Une cyberattaque est un acte offensif envers un dispositif informatique à travers un réseau cybernétique. Une cyberattaque peut émaner de personnes isolées ou d'un groupe de pirates informatiques, éventuellement étatique.
Une cyberattaque est presque systématiquement malveillante, mais peut s'inscrire dans une approche éthique, lorsqu'elle a pour seul but de mettre en évidence une faille de sécurité.
Définitions
Il existe de très nombreuses définitions selon les pays, les ONG, les organisations internationales, etc.
Pour A. Coustillière, vice-amiral chargé de la cyberdéfense française, la cyberattaque se définit comme « une action volontaire, offensive ou malveillante, menée au travers du cyberespace et destinée à provoquer un dommage aux informations et aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils sont le support »[1]. L’Agence nationale de la sécurité des systèmes d'information (ANSSI) l’assimile à une « tentative d’atteinte à des systèmes d’information réalisée dans un but malveillant. Elle peut avoir pour objectif de voler des données (secrets militaires, diplomatiques ou industriels, données personnelles bancaires, etc.), de détruire, endommager ou altérer le fonctionnement normal de systèmes d’information (dont les systèmes industriels) ». En raison de la létalité réduite de certaines cyberattaques, Danino privilégie plutôt le terme de « vandalisme cybernétique », quand Leman-Langlois lui préfère le « vandalisme virtuel »[2]. Intentionnelle et planifiée, la cyberattaque résulte « de l’emploi de capacités cyber dans le but 1er d’atteindre des objectifs dans ou par le cyberespace […], utiliser des ordinateurs en réseau dans le but de perturber, interdire, dégrader, manipuler ou détruire des informations dans le système d’information cible ». Plus simplement, elle est l’une des méthodes pour affaiblir, paralyser, corrompre ou détruire une cible dépendant totalement ou en partie de la cybersphère.
Selon N. Ténèze, le terme de « cyberattaque » prête à confusion car l'attaque en ligne c'est qu'une composante du phénomène. La « cybernétique », mot-valise, intègre le « cyber » (gouvernance ou pilotage selon la racine grecque), le « cipher » (« chiffré » en anglais), l'électronique et l'automatisme. C'est pourquoi le terme de « cyberagression », ou d'« agression cybernétique » comprend davantage les crimes et les délits dans le cyberunivers[3].
Selon N. Ténèze, les agressions dans la cybersphère se répartissent en 12 grandes familles[3] :
les attaques par déni de service (ADS) (visant à neutraliser un système informatique et à le rendre inopérant) ;
le défaçage (modifier l'apparence d'un site, d'un blog, etc.).
Exceptionnellement, le pirate est un hacker éthique. Par exemple, en août 2022, l'équivalent d'environ 600 millions de dollars ont été soustraits à la plateforme Poly Network(en) sous forme d’Ethereums, de BinanceChains et de Polygons[4] puis restitués les jours suivants par un pirate « éthique » (MrWhiteHat) voulant démontrer selon ses dires la vulnérabilité de la plateforme[5].
Objectifs des cybercriminels
Les objectifs des cybercriminels peuvent être variés et parfois multiples.
Le profit
L'objectif principal d'un cybercriminel peut être de faire du profit, par exemple, subtilisant des données utilisateurs pour le revendre ou lui rendre contre rançon ; en escroquant les personnes vulnérables sur Internet ; ou encore en procédant à des attaques type phishing. Parmi les nombreuses méthodes d'arnaque en ligne, le phishing, ou "hameçonnage", reste la plus répandue auprès des particuliers et elle consiste à se faire passer pour un tiers de confiance afin de soutirer les informations personnelles d'une entreprise ou d'un particulier. Les victimes peuvent recevoir un mail frauduleux les invitant à cliquer sur un lien ou encore être contactées par téléphone, instaurant une certaine relation de confiance, dans l'optique d'investir le capital des sociétés dont l'identité a été usurpée par l'arnaqueur.
