Notre solution - Les Oies du Cyber

Menaces Persistantes Avancées (MPA) et la Bataille pour la Cyber-Souveraineté

Juin 2023

Nous vous invitons à vous immerger dans un type de menaces de cybersécurité connue sous le nom de Menaces Persistantes Avancées (MPA), qui modifient rapidement le paysage de la gouvernance en matière de cyber. En explorant le labyrinthe de la géopolitique et des activités cyber, nous découvrirons comment les MPA remettent en question l’intégrité de ce que les nations et les organisations définissent comme la “Cyber-Souveraineté.”

Le rôle de la cybersécurité s’est étendu bien au-delà de la sécurisation de l’infrastructure interne d’une organisation; il est désormais inextricablement lié au contexte géopolitique. Les incidents de cybersécurité peuvent avoir des répercussions diplomatiques, influencer les politiques commerciales, les relations internationales et même la stabilité des gouvernements. L’escalade dans le domaine du cyber ne reste pas nécessairement confinée à ce dernier, car les retombées peuvent se manifester dans des conflits et des sanctions économiques réels. Ainsi, comprendre l’impact des MPA n’est pas seulement un impératif technologique mais également géopolitique.

Pour bien saisir le poids de la discussion à venir, il est crucial de se familiariser avec certains termes clés. Les Menaces Persistantes Avancées (MPA) sont des attaques cybernétiques complexes, à long terme et ciblées, visant à pénétrer des systèmes spécifiquement choisis pour obtenir des informations ou perturber des services. Ce ne sont pas des attaques opportunistes, mais plutôt des efforts bien planifiés et souvent parrainés par un État, ce qui les rend particulièrement difficiles à contrer. Un autre concept pivot est la Cyber-Souveraineté, qui fait référence à la capacité d’une nation ou d’une entité à gouverner et à protéger son paysage numérique, garantissant la sécurité des données, des identités et des systèmes sous sa juridiction.

 

Qu’est-ce que les Menaces Persistantes Avancées (MPA) ?

Contrairement aux attaques cyber standard qui cherchent souvent un gain immédiat à travers une rançon ou le vol de données, les Menaces Persistantes Avancées (MPA) sont des campagnes méthodiques orchestrées pour pénétrer des systèmes choisis pendant une période prolongée. Il ne s’agit pas de simples infiltrations opportunistes, ce sont des stratégies bien calculées souvent soutenues par des ressources substantielles.

Les MPA emploient généralement une gamme de techniques telles que le spear-phishing, les vulnérabilités zero-day et des malwares sophistiqués pour contourner les mesures de sécurité. De plus, les attaques passent souvent inaperçues, exfiltrant silencieusement des données ou s’incrustant profondément dans l’infrastructure réseau pour des activités futures.

Alors qu’une majorité de menaces cybernétiques reposent sur l’exploitation de vulnérabilités technologiques, les MPA manipulent souvent des faiblesses humaines via des techniques de social engineering. Leur sophistication technique va de pair avec une compréhension aiguë du comportement humain, les rendant doublement dangereuses. Le fait que ces attaques puissent persister sans être détectées pendant des mois ou même des années témoigne de leur nature avancée. La persistance des MPA ne se réfère pas seulement à la longévité de l’attaque, mais également à la modification constante des techniques pour maintenir l’accès et échapper à la détection. Cette agilité les rend exceptionnellement difficiles à contrer.

Les MPA ne sont pas universelles, elles sont adaptées pour accomplir des objectifs spécifiques. Ce qui motive les acteurs derrière les MPA est un spectre de motifs qui varient des gains financiers aux ambitions géopolitiques. Dans les cas où les MPA sont parrainées par un État, elles servent de prolongements à la politique étrangère d’un pays, visant à l’espionnage, au vol de données, ou même à la perturbation de l’infrastructure critique des nations rivales. Les MPA soutenues par des entreprises, en revanche, pourraient être motivées par l’espionnage industriel ou un avantage concurrentiel. Il existe également des groupes motivés idéologiquement qui lancent des MPA pour faire progresser leurs causes, qu’elles soient politiques, environnementales ou sociales. Comprendre ces motifs est vital pour le développement de défenses ciblées contre ces activités néfastes.

 

Exemples d’Événements Historiques ou Notables sur les Menaces Persistantes Avancées (MPA)

L’univers des Menaces Persistantes Avancées (MPA) est marqué par plusieurs incidents majeurs ayant eu des implications considérables. Un tel événement était le Stuxnet worm, découvert en 2010. Stuxnet n’était pas qu’un simple malware, c’était une MPA minutieusement conçue visant à perturber le programme nucléaire de l’Iran. Déployé avec une précision chirurgicale, il a endommagé les centrifugeuses d’enrichissement d’uranium tout en transmettant des données à ses contrôleurs. La sophistication et les objectifs de Stuxnet pointaient vers un parrainage étatique, bien que l’attribution demeure un enjeu controversé.

