Près de 30 ans se sont écoulés depuis la sortie du film "Hackers" et beaucoup d'entre nous, lorsqu'ils pensent à un cyber-attaquant, s'imaginent encore un type portant un sweat à capuche, traînant dans sa cave tout en piratant un clavier pour gagner en notoriété. Cependant, beaucoup de choses ont changé au cours des trois dernières décennies et le portrait d'un attaquant Active Directory a beaucoup évolué. Certes, certains cyberattaquants portent encore des sweats à capuche et mènent des attaques depuis leur cave, mais de nos jours, ils le font plus probablement depuis un endroit situé à l'autre bout du monde. Lors de la conférence sur la protection des identités hybrides, Allen Brokken a présenté des statistiques inquiétantes sur les cyberattaques ainsi que sur les différents profils et intentions des pirates modernes. Voici les cinq catégories d'attaquants Active Directory que Brokken a présentées lors de son exposé intitulé "Detect and Respond to Active Directory Breaches" (Détecter et réagir aux violations Active Directory).
5 types de cyberattaquants
L'hacktiviste : L'hacktiviste du 21e siècle ressemble beaucoup à ce que vous avez vu dans "Hackers", sauf que la technologie est beaucoup plus avancée et que le piratage est bien réel. Les hacktivistes sont généralement motivés par une grande cause ou un programme politique et estiment que leur cible mérite d'être attaquée. Cette catégorie d'attaquants Active Directory peut être très sophistiquée dans son approche et travaille souvent ensemble, comme un groupe de personnes ayant des intérêts communs plutôt qu'une véritable organisation. WikiLeaks et Anonymous sont deux organisations d'hacktivisme bien connues qui ont divulgué des informations sensibles afin de promouvoir une cause.
Les États-nations : La Chine, la Russie et la Corée du Nord sont tous des pays qui ont des capacités de cyberattaque et qui cherchent en fin de compte à contrôler certains aspects du domaine géopolitique. Qu'il s'agisse de vol de propriété intellectuelle militaire ou d'espionnage d'entreprise, les États-nations attaquants disposent de ressources importantes et d'une capacité organisationnelle qui leur permet de mener des attaques de grande envergure. Il y a quelques mois, la Russie a mené une attaque Active Directory qui a perturbé la cérémonie d'ouverture des Jeux olympiques d'hiver. Le logiciel malveillant wiper a pu analyser Active Directory pour déterminer les systèmes à cibler et mettre hors service le site web des Jeux d'hiver pendant 12 heures.
Organisations terroristes modernes : Des rapports récents révèlent que le cyberterrorisme est une préoccupation croissante et qu'il constituera la principale menace en matière d'infosécurité dans les années à venir. ISIS et d'autres organisations terroristes tirent parti de leurs capacités de cyberattaque pour financer leurs combats et faire avancer leur cause, qu'ils estiment justifiée par un objectif supérieur. Dans certains cas, les États-nations et les organisations de cyberterrorisme s'associent pour mener des attaques contre des nations plus grandes et plus sophistiquées. Ces cyberattaquants peuvent fonctionner de la même manière que d'autres acteurs, mais leurs motivations sont davantage liées à la cause qu'à un gain monétaire direct.
La cybercriminalité organisée : La cybercriminalité organisée est bien réelle et constitue l'équivalent de la mafia d'aujourd'hui. Le Dark Web fournit tous les services et les cyberarmes dont les réseaux de cybercriminalité organisée ont besoin pour mener à bien leurs attaques - il y a même des crimes en tant que service, où les gangs de cybercriminels se voient offrir de l'argent en échange de la réalisation d'attaques. Ces attaquants sont généralement motivés par l'argent et investiront dans une attaque complexe au fil du temps s'ils en voient la valeur potentielle. De nos jours, les gangs de cybercriminels disposent de structures organisationnelles sophistiquées, à l'instar de n'importe quelle autre entreprise. Dans de nombreux endroits du monde, l'attaque électronique est en fait un travail légitime à plein temps.
Des concurrents contraires à l'éthique : Aux États-Unis, il existe des lois strictes et une éthique générale qui empêchent les entreprises de s'attaquer directement les unes aux autres par voie électronique pour obtenir un avantage concurrentiel. Toutefois, cette norme éthique n'est pas nécessairement partagée dans le monde entier. Dans de nombreux pays, tout moyen d'obtenir un avantage est considéré comme une bonne affaire. Lorsqu'une organisation adopte cette attitude, elle est prête à se doter d'une capacité d'attaque pour gagner. Il est arrivé que des entreprises s'attaquent aux systèmes de tarification de leurs concurrents et pratiquent automatiquement la sous-enchère dans le but de les contraindre à cesser leurs activités. Plus récemment, des attaquants ont utilisé le logiciel malveillant MBR-ONI pour crypter les serveurs Active Directory de plusieurs entreprises japonaises et paralyser leurs activités.
L'attaquant Active Directory d'aujourd'hui se présente sous toutes les formes, tailles et structures organisationnelles, mais la vraie morale de l'histoire est que ces attaquants évoluent et augmentent la menace et les niveaux de sophistication. Afin de protéger l'environnement de votre entreprise, vous devez vous assurer que votre plan de reprise après sinistre vous permet de rebondir rapidement face à tout type d'attaque de logiciels malveillants.
Pour consulter l'intégralité de la présentation d'Allen Brokken sur les attaques d'Active Directory, ainsi que d'autres présentations de la conférence 2017 sur la protection des identités hybrides, cliquez ici.