait directement souhaité. Pour cette raison, on pourrait presque hésiter à ranger les virus dans la catégorie de la malveillance. Mais en réalité, même si le virus peut se propager sans que personne n’intervienne, quelqu’un a bien élaboré au départ un tel logiciel avec les propriétés dommageables qui sont les siennes. Et cela ne peut définitivement pas partir d’une bonne intention. De surcroît, les hackers réalisent également des attaques ciblées via des logiciels malveillants qu’ils fabriquent « sur mesure », pour toucher une entreprise en particulier. Ce sont d’ailleurs les virus les plus redoutables.

Qu’elles soient massives ou ciblées, ces attaques sont une réelle menace pour les entreprises. Les virus sont en effet susceptibles de porter atteinte aux données (divulgation mais aussi, par exemple, suppression de toutes les informations contenues dans le système d’information de l’entreprise), mais aussi d’impacter le système dans son ensemble (ralentissement de la machine infectée, voire du réseau ou encore perturbation ou indisponibilité du système d’information), avec des conséquences directes sur l’activité de l’entreprise. L’un des exemples les plus médiatisés est probablement celui du ver Stuxnet, premier logiciel malveillant destiné à espionner et reprogrammer des systèmes industriels. L’Iran et ses installations nucléaires furent les premières cibles de cette redoutable attaque. Au départ le ver a été introduit sur l’ordinateur personnel d’un ingénieur travaillant dans le complexe nucléaire en question, qui sans le savoir, l’a transmis sur le système d’information qui commandait les automates industriels du complexe nucléaire, via sa clé USB(62). Il semblerait que le ver se soit d’abord contenté d’observer le fonctionnement des machines, pour ensuite passer à l’attaque en déréglant le système. En effet, de manière aléatoire, le ver provoquait tantôt le ralentissement de la vitesse de rotation des centrifugeuses, tantôt son augmentation, tout en veillant à ne pas provoquer une rupture soudaine du système qui aurait éveillé les soupçons. Les techniciens ne se sont d’ailleurs longtemps aperçus de rien, tant le procédé était bien ficelé. En effet, de fausses données étaient envoyées en salle de contrôle, donnant l’impression d’une activité normale. Quant à l’origine de cette attaque, plusieurs scénarios sont avancés mettant en cause certains Etats, notamment les Etats-Unis ou encore Israël, mais il est très difficile de le démontrer.

Remarquons enfin que les codes malveillants peuvent servir à la constitution d’un réseau de machines « zombies » dans le but de lancer des attaques de grande ampleur.

On appelle machine zombie ou « bot » un ordinateur contrôlé à l’insu de son utilisateur par un hacker, lui permettant d’attaquer d’autres ordinateurs en dissimulant son identité. Lorsque plusieurs ordinateurs sont ainsi contrôlés par le même pirate on parle de « botnet », c’est-à-dire de réseau de machines zombies. Une fois contaminés, tous ces ordinateurs robots se connectent sur des serveurs au travers desquels ils reçoivent des instructions. Le pirate peut ainsi commander à ces machines la mise en oeuvre de fonctions non désirées comme l’envoi de spam(63), le vol d’informations, ou encore la perturbation d’un processus de production par exemple chez une entreprise industrielle. Là encore de multiples scénarios sont envisageables.

Face à ces attaques logiques, les entreprises sont souvent bien impuissantes.

3) Insuffisance des protections techniques

Sachant que la plupart des virus exploitent des failles de logiciels pour se diffuser, il est important que les entreprises mettent à jour régulièrement leurs programmes car les versions récentes intègrent les corrections de ces failles.

En outre, l’installation de logiciels antivirus est une protection élémentaire et indispensable dont la majorité des entreprises sont aujourd’hui équipées. Mais ces protections techniques sont loin d’être infaillibles. On peut aisément le comprendre au vu de la rapidité du développement des technologies et avec elles, de l’ingéniosité des hackers dans l’élaboration de leurs outils, toujours plus perfectionnés et toujours plus nombreux. Au premier trimestre 2011, on ne recensait pas moins de 6 millions de logiciels malveillants dans le monde selon le fabricant américain d’antivirus McAfee(64).

