Depuis peu, les affaires sur les cyberattaques sont de plus en plus documentées. L’affaire qui est devant le tribunal correctionnel de Lyon, en France, avec les 14 prévenus et 76 000 victimes présumées, plus d’un million d’euros de préjudice, est l’affaire dite « Adecco ». Elle donne la possibilité à tout un chacun de toucher du doigt les conséquences d’une attaque cybernétique. Mais si elles peuvent être de type DDoS, il existe aussi des attaques de masse et chirurgicales, avec de vraies personnes derrière le clavier.

Si l’affaire dite « Adecco » parait hors norme, c’est par le nombre de personnes ayant ester en justice. Chaque jour, des milliers, voire bien plus encore, d’attaques cybernétiques se déroulent. Elles sont légion. Que cela se passe en temps de paix ou non, elles ne s’arrêtent jamais. Si l’espionnage ne date pas d’hier, le cinéma et les documentations des affaires déclassifiées alimentent l’intérêt général. La génération Z est plongée au cœur des cyberattaques au sens général du terme. Rares sont les personnes qui ne possèdent pas un smartphone, ou ordiphone, dans lequel se trouve leur vie numérique.

Les attaques de masse

Comme à l’usine, depuis l’avènement du fordisme, l’automatisation est devenue la norme. Ce que les cybercriminels ont compris depuis longtemps, c’est que l’automatisation rend le crime scalable. Les attaques de masse, souvent peu sophistiquées, balayent Internet à la recherche d’appareils mal configurés : caméras, imprimantes, routeurs réseau, babyphones, dispositifs de surveillance de l’environnement, machines agricoles, écouteurs ou détecteurs de fumée… En général, toute attaque a pour origine du phishing.

Une fois infectés, ces objets deviennent des « zombies », contrôlés à distance. L’une des attaques de masse emblématiques est, en 2016, due au logiciel malveillant Mirai. Le 21 octobre 2016, aux alentours de 7 h, une société d’infrastructures Internet, Dyn, est visée par une attaque DDoS (déni de service distribué). Une deuxième se produit vers midi, enfin une troisième vague vers 16 h.

Les créateurs — Paras Jha, Josiah White et Dalton Norman —, à travers leurs lignes de codes, mettent à genoux des services comme Twitter, Netflix ou GitHub en s’attaquant à l’infrastructure de Dyn. Impact mondial, coût minime. Les botnets sont soit centralisés, soit contrôlés par niveaux, ou décentralisés, les plus redoutables (Trojan.Peacomm, Stormnet). (Crédits : Ryan Lansdown/Pexels)

« Une semaine plus tard, ils mirent en ligne le code source à disposition partout dans le monde, peut-être dans une tentative de dissimuler leur trace », écrit CloudFlare. Il existe de nombreuses autres attaques de ce genre : NotPetya (2017/Lazarus), WannaCry (2017/Russie), SolarWinds (2020/APT29)…

Attaques chirurgicales

À l’opposé des attaques de masse se trouvent les APT ou Advanced Persistent Threats. Ce sont des offensives ciblées, chirurgicales, menées contre des organisations stratégiques. Qui dit attaques ciblées, sophistiquées et sur un temps persistant, dit forcément des groupes ou entités disposant de moyens considérables. Car elles reposent sur une cartographie précise de la cible, un phishing personnalisé avec du social engineering, et enfin une prise de contrôle discrète.

Le protocole est une machine bien huilée. Il commence par de la collecte d’informations publiques (OSINT). Elles proviennent de nos publications volontaires ou des fuites de données. S’ensuit une infection ciblée à travers un e-mail, un SMS, un vocal piège… Arrive la latéralisation. « La phase de déplacement latéral d’une attaque est celle où l’assaillant cherche d’autres systèmes à compromettre sur le réseau », explique Lindsay Kaye, directrice senior de l’Insikt Group de Recorded Future, en charge des résultats opérationnels. Les acteurs malveillants cherchent des accès, d’autres systèmes à infecter ou des informations intéressantes. « Le déplacement latéral se produit avant le dépôt de la charge utile finale, qu’il s’agisse d’un ransomware, d’un malware utilisé avec le soutien d’un État ou d’autres outils malveillants », poursuit Lindsay Kaye sur LeMagIT. Enfin vient l’extraction des données.

Contrairement aux cyberattaques dites opportunistes, les APT visent des objectifs quantitatifs et qualitatifs — entreprises stratégiques, infrastructures critiques, institutions publiques — dans une logique d’espionnage, de sabotage ou de manipulation.

Comme le téléfilm de la fin des années 80 Arsène Lupin, avec Georges Descrières, où « il vient chez vous la nuit sans déranger votre sommeil », ils cherchent la plus grande discrétion. Le but est simple : y demeurer des mois, des années, tout en collectant des informations sensibles ou en préparant des actions destructrices.

Les attaques via APT sont régulièrement attribuées à des acteurs étatiques ou paraétatiques, comme le groupe APT28, APT41 ou Lazarus. Ces attaques constituent aujourd’hui l’un des plus grands risques pour la sécurité économique et géopolitique mondiale.