La cyberattaque du programme nucléaire iranien (2010) a montré qu'une cyberattaque pouvait être aussi efficacement neutralisante que des armes conventionnelles[6].
Parfois la cyberattaque est présentée par son auteur (un état éventuellement) comme relevant de sa cyberdéfense[7]. Le risque de cyberattaques liés à des conflits interétatiques ou au terrorisme est considéré comme croissant, dont par le World Economic Forum (2018)[8].
Le droit international et sa jurisprudence ne sont pas encore clair sur la question d'une éventuelle qualification d'agression armée pour ce type de cyberattaques, d'autant que l'attribution de l'attaque est parfois difficile ou longue à établir)[6].
Objectif éthique
Enfin, parfois l'objectif est éthique (dans le cas de hackers éthiques ou de lanceurs d'alertes)
Attaques-test
Parfois il s'agit de tester des intrusions, au moyen d'attaques commandées à des consultants (« pentesters »), hackers payés pour tenter l'intrusion et ainsi détecter les failles de sécurité[9].
Chronologie des cyberattaques
1834 : piratage des sémaphores
Deux Français sont à l’origine de la première cyberattaque, menée contre le sémaphore, considéré comme l’ancêtre d’internet. Inventé par les frères Chappe à la fin du XVIIIe siècle, ce réseau de communication était constitué de tours en bois équipées de bras mobiles qui composaient des symboles distincts. En 1834, François et Joseph Blanc, deux boursicoteurs bordelais, trouvent le moyen de pirater le réseau avec la complicité d’un opérateur afin de recevoir en avant-première les informations de la Bourse de Paris. Ils insèrent une coquille dans un symbole pour signifier « marché en baisse » ou « marché en hausse ». Les deux frères se font finalement attraper quand l’opérateur corrompu révèle l’astuce à un ami. Au terme d’un procès retentissant, les frères Blanc sont cependant acquittés car il n’existe alors aucune loi encadrant l’usage des réseaux de communication. De nos jours, les hackers exploitent parfois le même type de faille en insérant des programmes malveillants à l’intérieur des messages ou des images[10].
1982 : une première
En 1982, les services secrets américains auraient introduit volontairement un bug dans le logiciel canadien de gestion du gazoduc transsibérien, provoquant une importante explosion dans une zone inhabitée[11],[12].
De 1990 à 2000
Le début de l'année 1990 voit l'émergence d'une sous-culture criminelle cybernétique[13]. La première intervention de taille nationale sera l'Operation Sundevil en 1990. L'émergence du cyberespace accélère également la démocratisation du cracking, du phreaking et des techniques de hacking.
La première cyberattaque recensée visant une structure étatique durant plusieurs semaines, avec des moyens suffisants pour saturer durablement les sites visés et causer un déni de service prolongé, a émané de sites russes contre des sites de l'administration estonienne, ainsi que ceux de banques et de journaux de ce pays. La majorité des institutions estoniennes ayant adopté une bureaucratie sans papier, entièrement informatique et étant reliées entre elles par internet[réf. nécessaire], ce pays se trouve très vulnérable à ce type d'attaques.
Il s'agit d'une attaque simple mais efficace, qui consiste à connecter un maximum d'appareils à un même réseau et ainsi déclencher sa saturation. Cette méthode est souvent utilisée pour sa discrétion (elle présente une faible traçabilité) car elle est dirigée par une seule personne contrôlant plusieurs ordinateurs infectés formant un botnet. Comme il y a un afflux d'appareils, le traçage d'IP(en) est inefficace du fait de l'abondance de ces adresses IP.
L'attaque survient à la suite du conflit diplomatique généré autour du projet de déplacement du Soldat de bronze planifié par le gouvernement estonien en mais ayant abouti à des nuits d'émeutes, émanant d'une minorité de nationalistes russophones implantée dans le pays.
