Guerre Cybernétique:

« Etat des Lieux»

PLAN
I- Guerre Cybernétique : spécificités
II- Principales formes d’Agressions
Cybernétiques :
Sabotage
Perturbation
Cyber espionnage
Cyber guerre informationnelle
III- Cyber-Armées : spécificités
• Cyber-soldats
• Armes cybernétiques

Prof Nabil SAHLI, 2022

Email personnel : nabilsahli@[Link]
I- Cyber-guerre : spécificités
Différences avec Guerre conventionnelle
« Champs de bataille » : Tout l’espace cybernétique Civil
en plus des infrastructures Militaires de l’adversaire
+ Peut aussi viser un GROUPE Civil
(ONG, Media, Industriel, Parti, …)
+ La Population (DESINFORMATION ( on parle de « cyber
sécurité sociale »)

L’Imputation de l’attaque est quasi-impossible (Utilisation de

Proxies/virus) et ainsi « impunité diplomatique »
→ Identification par « A qui profite le crime » et le Style de l’attaque/techniques)
« Cyber Soldats » : Participation de groupes de hackers civils (dits APTs),
à coté des troupes régulières et employés civils (armée de
« Trolls » )
Espace cyber Adverse :
Infrastructures civiles vitales
(+ Infrastructures Militaires)
Groupe
Population (Désinformation
Cyber-armée de Masse)

Cyber-
+ Groupes armée
« APT » Adverse
 Différences avec Guerre conventionnelle
« Cyber Armes utilisées»
➢ Codes malicieux (« virus ») sophistiqués,
(dits « APT » Advanced Persistent Threat)
✓ Type : TIRE et « oublie » (effet à retardement)
→ propagation ANTICIPEE d’APT indétectables :
Parfois Année(s) entre
Lancement (« tir ») →Implantation (infiltration de l’objectif) → Activation

✓ Exploitation de failles (dites Zéro-days) dans des logiciels « civils »

✓ Parfois causant, par effet collatéral, des dommages dans des pays
tiers.

➢ Scipts d’attaques directes (exploits), à effet immédiat (Attaques DDOS,

Défiguration de sites web, …) déployés via Internet
→ utilisation, en temps de guerre froide, de « relais » (Proxys) pour éviter
l’incrimination diplomatique

➢ « armées de TROLLS » (« employés civils »), opérant des activités de

désinformation de masse, via les réseaux sociaux,
 II- Guerre Cybernétique :
Principales formes d’agression
1. Sabotage
2. Perturbation de l’espace Cybernétique
3. Cyber espionnage
4. Cyberguerre informationnelle
II.1- PRISE EN MAIN → SABOATGE
d’ « Infrastructures CIVILES vitales »

❖ Centrales de distribution électrique

❖ Infrastructures Telecom et Internet
❖ Barrages / Centrales de traitement de l’eau
❖ Contrôle du trafic aérien et ferroviaire
❖ Centrales nucléaires/ Pipelines
…

Gérés par des systèmes SCADA (orinateurs en réseau)

2010 : StuxNet
Premier Virus destructeur
❑ Propagé en 2008 / Activé en 2010

→ A provoqué la destruction des centrifugeuses

de la centrale nucléaire Iranienne de Natanz,
(supervisées par des SCADAs: ordinateurs en réseau)

→ Premier Virus Sophistiqué (l’œuvre d’une grande

équipe, US-ISRAEL)
→ Contrairement aux virus actuels (vers réseau) : se duplique
via USB, quand la cible est « intéressante », pour éviter la
détection par les éditeurs d’anti-virus
2012 : « Shamoon »
❑ « Riposte iranienne » contre les « alliés » US de la région
→ A effacé les disques de 30 000 ordinateurs du groupe pétrolier
saoudien ARAMCO (1 semaine d’inactivité pour Aramco)
& le groupe Qatari RasGas
2017: « Triton » : l’« arme cybernétique MEURTIERE »

(Iraniens / Russes soupconnés, sans possibilité de preuve )

→ Mis en circulation en 2014 → découvert en 2017, « par hasard »,

dans le complexe pétrochimique « Petro Rabigh » en Arabie saoudite

❑ Capable de neutraliser les verrous de sécurité destinés à empêcher une

catastrophe en cas de dysfonctionnement majeur.

