BFM Business

La cyberguerre a bien débuté: derrière les cyberattaques d'ampleur se cachent le plus souvent des pays

Les analystes de Thales et Verint ont défini quatre grandes familles d’attaquants. Sur la soixantaine de groupes d’attaquants majeurs analysés, 49% sont parrainés par des Etats

Les analystes de Thales et Verint ont défini quatre grandes familles d’attaquants. Sur la soixantaine de groupes d’attaquants majeurs analysés, 49% sont parrainés par des Etats - Thalès-Verint

En analysant pendant un an 490 campagnes d’attaques dans le monde entier, un groupe de cyber experts a dégagé les profils d’une soixantaine de groupes dont la moitié serait parrainée par... des Etats.

Tous les experts le disent et le constatent: les cyberattaques d'ampleurs se multiplient et devraient encore augmenter dans les années qui viennent. Reste à savoir comment, pourquoi, mais aussi qui est derrière ces cyber-agressions qui visent aussi bien les administrations, les entreprises les plus importantes et les plus sensibles.

Thales et Verint, un cabinet spécialisé dans la cyber-intelligence, viennent de publier le rapport "Cyberthreat Handbook", afin de déterminer les profils des cyber-attaquants et leurs motivations. Une soixantaine de groupes et 490 campagnes d’attaques, parmi les plus emblématiques ont été analysées.

Contrairement aux idées reçues, 49% de ces groupes sont "parrainés" par des Etats. Derrière, les "hacktivistes" (26%) "qui poursuivent des motivations idéologiques" et les cybercriminels (20%), "guidés par l’appât du gain". Les cyber-terroristes ne représentent que 5% des groupes analysés. 

Who's who cyberattaque
Who's who cyberattaque © Thales/Verint

Chacune des ces "familles" a des missions bien distinctes. Les Etats sont spécialisés dans "le vol de données sensibles de cibles géopolitiques" grâce à d'importantes ressources ressources financières et humaines. Leurs cibles: tout ce qui peut déstabiliser un pays. Le rapport cite "les capacités de défense, suivis du secteur financier, de l’énergie et du transport" en signalant que "les attaques envers les médias et le secteur médical sont en augmentation".

Les cyberactivistes "dénoncent des faits qu’ils jugent inacceptables en portant atteinte à l’image de leurs cibles" via des défiguration de sites web et en menant des attaques en déni de service (Ddos). Les cybercriminels s'attaquent à la finance et commerce avec des armes comme le rançongiciel et les chevaux de Troie bancaire. Les actions des cyberterroristes consistent principalement à des opérations de propagandes pour recruter de nouveaux adeptes et détruire les données numériques.

Who's who Cyberattaque
Who's who Cyberattaque © Thales/Verint

Dans cette guerre asymétrique, douze pays aux PIB les plus élevés de la planète sont les plus visés, précise le rapport. En tête: les Etats-Unis, la Russie, l’Union Européenne (en particulier le Royaume-Uni, la France et l’Allemagne), la Chine, puis l’Inde, la Corée du Sud et le Japon.

Le rapport ne dit pas précisément quels sont les pays les plus actifs dans les cyberattaques et qui se cache derrière telle ou telle attaque. "L’apparition d’un "supermarché du malware" [...] permet aux cyberpirates d’acheter et d’utiliser des logiciels malveillants développés par d’autres groupes d’attaquants. [...] Cela rend par ailleurs la tâche des analystes plus complexe puisque les groupes d’attaquants ne se caractérisent plus nécessairement par le malware utilisé", indique le rapport.

Lazarus, le nom générique des groupes nord-coréens

Le Who's who des cyberattaques
Le Who's who des cyberattaques © Thalès-Verint

Néanmoins, les techniques d'attaques donnent des indices qui permettent de savoir d'où proviennent les cyberattaquants.

"Selon leur origine géographique, tous les groupes d’attaquants n’utilisent pas les mêmes techniques", indique le rapport en précisant que les cybercriminels chinois "utilisent des ransomwares, préférant le minage de cryptomonnaies, ou cryptomining", qu'au Moyen-Orient, les pirates "privilégient l’utilisation frauduleuse des réseaux sociaux et des messageries cryptées ou développent des malwares ciblant des applications mobiles surtout sur Android". 

Mais les plus difficiles à identifier sont les groupes nord-coréens qui se sont répartis un secteur cible en utilisant des moyens différents en le mettant en commun à certaines occasion. "Avec cette stratégie, il devient très difficile d’attribuer certaines attaques à un groupe particulier. Cela a conduit la plupart des observateurs à les amalgamer sous le nom générique de Lazarus".

https://twitter.com/PascalSamama Pascal Samama Journaliste BFM Éco