• 4 heures
  • Facile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 26/06/2024

Appréhendez le mode opératoire des attaquants

Visualisez une cyberattaque sous la forme d’un fromage à trous

Pendant que les équipes de l’hôpital s’affairent à réagir au mieux à la cyberattaque, je vous propose de faire un saut dans le passé pour comprendre les coulisses de l’attaque.

L’attaquant a profité des vulnérabilités du système informatique de l’hôpital pour étendre son emprise, et infecter peu à peu tout le système d'information.

Un système d'information”, c’est-à-dire ?

Un système d’information est l’ensemble des ressources informatiques d’une organisation (ordinateurs, tablettes, serveurs, logiciels, applications, objets connectés, etc.), des ressources organisationnelles et des ressources humaines utiles pour traiter de l’information. Vous le trouverez aussi sous la dénomination SI, utilisée dans le reste du cours. 

Personnellement, j’ai toujours trouvé ce terme assez abstrait… Le mot “information” peut renvoyer à beaucoup d’éléments comme les données, la communication, etc. En revanche, il est essentiel de bien comprendre que l’informatique dans une organisation ne repose pas que sur des moyens techniques (le système informatique), mais aussi sur des moyens organisationnels et humains... Maintenant vous en êtes conscient !

Et une vulnérabilité, qu'est-ce que c'est ?

Une vulnérabilité (aussi appelée “faille”) est une faiblesse dans le système d'information qui, si elle est connue, peut être utilisée pour lancer une attaque. On parle alors d’exploitation de la vulnérabilité. Une vulnérabilité résulte d’une erreur ou d’une malveillance lors de la conception, de l’installation ou de l’utilisation d’un système d'information. Par exemple, un mot de passe faible peut constituer une vulnérabilité.

D’accord, quel est le lien entre un fromage et une cyberattaque, dont on parle au début du chapitre ?

On peut représenter les vulnérabilités d’un système d'information via le modèle du fromage suisse (“Swiss Cheese Model”, en anglais). D’après ce modèle, un incident peut se produire lorsque les faiblesses (les trous du fromage) affectant chaque barrière du système d'information (les tranches de fromage) sont alignées. Notez bien que ces faiblesses peuvent être organisationnelles, humaines ou techniques.

4 tranches de fromage trouées; alignées pour que les trous soient au même endroit pour qu'on puisse les enfiler sur un baton imaginaire. Chaque trou d'une tranche représente une faiblesse : technique, humaine et organisationnelle. Une partie solide du
Le modèle du fromage suisse

Revenons à notre attaque de l’hôpital : le chemin de l’attaquant a donc été rendu possible en passant par les différents “trous” (ou vulnérabilités) du système d'information. Cela a demandé un travail de renseignement et d’analyse côté attaquant, afin d’identifier les vulnérabilités du système et de pouvoir les exploiter.

Que s’est-il réellement passé côté attaquant, quelles vulnérabilités a-t-il exploitées ?

Revivez la préparation de l’attaque sur l’hôpital Santé Céleste

La reconstitution des étapes de l’attaque est réalisée par les équipes d’investigation. Tout comme des enquêteurs reconstituent heure par heure les actions précédant un crime, les experts en investigations numériques analysent les traces laissées par l’attaquant pour reconstituer son chemin d’attaque. Mais nous verrons tout cela en détails plus tard dans ce cours.

Voyons plutôt comment s’est déroulée l’attaque de l’hôpital. Avant de visualiser la vidéo ci-après, où vous suivrez étape par étape la cyberattaque menée par Jo, je vous conseille de vous imprégner de ces notions clés :

Le dark web est constitué de sites internet qui ne sont pas accessibles via les moteurs de recherche traditionnels. C’est un espace d’échange fondé sur l’anonymat. Il est notamment utilisé par les cyberattaquants pour acheter / vendre des données et se procurer des logiciels malveillants permettant de mener à bien leurs attaques.

Un logiciel malveillant (ou malware, contraction de “malicious software”, en anglais) est un programme informatique créé afin de nuire à un système d'information lorsqu’il est installé.

Le phishing (ou hameçonnage, en français) est une technique pour escroquer des victimes et récupérer leurs données en se faisant passer pour une organisation légitime (banque, Sécurité sociale, etc.), ou une personne de confiance. Par exemple, la victime clique sur une pièce jointe malveillante (qui installe en réalité un logiciel malveillant), ou renseigne ses données sur un formulaire créé par une personne mal intentionnée.

Le chiffrement est un procédé par lequel on rend des données lisibles uniquement par la personne qui détient ce qu’on appelle une “clé de déchiffrement”. Lorsqu’un attaquant chiffre des documents, leur lecture par la victime devient impossible. Il propose alors, contre le versement d’une rançon, de fournir la clé de déchiffrement.

La kill chain est un concept qui a été popularisé dans le domaine de la cybersécurité par la société américaine Lockheed Martin en 2011. Il permet de modéliser l'enchaînement des actions d'un attaquant, chaque action participant à un objectif recherché plus large. Plus d’informations sur le site de Lockheed Martin (en anglais).

C’est bon ? Vous avez compris les notions ? Regardons donc les étapes de la cyberattaque menée par Jo.

Décryptez un chemin d’attaque

À quoi ressemble la kill chain, et comment peut-on l’utiliser pour comprendre le déroulement de l’attaque commise sur l’hôpital Santé Céleste ?

Bonne question, voyons avec ce schéma comment elle se décompose :Icône représentant les différentes étapes de la kill chain citées sous le visuel.

Les étapes de la kill chain

Résumons les différentes étapes d’un chemin d’attaque d’après le modèle de la kill chain :

  • Étape 1 – Reconnaissance : l’attaquant recherche et identifie sa cible.

  • Étape 2 – Armement : l’attaquant crée ou achète son outil d’intrusion (un logiciel malveillant, ou malware) sur le dark web. Ce malware exploite une ou plusieurs vulnérabilités dans le système d’information cible.

  • Étape 3 – Livraison : le logiciel malveillant est transmis à la cible (dans la pièce jointe d’un mail ou via une clé USB, par exemple).

  • Étape 4 – Exploitation : le logiciel malveillant exploite la vulnérabilité identifiée au préalable, c’est-à-dire qu’il tire parti des faiblesses du système d'information cible.

  • Étape 5 – Installation : l’attaquant s'introduit sur le système d'information cible et, via des “mouvements latéraux”, infecte d’autres éléments du système d'information (autres ordinateurs, autres comptes utilisateurs, etc.). Il étudie le système de l’intérieur.

  • Étape 6 – Commandement et contrôle : l’attaquant s’installe de façon permanente dans le système d'information cible.

  • Étape 7 – Actions sur l’objectif : l’attaquant réalise ses objectifs initiaux, tels que le vol de données, la destruction de données, ou le chiffrement pour demander une rançon.

Grâce aux 7 étapes mentionnées, vous pouvez désormais faire le parallèle avec l’attaque sur l’hôpital Santé Céleste. Il s’agit d’une représentation simplifiée, mais qui permet de comprendre le déroulement d’une cyberattaque souvent beaucoup plus complexe.

Il existe des modèles plus pointus pour décrypter les attaques, tels que MITRE ATT&CK (ATT&CK pour “Adversarial Tactics, Techniques, and Common Knowledge”, c'est-à-dire tactiques, techniques et connaissances de base des adversaires, en français). Celui-ci recense les tactiques et techniques des attaquants pour passer à l’action : il n'y a pas moins de 14 tactiques et plus de 200 techniques différentes ! Ce modèle est plus largement utilisé par des experts en cybersécurité ou des personnes ayant de bonnes connaissances techniques. Si cela vous intéresse, je vous invite à consulter le site du MITRE (en anglais).

La cybersécurité évoluant très rapidement, ce modèle poussé est mis à jour en permanence avec de nouvelles techniques et outils des cyberattaquants.

Ces différentes modélisations permettent non seulement de décrypter une attaque, mais également de s’en prémunir et de l'anticiper. Grâce au modèle du fromage suisse, vous savez qu’à chaque étape du chemin d’attaque, une faille a été trouvée dans les défenses de la cible. À nous, à vous, de protéger chaque point d’entrée et de limiter le nombre de trous (ou vulnérabilités), pour empêcher l'attaquant de mener à bien son objectif. C’est ce que nous allons voir dans la suite du cours, continuez votre lecture pour en savoir plus !

En résumé

Dans ce chapitre, vous avez découvert un mode opératoire des attaquants et sa mise en œuvre pratique :

  • le modèle du fromage suisse permet de représenter les différentes couches de protection, et les vulnérabilités exploitées par un attaquant pour atteindre ses objectifs ;

  • le chemin d’un attaquant peut être modélisé via la “kill chain” : 7 étapes, de la reconnaissance à la réalisation des objectifs de l’attaquant ;

  • le référentiel MITRE ATT&CK décrit de façon plus technique les différentes méthodes employées par les attaquants.

Dans le prochain chapitre, vous découvrirez qui sont les attaquants, quelles sont leurs motivations, et quelles autres attaques sont d’actualité.

Exemple de certificat de réussite
Exemple de certificat de réussite