Bien que la jurisprudence de l'OTAN ne prenne alors pas encore en compte ce genre d'attaques, certains responsables estoniens considéraient la cyberattaque, par son organisation et sa durée, comme un acte de guerre à part entière, car les structures visées se sont retrouvés entièrement inopérantes, de la même manière que si elles avaient été frappés par des missiles. Le porte-parole du département de la défense estonien, Madis Mikko, a déclaré « Si un aéroport ou une banque sont attaqués au missile, c'est la guerre. Mais si on fait la même chose avec des ordinateurs… comment appelle-t-on cela ? »[14]. Le président de l'Estonie, Toomas Hendrik Ilves, a considéré ces actes de déstabilisation comme une nouvelle forme de terrorisme. Mais de telles attaques posent un problème de traçabilité, à savoir la possibilité de remonter jusqu'à leur auteur et surtout de le prouver.
Selon le magazine américain « 60 Minutes » du dernier[Quand ?], les grandes pannes du réseau électrique brésilien de (Rio de Janeiro) et de (Espírito Santo) seraient la conséquence de cyberattaques, dont la source n’est pas identifiée. Cette hypothèse a également été évoquée pour la coupure géante d'électricité du , au Brésil, mais n'est avérée dans aucun de ces cas.
2008-2009
La Corée du Sud en juillet 2009 a subi des cyberattaques à grande échelle. 25 sites dont les sites Internet de la présidence sud-coréenne, du ministère de la Défense, du ministère des Affaires étrangères, de la Shinhan Bank et Korea Exchange Bank ont été touchés, sur fond de tensions avec la Corée du Nord[15]. Selon la presse sud-coréenne, le National Intelligence Service aurait sous-entendu la responsabilité de Pyongyang, sans fournir de preuves.
2010
Dans les années 2009-2010, le monde occidental s'inquiète de la prolifération de centrales nucléaires en Iran, officiellement civiles. Tous les médias s'interrogent régulièrement sur la probabilité d'un raid israélien qui permettrait d'en détruire au moins une pour envoyer un signal fort, mais soulignent que cela serait techniquement extrêmement risqué, impliquerait le survol de plusieurs pays qui s'y opposeraient et pourrait résulter en une réplique démesurée de l'Iran, comme l'envoi de missiles à longue portée sur les principales villes d'Israël.
La cyberattaque qui va paralyser la centrale nucléaire de Bouchehr permet d'atteindre l'objectif visé (mettre la centrale iranienne hors d'état) sans prendre le moindre risque ni humain, ni politique, ni militaire. Elle va consister à paralyser les ordinateurs de la centrale avec un virus d'un niveau de sophistication extrême dont Israël et les États-Unis sont hautement soupçonnés.
Le virus impliqué s'appelle Stuxnet[16]. Il est authentifié par Windows comme étant sans danger, ce qui implique qu'il utilise des clés numériques de sécurité volées dans des entreprises de logiciels de Taïwan. Il a transité jusqu'à la centrale par des clés USB donc avec des complices humains, le réseau informatique de la centrale n'étant pas connecté au monde extérieur. Il a déréglé le contrôle des automatismes, des robots, de la distribution d'électricité, tout un système de pilotage complexe de type SCADA fabriqué par l'Allemand Siemens. Le malware est passé inaperçu pendant des mois, causant progressivement de nombreux dégâts dont le dérèglement de centrifugeuses conduisant à leur destruction physique. Le développement d'un tel virus a nécessité probablement un investissement de plusieurs millions de dollars.
En 2011, est un second virus encore plus élaboré apparaît, dénommé Flame, qui semble avoir un lien de parenté avec Stuxnet.
2011-2012
En mai 2011, Lockheed Martin, entreprise majeure du secteur de l'armement aux États-Unis qui fabrique notamment les avions de combat F-16, subit une cyberattaque massive dont l'origine n'est toujours pas officiellement connue[17]. Tous ses systèmes informatiques sont paralysés pendant plusieurs heures et tous ses codes de sécurité sont dérobés[18].