En 2014, le monde s’est réveillé à un autre événement MPA monumental : le Sony Pictures Entertainment hack. L’attaque a paralysé le réseau du studio et conduit à la fuite de films inédits, d’e-mails confidentiels et de données d’employés. Le gouvernement américain a attribué l’attaque à la Corée du Nord, la citant comme un acte de cyber-guerre qui transcende les frontières traditionnelles. Ici, l’objectif n’était pas l’espionnage ou le gain financier, mais plutôt d’exercer une influence géopolitique et de causer des dommages à la réputation.

Un autre exemple frappant est l’APT28, également connu sous le nom de Fancy Bear, qui serait d’origine russe. Actif depuis le milieu des années 2000, ce groupe a été impliqué dans diverses activités de cyber-espionnage visant des organisations gouvernementales, militaires, et même sportives. L’ingérence dans l’élection présidentielle des États-Unis en 2016 figure parmi ses campagnes les plus notoires, où il a été accusé d’avoir piraté les serveurs du Democratic National Committee. Cet événement a mis en évidence le potentiel des MPA à influencer non seulement les actifs numériques, mais aussi le tissu même des institutions démocratiques.

L’attaque contre TV5Monde en 2015 a gravement compromis les opérations du diffuseur français, perturbant 12 chaînes et prenant le contrôle de ses comptes de médias sociaux et sites web. Les attaquants, qui ont initialement prétendu faire partie du Cyber Caliphate, un groupe prétendument lié à l’ISIS, ont affiché de la propagande djihadiste sur les plateformes de TV5Monde. Cependant, des enquêtes ultérieures ont suggéré que les véritables auteurs pourraient avoir été le groupe APT28 (cf ci-dessus).

Cette attaque a démontré la nature multifacette des MPA : le groupe a utilisé des méthodes sophistiquées pour obtenir un accès non autorisé, a montré une compréhension aiguë de l’infrastructure réseau de la cible, et a maintenu la persistance dans le système. De plus, ils ont employé de la désinformation en dénaturant leur identité, compliquant ainsi l’attribution et la réponse.

L’attaque SolarWinds de 2020 sert de rappel sobre des implications étendues des Menaces Persistantes Avancées (MPA). Une mise à jour malveillante dans le logiciel largement utilisé SolarWinds Orion a permis aux acteurs de la menace de compromettre des milliers d’organisations, y compris des agences gouvernementales américaines critiques.

L’agence française de cybersécurité, l’ANSSI, a signalé au début de 2021 que plusieurs organisations françaises avaient également été compromises par la vulnérabilité dans le logiciel SolarWinds Orion. Cette attaque portait les caractéristiques d’une Menace Persistante Avancée, avec des tactiques hautement sophistiquées et l’utilisation d’un vecteur d’attaque de la chaîne d’approvisionnement logicielle (supply chain attack) pour pénétrer discrètement les organisations.

Les agences et entreprises françaises ont dû se précipiter pour évaluer les dommages, corriger leurs systèmes et s’assurer qu’aucune menace résiduelle ne subsistait, des efforts qui ont probablement mobilisé des ressources et une expertise considérables.

 

Quelques narratifs actuels

Les activités émergentes du Carderbee Hacking Group montrent une attaque ciblée et sophistiquée de la chaîne d’approvisionnement (supply chain attack). L’utilisation de logiciels légitimes à des fins malveillantes, associée à une concentration très sélective sur des cibles à haute valeur, indique des capacités avancées qui vont au-delà d’une simple vulnérabilité.

Le groupe Carderbee semble être un nouvel acteur dans le paysage déjà complexe des menaces chinoises. Leur focus sur des cibles à haute valeur et l’utilisation de logiciels légitimes pour la livraison manifestent la difficulté croissante de différencier les activités de confiance de celles malveillantes. Les productions opérationnelles du groupe, détectées par seulement 100 installations sur 2000 comme malveillantes, suggère des niveaux élevés de connaissance des menaces. L’utilisation d’un certificat Microsoft pour le malware PlugX indique également des techniques avancées de contournement (advanced bypass techniques).

Le cas Carderbee révèle une information majeure : les attaques sur la chaîne d’approvisionnement ne sont pas seulement un risque théorique, mais un danger réel et immédiat. Cependant, c’est la signature du malware avec un certificat Microsoft qui soulève des questions. Cette méthode de subterfuge suggère que les acteurs de la menace explorent des moyens de plus en plus complexes pour échapper à la détection, ajoutant une couche supplémentaire de difficulté aux opérations de défense.

