Cyber-attaques et cyber-défenses : problématique et évolution

27/08/2017
OAI : oai:www.see.asso.fr:1301:2012-2:19604
DOI :

Résumé

Cyber-attaques et cyber-défenses : problématique et évolution

Métriques

19
7
491.63 Ko
 application/pdf
bitcache://1bea2af37d5f866d670df28ad738dc3c9aebf2b9

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2012-2/19604</identifier><creators><creator><creatorName>Yves Deswarte</creatorName></creator><creator><creatorName>Sébastien Gambs</creatorName></creator></creators><titles>
            <title>Cyber-attaques et cyber-défenses : problématique et évolution</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2017</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Sun 27 Aug 2017</date>
	    <date dateType="Updated">Sun 27 Aug 2017</date>
            <date dateType="Submitted">Fri 13 Jul 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">1bea2af37d5f866d670df28ad738dc3c9aebf2b9</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>33346</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

REE N°2/2012 ◗ 23 Les cyber-attaques, un risque pour nos grandes infrastructures ? Yves Deswarte1,2 , Sébastien Gambs3 1 CNRS, LAAS, Toulouse, France 2 Université de Toulouse, France 3 Université de Rennes 1 - INRIA/IRISA Introduction Aujourd’hui, les systèmes informatiques des en- treprises, des administrations et des particuliers sont pour la plupart connectés à l’Internet. Ils peuvent ainsi à moindre coût profiter de moyens de communica- tion rapides, partager des ressources de traitement et de stockage de grandes capacités (Cloud Compu- ting), faciliter les échanges commerciaux et financiers (e-Commerce, e-Banking), fournir et utiliser de nom- breux services en ligne (e-Administration, e-Health, e-Learning, etc.), participer à des communautés vir- tuelles et à des réseaux sociaux, se divertir et plus généralement, partager et accéder à l’information, la connaissance et la culture. Ces différentes utilisa- tions d’Internet ont bien sûr des exigences de sécu- rité différentes, mais elles sont toutes sous la menace d’attaques par des malfaiteurs, même si ceux-ci ne représentent qu’une infime minorité des utilisateurs d’Internet. Face à ces cyber-attaques, il faut mettre en place des cyber-défenses efficaces. Contrairement à la plupart des formes de crimes et de délits, les cyber-attaques ne mettent pas physi- quement en danger ceux qui les perpètrent, puisqu’ils n’ont pas besoin d’être présents en personne sur le lieu de leurs attaques et qu’ils ne laissent pas de traces physiques de leurs actions. La dissuasion est donc peu efficace vis-à-vis d’eux et ils peuvent choisir l’instant de l’attaque et leur cible sans se soucier de sa localisation, alors que la défense doit être déployée partout et tout le temps. Ce combat est donc asymétrique, au même titre que le terrorisme ou la guérilla [1]. Dans la suite de cet article, on s’intéressera : • aux attaquants et à leur motivation ; • aux dégâts que peuvent provoquer les cyber- attaques ; • aux moyens utilisés par les attaquants ; • et enfin aux moyens de défense à mettre en place. Les attaquants et leurs motivations Au début des années 70, les premiers pirates mo- dernes ne s’attaquaient pas aux réseaux informatiques (encore balbutiants à l’époque), mais aux systèmes téléphoniques. Certains de ces pionniers sont vite devenus célèbres, comme John Draper, plus connu sous l’alias Captain Crunch, qui a découvert comment téléphoner gratuitement depuis des cabines télépho- niques à l’aide d’un sifflet distribué dans des boîtes de céréales, ou encore Steve Wozniak et Steve Jobs dont la première création fut une blue box, avatar électroni- que de ce sifflet, bien avant qu’ils ne fondent la com- pagnie Apple [2]. Ces premiers phreaks1 ou hackers2 , au sens originel de « bidouilleurs », ont rapidement formé une communauté underground, qui s’est pro- gressivement reconvertie au piratage informatique, 1 Obtenu à partir de freaks (monstres, en anglais), en rempla- çant le « f” » par « ph » pour phone, tradition qui se perpétue par exemple dans phishing (cf. la section dédiée aux moyens d’attaques). 2 Littéralement : ceux qui vont au fond des choses à coups de hache. Cyber-attaques et cyber-défenses : problématique et évolution The expansion of Internet and the increasing complexity of information systems had lead to the evolution of hacking, from intellectual game to fraudulent money gain. Cyber-attacks for malicious purposes range now from denial-of-service to infor- mation theft or even sabotage. In this paper, we categorize the attackers and their motivations, as well as the damages that such cyber-attacks can cause on the information systems that they target. We also describe the means used to conduct such attacks as well as the possible defences to counter them. abstract 24 ◗ REE N°2/2012 Les cyber-attaques, un risque pour nos grandes infrastructures ? avec ses magazines3 , son propre jargon4 et même son propre alphabet5 . Avec le temps, le terme hacker a ainsi pris le sens moins sympathique de pirate. Pourtant, beaucoup de ceux qui se revendiquent de cette communauté agissent simplement par curiosité et soif d’apprendre, cherchant à découvrir les limites des matériels et logiciels informatiques, à débusquer les imperfections de leur conception et éventuellement à ex- ploiter ces imperfections pour détourner le système de son usage prévu à l’origine. Par simple jeu ou par méconnais- sance des conséquences, ils peuvent parfois provoquer des dégâts importants6 , le plus souvent involontairement. Pour la plupart, ils souhaitent qu’on reconnaisse leur valeur et attirent l’attention de leurs pairs par la diffusion plus ou moins publi- que de leurs exploits, ce qui permet à des pirates débutants (script-kiddies) de se faire la main en rejouant les mêmes attaques7 . Avec le temps, cet esprit de jeu, de curiosité ou de com- pétition intellectuelle a laissé la place à d’autres motivations chez la majorité des attaquants. Sans surprise, le vandalisme 3 2600, The Hacker Quaterly en est l’héri- tier direct. 2 600 Hertz est la fréquence émise par le sifflet de Cap’n Crunch. 