En juin 2011, on apprend le piratage de plusieurs centaines de comptes Gmail appartenant à des hauts fonctionnaires américains, des dissidents chinois, des responsables de plusieurs pays asiatiques, des militaires et des journalistes[19]. Selon Google, l'origine de cette cyberattaque se situe à Jinan, où se trouvent un commandement militaire chinois et une école formée avec le soutien de l'armée, qui a déjà été accusée d'avoir pénétré les serveurs de Google l'année précédente. La Chine dément.
En septembre 2011, une vague d'attaques informatiques est orchestrée au Japon, tout particulièrement contre des sites Internet du gouvernement[20].
En juin 2012, jusqu'à 80 millions de dollars sont détournés dans une vague de cyberattaque visant des banques américaines, européennes et latino-américaines[21].
2014
En février 2014, les établissements américains du groupe de loisirs Las Vegas Sands sont victimes d'une cyberattaque majeure incluant le piratage du réseau informatique, un vol massif de données confidentielles puis la mise hors service d'une partie importante du système d'information et de télécommunications[22],[23]. Le piratage serait attribué à un groupe de hackers iraniens et ferait suite à la suggestion publique en octobre 2013 du milliardaire Sheldon Adelson, actionnaire majoritaire de Las Vegas Sands, de « raser » Téhéran sous le feu nucléaire[22],[23].
Les 8 et 9 avril 2015, TV5 Monde est victime d'une cyberattaque de l'État islamique entraînant l'arrêt de la diffusion de ses programmes.
Des messages de soutien à l'État islamique en anglais, arabe et français y sont publiés, ainsi que des documents présentés comme des pièces d'identité et des CV de proches de militaires français impliqués dans les opérations contre l'EI.
Une autre banque, équatorienne cette fois, la Banco del Austro, fut également victime d'une cyberattaque, en janvier 2015. Cette attaque ne fut confirmée que le dimanche 22 mai 2016. Le préjudice est estimé à 10,7 millions d’euros[29].
Les 12 et 13 mai 2017, une cyberattaque de grande ampleur paralyse les ordinateurs de multinationales et de services publics d'une centaine de pays. Des hôpitaux britanniques, les multinationales Renault et FedEx, le ministère russe de l'Intérieur, l'opérateur de télécoms espagnol Telefónica, la compagnie ferroviaire allemande Deutsche Bahn font partie des victimes.
Cette cyberattaque se répand grâce à des e-mails comportant un lien internet qui, une fois cliqué[réf. nécessaire], permet au virus d'être téléchargé dans l'ordinateur sans que l'utilisateur ait donné son accord. Il se répand aussi grâce au protocole SMB, puis exploite le système obsolète Windows XP, et toutes les versions antérieures à Windows 10 n'ayant pas effectué les mises à jour, pour libérer une charge utile, constituée de malwares, qui chiffrent les données contenues dans l'ordinateur avant de réclamer une rançon à l'utilisateur en échange de clés de décodage. Les ordinateurs contaminés par le virus sont estimés à plus de 230 000, dans 150 pays.
Parallèlement, une autre cyberattaque (nommée Adylkuzz et plus silencieuse que WannaCry), fait des centaines de milliers de victimes. Elle repose sur les ressources des ordinateurs infectés pour faire du cryptomining, c'est-à-dire créer et miner une monnaie virtuelle concurrente du Bitcoin, le Monero.
Le 27 juin 2017, une nouvelle vague massive de cyberattaques « rappelant le mode d'action du virus WannaCry en mai » a touché simultanément des entreprises majeures en Ukraine, affectant le fonctionnant des banques et aéroports, en Russie, le géant pétrolier Rosneft a été visé ainsi que des grosses banques ukrainiennes, Mars, Nivea, Auchan et des structures gouvernementales ukrainiennes, « Le site du gouvernement a cessé de fonctionner », a déclaré à l'AFP une porte-parole ministériel. Des informations émanant de plusieurs entreprises font état « d'un virus faisant apparaître une demande de rançon de 300 dollars sur l'écran de leurs ordinateurs ». Sur sa page Facebook, le métro de Kiev indiquait « ne pas pouvoir accepter de paiements en carte bancaire à ses guichets à cause d'une cyberattaque ». À l'aéroport Borispol de Kiev en raison de dysfonctionnements des panneaux d'affichage, des vols pourraient être retardés[30]. Dans les heures qui suivent les attaques s'amplifient et elles sont qualifiées de « cyberattaque mondiale » et touchent plusieurs multinationales dont le français Saint-Gobain. Le parquet de Paris ouvre une enquête en flagrance pour « accès et maintien frauduleux dans des systèmes de traitement automatisé de données, "entrave au fonctionnement de ces systèmes, extorsions et tentatives d'extorsions »[31].
