C. UNE MENACE PROTÉIFORME
La menace représentée par les attaques contre les systèmes d'information se caractérise par sa très grande diversité, qu'il s'agisse des techniques utilisées, des cibles visées ou de leurs auteurs présumés.
1. Les principaux types d'attaques informatiques
Dans son rapport d'information, notre ancien collègue M. Roger Romani distingue trois modes principaux de « guerre informatique » :
- la « guerre par l'information » , qui utilise le vecteur informatique dans un but de propagande, de désinformation ou d'action politique ;
- la « guerre pour l'information » , qui vise à pénétrer les réseaux en vue de récupérer les informations qui y circulent ou y sont stockées ;
- la « guerre contre l'information » , qui s'attaque à l'intégrité de systèmes informatiques pour en perturber ou en interrompre le fonctionnement.
On peut également classer les différents types d'attaques contre les systèmes d'information en trois catégories selon leurs objectifs :
- les attaques visant à déstabiliser des particuliers, des entreprises ou des Etats, par la perturbation de sites Internet ou encore par l'altération ou la révélation de données obtenues via les systèmes d'information ;
- les attaques ayant pour objectif d' espionner des particuliers, des entreprises ou des Etats afin de s'approprier leurs ressources ;
- les attaques visant à saboter ou à détruire des ressources informatiques ou des équipements matériels.
Les attaques de saturation par déni de service, le vol ou l'altération de données grâce à un logiciel malveillant et la destruction d'un système par un virus informatique constituent trois types d'attaques informatiques largement utilisées aujourd'hui.
- Les attaques par déni de service
Les attaques par déni de service ( Denial of service - DOS ) visent à saturer un ordinateur ou un système en réseau sur internet en dirigeant vers lui un volume considérable de requêtes.
L'agresseur peut n'utiliser qu'un seul ordinateur, mais ce cas de figure est rare en pratique. Le plus souvent, il fera appel à un nombre important d'ordinateurs compromis, réunis dans un réseau de « zombies » (« botnets »). On parle alors de « déni de service distribué » ( Distributed denial of service - DDOS ) pour des attaques fonctionnant sur le même principe, mais dont l'effet est démultiplié par l'utilisation d'ordinateurs compromis et détournés à l'insu de leurs propriétaires. Les évènements d'Estonie en 2007 en constituent l'exemple type. La masse de requêtes qui parvient simultanément sur un même système dépassant ses capacités, celui-ci n'est plus en mesure de fonctionner normalement.
Les « botnets » désignent les réseaux de machines compromises (ou machines « zombies ») qui sont aux mains d'individus ou de groupes malveillants (les « maîtres ») et leur permettent de transmettre des ordres à tout ou partie des machines et de les actionner à leur guise.
Le « botnet » est constitué de machines infectées par un virus informatique contracté lors de la navigation sur internet, lors de la lecture d'un courrier électronique (notamment les spams ) ou lors du téléchargement de logiciels. Ce virus a pour effet de placer la machine, à l'insu de son propriétaire, aux ordres de l'individu ou du groupe situé à la tête du réseau. On estime aujourd'hui que le nombre de machines infectées passées sous le contrôle de pirates informatiques est considérable. Il pourrait atteindre le quart des ordinateurs connectés à l'internet, soit environ 150 millions de machines.
Le détenteur du réseau est rarement le commanditaire de l'attaque . Il monnaye sa capacité d'envoi massive à des « clients » animés de préoccupations diverses. La constitution de tels réseaux est ainsi utilisée en vue de l'envoi de courriers électroniques non désirés ( spams ) à des fins publicitaires ou frauduleuses, ou encore afin de dérober des informations personnelles de la cible visée. L'attaque par déni de service n'est qu'une des applications possibles. Son corollaire est le chantage au déni de service, c'est-à-dire l'extorsion de fonds auprès des entreprises ou organismes en échange d'une levée des attaques de saturation.
La paralysie d'un système d'information par ce type d'attaques est relativement facile à obtenir lorsqu'il s'agit d'un service accessible au public sur le réseau Internet. Comme le relève la note d'information de l'ANSSI consacrée à ce sujet, « la lutte contre les dénis de service est souvent une affaire de rapport de forces et, à défaut de pouvoir les empêcher, la victime potentielle peut prendre des dispositions pour en atténuer les effets sur ses processus » 11 ( * ) .
La vulnérabilité des réseaux internes, en principe non accessibles de l'extérieur, est moindre, mais elle est liée au degré d'étanchéité entre ces réseaux et l'Internet.
Or les systèmes d'information internes sont de plus en plus ouverts pour répondre aux besoins de mobilité des personnels et de communication avec des partenaires extérieurs.
- Le vol ou l'altération de données
Le vol ou l'altération de données contenues sur des réseaux informatiques peuvent être réalisés par des moyens variés.
Les plus simples reposent sur l'intervention humaine, soit par intrusion, soit par le jeu de complicités internes, soit par le vol d'équipements (notamment les ordinateurs portables). Les plus sophistiqués font appel à des techniques d'écoute des flux d'information ou d'interception des rayonnements émis par les équipements et qualifiés, dans cette hypothèse, de « signaux compromettants ».