Rockwell & Infrastructure Critique : l’accent ici était mis sur une vulnérabilité spécifique d’exécution de code à distance. Cependant, l’implication d’un groupe de Menaces Persistantes Avancées (MPA) non identifié et l’infrastructure critique en jeu font de ceci bien plus qu’une simple divulgation de vulnérabilité. Cela dessine un tableau de l’ampleur et de la gravité potentielles des attaques qui pourraient être menées en utilisant cette vulnérabilité.

L’incident Rockwell marque un développement significatif dans la concentration des groupes de MPA sur l’infrastructure critique. Si cet exploit est utilisé en environnement réel, il pourrait entraîner non seulement un compromis de données, mais aussi des dommages physiques et une interruption de service dans des secteurs essentiels. Les conseils de prévention sont bénéfiques, mais ils soulèvent la question : sommes-nous prêts à nous défendre contre ce type d’attaque ? Compte tenu de la tendance, la chasse aux menaces préventive et l’architecture Zero Trust ne sont plus des options, mais deviennent impératives pour la cybersécurité de l’infrastructure critique.

Camaro Dragon & Routeurs TP-Link : l’implication des groupes de Menaces Persistantes Avancées (MPA) « Camaro Dragon » et potentiellement « Mustang Panda » dans la cible des routeurs domestiques pour de probables attaques par rebond contre les organisations européennes des affaires étrangères, ajoute une couche d’intention stratégique qui va au-delà de l’exploitation d’une simple vulnérabilité.

L’attaque sur les routeurs TP-Link marque un changement dans les stratégies des MPA vers l’utilisation de réseaux résidentiels comme tremplins. Ceci exploite la vulnérabilité souvent ignorée en périphérie et complique également l’attribution de l’attaque à une entité. En se concentrant sur les réseaux domestiques, les attaquants se « cachent dans la foule », rendant les défenses ciblées plus difficiles à mettre en œuvre. D’un point de vue défensif, cela nécessiterait un changement de paradigme vers la sécurité en périphérie, les consommateurs individuels ayant également leur part de responsabilité.

#StopRansomware, le CL0P Ransomware Gang (qui exploite la vulnérabilité MOVEit CVE-2023-34362) : ceci est un exemple d’une attaque de ransomware ciblée qui exploite une vulnérabilité spécifique. Cependant, les activités sont soutenues par un groupe de Menaces Persistantes Avancées (MPA) connu, TA505, et font partie d’une campagne plus large. Cela suggère une planification, des ressources et une intention stratégique typiquement associées aux MPA.

L’exploitation de la vulnérabilité MOVEit par le CL0P Ransomware Gang, démontre leur recherche constante d’un point faible, suite à leurs attaques sur les Accellion File Transfer Appliances et les serveurs Linoma GoAnywhere. Leurs tactiques pointent vers un focus sur les attaques centrées sur les données (data-centric attacks), visant au vol de données avant le chiffrement pour un effet de levier ajouté. Il s’agit de l’essence même de la ‘double extorsion’, une tactique de plus en plus utilisée pour contraindre les victimes au paiement.

Étant donné ces menaces en évolution, la cyber-résilience a besoin d’une refonte. Pour les entreprises, en particulier dans des secteurs à enjeux élevés comme les infrastructures critiques, le dicton « la question n’est pas si, mais quand vous serez attaqué » n’a jamais été aussi vrai. La stratégie doit inclure une intelligence de la menace complète, une surveillance en temps réel, une chasse proactive aux menaces et une stratégie de défense multicouche qui suppose qu’une violation se produira. Pour les personnes privées, il y a un besoin urgent d’une meilleure hygiène cyber, y compris du matériel à jour et la désactivation de l’accès administrateur à distance.

Le groupe de hackers DB#JAMMER a récemment ciblé des serveurs Microsoft SQL (MSSQL) mal sécurisés pour déployer une variante du ransomware Mimic appelée FreeWorld. Ils ont utilisé des attaques par force brute (brute-force attacks) pour compromettre les serveurs et obtenir un premier accès. Une fois à l’intérieur, ils ont employé une instruction Transact-SQL nommée xp_cmdshell pour exécuter des commandes du shell Windows et manipuler davantage le système, y compris l’ajout de nouveaux utilisateurs avec des privilèges d’administrateur. Leur outillage est complet, impliquant non seulement du ransomware mais également divers types de logiciels pour l’énumération, l’exploitation et le vol de justificatifs d’identité.

Les chercheurs de Securonix ont noté que les attaquants ont créé de multiples comptes d’utilisateurs et ont tenté d’activer l’accès au bureau à distance (remote desktop access). Lorsqu’ils ont rencontré des obstacles tels qu’un network firewall bloquant les connexions RDP entrantes, ils ont eu recours à d’autres outils d’accès à distance comme AnyDesk et ont essayé de déployer une solution de tunneling appelée Ngrok. Ils ont également utilisé un agent de commande et de contrôle Cobalt Strike et d’autres outils pour le mouvement latéral au sein du réseau avant de déployer finalement le ransomware FreeWorld.

La campagne DB#JAMMER ciblant les serveurs MSSQL est un exemple frappant de la sophistication et de l’aspect multi-facette des cyberattaques actuelles. Elle illustre le passage de l’utilisation d’une seule faille ou vulnérabilité à l’emploi d’une série de techniques permettant aux attaquants de maintenir une présence persistante sur le réseau cible. Le point d’entrée initial dans ce cas était une attaque par force brute (brute-force attack), pour compromettre les serveurs MSSQL. Bien que les attaques par force brute ne soient pas nouvelles, elles demeurent efficaces dans de nombreux cas en raison de mauvaises pratiques de mots de passe. Cela souligne la nécessité pour les organisations de mettre en œuvre des politiques de mots de passe solides et éventuellement une authentification à deux facteurs pour protéger ces points d’entrée critiques.

L’utilisation de xp_cmdshell pour exécuter des commandes shell sur les serveurs Windows mérite également d’être notée. Cette fonctionnalité Transact-SQL, qui permet aux utilisateurs d’exécuter directement des commandes du système d’exploitation à partir de l’interface SQL, est incroyablement puissante mais peut être tout aussi dangereuse si elle est mal utilisée ou laissée activée sans contrôles rigoureux. Désactiver ou restreindre cette fonction est une étape conseillée pour renforcer la configuration de son serveur MSSQL.

Les attaquants étaient méthodiques, se concentrant non seulement sur l’obtention d’un accès initial mais aussi sur le maintien de l’accès. La création de nouveaux comptes d’utilisateurs avec des privilèges d’administrateur suggère une intention à long terme, davantage étayée par des tentatives de se fournir un accès au bureau à distance. Leur méthode d’utilisation de logiciels d’accès à distance comme AnyDesk, en tant que solution de secours lorsque les tentatives de RDP échouent, montre le genre d’adaptabilité et d’ingéniosité qui rend de tels acteurs de la menace extrêmement dangereux. Cette attaque en plusieurs étapes ne visait pas simplement à causer des dégâts immédiats, elle était conçue pour une présence prolongée sur le réseau, un mouvement latéral et l’extraction de la valeur maximale du système compromis.

Leur utilisation de Cobalt Strike est également significative. Cobalt Strike est un outil légitime de test de pénétration, mais entre de mauvaises mains, c’est une arme puissante qui permet un commandement et un contrôle furtifs d’un système compromis. Son déploiement ici suggère une attaque sophistiquée et bien dotée en ressources, potentiellement soutenue par un groupe ayant d’importantes capacités cyber.

Étant donné le sérieux et la sophistication de cette attaque, il est évident que la sécurisation des bases de données MSSQL ne concerne pas seulement l’assurance d’un mot de passe fort, il s’agit d’une approche de sécurité à plusieurs couches. Cela inclut la surveillance du comportement réseau, de l’activité des fichiers et des actions des utilisateurs, la segmentation du réseau pour restreindre le mouvement latéral, la mise en œuvre de mécanismes robustes de journalisation et d’alerte pour repérer les activités inhabituelles et la mise à jour régulière des logiciels pour se protéger contre les vulnérabilités connues.

Cette attaque sert de rappel fort que les serveurs MSSQL, tout comme tout autre système sécurisé par des mots de passe, sont vulnérables s’ils sont exposés à Internet. Des mesures telles que l’utilisation de mots de passe forts et uniques, la désactivation de la fonctionnalité xp_cmdshell et la limitation de l’accès direct à Internet aux serveurs sont cruciales. Il est recommandé d’utiliser des tunnels VPN pour l’accès au serveur et une surveillance continue des répertoires de mise en scène de logiciels malveillants courants pour prévenir de telles attaques.

Le groupe de hackers parrainé par l’État nord-coréen, connu sous le nom de Lazarus, a lancé une attaque sur la chaîne d’approvisionnement (supply chain attack) en téléchargeant des packages Python malveillants sur le dépôt PyPI (Python Package Index) au début du mois d’août 2023. Leur opération ciblait des professionnels de l’informatique et imitait des projets logiciels bien connus. Ces packages comprenaient “VMConnect”, qui a été téléchargé 237 fois avant d’être retiré, ainsi que d’autres packages malveillants tels que “ethter” et “quantiumbase”, qui ont été téléchargés respectivement 253 et 216 fois. Des chercheurs de ReversingLabs, une entreprise spécialisée dans la sécurité de la chaîne d’approvisionnement logiciel, ont attribué cette campagne à Labyrinth Chollima, un sous-groupe des hackers Lazarus.