2018
En avril 2018, des pirates informatiques ciblent l’infrastructure informatique en Russie et en Iran, avec des répercussions sur les fournisseurs de services Internet et les centres de données. Aucun vol de données n'est signalé, l’objectif aurait été d’« envoyer un message »[32].
En août 2018, une étude menée par la société McAfee annonce une croissance importante des cyberattaques « sans fichier » extrêmement difficile à détecter[33].
Le 2 novembre 2018 la banque HSBC révèle un incident de sécurité touchant un nombre non précisé de clients "HSBC a appris que des utilisateurs non autorisés avaient eu accès à des comptes en ligne entre le 4 et le 14 octobre 2018"[34].
Le 13 décembre 2018, le ministère des Affaires étrangères français informe d'un piratage de sa messagerie e-mail. Les noms, e-mails et numéros de téléphone de « personnes à prévenir » inscrits sur une liste du ministère ont pu être dérobés[35].
2019
Le 4 janvier 2019, la révélation d’une importante cyberattaque en Allemagne provoque une vive émotion. Des milliers de documents confidentiels, appartenant à des responsables politiques sont publiés en ligne[36]. Un étudiant de 20 ans avoue avoir effectué le piratage. Aucun lien n’a été découvert avec un service de renseignement d’un pays étranger[37].
Fin janvier 2019, Airbus annonce avoir été victime d'une intrusion dans le système d'information de sa branche des avions commerciaux. Paradoxalement, avec sa filiale Airbus CyberSecurity, l'avionneur est aussi un expert en sécurité informatique[38].
En mars 2019, des chercheurs de Kaspersky signalent que des centaines de milliers d'ordinateurs Asus ont été victimes d'un logiciel malveillant[39].
En juin 2019, les États-Unis lancent des cyberattaques contre l'Iran[40].
En juin, le New York Times rapporte que le gouvernement américain a intensifié ses cyberattaques contre le réseau électrique russe. Selon l'hebdomadaire : « l’administration Trump, dans le cadre élargi d’une guerre froide numérique entre Washington et Moscou, utilise de nouveaux pouvoirs pour déployer des outils informatiques de manière plus agressive »[41].
2020
En 2020, avec la généralisation du télétravail, les cyberattaques se sont intensifiées. Neuf organisations françaises sur dix ont été ciblées cette année[42]. Voir les 10 attaques informatiques les plus marquantes des douze derniers mois[43].
Le 7 mai 2021, le Colonial Pipeline aux États-Unis cesse ses activités pendant près d'une semaine à la suite d'une attaque ransomware.
Une vaste attaque informatique perturbe fin octobre les distributions de carburant en Iran[45].
2024
Fin janvier 2024 en France, Viamedis et Almerys sont victimes d'une cyberattaque et d'un vol de données massif. Les deux prestataires du tiers payant travaillent avec 150 mutuelles, représentant 33 millions de Français[46].
En 2024, un employé d'une multinationale de Hong-Kong est trompé par une visioconférence où tous les participants ont été créés à l'aide de l'intelligence artificielle pour imiter de vrais collègues[47]. Il reçoit l'ordre d'effectuer des virements et plus de 25 millions de dollars sont ainsi détournés. Il découvre son erreur en appelant ses collègues après la réunion[48].