4 5 6 7 Exemple de script-kiddie : est une évolution presque naturelle dans la mentalité des hackers en mal de reconnaissance : « puisqu’on ne me prend pas au sérieux, je vais leur montrer ce que je peux faire ». Cela peut être des représailles contre des administrateurs de système auxquels on aura « gentiment » signalé des vulnéra- bilités et qui n’auraient apparemment pas réagi. Il peut aussi s’agir d’une vengeance contre un ancien employeur [3, 4, 5], ou simplement d’une attaque spectaculaire pour attirer l’attention des médias sur ses capacités de nuisance8 . Mais aujourd’hui, la principale motivation des cyber-attaquants est l’appât du gain : accès frauduleux à des comptes bancaires en ligne, usurpation de cartes de crédit, chantage au blocage de sites ou au sabotage, escroquerie, diffusion de fausses infor- mations pour influencer les cours en bourse, tous les moyens sont bons pour les cyber-délinquants isolés comme pour les organisations criminelles. Le marché noir des boîtes à outils facilitant le piratage de comptes en banque est d’ailleurs flo- rissant sur Internet (ZeuS, SpyEye, IceIX, Citadel, …). La politique, l’idéologie ou le fanatisme sont aussi des mo- tivations fortes, pouvant conduire à l’hacktivisme (avec dès le début des années 80 le Chaos Computer Club et aujourd’hui Wikileaks, les Anonymous ou LulzSec) et éventuellement au cyber-terrorisme, voire à la cyber-guerre. Il est à noter que selon une étude de Verizon [6] portant sur l’année 2011, la 8  Figure 1 : Sifflet Cap’n Crunch (1965). REE N°2/2012 ◗ 25 Cyber-attaques et cyber-défenses : problématique et évolution majorité des vols de données sont réalisés par des hackti- vistes, alors que la majorité des attaques sont dues à des criminels organisés. En 2010, le juge d’instruction David Bénichou classait les cy- ber-délinquants en sept familles, en se basant sur les cas dont il a eu à connaître au cours des dix années précédentes [7] : • les potaches (ou script-kiddies)  : de plus en plus jeunes mais peu compétents, ils rejouent des méthodes d’atta- ques (exploits, dans le jargon hacker) sans chercher à les comprendre pleinement ni à en estimer les risques ; • les hackers : compétents techniquement et en recherche de reconnaissance sociale, ils sont faciles à tracer, agissent plus par jeu9 que par méchanceté ; leurs attaques présen- tent généralement des aspects positifs, en identifiant des failles plutôt que de causer des dégâts, ils s’autoproclament « white hat hackers » ; • les vengeurs masqués : ils visent à porter atteinte à la répu- tation de leurs cibles et peuvent provoquer des dommages importants, avec comme exemple typique l’ex-employée mécontente qui a créé un faux profil Facebook pour son pa- tron, en lui prêtant des relations extraconjugales ; en géné- ral, le vengeur masqué a un niveau technique faible, mais il peut être difficile de l’identifier et, plus encore, de restaurer une réputation atteinte ; 9 Voir l’interview de Reyn0 en 2002 : • les personnes (a-)morales : ce sont généralement des en- treprises qui visent un intérêt commercial, en exerçant une concurrence déloyale ; cela peut aller du simple dénigre- ment public pour porter atteinte à l’image de marque du concurrent, jusqu’à la falsification des données conservées sur ses systèmes informatiques, ou simplement une atta- que en déni de service, par exemple pendant une cam- pagne commerciale. Même si elles nécessitent parfois des compétences élevées, de telles attaques permettent sou- vent d’identifier leurs auteurs, par exemple grâce aux mena- ces et autres traces qu’ils laissent ; • les cyber-terroristes  : ils cherchent à effrayer les popula- tions par des actions aussi spectaculaires que possible, en utilisant le piratage informatique ; ce n’est encore qu’une éventualité considérée sérieusement depuis le 11 septem- bre 2001, aucune cyber-attaque terroriste produisant des dégâts importants n’ayant été avérée jusqu’à présent. En revanche, il est certain que les organisations terroristes utili- sent, comme tout le monde, les réseaux informatiques pour échanger des informations ; • les bandits (ou cyber-gangsters) : ce sont des hackers qui ont mal tourné et qui, en raison de leurs compétences tech- niques, sont utilisés par des organisations criminelles tradi- tionnelles pour perpétrer des méfaits  ; ils sont discrets et pleinement conscients des risques élevés qu’ils encourent ; • les espions : que leur mobile soit politique ou commercial, ils disposent généralement d’une logistique importante et Figure 2 : Distribution des profils d’attaquants [7]. 26 ◗ REE N°2/2012 Les cyber-attaques, un risque pour nos grandes infrastructures ? utilisent des techniques avancées peu connues, leur per- mettant de passer inaperçus : s’il y a une enquête, c’est qu’ils ont commis des erreurs. La figure 2 présente les distributions de la population et de la dangerosité des profils d’attaquants, estimées par David Bénichou. Dégâts résultant des attaques Les dommages que peuvent provoquer des cyber-atta- ques peuvent être classés selon les sous-sections suivantes. - Déni de service Une attaque en déni de service10 (ou Denial of Service, DoS) consiste à empêcher le fonctionnement normal d’un système informatique, portant ainsi atteinte à sa disponibilité, une des trois propriétés fondamentales de la sécurité infor- matique. La méthode la plus simple consiste à lui envoyer en grand nombre des requêtes inutiles pour consommer le plus de ressources possible en débit réseau, en puissance de calcul, en capacité de stockage, etc. Le système ainsi privé de ses ressources sera incapable de fournir le service demandé par ses utilisateurs légitimes. Il est très difficile de contrer de telles attaques si l’attaquant réussit à ce que les requêtes qu’il envoie ne puissent être distinguées de requêtes légitimes. En particulier, l’attaquant doit faire en sorte que les requêtes ne proviennent pas toujours des mêmes sites (donc des mêmes adresses IP sur Internet), sinon il serait facile de mettre ces sites en liste noire. Le cyber-attaquant préférera donc utiliser un botnet, c’est-à-dire un réseau de machines zombies sous son contrôle (voir la sous-section dédiée aux botnets), pour lancer un déni de service distribué (Distributed Denial of Ser- vice, DDoS). Une autre méthode pour réaliser un déni de service est d’exploiter les vulnérabilités inhérentes aux protocoles de communication. En effet, Internet continue à utiliser des pro- tocoles qui ont été définis à une époque où la disponibilité était bien plus importante que la sécurité  : les protocoles IP visaient alors à faire communiquer entre eux les calcu- lateurs de quelques centres de recherche en utilisant des équipements et des liaisons peu fiables [8]. La petite équipe de développeurs devait donc privilégier la résilience vis-à- vis des problèmes de communication, plutôt que vis-à-vis d’une malveillance potentielle d’un utilisateur, qui serait ap- parue comme complètement saugrenue dans ce petit cercle d’utilisateurs privilégiés. SYN-flooding11 et smurfing12 sont des exemples d’exploitation de vulnérabilités protocolaires 10 11 12 pouvant conduire à des dénis de service ciblés, alors que IP- spoofing13 permet à l’attaquant d’usurper l’adresse d’un autre site et source routing14 permet, par exemple, à un pirate de pénétrer dans un réseau privé en utilisant le relais d’une ma- chine connectée à la fois à l’Internet et au réseau privé. Un déni de service peut aussi atteindre Internet lui-même, bloquant tout ou partie des accès pendant un certain temps [9, 10]. De tels blocages ont lieu fréquemment par accident (maladresse d’un opérateur [11], erreurs dans des tables de routage15 , erreur dans un script [12], test de protocoles [13], …). Il est clair que les mêmes failles ayant conduit à ces incidents pourraient être exploitées par des attaquants et conduire à des indisponibilités bien plus importantes. Les méthodes susceptibles de provoquer un blocage