(Crédits : Summer Stock/Pexels)

Parmi les groupes les plus actifs, il y a APT28 ou Fancy Bear ; le groupe serait lié au renseignement russe, tout comme APT29 ou Cozy Bear. Lazarus Group est lié à la Corée du Nord, comme le Bureau 121, Apt41 ou Winnti est un groupe chinois ; enfin APT33 est associé à l’Iran. Ce dernier ciblerait les secteurs de l’aéronautique et de l’énergie. Mais également Unit 8200 en Israël, Lulzsec aux États-Unis, The Dark Overlord ou encore Ugnazi.

Qui se cache derrière le clavier ?

Comme dans la série Profilage, chaque entité, individu, possède des traits qui lui sont propres. L’image du geek installé dans sa chambre avec des restes de pizza froide tient plus de la légende des films de série Z. Dans l’affaire dite « Adecco », le féru d’informatique n’avait que 17 ans. Tous les cybercriminels ne se ressemblent pas. Plusieurs profils se distinguent : l’individuel, animé par le défi, l’ennui, la vengeance personnelle ou l’appât du gain. Le crime organisé, les hacktivistes (Anonymous, LulzSec…), ceux des États… pour interférer dans une élection présidentielle ou créer un scandale.

Derrière les écrans, certains noms circulent comme des ombres, des fantômes aux visages familiers parmi les analystes de cybersécurité et les enquêteurs d’Interpol. Ils sont ainsi quelques-uns à faire l’unanimité des forces de l’ordre à travers le monde.

Le plus recherché est Dmitry Khoroshev. Il est identifié comme le responsable du ransomware LockBit. L’un, voire le plus prolifique des groupes cybercriminels. Les sommes extorquées dépassent le milliard de dollars.

Evgeniy Mikhailovich Bogachev, alias « Slavik » ou « Lucky12345 », est le créateur du malware Zeus GameOver. Il est accusé d’avoir orchestré le vol de plus de 100 millions de dollars via des institutions financières infectées. Aujourd’hui, il vivrait en Russie, sous la protection de l’État, avec une prime de 3 millions de dollars promise par le FBI sur sa tête.

Maksim Yakubets alias « Aqua », chef du groupe Evil Corp, a sur sa tête une prime de 5 millions de dollars. Il est accusé d’être responsable des malwares Dridex, Bugat. Du côté de la Corée du Nord, Park Jin Hyok est membre du célèbre Bureau 121. Ce dernier est soupçonné des attaques cyber contre Sony Pictures en 2014. Mais aussi la propagation du ransomware WannaCry qui a paralysé le NHS britannique et touché plus de 150 pays, et le piratage de banques via le réseau SWIFT. En Iran, c’est le groupe APT35 ou Charming Kitten.

Alexsey Belan détient le plus grand nombre de compromissions de comptes, avec plus d’un demi-milliard et le « piratage » de Yahoo en 2014. Et encore des noms comme Yevgeniy Nikulin, accusé du piratage de LinkedIn et de Dropbox. Quant à Moises Luis Zagala Gonzalez, alias « Nosophoros », il serait le créateur du ransomware Thanos (utilisé en Iran et en Russie). (Crédits : Andrew Neel/Pexels)

La plus grande compromission en France est la fuite des données de France Travail, anciennement Pôle emploi avec 43 millions de comptes touchés. La recherche et l’arrestation pour la présentation devant la justice des personnes présumées auteures des faits cités est souvent compliquée. Aux USA, l’arsenal judiciaire, bien que redoutable, est désarmé face à des États qui voient en ces cyber-mercenaires des leviers géopolitiques, telle la Chine, la Corée du Nord ou encore la Russie pour ne citer que ces pays. Le crime cybernétique n’est plus un jeu de solitaire, c’est une affaire d’infrastructure, d’influence et parfois, d’impunité.

Une bonne hygiène est possible

La numérisation accélérée des services, la généralisation du télétravail et la prolifération des objets connectés (IoT) décuplent chaque jour la surface d’attaque. Chaque terminal, chaque routeur, chaque employé est une porte potentielle de fuite ou d’entrée. Toutes les entreprises sont et restent vulnérables, les TPE encore plus. Leur manque de moyens, l’absence de référents sécurité (RSSI), la méconnaissance des risques…. Selon l’ANSSI, en 2023, on comptait une attaque toutes les 37 secondes dans le monde.

Prévenir plutôt que subir. La réponse n’est pas seulement technique. Elle passe la culture, l’organisation et l’information. Parmi les leviers possibles, la formation à la SSI dès le collège et dans l’entreprise. En effet, les données que rapporte Heaven sont impressionnantes. « 9 enfants sur 10, âgés de 12 ans, disposent déjà d’un smartphone au quotidien. » D’autant que la CNIL, dans son rapport, indique une augmentation significative des fuites en 2024.

« 5 629 violations de données ont été notifiées à la CNIL en 2024, soit 20 % de plus par rapport à l’année précédente. »

L’adoption de bonnes pratiques et d’hygiène informatique semble nécessaire. Mais également des tests d’intrusion, des simulations et des audits. Car la sécurité est un processus, pas un état où la vigilance doit être continue, évolutive et partagée. (Crédits : cottonbro studio/Pexels)

La cybercriminalité est une menace transversale, qui dépasse les frontières comme les disciplines. Elle est économique, stratégique, parfois politique, mais surtout : elle est persistante. Face à elle, la meilleure défense reste la lucidité. L’idée que « cela n’arrive qu’aux autres » est l’alliée la plus fidèle des attaquants. La résilience ne se décrète pas : elle se construit dans la durée, par la formation, la prévention, la coordination.