En septembre, le courtier en ligne français Meilleurtaux est victime d’un vol de données personnelles (le nombre de clients et de prospects concernés n’a pas été précisé (octobre 2024))[49].
Chiffres clés
Le cabinet d'étude PWC estime à 177 300 le nombre de cyberattaques quotidiennes à travers le monde en 2014[50].
En 2014, le nombre d'incidents a augmenté de 48 %. Depuis 2009, les incidents détectés ont augmenté de 66 % par an (en moyenne)[50].
Par ailleurs, le coût annuel moyen attribué aux cyberattaques atteint les 2,7 millions de dollars en 2014, soit une augmentation de 34 % vs 2013[50].
Selon la société américaine Akamai Technologies, au 2e trimestre 2014, les 10 principaux pays d'origine des cyberattaques sont[51]:
Rang
Pays
% des attaques
1
Chine
43
2
Indonésie
15
3
États-Unis
13
4
Taïwan
3,7
5
Inde
2,1
6
Russie
2,0
7
Brésil
1,7
8
Corée du Sud
1,4
9
Turquie
1,2
10
Roumanie
1,2
-
Autres
16
Réponses
Les entreprises, collectivités, états, armées, ONG et individus étudient les risques (Didier Danet parle même de « Collapsologie numérique »[52], et développent divers types de réponses, préventives, réglementaires, la première ayant été l'antivirus.
L'OTAN a mis en place une stratégie de cyberdéfense[53],[54], et l’UE publie, quant à elle, sa première stratégie de cybersécurité en 2013[55],[56]. Ces deux entités coopèrent en matière de cyberdéfense[57]
Prospective
Le métavers pourrait être un nouveau lieu d'expressions de désinformation, de fraude, de contrefaçons profondes, fournissant également de nouvelles failles pour les cybercriminels, notamment vis-à-vis de l'accès et de la confidentialité des données, car selon Carolina Klint (Responsable Gestion des risques pour l'Europe continentale chez Marsh & McLennan Companies), « il connectera encore plus étroitement les individus, les entreprises et la gouvernance, et nous verrons une augmentation des outils et des plateformes numériques. Cela augmentera donc le nombre de points de défaillance critiques pour l'Internet mondial et fournira également aux cybercriminels de nombreux autres points de contact à exploiter »[58].
Notes et références
↑France, Défense Nationale, « Glossaire interarmées de terminologie opérationnelle », PIA-7.2.6.3_GIAT-0(2012), no 001/DEF/CICDE/NP
↑Stéphane LEMAN-LANGLOIS, « Le crime comme moyen de contrôle du cyberespace commer-cial », in Criminologie, 2006
↑ ab et cEstelle Hoorickx, « Les États, acteurs clés de la cyberstratégie euro-atlantique: », Revue Défense Nationale, vol. N° 818, no 3, , p. 93–98 (ISSN2105-7508, DOI10.3917/rdna.818.0093, lire en ligne, consulté le )
↑(en-US) David E. Sanger et Nicole Perlroth, « U.S. Escalates Online Attacks on Russia’s Power Grid », The New York Times, (ISSN0362-4331, lire en ligne, consulté le )
↑Didier Danet 2018 « Collapsologie numérique », Stratégique, no 117.
↑Communiqué de presse de l’Otan : « Engagement en faveur de la cyberdéfense », Otan/NATO, 8 juillet 2016 (https://www.nato.int/).
↑Estelle Hoorickx (2018) « Une cyberstratégie euro-atlantique en matière de défense : mythe ou réalité ? », Stratégique, no 117.
↑Communication conjointe au Parlement européen et au Conseil. Résilience, dissuasion et défense : doter l’UE d’une cybersécurité solide, Bruxelles, 13 septembre 2017 [JOIN (2017) 450 final].
↑Résolution du Parlement européen du 13 juin 2018 sur la cyberdéfense [2008-2004 (INI)], § D.
↑« L’Otan et l’Union européenne renforcent leur coopération en matière de cyberdéfense », Otan/NATO, 10 février 2016 (https://www.nato.int/).