généralisé d’Internet sont nombreuses [14]. Certains services critiques pour l’ensemble de l’Internet sont particulièrement vulnéra- bles, comme le service de nommage de domaines (Domain Name Service, DNS) [15], de même que certains protocoles liés au routage, en particulier BGP [16, 17]. Pourtant, malgré leur apparente facilité, on recense jusqu’à présent très peu d’attaques visant un blocage total d’Internet. On peut juste citer deux tentatives de DDoS sur les serveurs racines du DNS en 200216 et 2007 [18] et quelques tenta- tives du même genre en février 2006 sur les serveurs de noms de domaines principaux (Top Level Domains, TLD) [19]. Il est à noter que toutes ces attaques ont été volontaire- ment arrêtées au bout de quelques minutes, ou dizaines de minutes, par ceux-là mêmes qui les avaient lancées, ce qui laisse à penser que leur but était plutôt d’en tester la faisabi- lité que de bloquer réellement Internet. Ceci s’explique par le fait que les cyber-attaquants ont peu intérêt à empêcher les communications sur Internet, puisqu’ils en ont besoin pour perpétrer leurs méfaits. - Destruction d’informations Parmi les dégâts que peut provoquer une attaque, la des- truction d’informations sensibles peut avoir des conséquen- ces graves. Ce fut le cas, par exemple, lorsque Timothy Lloyd, mécontent d’avoir été licencié par Omega Engineering Cor- poration, a détruit des programmes et des données critiques pour la survie de l’entreprise, ainsi que toutes les sauvegardes qui en avaient été faites [20]. Dans d’autres cas, l’attaquant efface en priorité les traces qu’il peut avoir laissées de son intrusion, en particulier dans les logs du système. 13 14 15  16 REE N°2/2012 ◗ 27 Cyber-attaques et cyber-défenses : problématique et évolution - Vol d’information Aujourd’hui, la plupart des cyber-attaques visent à voler des informations sensibles, qu’il s’agisse de : • vol de secrets militaires, économiques ou diplomatiques par certains services gouvernementaux ou par des hacktivistes ; • vol de secrets industriels ou commerciaux par des entrepri- ses concurrentes ; • vol de numéros de cartes de crédit et autres informations de connexion avec des services financiers, pour réaliser des virements frauduleux ou des fraudes financières ; • vol de données personnelles, en particulier pour usurper l’identité de personnes innocentes, pour nuire à leur ré- putation, pour exercer du chantage, ou simplement pour mieux les profiler dans un but de marketing. Pour ce dernier cas, notons que le développement ac- tuel des réseaux sociaux facilite grandement l’acquisition de données personnelles. Il ne s’agit alors plus vraiment de vol au sens strict du terme, puisque ces informations sont pu- bliées volontairement par ceux qui participent à ces réseaux sociaux, parfois inconscients des risques qu’ils encourent : • pour leurs enquêtes, la police et la gendarmerie consultent fréquemment Facebook ou d’autres réseaux sociaux simi- laires, afin d’obtenir des renseignements sur des individus qu’ils soupçonnent de méfaits17  ; • les responsables des ressources humaines consultent aussi très souvent les réseaux sociaux sur les candidats à un re- crutement18  ; • diffuser des opinions dénigrant un dirigeant ou une en- treprise, même si cette diffusion est restreinte à quelques “amis”, peut conduire à un licenciement19  ; 17  18  19  • de même, avoir une activité sur Internet pendant un arrêt maladie peut être considéré comme un motif de licencie- ment20  ; • plus simplement, des cambrioleurs peuvent exploiter des informations sur les réseaux sociaux pour choisir leurs victi- mes, la date et le lieu de leurs méfaits21  ; • les réseaux sociaux représentent aussi un risque important pour les entreprises, Sophos le rangeant même au premier rang en 2010 [21]. Le vol d’informations est souvent la première étape d’une attaque ciblée : en explorant les caractéristiques du système, l’attaquant peut identifier les vulnérabilités les plus intéres- santes à exploiter. La collecte de données personnelles faci- lite aussi l’ingénierie sociale (Social Engineering, en anglais), qui consiste à mettre en confiance un utilisateur pour lui sou- tirer des informations qui permettent, par exemple, d’usurper son identité. Une autre caractéristique du vol d’information est qu’il laisse en général peu de traces, puisque les infor- mations sensibles volées ne sont pas modifiées et qu’il n’y a donc pas d’impact sur l’intégrité du système. Il est dès lors vraisemblable que la plupart de ces attaques ne sont jamais détectées et que celles qui le sont ne représentent que la partie émergée de l’iceberg. - Diffusion de fausses informations La diffusion de fausses informations peut provoquer des dégâts importants. Ainsi, pirater les serveurs d’un éditeur de logiciels peut permettre de distribuer largement des logiciels malfaisants (maliciels, ou malware en anglais)22 , par exem- ple sous forme de mises à jour ou de nouvelles versions que les utilisateurs légitimes s’empresseront de télécharger. Modifier astucieusement des manuels ou des bases de don- nées pourrait aussi avoir des conséquences catastrophiques, comme dans le cas de la maintenance d’avions ou de don- nées de navigation. Ceci est également vrai pour certaines installations liées à des infrastructures critiques (production, transport et distribution d’énergie, usines chimiques, trans- port terrestre, maritime ou aérien, etc.). Il n’est pas toujours nécessaire de pirater des serveurs pour distribuer de fausses informations ; il suffit souvent d’utiliser les moyens de communication habituels, tels que le courrier électronique, les blogs, les forums, les réseaux sociaux, etc. Si en plus l’attaquant usurpe l’identité d’une personne ou d’une organisation, il peut nuire gravement à leur réputation. 20 21  22 Par exemple Figure 3 : Bannière du site de sensibilisation . 28 ◗ REE N°2/2012 Les cyber-attaques, un risque pour nos grandes infrastructures ? L’attaquant peut même amasser des gains importants, par exemple en diffusant de fausses informations pour influencer les cours de la bourse [22]. La défiguration de pages Web (Web defacing) est aussi un sport à la mode, en particulier chez les hacktivistes, qui consiste à pirater le serveur Web d’une organisation ou d’une entreprise, ou simplement à perturber le service de nom- mage de domaines (DNS) pour rediriger les requêtes Web vers un serveur pirate, imitant le serveur Web visé. Enfin, sans qu’il s’agisse de fausses informations à propre- ment parler, on peut assimiler à ce type de méfaits la distribu- tion de contenus illicites ou en violation des droits d’auteurs. - Sabotage Les cyber-attaques peuvent aussi provoquer des dégâts matériels dans le monde réel, s’apparentant ainsi aux sa- botages. Dans la plupart des cas, il s’agit de détruire phy- siquement des équipements informatiques. Selon certaines rumeurs, un virus informatique appelé « Flambé » aurait été capable de détruire les écrans des premiers PC en envoyant des commandes sur la carte du contrôleur d’écran pour mo- difier