Le sous-groupe Lazarus a également déployé des packages supplémentaires faisant partie de la même opération de campagne VMConnect, notamment “tablediter”, “request-plus”, et “requestspro”, qui ont reçu des centaines de téléchargements. Ces packages ressemblaient étroitement à des librairies Python légitimes mais contenaient du code malveillant principalement dans le fichier “init.py”. Ce code exécute une fonction qui collecte des données à partir de la machine infectée et les envoie aux serveurs de commande et de contrôle des attaquants.

Il y avait suffisamment de preuves pour attribuer cette campagne malveillante au groupe APT Lazarus. Ces preuves comprenaient la découverte d’un fichier ‘builder.py’ dans les packages malveillants, qui contient une routine de décodage qui a déjà été attribuée aux sous-groupes de Lazarus par d’autres entités de cybersécurité telles que JPCERT et Crowdstrike. Dans l’ensemble, l’opération démontre les capacités en évolution de Lazarus et la menace persistante qu’ils représentent pour la sécurité de la supply chain logiciel.

Le 7 septembre 2023, la CISA et ses co-signataires ont publié un avis conjoint, Cybersecurity Advisory (CSA), qui explore les tactiques des MPA soutenues par des États dans le secteur aéronautique, une analyse des exploits furtifs et des techniques avancées. Cet avis sert de ressource essentielle pour les défenseurs de réseau en leur fournissant des tactiques, techniques et procédures détaillées (TTPs), des indicateurs de compromission (IOCs) et des méthodes robustes pour la détection et la protection contre des scénarios d’exploitation avancés similaires.

L’identification de ces indicateurs de compromission (IOCs)  spécifiques au sein d’une organisation du secteur aéronautique est profondément préoccupante, tant pour l’organisation que pour le secteur dans son ensemble. Cet événement signale une attaque ciblée par des acteurs soutenus par des États, qui sont généralement très sophistiqués et bien financés. Leur focalisation sur des secteurs d’infrastructure critiques tels que l’aéronautique sonne l’alarme sur les conséquences potentiellement catastrophiques s’ils atteignent leurs objectifs.

Les acteurs ont exploité la vulnérabilité CVE-2022-47966, affectant le Zoho ManageEngine ServiceDesk Plus, pour obtenir un accès non autorisé initial. Ceci est particulièrement notable car cette vulnérabilité permet l’exécution de code à distance, l’un des types de vulnérabilités les plus puissants, leur accordant la capacité d’exécuter des commandes arbitraires sur le système compromis. Ce point d’ancrage initial n’était pas seulement un moyen d’atteindre une fin, il leur a permis d’établir une persistance dans le réseau, posant les bases pour des opérations en cours.

En plus de cela, les acteurs ont été observés exploitant une autre vulnérabilité, CVE-2022-42475, pour obtenir une présence sur le firewall de l’organisation. Le firewall est souvent considéré comme la première ligne de défense dans l’architecture de cybersécurité, et sa compromission pourrait conduire à un accès étendu et sans entrave au réseau interne.

En exploitant ces vulnérabilités, les acteurs MPA ont démontré leur capacité à comprendre, cibler et exploiter des systèmes complexes. Ils ont efficacement contourné les défenses au niveau de l’application et du réseau pour se déplacer latéralement à travers le réseau. L’utilisation de deux CVE (Common Vulnerabilities and Exposures) distinctes démontre un niveau de sophistication et de planification qui ne doit pas être sous-estimé.

Dans l’incident signalé, un acteur de Menace Persistante Avancée (MPA) a exécuté une attaque cyber hautement sophistiquée et à plusieurs niveaux contre une organisation. À l’aide d’emails de spear-phishing contenant des pièces jointes malveillantes (malicious attachments), les acteurs de la menace ont d’abord obtenu un accès initial. Ils ont ensuite élevé leurs privilèges grâce à une vulnérabilité zero-day affectant un module de sécurité matériel spécifique, et ont démontré des techniques d’exfiltration avancées impliquant la stéganographie.

Après avoir obtenu un accès interne, les attaquants se sont livrés à des mouvements latéraux intensifs, utilisant PowerShell pour exécuter des scripts et des commandes de manière indétectable. Ils ont installé Metasploit sur le contrôleur de domaine de l’organisation pour obtenir un point d’ancrage et ont déployé des web shells ASPX supplémentaires comme portes dérobées potentielles (for potential backdoors). Ils ont utilisé un éventail d’outils polyvalents, tels que Mimikatz pour le credential dumping, Ngrok pour le tunneling sécurisé et ProcDump pour la reconnaissance, montrant à la fois leur adaptabilité et leur compétence technique.

Ils ont également exploité des outils et des logiciels à double usage (dual-use tools) comme anydesk.exe, compliquant le processus de traçage et d’identification. Le manque de couverture complète des capteurs a entravé la capacité des analystes à comprendre pleinement l’ampleur et l’impact de l’attaque MPA.

En conclusion, cet acteur MPA a fait preuve d’un haut niveau de sophistication, de polyvalence et d’adaptabilité, exploitant à la fois des vulnérabilités zero-day et des outils à double usage, et utilisant la stéganographie pour l’exfiltration des données. Leurs actions suggèrent qu’ils sont bien dotés en ressources et hautement qualifiés, constituant une menace significative pour l’organisation ciblée. Compte tenu de la complexité des techniques utilisées, l’organisation devrait envisager de mettre en œuvre des analyses comportementales avancées et d’améliorer la couverture des capteurs pour mieux détecter et atténuer de telles menaces.

Les incidents de 2023 soulignent que nous sommes dans une ère où la cybersécurité proactive n’est pas seulement une exigence mais une obligation pour les organisations et les individus.

Chacune de ces MPA représente un jalon, non seulement dans les tactiques employées, mais aussi dans leurs implications géopolitiques plus larges. Elles servent d’exemples, de mise en garde, démontrant les menaces multifacettes que les MPA représentent et la nécessité d’un framework de cybersécurité robuste pour les atténuer.

 

La Complexité de la Cyber-Souveraineté

La notion de souveraineté est profondément ancrée dans le socle du droit international et de la gouvernance, impliquant généralement le plein droit et pouvoir d’un organe gouvernant de se régir lui-même sans aucune ingérence extérieure. Cependant, l’avènement de l’ère numérique a complexifié ce concept séculaire. La cyber-souveraineté fait référence à l’extension de la souveraineté d’une nation dans le domaine cybernétique, soulignant le droit et la responsabilité d’un État de réguler et de contrôler les actifs numériques, les informations et les réseaux à l’intérieur de ses frontières. Les facettes de la cyber-souveraineté peuvent être multiples, y compris les cadres juridiques, la gouvernance des données et la sécurité de l’infrastructure numérique.

Pourtant, la cyber-souveraineté est loin d’être un concept isolé ou statique ; elle est profondément imbriquée avec la nature mondiale du monde numérique. Alors que les nations s’efforcent de sécuriser leurs frontières numériques, les Menaces Persistantes Avancées (MPA) représentent un défi unique, brouillant souvent les lignes de ce qui peut être efficacement gouverné. Les MPA peuvent facilement transgresser les frontières nationales, infiltrer des environnements sécurisés et subtiliser des informations sensibles. Ils peuvent perturber les infrastructures critiques, des réseaux électriques aux systèmes financiers, posant un défi direct à l’affirmation d’une nation de sa cyber-souveraineté.

Ces défis font de la notion de cyber-souveraineté non pas simplement une construction théorique mais un impératif opérationnel nécessitant des mesures de gouvernance et de contrôle concrets. La gouvernance dans ce contexte s’étend au-delà des lois nationales à la collaboration internationale, car les MPA limitent rarement leurs activités à une seule nation. Les mécanismes de contrôle doivent être adaptatifs, exploitant les dernières avancées en intelligence artificielle, en apprentissage automatique et même en informatique quantique pour anticiper, détecter et contrer ces menaces complexes. De plus, il y a une nécessité croissante pour une approche impliquant non seulement les gouvernements mais aussi les secteurs privés et les organisations internationales. Une gouvernance efficace doit également aborder des questions telles que la localisation des données et les politiques de transfert de données transfrontalières, qui peuvent à la fois protéger et exposer une nation à des vulnérabilités.

Le défi posé par les MPA à la cyber-souveraineté a des implications bien au-delà d’un niveau technique. Il instigue des discussions plus larges sur la stratégie géopolitique, le droit international et la coopération mondiale. Ces menaces incitent à une réévaluation de la manière dont la souveraineté est conceptualisée et protégée dans un monde numérique interconnecté. Les pays qui échouent à s’adapter pourraient se retrouver englués dans des dépendances numériques, les rendant vulnérables à diverses formes de manipulation cyber susceptibles de compromettre leur propre souveraineté.