Il y a nécessairement un temps de retard entre la création d’un nouveau virus et sa prise en compte par les logiciels antivirus. Et si des virus de masse largement diffusés peuvent être relativement rapidement contrés par ces logiciels protecteurs, il en va autrement des virus spécialement conçus pour nuire à une cible bien identifiée. Selon une étude menée dans 18 pays dont la France(65), 88 % des virus « sur-mesure » ne sont pas détectés par les logiciels antivirus. Si un hacker élabore un virus bien particulier pour pénétrer tel système d’information, il y a donc très peu de chance qu’il soit détecté par l’antivirus de l’entreprise visée.

Les différentes attaques logiques peuvent être combinées entre elles, ou ne constituer qu’un maillon ou un moyen de réaliser une opération bien précise. Si ces codes malveillants sont les armes principales des pirates informatiques, d’autres types d’attaques sont encore à craindre. C’est le cas notamment des attaques de serveurs web.

C) Les attaques de serveurs web

Beaucoup d’attaques ont lieu sur la toile. L’une d’entre elle consiste en la dégradation de site web ou « défacement »(66). Il s’agit de la modification non sollicitée de la présentation d’un site internet. Le cybercriminel va ainsi remplacer la page d’accueil du site internet de sa cible par un simple fond uni, une image, ou un simple mot comme « hacked » (piraté), ou encore le pseudonyme du hacker. Le pirate pourra également y inscrire ses revendications. Si ces attaques sont souvent lancées par pur vandalisme, elles peuvent aussi permettre d’exprimer une menace d’extorsion. Un pirate ayant en sa possession des données confidentielles de l’entreprise pourra le lui faire savoir via l’inscription d’un message sur son site internet, en réclamant au passage une certaine somme d’argent en échange de la non divulgation des données en question.

Par ailleurs, le défacement est l’une des actions favorites des hactivistes, avec en première ligne les Anonymous. Le 21 janvier 2012, les membres français de ce groupe ont ainsi remplacé la page d’accueil du site internet Vivendi.com par un écran noir affublé du logo et de la devise des Anonymous mais surtout d’un message accusant notamment la société Vivendi(67) « d’aller contre l’esprit d’internet »(68). Nous joignons en annexe l’image de l’écran que les internautes pouvaient voir ce jour-là lorsqu’ils se rendaient sur le site de Vivendi(69).

La conséquence d’une telle dégradation pour une entreprise est a minima une sévère atteinte à son image et peut même provoquer une baisse d’activité, notamment dans le cas de sites de vente en ligne dont les utilisateurs vont peut-être se détourner car ils n’auront plus confiance dans la sécurité du service.
Notons par ailleurs que les sites internet peuvent aussi constituer pour les cybercriminels un vecteur de diffusion de codes malveillants. Les visiteurs de ces sites seront contaminés à leur insu par la simple ouverture de la page web du site infecté. L’objectif généralement est de se constituer un réseau d’ordinateurs zombies(70). Dans pareil cas, on peut très bien imaginer que des tiers victimes se retournent contre l’entreprise dont le site internet a provoqué leur contamination. De plus, même si le problème est rapidement résolu, il est probable là aussi que les internautes ne consultent plus jamais ce site par peur d’être infectés eux aussi.

Enfin, un autre type d’attaque est particulièrement redoutable du fait de ses conséquences sur l’activité de l’entreprise victime : il s’agit du déni de service.

D) Les attaques par déni de service (DoS)

Une attaque par déni de service(71) a pour but de rendre indisponibles les services ou les ressources d’une entreprise pendant un temps indéterminé. Le procédé le plus courant consiste à inonder le réseau ou les systèmes ciblés par un grand nombre de requêtes ayant pour effet de saturer le système et donc de bloquer le service aux utilisateurs légitimes. Pour ce faire, le tiers malveillant va très souvent s’appuyer sur un botnet(72) qu’il aura préalablement constitué. Dans ce cas on parle de déni de service distribué (Distributed Denial of Services ou « DDoS »).

Ce type d’attaque « peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web, empêcher la distribution de courriel dans une entreprise ou rendre indisponible un site internet »(73). La menace concerne toute entreprise reliée à internet, c’est-à-dire aujourd’hui a priori toute entreprise.

A titre d’exemple, en septembre 2009 le réseau social Twitter est resté indisponible pendant près de 2 heures suite à une attaque par DoS(74).

On imagine déjà les conséquences potentielles sur l’activité de l’entreprise victime dont le serveur ne peut plus être utilisé ou consulté ni par les employés ni par les clients le cas échéant.