les signaux de synchronisation, mais il s’agit probable- ment d’un canular. En revanche, il est certain que le virus CIH (aussi appelé Tchernobyl) était capable d’effacer la mémoire EEPROM ou flash du BIOS de certains PC ; ce circuit étant généralement soudé, la réparation nécessitait le plus souvent de remplacer la carte mère. Jusqu’à récemment, les plus optimistes pouvaient croire que seuls les équipements informatiques pouvaient être dé- truits par logiciel. Le ver Stuxnet a prouvé le contraire, en s’at- taquant spécifiquement à certains automates programmables de Siemens et en provoquant la destruction d’un grand nom- bre de centrifugeuses utilisées pour l’enrichissement d’ura- nium à Natanz, en Iran [23]. Même si ce ver a contaminé les systèmes de contrôle-commande SCADA23 de diverses installations industrielles (centrales hydro-électriques ou nu- cléaires, gazoducs, distribution d’eau potable, etc.) en Iran et dans d’autres pays, on ne rapporte aucun autre dommage notable que ceux de Natanz. Comme les autres vers (cf. sec- tion suivante), Stuxnet est un programme malveillant capa- ble de se propager d’un ordinateur à l’autre, par un réseau connectant ces deux ordinateurs, ou par échange de support de stockage (typiquement, une clé USB). Le ver Stuxnet est remarquable de par ses caractéristiques [24] : • c’est apparemment le premier maliciel conçu spécifique- ment pour attaquer des installations industrielles ; • il ne s’attaque pas directement aux automates programma- bles, mais vise les PCs (généralement isolés d’Internet et même d’un réseau local) qui les programment ; • il utilise des techniques de furtivité pour cacher aux opéra- teurs les modifications qu’il réalise sur les automates pro- grammables ; • c’est le premier maliciel à utiliser jusqu’à quatre exploits zero-day (logiciels exploitant des vulnérabilités inconnues jusqu’alors ou en tout cas non corrigées) ; • il comporte des pilotes (drivers) signés par les clés privées de deux sociétés ayant des certificats validés par Microsoft. Pour voler ces clés privées, il a vraisemblablement fallu avoir accès physiquement aux systèmes informatiques de ces deux entreprises, situées à Taïwan ; • il peut se mettre à jour par connexion pair-à-pair sur réseau local ; 23 Supervisory Control and Data Acquisition. Figure 4 : Exemple de défiguration de site Web. REE N°2/2012 ◗ 29 Cyber-attaques et cyber-défenses : problématique et évolution • il tente de se connecter à un centre de commande (deux si- tes différents ont été identifiés), ce qui permet à l’attaquant de récupérer des informations sur l’installation contaminée (versions des logiciels, adresses des interfaces, etc.), ainsi que de télécharger et d’exécuter du code malveillant ; • il tente de contourner les produits de sécurité (antivirus) ; • il est capable de se propager à la fois par connexion sur In- ternet ou sur des réseaux locaux isolés (partage de fichiers ou de bases de données) et par supports de stockage amo- vible (clés USB) ; c’est en utilisant à la fois ces trois moyens de contamination qu’il a réussi à attaquer le site de Natanz, qu’on peut supposer totalement isolé d’Internet et particu- lièrement protégé ; • le code malveillant est effacé automatiquement de la clé USB à la troisième infection ; • pour mettre au point le code malveillant spécifique à une installation industrielle, il a fallu aux développeurs construire un environnement matériel et logiciel reproduisant celui de la cible ; • il est particulièrement volumineux et complexe et selon les ingénieurs de Symantec, il a fallu de l’ordre de six mois à une équipe de cinq à dix développeurs, compétents dans plusieurs spécialisations (MS-Windows, réseaux, program- mation d’automates, etc.) ; pour justifier de tels coûts, il faut que les cibles aient une importance particulière pour les attaquants (dans ce cas, probablement des services gou- vernementaux israéliens et/ou américains) ; • dix versions ont été identifiées, visant spécifiquement cinq organisations en Iran (identifiées par leurs noms de domai- nes DNS), avec des infections réalisées en juin 2009, juillet 2009, mars 2010, avril et mai 2010. Stuxnet marquera donc une date dans l’histoire, comme étant le premier maliciel ayant saboté physiquement une ins- tallation industrielle. Développer un maliciel aussi complexe n’est pas à la portée du premier cyber-attaquant venu. Ce- pendant, la plate-forme de développement de Stuxnet pour- rait être réutilisée pour développer d’autres types d’attaques à moindre coût. Selon certains analystes [25, 26], c’est cette même plate-forme qui a servi pour développer le ver Duqu, visant apparemment à voler des informations plutôt que de réaliser des sabotages, mais il est à noter que plus de la moi- tié des sites identifiés comme infectés par Duqu sont, eux aussi, localisés en Iran [27]. Les systèmes SCADA peuvent aussi être attaqués par des intrusions directes, plus traditionnelles, en particulier lorsqu’ils sont directement connectés à Internet. Un certain nombre d’attaques de ce type ont été recensées en 2011 [28] et les agences fédérales américaines publient régulière- ment des mises en garde à ce sujet [29, 30]. La faisabilité de telles attaques contre l’infrastructure de production, transport et distribution d’énergie électrique a été démontrée expéri- mentalement, avec la destruction d’un générateur électrique [31]. Il faut néanmoins se retenir de « crier au loup » trop vite. Ainsi, en novembre 2011, la panne accidentelle d’une Figure 5 : Organigramme de la partie « infection » de Stuxnet [24]. 30 ◗ REE N°2/2012 Les cyber-attaques, un risque pour nos grandes infrastructures ? pompe du système de distribution d’eau potable de Sprin- gfield, Illinois, a d’abord été mise sur le compte de hackers russes qui se seraient introduits dans le système SCADA de ce service, cinq mois plus tôt [32]. En fait, cette « intrusion » était le fait d’un consultant qui s’était connecté au système à la demande du service des eaux, alors qu’il était en vacances avec sa famille en Russie [33]. Moyens d’attaques Les cyber-attaques peuvent utiliser de nombreux moyens pour atteindre leurs buts. Ci-après, nous ne citerons que les plus typiques, sans entrer dans le détail de leur mise en œu- vre, qui change fréquemment. Ces moyens relèvent parfois de techniques sophistiquées, mais nous verrons que le plus souvent la crédulité des victimes joue un rôle important  : l’être humain représente souvent le maillon faible dans la chaîne de la sécurité. Notons cependant que la mise en œuvre de cyber-atta- ques exploite généralement deux types de vulnérabilités : • des contrôles insuffisants au niveau des interfaces et des échanges de paramètres (par exemple, débordement de tampons, injection SQL ou PHP, cross-site scripting (XSS), etc.) ; • l’abus de fonctions trop permissives, en particulier dans des documents PDF, des animations flash, ou du code Java (qui représentent la très grande majorité des documents piégés et des pages Web minées). Ces deux types de vulnérabilités peuvent se trouver aussi bien au niveau des logiciels d’application, des logiciels de base (OS, hyperviseurs, piles de protocoles réseau), ou du matériel (processeurs, chipsets des calculateurs, contrôleurs d’entrée-sortie, cartes et équipements réseau). - Phishing Le «  phishing  » (qu’on traduit par «  hameçonnage  » ou «  filoutage  ») consiste à pousser l’utilisateur crédule à se connecter à un faux système (typiquement, un faux serveur Web) imitant celui que la victime connaît et dans lequel elle a confiance, de façon à lui voler ses informations de connexion (nom, mot de passe, numéro de carte de crédit ou de compte bancaire, etc.). Le plus souvent, il s’agit d’un courriel semblant provenir d’un expéditeur digne de confiance, et qui vous recommande de cliquer sur un lien (URL, pour « Uni- form Resource Locator ») imitant un lien habituel. Le phishing représente une large proportion du « spam » (courriel indé- sirable ou « pourriel »). On voit aussi parfois du phishing par SMS et même par messagerie vocale. Lorsqu’on reçoit ce type de courriel, on ne peut généra- lement pas faire confiance à l’origine du message : sauf si le courriel est signé par un schéma à clé publique (par PGP ou S/MIME par exemple), l’identité de l’expéditeur peut être choisie librement par un attaquant. L’attention de l’utilisateur qui reçoit ce type de message devrait être attirée par les fau- tes de français, d’orthographe ou d’accents : les attaquants étant souvent étrangers, ce type de fautes est fréquent. Si, comme sur la figure 6, on affiche l’URL effective du poin- teur, on peut souvent identifier qu’il s’agit d’un faux. Malheu- reusement, ce type de précaution ne suffit pas toujours, en particulier si l’attaquant contrôle ou perturbe le service de nommage (DNS). Figure 6 : Exemple de phishing. REE N°2/2012 ◗ 31 Cyber-attaques et cyber-défenses : problématique et évolution - MITM L’attaque de « l’homme au milieu » (« Man-In-The-Middle », ou MITM) consiste pour l’attaquant à se placer en coupure d’une connexion et à relayer les messages entre expéditeur et récepteur, éventuellement en les modifiant. Ainsi, dans l’exemple d’un phishing bancaire, le faux site de l’attaquant relaye les requêtes du client et les réponses du serveur de la banque, en copiant au passage le contenu sensible et parfois en le modifiant : on a vu ainsi des formulaires modifiés pour demander au client de taper le code PIN de sa carte de crédit en plus des informations normales de connexion. - Pages Web minées La victime peut être attirée vers des sites Web qui ont été piratés ou mis en place par un pirate, de façon à lui faire télécharger subrepticement un maliciel sur sa machine, la transformant ainsi en « zombie » contrôlé à distance par l’at- taquant. Celui-ci peut alors fouiller les fichiers à la recherche d’informations sensibles (mot de passe, numéros de cartes de crédit, etc.), ou utiliser cette machine pour relayer d’autres attaques (et cacher ses traces), pour diffuser des spams ou des contenus illicites, pour lancer des attaques DDoS, etc. Comme le phishing, l’utilisation de pages minées présente pour l’attaquant un intérêt particulier pour pénétrer dans une entreprise, puisque les pages Web et les courriels ne sont généralement pas filtrés par les pare-feux. - Vers et virus Les vers et les virus sont des maliciels qui s’auto-repro- duisent. Un ver est un programme autonome, alors qu’un virus n’est qu’une suite d’instructions qui s’insère dans un programme préexistant  : le virus ne s’exécute donc que lorsqu’on exécute le programme contaminé. Cette distinction tend aujourd’hui à s’estomper : les maliciels autoreproduc- teurs sont souvent composés de multiples modules, certains pouvant avoir la forme de virus et d’autres la forme de vers. L’infection peut être provoquée par des documents piégés attachés à des courriels, par des pages Web minées, par des requêtes subtiles envoyées à des serveurs vulnérables ou par connexion de supports de stockage amovibles contaminés (clés USB, par exemple). Les machines contaminées devien- nent alors souvent des zombies. - Botnets Si un attaquant réussit à créer un nombre suffisant de zombies, il peut les utiliser comme un « botnet » (réseau de machines-robots, contrôlées à distance) pour lancer des atta- ques massives coordonnées (DDoS, spams, vers, etc.). Selon certaines estimations difficilement vérifiables, certains botnets seraient composés de centaines de milliers ou même de mil- lions de zombies. Pour permettre le contrôle à distance, les zombies sont programmés pour consulter périodiquement un centre de commande ou pour utiliser des messageries instantanées (chats, canaux IRC, MSN Messenger, etc.), ou encore des systèmes de partage pair-à-pair qui présentent l’avantage (pour l’attaquant) de rendre difficile l’identification du centre de commande parmi tous les zombies. - Piratage d’infrastructures de gestion de clé Les schémas de chiffrement ou de signature à clés pu- bliques ont pris une importance considérable pour sécuriser les courriels, les connexions à des serveurs Web (par https, au lieu de http), ou plus généralement les documents nu- mériques et les communications sur des réseaux ouverts, réduisant ainsi le risque d’attaques MITM. Ils reposent géné- ralement sur des infrastructures de gestion de clés (IGC ou PKI, pour Public Key Infrastructure), composées typiquement d’autorités d’enregistrement et d’autorités de certification. L’autorité d’enregistrement (RA, pour Registration Authority) est chargée de vérifier les attributs (clé publique, nom, adres- se, etc.) de celui qui demande un certificat, alors que l’auto- rité de certification (CA, pour Certification Authority) génère le certificat sur les attributs vérifiés par l’autorité d’enregistre- ment, ce certificat garantissant ainsi l’authenticité de la clé pu- blique correspondante. Ces deux types d’autorités sont donc critiques pour la sécurité et il suffit de tromper ou de pirater l’une d’entre elles pour obtenir de « vrais faux » certificats. C’est déjà arrivé plusieurs fois : en mars 2011, une autorité d’enregistrement italienne, GlobalTrust.it/InstantSSL.it agissant pour Comodo, a été piratée (probablement par des services gouvernementaux iraniens), ce qui a permis de créer de faux certificats pour Google, Yahoo!, Skype, Mozilla et d’autres en- treprises, contribuant ainsi à tromper et espionner certains utilisateurs de ces services [34]. Plus récemment, aux Pays- Bas, c’est une autorité de certification, utilisée entre autres par le gouvernement néerlandais, qui a été piratée, égale- ment par des Iraniens [35]. - Attaques ciblées Plutôt que de lancer des attaques massives, tous azi- muts, visant à atteindre de nombreux sites mal protégés, il est souvent plus intéressant pour un cyber-attaquant de monter une attaque ciblée vers le réseau interne d’une or- ganisation qui contient des informations sensibles, même si celui-ci est, pour cette raison, bien protégé. Ces attaques sont généralement appelées APT, pour « Advanced Persistent Threats ») [36, 37], parce qu’elles peuvent persister de longs mois sans être détectées. On peut aussi parler d’harponnage 32 ◗ REE N°2/2012 Les cyber-attaques, un risque pour nos grandes infrastructures ? (ou de spear phishing). La méthode la plus utilisée pour cela consiste à envoyer à un membre de l’organisation visée un message plausible, semblant provenir d’une source de confiance, avec un document attaché apparemment légitime (par exemple un fichier PDF)24 . Ce document piégé contient en fait des fonctions cachées qui sont lancées lorsqu’il est ouvert, transformant ainsi la machine de l’utilisateur en tête de pont pour permettre à l’attaquant d’explorer le réseau in- terne, d’identifier d’autres cibles et de les infecter. C’est de ce type d’attaque qu’a été victime Bercy en 2010 [38]. En 2011, la compagnie RSA Security a elle aussi subi une attaque de ce type, permettant à ses auteurs de récupérer des informa- tions critiques sur les produits d’authentification forte qu’elle commercialise et ces informations ont apparemment servi à des intrusions dans des entreprises travaillant pour la défense américaine [39]. Moyens de défense Les moyens de défense qui peuvent être mis en place sont, tout comme pour les attaques, divers et variés. Ils vont de la mise en place d’équipements surveillant en temps réel les flux d’informations en provenance ou quittant un système d’information, à des techniques de vérification de code, en passant par les techniques plus classiques de mise en place de pare-feux (firewall en anglais) ou l’utilisation d’antivirus. Il est aussi possible d’isoler certains traitements ou équipe- ments informatiques afin de contenir l’impact que pourrait avoir une attaque particulière, ou encore de mettre en place de la redondance en diversifiant un traitement spécifique de telle manière qu’il ne suffise pas d’exploiter une seule vul- nérabilité pour mettre à mal la sécurité globale du système d’information. - Programmation sécurisée La première défense consiste à réduire les points faibles. La programmation sécurisée [40] est un terme général dési- gnant les approches qui cherchent à améliorer la qualité du code depuis l’étape de conception d’un programme jusqu’à son utilisation, afin de réduire le risque de vulnérabilités potentielles. En effet, il est possible qu’un attaquant puisse exploiter ces vulnérabilités (introduites par accident ou su- brepticement) pour commettre une attaque. Une des pre- mières étapes pour rendre un code sûr est de faire en sorte qu’il soit écrit de manière claire, compréhensible et modu- laire, afin de pouvoir être facilement inspecté et vérifié. Le fait de rendre son comportement prédictible, indépendamment des actions de l’utilisateur ou des entrées erronées, est aussi 24 L’attaquant peut aussi réémettre un courriel qu’il aura intercepté et dont il aura modifié le document attaché pour y insérer un piège. une manière d’éviter des comportements déviants. Afin de sécuriser le code, il est important d’évaluer son exécution face à une entrée non conforme à sa spécification, afin par exemple d’empêcher des attaques du type débordement de tampon (buffer overflow en anglais) ou injection SQL. Ainsi, une des hypothèses de base de la programmation sécurisée est de ne jamais supposer que l’utilisateur respectera tou- jours les spécifications du programme, mais d'avoir plutôt une attitude paranoïaque et tester tous les cas de figures pouvant survenir, même les plus illogiques ou improbables. - Cloisonnement La seconde défense consiste à résister à l’intrusion et à sa progression. Un pare-feu (firewall en anglais) est un mé- canisme logiciel ou matériel permettant de faire respecter la politique de sécurité mise en place dans un réseau informa- tique, en inspectant et filtrant les flux entrants ou sortants du réseau. Le pare-feu joue ainsi le rôle de barrière de sécurité entre le réseau interne, qui est dit de confiance car sous le contrôle de l’administrateur système, et le réseau externe, tel qu’Internet, qui lui est habité par de nombreux attaquants potentiels. Ainsi, le pare-feu constitue souvent le premier moyen de défense pouvant être mis en place pour contrer une cyber-attaque. Le pare-feu peut autoriser ou bloquer cer- taines actions, en fonction des privilèges accordés à l’entité qui se connecte, de l’adresse IP de la machine d’où les com- munications sont initiées, ou encore du contenu des paquets échangés lors des communications. Depuis la généralisation des protocoles du type IPSec ou SSL, le pare-feu perd de son importance car il n’est plus capable de faire une analyse réelle du contenu des paquets qui sont échangés à travers un tunnel sécurisé (à moins évidemment d’être à l’une des extrémités du tunnel). D’une façon plus générale, l’isolation, aussi parfois appelée cloisonnement (ou sandboxing en anglais), cherche à empê- cher toute communication ou interaction qui n’est pas néces- saire entre un composant particulier du système d’information et les autres composants. Ainsi, il est souhaitable, par exemple, d’isoler les systèmes de développement des systèmes opéra- tionnels ou encore, les systèmes de surveillance des systèmes surveillés. L’isolation est aussi utilisée très souvent pour exé- cuter du code non testé ou de provenance douteuse. Ainsi, on peut citer l’exemple des applets qui sont des programmes exécutés par un navigateur Web dans une machine virtuelle isolée. Les applets ont souvent un accès limité aux ressources de la machine réelle sur laquelle le navigateur s’exécute, avec par exemple l’incapacité de lire ou d’écrire les fichiers stoc- kés sur cette machine. Il est aussi possible de faire tourner un système d’exploitation complet dans une machine virtuel- REE N°2/2012 ◗ 33 Cyber-attaques et cyber-défenses : problématique et évolution le, limitant ainsi l’impact que peut avoir une défaillance de ce système d’exploitation ou de ses applications sur la machine réelle et sur les autres applications en cours d’exécution dans d’autres machines virtuelles. - Détection d’intrusion La troisième défense consiste à surveiller et à détecter les tentatives d’intrusion. Un système de détection d’intru- sion observe en temps réel le comportement d’un système d’information ainsi que son état, afin de pouvoir détecter la présence d’une attaque éventuelle. Le système de détection d’intrusion est souvent couplé directement avec un pare-feu. On parle alors souvent de système de prévention d’intrusion, lorsque la détection d’une intrusion provoque la modifica- tion des règles du pare-feu pour bloquer les communications provenant apparemment de l’intrus. Il existe principalement deux approches différentes pour détecter les intrusions  : comparer le comportement du système à celui provoqué par des attaques connues, ou identifier si ce comportement dé- vie du comportement attendu. Pour la première approche, la construction d’une bibliothèque d’attaques requiert un travail important de collecte et d’analyse d’attaques réelles, afin de constituer une base de signatures caractéristiques de ces attaques. L’idéal est de pouvoir reconnaître des motifs (patterns) d’attaques déjà rencontrés par le passé mais aussi de les étendre à des variations éventuelles de ces attaques. La seconde approche consiste à analyser le comportement du système afin de détecter une déviation par rapport à la spécification du service ou à son fonctionnement habituel. Cette dernière permet donc de détecter des attaques encore inconnues. Quelle que soit l’approche suivie, il faut calibrer le système de détection d’intrusion afin d’obtenir un compro- mis raisonnable entre le taux de faux positifs (ou fausses alar- mes, c’est-à-dire détections d’attaques qui n’existent pas) et le taux de faux négatifs (quand les attaques en cours ne sont pas détectées). En particulier, on cherchera à atteindre un taux de faux négatifs le plus bas possible tout en évitant de trop augmenter le taux de faux positifs, sans quoi le système deviendrait peu crédible, ce qui pourrait conduire à négliger une attaque réelle. - Diversification La diversification consiste à exécuter une même application sur différentes plates-formes matérielles ou avec des systèmes d’exploitation différents [41]. Ainsi, par exemple, il est possible de faire tourner la même application sur plusieurs systèmes d’exploitation, chacun dans sa propre machine virtuelle, et d’en comparer les résultats. Comme il est rare qu’un maliciel se comporte de la même façon dans des environnements d’exécution différents, la comparaison des résultats permet de détecter les erreurs et arrêter l’exécution, voire d’éliminer les exécutions défaillantes, par vote majoritaire [42]. - Analyse forensique L’investigation numérique, aussi appelée analyse forensi- que (de forensics, analyse médico-légale en anglais) consiste à analyser a posteriori une attaque, réussie ou non, le plus souvent en se basant sur les traces enregistrées dans les logs, afin de découvrir d’éventuelles actions malveillantes ou des indices d’une tentative d’attaque. Ainsi, en enregistrant les connexions et déconnexions d’utilisateurs, la création, modification ou suppression d’informations de sécurité, ou encore des changements de privilèges, et en analysant ces enregistrements, il est possible de déduire qu’une séquence d’actions particulières prise dans son ensemble est en fait une attaque globale (par exemple une élévation de privi- lèges) alors que prise individuellement chaque action peut sembler parfaitement légitime et anodine du point de vue de la sécurité. L’analyse forensique permet aussi d’évaluer les dégâts et de les réparer, et surtout de rechercher et de corriger les vulnérabilités exploitées par l’attaque. - Analyse de vulnérabilité Contrairement à l’analyse forensique qui permet d’iden- tifier une attaque une fois que celle-ci a eu lieu, l’analyse de vulnérabilité cherche à évaluer et quantifier a priori la sécurité d’un système d’information en testant la présence de vulnérabilités potentielles. Ainsi, il existe des scanners de vulnérabilités, tel que Nessus, qui balaient les ports ouverts et identifient les machines et applications actives avant de tenter ensuite diverses attaques pouvant aller d’une attaque simple jusqu’à un déni de service sur la machine testée, tout cela afin de pointer les éventuelles faiblesses d’un réseau informatique. Evidemment le même type de logiciel qui est utilisé pour évaluer le niveau de sécurité d’un système d’in- formation peut aussi être utilisé par un hacker pour trouver une faille et attaquer ce même système. - Défense en profondeur La défense en profondeur [43] prend son nom d’une stra- tégie militaire qui consiste à mettre en place plusieurs barrières de défense afin de rendre plus difficile la tâche de l’attaquant et de limiter l’impact potentiel pour la sécurité que pourrait avoir la défaillance d’un moyen de défense particulier. Cette notion de défense en profondeur est appliquée dans le domaine de la sûreté des centrales nucléaires où elle désigne la mise en place de plusieurs couches de protection et de mécanismes qui permettent de garantir que seule une combinaison de plu- 34 ◗ REE N°2/2012 Les cyber-attaques, un risque pour nos grandes infrastructures ? sieurs défaillances (ou d’attaques réussies) peut conduire à mettre en péril la sécurité d’une installation particulière. Il s’agit plus d’un principe illustrant le proverbe qui recommande de ne pas mettre tous ses œufs dans le même panier que d’une technique de défense à proprement parler. Ainsi, la simple combinaison d’un pare-feu, d’un antivirus et d’un système de détection d’intrusion peut être considérée comme une forme de défense en profondeur. - Gestion de crise De manière générale, il est important de se souvenir qu’aucun système de sécurité, aussi sophistiqué et coûteux soit-il, n’est parfait et donc que le risque d’une attaque mettant en défaut tous les moyens de défense mis en place est tou- jours possible. Il est donc primordial pour chaque organisation de prévoir un plan de crise (et de faire régulièrement des exer- cices pour le valider) qui permette de gérer les conséquences d’une attaque conduisant à une crise majeure, même si la probabilité d’une telle éventualité reste faible. Ceci est d’autant plus vrai pour les domaines sensibles tels que les infrastruc- tures critiques ou les applications militaires. Il est ainsi précisé dans le code de la défense [44] que chaque opérateur d’im- portance vitale se doit d’avoir un plan de protection et d’en vérifier régulièrement l’efficacité par des exercices. Vue la fra- gilité d’Internet, il est particulièrement important de prévoir les conséquences qu’aurait un blocage total et prolongé des com- munications par Internet et de mettre en place des moyens pour en réduire les effets (autonomie des sites, moyens de communication diversifiés, etc.). Conclusion Internet, de par son universalité et son faible coût, a per- mis d’interconnecter la majorité des systèmes d’information, en augmentant leur efficacité et en étendant leurs fonctionna- lités. Internet a aussi permis le développement de nombreux services nouveaux, qui modifient en profondeur notre société et nos modes de vie. Malheureusement, ces développements s’accompagnent de risques croissants, avec l’émergence de nouvelles formes de criminalité. Face à ce danger, il convient de mettre en place des moyens de défense adaptés, mais éga- lement de sensibiliser et de motiver aussi bien les décideurs que le grand public. Nous espérons y contribuer par cet article. Références [1] T. J. O’Connor, The Jester Dynamic: A Lesson in Asymmetric Un- managedCyberWarfare25 ,SANSInstitute,30décembre2011,31pp. 25 Voir aussi sa réfutation à [2] Ron Rosenbaum, Steve Jobs and me, Slate Magazine, 7 octobre 2011. [3] Kevin Poulsen, Hacker Disables More Than 100 Cars Remotely, Wired.com, 17 mars 2010. [4] Greg Keiser, Jury convicts programmer of planting Fannie Mae server bomb, ComputerWorld, 7 octobre 2010. [5] U.S. Department of Justice, Former Computer Network Administrator at New Jersey High-Tech Firm Sentenced to 41 Months for Unleashing $10 Million Computer “Time Bomb”, Communiqué de presse, 26 février 2002. [6] Verizon, 2012 Data Breach Investigations Report, 22 mars 2012. [7] David Bénichou, Cybercriminalité, communication orale au 2010 Computer & Electronics Security Applications Rendez- vous (C&ESAR 2010), Rennes, 22-24 novembre 2010. [8] Vincent Nicomette, Internet : un réseau fondamentalement non sûr, Assises nationales de la recherche stratégique, 24 juin 2010, Revue Défense, n° 147, septembre-octobre 2010, pp. 29-30. [9] Stéphane Bortzmeyer, Peut-on éteindre l’Internet ? Sym- posium sur la sécurité des technologies de l’information et des communications (SSTIC 2011), Rennes, 8-10 juin 2011. 10] Panagiotis Trimintzios, Chris Hall, Richard Clayton, Ross Anderson, Evangelos Ouzounis, Inter_X: Resilience of the Internet Interconnection Ecosystem, ENISA Report, 11 avril 2011. [11] John Markoff, Minor Error Throws Internet Into Disarray, The New York Times, CyberTimes, 18 juillet 1997. [12] Frank Michlick, Typo Shuts Down Entire Swedish Domain Space, Domain Name News, 13 octobre 2009. [13] ErikRomijn,RIPENCCandDukeUniversityBGPExperiment, RIPE Labs, RIPE (Réseaux IP Européens), 31 août 2010. [14] Simson Garfinkel, 50 Ways to Crash the Net, Wired.com, 19 juillet 1997. [15] D. Atkins, R. Austein, Threat Analysis of the Domain Name System (DNS), IETF, RFC 3833, août 2004. [16] Cisco,ProtectingBorderGatewayProtocolfortheEnterprise, Cisco Reference Document. [17] Z. Ying Zhang, Morley Mao, Jia Wang, Low-Rate TCP- Targeted DoS Attacks Disrupts Internet Routing, 14th Annual Network & Distributed System Security Symposium (NDSS) 2007, San Diego, CA, 28 février-2 mars 2007, 15 pp. [18] ICANN, Root server attack on 6 February 2007, Fact Sheet, ICANN, 1er mars 2007. [19] ICANN, DNS Distributed Denial of Service (DDoS) Attacks, Report SAC008, ICANN Security and Stability Advisory Committee (SSAC), 31 mars 2006. [20] CNN, The Omega files: A true story, CNN Tech, 27 juin 2000. [21] Sophos, Security Threat Report 2010, 1er février 2011. REE N°2/2012 ◗ 35 Cyber-attaques et cyber-défenses : problématique et évolution [22] Michael Lewis, Jonathan Lebed’s Extracurricular Activities, The New York Times, 25 février 2001. [23] Jacques Benillouche, Comment le virus Stuxnet s’en est pris au programme nucléaire iranien, Slate.fr, 21 novembre 2010. [24] Nicolas Falliere, Liam O Murchu, Eric Chien, W32.Stuxnet Dossier, version 1.4 (février 2011), Symantec. [25] AlexanderGostev,IgorSoumenkov,Stuxnet/Duqu:TheEvolu- tion of Drivers, Securelist, Kaspersky Lab, 28 décembre 2011. [26] Symantec & CrySyS, W32.Duqu - The precursor to the next Stuxnet, version 1.4 (23 novembre 2011), Symantec Security Response, 71 pp. [27] AlexanderGostev,TheMysteryofDuqu:PartTen,Securelist, Kaspersky Lab, 27 mars 2012. [28] Hal Hodson, Hackers accessed city infrastructure via SCADA – FBI, Information Age, 29 novembre 2011. [29] Siobhan Gorman, Alert on Hacker Power Play – U.S. Official Signals Growing Concern Over Anonymous Group’s Capabilities, The Wall Street Journal, 21 février 2012. [30] ICS-CERT, Control System Internet Accessibility, ICS- ALERT-11-343-01, U.S. Department of Homeland Security, 9 décembre 2011. [31] Jeanne Meserve, Sources: Staged cyber attack reveals vul- nerability in power grid, CNN.com/US, 26 septembre 2007. [32] Mathew J. Schwartz, Next DIY Stuxnet Attack Should Worry Utilities, InformationWeek, 22 novembre 2011. [33] Kim Zetter, Exclusive: Comedy of Errors Led to False ‘Water- Pump Hack’ Report, Wired.com, 30 novembre 2011. [34] Peter Bright, Independent Iranian Hacker Claims Respon- sibility for Comodo Hack, Wired.com, 28 mars 2011. [35] J. R. Prins, DigiNotar Certificate Authority breach “Operation Black Tulip”, Interim Report, Fox-It, 5 septembre 2011, 13 pp. [36] Dambala, Advanced Persistent Threats (APT), Dambala White Paper, 2 pp. [37] Mandiant, The Advanced Persistent Threat, Mandiant M-Trends, 2010, 30 pp. [38] Jérôme Saiz, Piratage : que s’est-il passé à Bercy ?, SecurityVibes, Alertes et Menaces, 8 mars 2011. [39] Kevin Poulsen, Second Defense Contractor L-3 ‘Actively Targeted’ With RSA SecurID Hacks, Wired.com, 31 mai 2011. [40] Gary McGraw, Software Security: Building Security In, Addison-Wesley, ISBN-13: 978-0321356703, 2006, 448 pp. [41] Yves Deswarte, Karama Kanoun, Jean-Claude Laprie, Diversity against accidental and deliberate faults, in “Computer Security, Dependability and Assurance: From Needs to Solutions”, P. Amman, B. H. Barnes, S. Jajodia & E. H. Sibley Ed., IEEE Computer Society Press, ISBN 0-7695- 0337-3, 1999, pp.171-181. [42] Ayda Saïdane, Vincent Nicomette, Yves Deswarte, The Design of a Generic Intrusion Tolerant Architecture for Web Servers, IEEE Transactions on Dependable and Secure Computing, Vol. 6, n° 1, pp.45-58, janvier-mars 2009, DOI 10.1109/TDSC.2008.1. [43] Mémento DCSSI, La défense en profondeur appliquée aux systèmes d’information, juillet 2004. [44] Article R1332 du Code de la Défense, Plans de protection pour les « Activités et Installations d’importance vitale ». Yves Deswarte est ingénieur ISEN (1972) et ingénieur spécia- lisé en informatique de Sup’Aéro (1973). Il est actuellement di- recteur de Recherche au LAAS-CNRS dans l’équipe « Tolérance aux fautes et sûreté de fonctionnement informatique ». Ses tra- vaux de recherche successivement à la CII, la CIMSA, l’INRIA et au LAAS ont porté principalement sur la tolérance aux fautes, la sécurité et la protection de la vie privée pour les systèmes informatiques répartis. Il est l’auteur de plus de 120 publica- tions internationales dans ces domaines. Il est membre Emérite de la SEE, fondateur et ancien président du Club SEE « Systè- mes informatiques de confiance ». Il est membre du Technical Committee 11 de l’IFIP, consacré à la sécurité et la protection de la vie privée dans les systèmes de traitement de l’informa- tion. Il est lauréat du Kristian Beckman Award de l’IFIP (2012). yves.deswarte@laas.fr Sébastien Gambs occupe depuis 2009 une chaire de Recherche conjointe entre l’université de Rennes 1 et INRIA sur la Sécurité des systèmes d’information. Avant cela, il a été chercheur post- doctorant au LAAS-CNRS où il a collaboré avec Yves Deswarte sur le concept de «  carte d’identité préservant la vie privée  », après avoir soutenu sa thèse de doctorat à l’université de Mon- tréal sous la supervision de Gilles Brassard et Esma Aïmeur. Son thème principal de recherche est la protection de la vie privée dans différents contextes tels que les réseaux sociaux, la géo- localisation, la fouille de données, les systèmes distribués ou plus généralement les technologies de protection de la vie privée. Il est actuellement membre du comité éditorial du International Jour- nal of Data Mining, Modelling and Management et de comités de programme de conférences internationales telles que CMS 2012 et PST 2012 ; il a été relecteur pour plus de 10 conférences in- ternationales et il co-encadre actuellement cinq doctorants, tous sur des sujets de thèse reliés à la protection de la vie privée. sebastien.gambs@irisa.fr les auteurs