S'agissant des intrusions sur les systèmes d'information par des voies informatiques , l'une des techniques utilisées est celle du « cheval de Troie », c'est-à-dire d'un programme informatique ou d'un fichier comportant une fonctionnalité cachée connue de l'attaquant seul et lui permettant de prendre le contrôle de l'ordinateur compromis, puis de s'en servir à l'insu de son propriétaire. Un « cheval de Troie » se cache en général dans un programme d'aspect inoffensif ou usuel, et son activation implique l'intervention de l'utilisateur (ouverture d'une pièce jointe, utilisation d'un lien de connexion à un site internet). A la différence des virus propagés à une très grande échelle, les « chevaux de Troie » constituent le plus souvent des attaques ciblées, adaptées à la victime choisie, qui ne peuvent être détectées automatiquement par les antivirus. Ils s'installent durablement sur la machine compromise. Cette technique peut être utilisée pour intégrer l'ordinateur visé dans un réseau de machines compromises ( botnet ).
Elle couvre aussi les différents modes d'intrusion ayant pour but d' accéder aux informations contenues dans l'ordinateur , voire de les modifier. Peuvent ainsi être installés des programmes enregistrant la frappe de l'utilisateur sur le clavier (« keylogger ») en vue de récupérer des données confidentielles (mots de passe, coordonnées bancaires) et le contenu des fichiers créés, ainsi que des logiciels espions (« spyware ») permettant de transmettre à des tiers des informations sur les usages habituels des utilisateurs du système, par exemple ses données de connexion. Il est également possible par ce biais de transférer vers un ordinateur extérieur les fichiers stockés dans l'ordinateur compromis. La sophistication de ces programmes permet de fractionner ces envois afin de les rendre moins détectables dans le flux normal de communication. Enfin, il est possible par ce biais de s'introduire dans d'autres ordinateurs utilisant le même réseau, voire de prendre le contrôle de l'ensemble du réseau en usurpant les droits des administrateurs.
La caractéristique de ces techniques d'intrusion est leur furtivité , qui les rend difficilement décelables, grâce à des outils de dissimulation d'activité ( rootkits ).
Il est à noter que l'installation de tels programmes malveillants peut aussi bien s'effectuer par d'autres moyens, par exemple le branchement par la personne visée d'un périphérique (clef USB, assistant personnel) qui aura été préalablement infecté. De ce point de vue, l'usage de plus en plus répandu d'équipements mobiles (comme des ordinateurs portables, des ordiphones ou des tablettes) ou d'ordinateurs personnels pour un usage professionnel constituent des risques supplémentaires pour l'intégrité des réseaux . Leur connexion à un réseau interne après avoir été infectés à l'extérieur rend inopérants les dispositifs de sécurité tels que les pare-feux.
Enfin, l' externalisation de certains traitements informatiques représente un risque potentiel dès lors que les précautions nécessaires ne sont pas prises vis-à-vis des sous-traitants quant à la protection de données sensibles, notamment pour les services gouvernementaux.
Ainsi, le « Cloud computing » (ou « informatique en nuage »), qui consiste à déporter sur des serveurs distants des stockages et des traitements informatiques traditionnellement localisés sur des serveurs locaux ou sur le poste de l'utilisateur, ce qui permet aux utilisateurs ou aux entreprises de délocaliser et de mutualiser la gestion de leur système informatique, présente des risques majeurs du point de vue de la sécurité informatique.
- Les attaques visant à détruire
Certaines attaques informatiques visent à perturber gravement voire à détruire les systèmes d'information. On parle ainsi parfois de véritables « armes informatiques ».
C'est notamment le cas de STUXNET qui est parvenu à causer des dégâts assez considérables en détruisant notamment des centrifugeuses utilisées pour l'enrichissement de l'uranium en Iran.
- Les différentes vulnérabilités
Les attaques informatiques exploitent généralement des vulnérabilités ou des failles contenues dans les systèmes d'information.
De manière schématique, on peut distinguer trois types de vulnérabilités :
- les vulnérabilités qui tiennent à la conception même des systèmes ou aux défauts de réalisation : le défaut de conception résulte du choix initial du concepteur et peut difficilement être corrigé alors, que le défaut de réalisation résulte de la fabrication (mauvais codage par exemple) et peut être atténué par des opérations correctrices ;
- les failles liées à l'organisation ou à l'environnement : il s'agit de vulnérabilités liées aux mauvaises conditions d'emploi, qu'il s'agisse de leur processus d'emploi (le paramétrage par exemple) ou de leur environnement. Elles peuvent être diminuées ou supprimées de différentes façons ;
- les vulnérabilités qui résultent de l'usage fait par les utilisateurs : elles tiennent notamment au non respect des mesures de sécurité associées à l'exploitation d'un produit. Ces failles peuvent être corrigées mais cela nécessite une sensibilisation particulière des utilisateurs.
Il convient de noter qu'il existe un véritable marché privé d'échange de vulnérabilités de certains logiciels ou systèmes. Ainsi, en 2011, environ 7000 failles ont été publiées sur Internet.
Par ailleurs, on peut aisément trouver sur Internet des logiciels malveillants prêts à l'emploi. 26 millions de codes malveillants auraient ainsi été créés l'an dernier et diffusés sur Internet 12 ( * ) .
* 11 Note d'information du CERTA, « Dénis de service - Prévention et réaction », 27 janvier 2012
* 12 Rapport annuel 2012 de PandaLabs