→ Les hackers étaient capables de provoquer des explosions et des

rejets toxiques, pouvant entraîner des pertes humaines
( comparable à la catastrophe de Bophal en inde : 12 000 morts) !!
→ Catastrophe Evitée, suite à une erreur dans le code du
malware (? site utilisé comme labo de développement ? )

❑ Capable d’attaquer d’autres types de complexes

pétrochimiques
? Manœuvre (show) Militaire Cybernétique ?
 Attaque de réseaux de distribution d’electricité
→ Guerre Hybride
Décembre 2015 : ( hackers, suspecté, russe : groupe APT « Sandworm »)
❑ A provoqué une coupure d'électricité dans l'ouest de l'Ukraine (230.000
foyers privés d’électricité, durant 6 heures)
✓ ont utilisé 2 malwares APT (« Black energy 3 »/ «Kill disk »), implantés grâce
à un fichier excel infecté rattaché à un email
( attaque dite d’ingénierie sociale)
→ permis l’infiltration et le sabotage des réseaux (SCADA) des systèmes de
distribution d’electricité
Décembre 2016 : même groupe russe « Sandworm » suspecté
(mêmes techniques d’intrusion)
→ Pendant une heure, un cinquième de la ville de KIEV a été privée d’electricité.
PLUS REVELATEUR : Le nouveau kit malware utilisé
✓ Avait la capacité d’analyser, de manière autonome, comment le système
fonctionnait afin d’enclencher la coupure de courant.
✓ Contenait diverses « charges » (malwares APT)
→ Pouvait être utilisé pour attaquer diverses centrales en Europe/USA

Février 2022 : Le même APT russe « Sandworm » a retenté le coup, sans succès,
selon le gouvernement ukrainien.
 Une Attaque d’Oléduc
mai 2021 : Cyberattaque, par ransomware, de la société « Colonial
Pipeline » gérant le système d'oléoducs qui transporte 45 %
du fuel destiné à la cote Est des États-Unis (50 Millions de citoyens),
→ L'attaque a interrompu toutes les opérations du pipeline durant 5 jours.
→ Interruption de l’approvisionnement en fuel
→ Joe Biden a déclaré l'état d'urgence le 9 mai (avec « doigt accusateur »
vers la russie)

Acte Criminel ou de Cyber guerre ?

→ Le FBI a identifié le groupe « DarkSide » russe comme étant la partie
responsable
→ La société a payé 4,4 millions de dollars de rançon pour que les
hackers lui fournissent un outil lui permettant de rétablir son activité
 Attaque d’usines de traitement de l’eau

Février 2021 : Un hacker a réussi à augmenter

la teneur de sodium hydroxide (x100) dans le
traitement de l'eau potable de la petite ville
d'Oldsmar en Floride, suite intrusion (pas très
sophistiquée !! ) dans le système (SCADA) de la
centrale
→ Acte criminel d’un fou, soupçonné (FBI)

Aurait pu provoquer des dommages persistants à

l'œsophage et à l'estomac
(et la mort des personnes fragiles)

 Facilement opérable par une armée

cybernétique
II.2 - Perturbation
du cyber espace
 Attaques Distribuées de Déni de Service : (DDOS)
Milliers de PCs corrompus (dans plusieurs pays) : « ZOMBIES »

Serveurs
d’Amazon Web Sevices

Serveur visé

Février 2020 : 2,3 Tetra (2 300 Mega bits/s) de trafic, durant 3 jours

+ Géneralement accompagnée d’une défiguration ( « defacement »)

de sites web d’autorités de souverneté, avec injures/
ridiculisation des autorités
(guerre informationnelle)
Formes des toutes premières actes de guerres cybernétique : Estonie : 2007/Georgie : 2008
 « Destruction » de Serveurs critiques
Infiltration et cryptage de leurs données, via des
Ransomwares (virus « rançonneurs »)

Secteurs, spécialement, visés:

➢ TIC : fournisseurs Telecom/Internet
➢ Administration publique
➢ Transport : Terre/air/mer
➢ Industrie : usines sensibles

Et même
Santé : Hopitaux
Agriculture
Education : Réseaux educatifs Janvier 2022 -→ Janvier 2023 :
1175 Incidents dans 41 pays
Guerre Hybride Russie-Ukraine et effets de bord:
En 2017 : La Russie est soupçonnée d’avoir intenté une
attaque sur l’ukraine avec le ver destructeur (Ransomware-
Wiper) « NotPetya »
→ Le malware qui ciblait l'Ukraine avait atteint par
contagion le monde entier, avec des dégâts estimés à un
Milliard d’euros
→ Plusieurs entreprises « Fortune 500 » ( transporteur maritime
danois Maersk, Géant de l’agroalimentaire US Mondalez, Saint-Gobain
…) ayant des filliales en ukraine, avaient été infectées→ ont
infecté d’autres sociétés ….

Janvier 2022 : Ver destructeur (Ransomware-wiper ) « whispergate »

Groupe russe (« WhiteBlackCrypt ») suspecté,

→ a ciblé 70 sites gouvernementaux ukrainiens (22 sites mis
hors-service)
Cinq nouvelles variantes de ce ver ont été, depuis, détectées
(HermeticWiper, IsaacWiper, CaddyWiper, DoupleZero, AcidRain)
II.3- Cyber-espionnage
(depuis « tous temps »étant donné
les facilitès offertes )
Premiers « vers » sophistiqués d’espionnage « capturés »
2011: Capture de Flame
Hyper-sophistiqué (ToolKit): La taille de son code (complexité de son
programme) était du « jamais vu » : Flame a atteint la taille incroyable de 20 Mo
→Espionne le PC (fichiers, frappes, capture d’écran, Enregistrement via le Micro,
Webcam….) + le réseau auquel il est connecté

Cote Russe (sans preuve tangible):

Epic Turla : a été utilisé pour infecter le reseau local de l’”US military operations” au
moyen-orient
‘Crouching Yeti’ ( Plus de 2,800 victimes, de 101 différentes organizations, des
secteurs de l’Industrie, pharmacie, construction, education et IT, aux USA, Espagne,
Japan, Germany, France, Italie, Turquie, Irelande, Pologne et Chine/ 2020 :
Sunburst/Teardrop
. ….

Cote Chinois (sans preuve tangible):

NITRO (A ciblé 48 sociétés, Travaillant dans le domaine de la Defense, en Grande Bretagne, Japon
et Danemark) /
Sykipot (Cibles : Pentagone, DHS, Affaires Etrangères (State Department) et de
nombreuses autres agences gouvernementales), ….

les français (sans preuve tangible): NBOT, DINO, BABAR, CASPER, ….

« Plus d’Amis/Alliés »,
Suite à la « facilité & anonymat » offertes

Révelations de Snowden
→Espionnage par la NSA des institutions de l'Union européennes et des
sites de souveraineté de pays alliés : Allemagne, France,
Italie, Afrique du Sud, Grèce, …
+ des Chefs d’état/de gouvernements Alliés
(+des millions de citoyens americains → surveillance de 75% du trafic internet
aux Etats-Unis) .
 Smartphones : Cible prévilégiée pour l’espionnage
de Personnalités Politiques/Militaires/NGO/Media, … :

L’outil d’espionnage « Pegasus »

→ Vendu, à coup de Millions de $, à des entités d’espionnage étatiques (Maroc,
Emirats, …), après autorisation du gouvernement israélien

Uutilisent des failles inédites (« zero days ») de Whatsup, Android, iOS)

→ le simple visionnage d’un message / réception d’un appel (sans
besoin de décrocher) infectent le portable de la victime
→ Espionnage du portable et de l’environnement (réunions, …),
en rendant les mesures de sécurité ( chiffrement des communications, …)
obsolètes

D’après Forbidden Stories et Amnesty International :

o 600 hommes et femmes politiques (macron, …), 85 militants des droits de
l’homme, 180 journalistes, 65 chefs d’entreprise, …
o 50 000 numéros de téléphone espionnés dans 45 pays
 II.4- Cyber Guerre
INFORMATIONNELLE
De MASSE

CHATGPT
L’une des fonctions EXPLICITES de l’U.S.
Army Cyber Command (ARCYBER) :

“Conduct Influence Operations”

frapper les forces armées de l’adversaire (le cinquième
cercle) n’est pas le plus important. Atteindre sa volonté de
combattre et engendrer une paralysie stratégique obligera le
commandement adverse (le premier cercle) à un compromis.
 Actes de Désinformation/Manipulation

→Diffusion de fausses informations

→« Amplifier » ou « Noyer » des informations
dans le but de :
→ d’orienter l’opinion publique
(élections américaines de 2016)
→Et/ou de perturber la paix sociale (haine
ethnique/raciale, pousser à la rebellion contre le
pouvoir en place, …)
→Et/ou de semer la panique
→Et/ou démoraliser la population/troupes de
l’adversaire
Les Réseaux Sociaux: Cible importante de la « Cyberguerre
informationnelle
« Fermes de trolls » : « Armée d’influenceurs » qui visent
l’orientation de l’opinion publique, via la Manipulation de l’information sur
les réseaux sociaux

depuis 2015, Moscou dispose d’une « ferme de trolls », composée

de 400 membres travaillant à plein temps (dirigé par le patron de
WAGNER)

Remplissent un quota quotidien de publication de:

135 commentaires via Twitter et Facebook
50 articles par jour
Gèrent en moyenne 6 comptes Facebook et 10 comptes Twitter chacun
(source : New York Times)

→ Ont contribué à l’élection de Trump en 2016

→ Ciblent actuellement l’Afrique (Mali, Centrafrique, …) et l’Ukraine (+ russie)
Pays visés par des Opérations d’influence (2020)

Source : Trends in Online Infuence Efforts

Diego A. Martiny,Jacob N. Shapiro ,Julia G. Ilhardt, Aout, 2020
 Les réseaux Sociaux
Source de sondage de l’orientation de opinion publique
Et d’espionnage
Utilisation d’outils performants d’analyse de l’orientation de
l’opinion publique
❑ outils OSINT: Open Source INTelligence + outils IA et big
data,..
→ tendances (« likes », « commentaires », … ….)
→ jauger/affiner les actions de manipulation de l’opinion publique

+ Espionnage de masse : Identifier des cibles

intéressantes à Compromettre
En 2010 : Près de deux cents soldats israéliens se confiaient, via Facebook, à
une prétendue jeune femme (en fait des membres du hezbollah) leurs
déplacements et les activités de leurs unités durant l’invasion du sud liban
Et maintenant ChatGPT 4, qui augure d’une nouvelle ére
inquiétante de désinformation :
• Capacité de lui faire « avaler » de fausses informations
• Densite, rapidité et qualité de production de la matiére de désinformation
(images/videos …)
 Emergeance du Concept de
« cybersécurité sociale »,
comme composante de la sécurité Nationale

Et du récent concept Souveraineté Numérique

➢ depuis mars 2022 : Interdiction en russie de FB & Instagram

➢ Mars 2023 : l’autorité de régulation russe (Roskomnadzor) ordonne
aux organisations russes de ne plus se servir des paletes-formes de
messagerie suivantes :
• Discord /Microsoft Teams / Skype for Business
• WhatsApp / Viber /Snapchat /Telegram ;
• Threema /WeChat.
+ Lancement du Projet d’un “Internet Russe”

❑ Interdiction de TikTok dans les réseaux

gouvernementaux occidentaux (USA, Royaume Uni, France,
Belgique, canada, australie, danemark, norvége, …), en présage
d’un futur bannissement
 III-Cyber-Armées :
Des Commandements (Véritables Etats Majors ) Cyber Déclarés, rattachés
directement au chef d'état-major des armées, avec activités offensives
DECLAREES:
•États-Unis : US Cyber Command (USCYBERCOM), crée en 2010 (fusion)
•Iran : "Cyber Defense Command, crée en 2010
•Hollande : Defensive Cyber Command (DCC), crée en 2014
•Inde : Defence Cyber Agency, crée en 2019
•France : Commandement de la cyberdéfense (COMCYBER), crée en 2020
•Royaume-Uni : National Cyber Force, gérée conjointement par ler ministère de la
Défense et par le service de renseignement numérique britannique, crée en
2021(fusion).
Des Unités spécialisées, avec MOTUS sur les activités offensives … :
•Russie : Direction générale du renseignement de l’État-major des forces armées
(GRU/GU), le service des renseignements extérieurs (SVR), service fédéral de sécurité (FSB)) +
APT
•Chine : sous l’Armée Populaire de Chine : département Systèmes spatiaux (chargé de toutes les
opérations dans l’espace) et le département Systèmes en réseaux (responsable des opérations
d’information stratégiques) : Plusieurs Unités ( Unit 61398 (~ depuis 2006) , Unit 61489 / Unit 61786
•Israël : Unité 8200
…. “Combat operations occur across multiple domains and the Department of Defense
(DOD) recognizes cyberspace and the information space as a domain of
warfare equivalent to land, air, sea, and space”...

Activated in 2010 and headquartered at Fort Gordon, Georgia, U.S. Army

Cyber Command (ARCYBER) forms the Army component of U.S. Cyber
Command (USCYBERCOM) and is responsible for four primary tasks:

• Build, operate and maintain Army computer and information networks

• Defend Army and friendly networks, data and weapons systems
• Conduct influence operations
• Execute cyber and electronic warfare attacks on
adversarial nations and groups

ARCYBER is home to more than 16,500 Soldiers, federal civilian

employees and contractors and is comprised of its headquarters staff
…... In addition, ARCYBER contributes 42 teams to U.S. Cyber Command’s
Cyber Mission Force with more teams on the way.

Site de CYBERCOM :
[Link]
us-army-cyber-command-arcyber/
 Cyberpuissance d’un État :National Cyber Power Index (NCPI), 2020
(Centre Belfer de la Kennedy School for Science and International Affairs de Harvard)
le NCPI a identifié sept objectifs nationaux que les pays poursuivent en utilisant des
moyens cybernétiques :
1. Surveillance : surveiller et contrôler les groupes nationaux ;
2. Defense : renforcer et améliorer les cyberdéfenses nationales ;
3. Contrôle de l’information : contrôler et manipuler l’information ;
4. Intelligence : collecter des renseignements à l’étranger pour la sécurité nationale ;
5. Commercial : accroître les compétences nationales en matière de cyber et de technologie ;
6. Offense : détruire ou désactiver l’infrastructure et les capacités d’un adversaire ;
7. Normes : définir des normes internationales en matière de cybernétique et des normes techniques.
 Des Alliances se créent
Janvier 2023 : Création d’une coalition dédiée à la cyber-défense, les
signataires des accords d’Abraham:
États-Unis, Israël
+ Émirats, Bahreïn et Maroc
2022 : Les USA et l'Europe s’engagent officiellement auprès de l’ukraine,
dans sa cyber guerre contre la Russie.

L’OTAN met en place des structures dédiées :

• En 2018, au sommet de l’OTAN à Bruxelles, les Alliés ont décidé de créer un
Centre des cyber opérations intégré à la structure de
commandement de l’OTAN + possibilité de faire appel aux capacités
cyber des pays pour ses opérations et ses missions.
III.1- Cyber-Soldats :
« spécificités »
 Cv Type d’un hacker
(noyau « expert » des soldats cybernétiques)
✓ Loups solitaires, passionnés par le défi et le challenge et assez
« Introvertis »
✓ Nature spéciale, qu’il est important de « respecter » (« anti-
conformistes et irréguliers dans l’effort, tout en ayant des vertues
philanthropes et patriotes)

✓ Âge : commencent leurs activités à un très jeune âge (14-15

ans maximum) → La Corée du Nord les recrute à 11 ans
✓ Education : Beaucoup arrêtent assez tôt leurs études, s’ils ne sont pas
correctement coachés, car le hacking les passionne plus (niveau
technicien supérieur )
✓ Collaborent bien à l’international, en partagant,
exclusivement entre hackers, leurs trouvailles (failles, exploits),
pour gagner le respect/admiration de leur communauté.
✓ Genre : très peu de femmes !
 Groupes « APT » : les « Cyber Soldats Civils»
les groupes APT (Advanced Persistent Threat) :
→APT28 (aussi connu
A l’essence sous
: des le nom de
hackers « Fancy Bear» ») / APT29 (« Cozy Bear ») : russes
« patriotes
→APT10
Sont(« chargés
Stone Panda
de »)missions
: chinois (sur plusieurs mois, d’où le nom APT) dans des
Shadow Brokers/ Equation Group : USA
activités
APT35 de Cyber-espionnage
(« Charming et/ou d’attaques
Kitten ») / « Islamic Republic’s Iranian Cybercyber : iran
Army »:
APT→ 38 Espionnage
/ « Lazarus Group » : nord-coréeou d’état
économique
APT34 (« OilRig »)/ « Cellebrite »/ »Flame » : israel
….
→ Et, si feu vert, : Perturbation et/ou Sabotage des
infrastructures
Liste Google des APT/pays : critiques d’autres états
[Link]
→ Permet de Tenir compte de la nature « spéciale » des
X68EKU/edit#gid=1864660085
hackers (solitaires, indiscipline bureaucratique, ….)
→ Permettent de renforcer le potentiel des armées
cybernétiques régulières (recherche de zero-days,
exploits, … )
→ Tous les pays, cherchant à avoir des capacités offensives en ont
(plus de 120)
Les Commandements et unités cybernétiques leaders (USA, GB, Israel, …) collaborent
étroitement avec leurs entreprises privées pour améliorer leurs capacités de défense
et d'attaque.
 IV.2- Les « armes » cybernétiques

Chaque pays a ses « usines » de fabrication d’outils

d’intrusion (kits d’intrusion et d’espionnage, exploits),
qui ne nécessitent pas d’équipements onéreux
Uniquement : PCs
+ le WILL + formation + ouverture vers la
collaboration « civile » (hackers patriotes/privé)
« Munitions » : Les Failles « Zero-Days »
Les Kits d’intrusion sophistiqués sont basés sur l’exploitation
de failles zéro-days pour infiltrer leurs cibles
→ → Failles Non encore découvertes par les éditeurs de
logiciels
→ Exploitables pour s’infiltrer dans un système lors des
attaques virales/directes, tant qu’elle ne sont pas
« découvertes » et fermées (patchées)
Constituent les précieuses « Munitions cybenétiques»
→ Besoin de Collaboration avec les hackers » civils et le
secteur privé
Quand nécessaire, acquisition de chez des hackers
« civils »
✓ Dernier grand chiffre révélé : 2,5 millions d'euros pour des
failles zero-days du système Android (smartphones)
→ Il y a même des « places de trading » de failles zéro-
Les Outils Commerciaux
= Mines de Zéro-Days, DIFFICILES A IDENTIFIER
(programmes non fournis → opaques)

→ Précautions quant à l’utilisation

d’équipements/logiciels commerciaux « minés » dans les
environnement militaires sensibles
Plusieurs outils minés ont été découverts par le passé :
→ disques minés/ Outils de sécurité minés
+ Affaire HUWAEI, MAIS ET LES AUTRES ….

→ Intérêt de l’utilisation exclusive d’outils OPEN-

SOURCE (programmes fournis et auditables)
dans les infrastructures Militaires sensibles
 Grande complexité /furtivité des
codes malicieux utilisés
Peu de ver espions « capturés » ces
dernières années …..
→ Capacités de furtivité Hyper-développées
→ utilisation de techniques très sophistiquées :
→ Canaux cachés pour exfiltrer les données, même de
PCs isolés
→ « sans fichier » → ne laissent pas de trace sur le disque
→ Scanners d’environnement évolués → charge de
modules d’intrusion appropriés à l’environnement
infiltré
(“Porte-avion” de malwares)
→ IA (Big Data + Machine Learning) → attaques plus
« customisées », selon la posture sécuritaire de la
victime
 Exemples de Canaux Cachés
Mars 2023 : Des chercheurs de la « School of Cyber Security » de Séoul
ont présenté une nouvelle attaque par canal secret nommée CASPER
→ exploite les synthétiseurs internes comme canal de transmission
de données pour transmettre un son haute fréquence (que l'oreille
humaine ne peut pas entendre) modulant des données binaires.
→ peut divulguer des données d'ordinateurs isolés du réseau (utilisés
dans des environnements critiques) vers un smartphone (jusqu'à 1,5 m
de distance ) à un débit de 20 bits/s.

En 2020, Un chercheur l'Université Ben Gourion ,Israël a fait une

démonstration d’un malware Baptisée "POWER-SUPPLaY",
→ fonctionne aussi avec des systèmes embarqués et des appareils IoT
dépourvus de matériel audio
POWER-SUPPLaY manipule la fréquence de commutation interne de
l'alimentation électrique et contrôle ainsi les formes d'onde sonores
générées par ses condensateurs et transformateurs pour moduler des
données binaires à très faible débit (1 bit/s ).
Des Tactiques d’infection évoluées
 Attaques ciblées : « Watering Hole Attacks »
(« Embuscade autour d’un point d’eau »)

Sites Web :
Les attaquants infiltrent/créent des sites web (News,
…) que des personnalités « intéressantes »
(Politiciens, militaires, …..) visitent, pour les infecter
➔ Le site contaminé attendra la visite des victimes, comme un
lion autour d’un point d’eau (Watering Hole Attack )

Wifi D’Hotels :
Les attaquants ciblent les réseaux Wifi des hotels que
des personnalités « intéressantes » visitent, pour les
infecter
→ Lors de sa connexion, le client se verra infecté par un logiciel
espion
Exemple :Le vieux Darkhotel qui a été detecté dans des hotels au : Japan,
Taiwan, China, Russie et Hong Kong, Allemagne, USA, Indonesie, Inde et
Irelande.
 Attaques « Indirectes » , de MASSE
via l’infection de logiciels populaires (« Supply Chain attack » )
2019 : Attaque de l’editeur de logiciel « solarwinds »
Septembre 2019 : Accès et compromission du code source Décembre 2020 :
> Année Découverte
du très utilisé outil réseau « orion » de « solarwinds »
de l’attaque
plus de 18 000 entités touchées aux USA et PARTOUT dans le monde
(Toutes les entreprises « Fortune 500 ») → Russie/Chine/Corée du nord ?

Compromission de TOUS les RESEAUX SENSIBLES aux USA:

• le département de la Sécurité intérieure (DHS) ;
• l'Agence de la cybersécurité et des infrastructures (CISA)
• l'Administration nationale de la sécurité nucléaire (NNSA)
• le département d'Etat américain ;
• le département du Trésor américain ;
• l'Administration nationale des télécommunications et de l'information (NTIA) du
ministère américain du Commerce ;
• les instituts nationaux de la santé (NIH) du ministère de la Santé ;
• le ministère américain de l'Energie (DOE)
• ….
+ Infiltration de plateformes d’autres editeurs utilisant ce logiciel « orion »: dont
MICROSOFT et FireEye (leader en cybersécurité)
 Attaque dite d’Ingénierie Sociale (« La Faille humaine »)

Attaque de « Spear FISHING »»

1-Envoi d’un email piégé (pièce jointe infectée / lien empoisonné)

Utilisateur
Inconscient

2- Infection de la machine
→ ouverture d’accès illicite (back door)
→ déclaration de la compromission à
l’attaquant

3- Infiltration via le « back door » installé

et prise de contrôle à distance par l’attaquant
→Placer ses sondes d’espionnage, qui communiqueront leurs
« trouvailles » de manière indétectable et chiffrée (canaux cachés) vers
un C2 (Centre de Commande et de Contrôle)
→Installer d’autres portes dérobées (pour revisite indétectable )
4- Connexion et utilisation du PC infecté, 5- Attaque et prise de contrôle
Comme machine relais, pour l’accès des SERVEURS importants
au reste du réseau

6- Exfiltration par l’attaquant

De données compromettantes (mots de passe, ..)

7- Prise de contrôle
de TOUT le réseau
Autres formes : Smishing (sms/chat piégé) / Vishing (via telephone)
91 % des attaques commencent par une attaque de phishing (banques, …)
(enquête 2023 de Deloitte)
→ Très Utilisé dans les attaques de guerre cybernétique, pour s’infiltrer
dans les réseaux fortement sécurisés(scada, ..), via des réseaux connectés
Moins sécurisés ( administration, …)
Est-ce un scénario de PURE science fiction? :
Un « Méga 11 septembre »: Les objets « intelligents » qui
peuplent air, sol et mer (drones, voitures intelligentes, trains,bateaux
..) pourraient être détournés et devenir de véritables « bombes in-situ»
actionnables simultanément et à distance
+/- Explosion de centrales chimiques (+ ouverture de barrages, …)
+/- Coupures globales d’electricité : détournement des
centrales+smartgrids
+/- Contamination de l’eau potable
+/- Diffusion de faussses informations (épidémie mortelle,
défaite des troupes et début d’occuppation du pays, fuite de membres
du gouvernement, ….)
+/- Emboutillages monstres : détournement de voitures et camions
« intelligents »/ manipulation des feux de signalisation
+ +++
Opérées par un Etat ou un Groupe terroriste
 de sûr : Le MYTHE dépasse la réalité

MERCI POUR VOTRE ATTENTION

Prof Nabil SAHLI
Email personnel : nabilsahli@[Link]