 

Le Paysage Géo-politique

Le paysage en évolution des relations internationales n’est plus limité aux frontières physiques, à la puissance militaire ou aux négociations diplomatiques seules. Avec l’avènement du cyberespace, les contours se sont élargis pour inclure les actifs et les capacités numériques, rendant le paysage géopolitique multifacette et complexe. Les MPA servent d’instruments puissants dans ce domaine, capables de faire basculer l’équilibre des pouvoirs, d’influencer les politiques étrangères et de créer de nouveaux défis pour le droit et la gouvernance internationaux.

L’impact des MPA sur les relations internationales ne peut être sous-estimé. Elles menacent non seulement la sécurité de la nation ciblée mais ont également des effets en cascade susceptibles de déstabiliser les relations diplomatiques. Par exemple, lorsqu’une campagne MPA vise à influencer les résultats électoraux ou à voler des informations gouvernementales sensibles, elle soulève non seulement des préoccupations en matière de cybersécurité mais aussi des questions de souveraineté, conduisant à des relations tendues entre les nations. Dans certains cas, ces activités peuvent être suffisamment importantes pour produire des sanctions, des embargos, voire des actions militaires, modifiant ainsi fondamentalement la dynamique de la politique étrangère.

L’un des principaux défis qui compliquent ce paysage est la difficulté d’attribuer la responsabilité des attaques MPA. Contrairement à la guerre conventionnelle, où l’agresseur est généralement identifiable, l’anonymat offert par le cyberespace rend l’attribution complexe et souvent non concluante. Ce manque de clarté peut entraver les efforts visant à faire appliquer des répercussions, que ce soit par des voies légales ou des sanctions internationales. Même lorsque l’attribution est possible, le processus produit généralement un niveau de certitude que de nombreux pays sont réticents à accepter car manquant de preuves irréfutables. Cette situation conduit à un paradoxe singulier : alors que les MPA peuvent influencer de manière significative les relations internationales, l’ambiguïté entourant leur origine entrave souvent une réaction adaptée.

Le défi de l’attribution a également un impact direct sur la manière dont les pays élaborent leurs politiques étrangères. Traditionnellement, les politiques étrangères sont façonnées sur le principe de la réciprocité et un ensemble de résultats prévisibles basés sur des actions et des contre-actions. Cependant, la nature insaisissable des MPA déforme cette dynamique, conduisant à la recalibration des évaluations des risques et des priorités stratégiques. Les pays sont désormais contraints d’investir dans leurs capacités cyber défensives et offensives, dans le cadre d’une stratégie de politique étrangère plus large. Ce paysage en évolution prépare le terrain pour une nouvelle forme de diplomatie, souvent appelée diplomatie cyber, qui incorpore le cyberespace comme un front critique pour les négociations, la résolution des conflits et la construction d’alliances.

 

Atténuer les Risques des MPA par l’Innovation et la Réflexion Stratégique

Bien que des technologies de pointe comme l’intelligence artificielle, le machine learning et l’informatique quantique soient essentielles pour aborder la nature avancée des menaces persistantes, il est tout aussi important de reconnaître que la technologie seule est insuffisante. Les défis complexes comme les MPA nécessitent une approche plus holistique, qui inclut des cadres stratégiques adaptés à l’évolution de la nature des risques cybernétiques et aux éléments humains impliqués.

La lutte contre les MPA nécessite une approche interdisciplinaire qui englobe également le comportement humain, les biais cognitifs et les complexités du système.

Dans un contexte technologique, l’intelligence artificielle et le machine learning utilisent des techniques comme les neural networks, decision trees et des méthodes de reconnaissance de motifs complexes et de détection d’anomalies.

Ces technologies transcendent les systèmes basés sur des règles traditionnelles en exploitant des algorithmes pilotés par les données qui s’adaptent continuellement en fonction des nouvelles menaces.

Cependant, pour que ces algorithmes soient véritablement efficaces, ils doivent être situés dans des frameworks stratégiques qui prennent en compte également le comportement humain et les interdépendances du système.

Le Human-Centered Security Framework (HCSF) intègre des principes issus des sciences du comportement (behavioral sciences) pour comprendre les processus de prise de décision humaine dans des conditions de risque et d’incertitude. Ce framework déploie des algorithmes de machine learning formés pour détecter des comportements utilisateurs anormaux (abnormal user behaviors) qui précèdent souvent les incidents MPA. En combinant l’analyse comportementale (behavioral analytics) avec des indicateurs techniques, le HCSF offre une approche multidimensionnelle pour identifier les vulnérabilités, augmentant ainsi la précision et l’efficacité des mécanismes de détection MPA.

Le Design Thinking se concentre sur l’empathie avec l’utilisateur final pour concevoir des solutions à la fois efficaces et intuitives. Dans le contexte de la cybersécurité, il fournit un cadre pour comprendre le comportement de l’attaquant et de l’utilisateur du système. En se concentrant sur les éléments humains, comme la manière dont les individus sont susceptibles d’interagir avec les protocoles de sécurité et où ils pourraient involontairement créer des vulnérabilités, des solutions peuvent être conçues qui sont intrinsèquement plus sécurisées et plus faciles à naviguer.

De même, le paradigme de Systems Thinking offre une approche holistique pour comprendre les variables interconnectées qui affectent la cybersécurité. Au lieu de traiter les incidents de sécurité comme des événements isolés, le Systmes Thinking les considère comme faisant partie d’un écosystème complexe. Cette perspective est inestimable lorsqu’il s’agit de traiter avec les MPA, car elle permet une compréhension plus large de la manière dont ces menaces émergent, évoluent et interagissent avec divers composants au sein d’un système.

D’un autre côté, l’Algorithmic Business Thinking allie le raisonnement analytique à la résolution de problèmes innovants. Il se concentre sur l’utilisation de la logique algorithmique pour décomposer des défis commerciaux complexes, tels que la cybersécurité, en tâches plus petites et plus gérables. Tout en s’inspirant du fonctionnement des algorithmes, il accorde une importance égale à l’apport humain nécessaire pour rendre ces algorithmes efficaces et éthiques. Ce type d’approche assure que les solutions de cybersécurité ne sont pas seulement techniquement solides, mais aussi socialement responsables et centrées sur l’utilisateur.

En adoptant une approche équilibrée qui associe les avancées technologiques à des frameworks stratégiques visant à comprendre le comportement humain et les complexités du système, nous créons une défense plus résiliente et complète contre les MPA. La fusion de ces éléments, technologiques et stratégiques, garantit que nos mesures de cybersécurité sont à la fois à la pointe de la technologie et profondément ancrées dans les réalités de l’interaction humaine et du comportement organisationnel.

Les Menaces Persistantes Avancées (MPA) sont une préoccupation croissante qui nécessite plus que de simples solutions technologiques. Combiner des technologies comme l’IA avec des frameworks centrés sur l’humain offre une défense plus robuste. Notre combat pour la cyber-souveraineté est en cours et les menaces continuent d’évoluer. Cela signifie que nos stratégies doivent également s’adapter.

Il est crucial pour tout le monde, des décideurs aux acteurs, d’investir dans des solutions de cybersécurité innovantes et axées sur l’utilisateur. Rester immobile n’est pas une option recevable, nous devons constamment innover pour rester en avance sur les nouveaux défis, assurant à la fois des systèmes sécurisés.

Les Oies du Cyber, éditeur d’une suite de solutions de cybersécurité de nouvelle génération, vous aide à améliorer votre cybersécurité. Grâce à une surveillance régulière, des audits et feuilles de route, des simulations de phishing, des évaluations, analyses et formations, Les Oies du Cyber vous aident à faire en sorte que votre défense soit aussi solide que possible!

DevSecOrg est un consortium regroupant le LICS, laboratoire de recherche de Grenoble INP – UGA, OpenStudio et Les Oies du Cyber. Le DevSecOrg développe une approche innovante sur le thème du Secure-by-Design !

 

Sources:

CISA and co-sealers, Joint Cybersecurity Advisory (CSA)
https://www.cisa.gov/sites/default/files/2023-09/aa23-250a-apt-actors-exploit-cve-2022-47966-and-cve-2022-42475_0.pdf

The Hacker News, Threat Actors Targeting Microsoft SQL Servers to Deploy FreeWorld Ransomware
https://thehackernews.com/2023/09/threat-actors-targeting-microsoft-sql.html

InfoSecurity Magazine, Camaro Dragon APT Group Exploits TP-Link Routers With Custom Implant
https://www.infosecurity-magazine.com/news/camaro-dragon-apt-exploits-tp-link/

SecurityAffairs Magazine, NORTH KOREA-LINKED APT LABYRINTH CHOLLIMA BEHIND PYPI SUPPLY CHAIN ATTACKS
https://securityaffairs.com/150197/apt/labyrinth-chollima-pypi-supply-chain-attacks.html

Threat Briefing – Current Advanced Persistent Threats (APT) Activities
https://csrc.nist.gov/csrc/media/Presentations/2022/threat-briefing-current-apt-activities/5-Dos%20Santos%20Day2-10am-Forescout.pdf

“The Human Element in Cyber Security” by ISACA Journal
https://www.isaca.org/resources/isaca-journal/issues/2019/volume-5/the-human-factor-in-information-security

CrowdStrike, Blog
https://www.crowdstrike.com/blog/who-is-fancy-bear/

CISA
https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-352a

Demandez à être contacté