Les instigateurs de ces attaques ne sont pas en principe motivés par les données de l’entreprise, mais cherchent bel et bien à nuire à sa réputation voire à son activité si celle-ci repose sur un système d’information.

Tous ces procédés ainsi que les motivations que nous avons décrites sont susceptibles de s’appliquer aussi bien au cybercriminel tiers à l’entreprise qu’au cybercriminel salarié de l’entreprise. La malveillance interne présente toutefois quelques spécificités que nous évoquons maintenant.

35 MAYEGA (E.), Cybercriminalité, la lutte s’organise, La Tribune de l’assurance, n°172, p. 83
36 Cf supra n°10
37 G Data, Rapport de sécurité, juillet-septembre2009. G Data est une société allemande spécialisée dans l’édition de logiciels de sécurité.
38 LEJOUX (C.), La cybercriminalité, un business à 1.000 milliards, Latribune.fr, publié le 1er juillet 2011
39 Loi n°88-19 du 5 janvier 1988 sur la fraude informatique
40 LEJOUX (C.), La cybercriminalité, un business à 1.000 milliards, Latribune.fr, publié le 1er juillet 2011
41 Atlantico.fr, Tous hackés ? Le point sur l’ampleur du cyber-espionnage, publié le 2 juin 2013
42 Atlantico.fr, Tous hackés ? Le point sur l’ampleur du cyber-espionnage, publié le 2 juin 2013
43 Cf supra n°42
44 Cf supra n°42
45 Lexpress.fr, Scandale Prism: espionnée, l’Europe réclame des comptes aux Américains, publié le 30 juin 2013
46 FOUQUET (C.), Cyber-espionnage : mise à jour d’un vaste réseau touchant une quarantaine de pays, Lesechos.fr, 5 juin 2013
47 Symantec, State of information survey, juillet 2012 et Entreprise Strategy Group, Replication technologies for business continuity and disaster recovery, septembre 2011
48 CLUSIF, L’hacktivisme en 2011 : entre enfantillage et conscience politique, Panorama de la Cybercriminalité – Année 2011
49 De l’anglais anonymous, qui veut dire anonyme.
50 Cf infra §2, D)
51 Wikileaks est une association à but non lucratif, représentée par un site web, diffusant des documents à partir de fuites d’information. Ses articles concernent principalement les domaines de la politique et de la société. Source : dictionnaire en ligne, www.linternaute.com
52 HBGary est une entreprise américaine de sécurité informatique.
53 CLUSIF, L’hacktivisme en 2011 : entre enfantillage et conscience politique, Panorama de la Cybercriminalité – Année 2011
54 ROUSSEAU (Y.), Plus de 100 millions de comptes Sony auraient été piratés par des hackers, Les Echos n° 20925 du 4 mai 2011, p.23
55 CLUSIF, L’hacktivisme en 2011 : entre enfantillage et conscience politique, Panorama de la Cybercriminalité – Année 2011
56 Une adresse IP (avec IP pour Internet Protocol) est un numéro d’identification qui est attribué de façon permanente ou provisoire à chaque appareil connecté à un réseau informatique utilisant l’Internet Protocol.
57 Direction centrale des systèmes d’information, Guide n°650, Menaces sur les systèmes informatiques, 12 septembre 2006
58 Cf supra n°43
59 Cf supra n°43
60 Cf supra n°43
61 Cf supra n°43
62 KARAYAN (R.), Cyberguerre: faut-il craindre les dommages collatéraux ?, lexpansion.lexpress.fr, publié le 8 juin 2012
63 Les spams sont des courriers non sollicités.
64 McAfee, State of Security, 2011
65 TrustWave, 2012 Global Security Report
66 Terme issu de l’anglais « defacement », qui provient de l’ancien français « desfacer », et qui peut être traduit par « dégradation » ou « vandalisme »
67 Vivendi est une multinationale française spécialisée dans la communication et le divertissement.
68 Ce défacement fait suite à la fermeture du site Megaupload et s’inscrit dans le contexte déjà lourd de l’examen aux USA des « bills » SOPA et PIPA
69 Cf Annexe 1
70 Cf supra B), 2)
71 En anglais « Denial of Service », abrégé en DoS.
72 Réseau de machines zombies, cf supra 2) b)
73 CLUSIF, glossaire des menaces, www.clusif.asso.fr
74 20minutes.fr, Twitter planté par une cyberattaque, publié le 6 août 2009

Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance