Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

14/04/2022

Cybersecurity Insights

La menace de la Guerre Hybride – Utilisation du cyberespace dans la géopolitique

« Les armées doivent désormais, systématiquement, regarder le combat cybernétique comme un mode d’action à part entière dont les effets se combinent aux autres dans une manœuvre globale. »

– Ministère des Armées (2019)

L’importance des cybermenaces au sein des conflits étatiques

Au fil des années, les cybermenaces ont pris de plus en plus d’importance dans les conflits. On peut observer en parallèle de l’évolution technologique que les individus malveillants ont su les exploiter pour faire évoluer leurs activités.

L’état des lieux historique de la cybermenace nous permet de comprendre que les mesures de sécurité sont prises en réaction des cybermenaces.

L’émergence graduelle mais certaine de la menace

Pour comprendre les enjeux de la guerre hybride, il est nécessaire de comprendre l’écosystème dans lequel elle s’inscrit et cela passe par un travail de définition important. Les définitions françaises des termes suivants aident à mieux appréhender les concepts.

Cybermenace : Une cybermenace correspond au risque d’attaque de systèmes informatiques privés ou publics.

Cyberespace : Espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques. 3 couches sont observables :

  • Une couche physique, constituée des équipements, des systèmes informatiques et de leurs réseaux ayant une existence matérielle ;
  • Une couche logique, constituée de l’ensemble des données numériques, des processus et outils de gestion et d’administration de ces données, ainsi que de leurs flux d’échanges ;
  • Une couche sémantique et sociale, constituée par les informations qui circulent dans le cyberespace et par les personnes qui peuvent disposer de multiples identités numériques.

Cyberdéfense : Ensemble des mesures techniques et non techniques permettant de défendre dans le cyberespace les systèmes d’information jugés essentiels. Certaines mesures peuvent selon les définitions être offensives.

Guerre Hybride : Une guerre mélangeant des moyens conventionnels, techniquo-militaire, utilisés lors des conflits avec des moyens qualifiés d’« irréguliers » pour influer sur les négociations. C’est un jeu d’influence.

Cyberattaque : Atteinte à des systèmes informatiques réalisée dans un but malveillant.

Références :

Quels sont les risques cyber ? | Gouvernement.fr

Qu’est-ce qu’une cybermenace ?| Vie publique.fr (vie-publique.fr)

Dugoin-Clément, Christine. « La guerre hybride en Ukraine », Revue Défense Nationale, vol. 793, no. 8, 2016, pp. 85-90.

Les 4 grands risques cyber majeurs pouvant affecter les particuliers, les administrations et les entreprises sont identifiés par l’ANSSI comme : la cybercriminalité, la déstabilisation, l’espionnage & le sabotage.

On identifie différents types d’attaquants qui ont tous des motivations et des moyens d’actions différents

Les individus isolés et les script kiddies, qui sont le plus souvent des étudiants ou des personnes apprenant de nouveaux moyens d’actions et ont pour motivation la recherche de reconnaissance et la satisfaction de relever un défi. Bien qu’ils soient le plus souvent peu précautionneux, ils peuvent néanmoins représenter un danger.

Les mafias ou organisations criminelles ont souvent de grands moyens d’action et cherchent à obtenir un avantage financier.

Les hacktivistes ont une motivation plus idéologique, ils cherchent à défendre une cause en portant atteinte à la réputation de leurs victimes.

Les groupes étatiques ont comme moyen d’action le sabotage, l’espionnage et la déstabilisation pour obtenir un avantage stratégique à l’échelle internationale.

Une étude américaine (commandée par HP) a observé entre 2017 et 2020 une augmentation significative des « incidents significatifs de sécurité informatique liés à des États-nations ».

L’étude conclut que : « les États-nations investissent de plus en plus de temps et de ressources à l’obtention d’avantages stratégiques cyber pour promouvoir leurs intérêts nationaux, leurs capacités de collecte de renseignements, et leur puissance militaire par l’espionnage et le vol ».*
*Les cyberattaques perpétrées par les États-nations ont doublé en trois ans, d’après une étude (usine-digitale.fr)

L’étude démontre également que les victimes sont « les entreprises à forte valeur ajoutée, telles que les laboratoires pharmaceutiques et les sociétés technologiques, sont les premières victimes de ces attaques d’ampleur (35%), suivies par l’industrie de la cyberdéfense (25%), les médias (14%), les institutions gouvernementales et organismes de régulation (12%) et les infrastructures critiques (10%). »*

A noter que c’est ce qui est observable hors conflit, il y a un choix stratégique dans l’exploitation des cibles. Dans le cadre d’une guerre traditionnelle, les attaques visent physiquement les points stratégiques de l’adversaire. Les cyberattaques également, elles peuvent paralyser les infrastructures critiques de l’intérieur (services étatiques, fournisseurs d’énergies, moyens de communications…) en utilisant des jalons dormants difficilement observable quand ils ne sont pas exploités (c’est pourquoi le chiffre de 10% est à relativiser) et faciliter la guerre de l’information.

En temps de paix, les cibles sont celles qui gardent les secrets. C’est la propriété intellectuelle de l’autre que l’attaque cherche à récupérer.

Les OIV (organismes d’importance vitale) et OSE (opérateurs de services essentiels) sont les cibles idéales (liste officiellement secrète), c’est pourquoi ils demandent un niveau de protection particulier.

Pourquoi les attaques prennent-elles autant d’ampleur ?

Une cyberattaque a aujourd’hui beaucoup plus de chance de devenir systémique : c’est-à-dire d’affecter d’un seul coup toutes les organisations liées par leur système informatique, ou en tout cas de connaitre une propagation rapide.

  • Cela en raison des dépendances et interconnexions qui existent entre les acteurs ;
  • Cela à plusieurs échelles : Nationale, Internationale, Interne à l’entreprise ou Interentreprise ;
  • En fonction de la faille exploitée : Soit au sein du SI d’une entreprise ou via une Supply Chain Attack.

En conséquence, on observe une évolution des revendications et des objectifs. Les cyberattaques deviennent plus que des moyens de perturbation : de véritables actes de guerre.

L’évolution des moyens humains, financiers (grâce à l’implication des grands groupes et des États) et techniques a rendu l’accès à ce moyen d’attaque plus facile, rapide et souvent plus économique.

L’apparition d’un nouveau type de conflit : la guerre hybride

Les interconnexions et interdépendances entre les nations offrent aujourd’hui une multiplicité de points de levier pour faire pression sur un État en dehors de la violence physique traditionnelle. C’est comme ça que naît la guerre hybride.

Cette stratégie militaire permet de faire la guerre de manière globale.

Thomas Gomart, directeur de l’IFRI (Institut Français de Relations Internationales) le définit ainsi : « La notion de guerre hybride aide à définir des conflits actuels qui combinent intimidation stratégique de la part d’États disposant d’armes de destruction massive, des opérations interarmées impliquant aussi des unités spéciales et des mercenaires, et des manœuvres de désinformation à grande échelle ».

C’est une nouvelle façon de vivre le conflit, qui implique l’ensemble de la population, les acteurs sont multiples et les conséquences s’observent partout. Autrefois les pires conséquences de la guerre étaient principalement visibles sur la zone de front. Aujourd’hui les impacts sont partout : il n’y a plus de lignes arrière identifiables.

La stratégie de la guerre hybride est analogiquement celle de la bulle : les protagonistes s’enferment dans le conflit car ils ont multiplié les moyens de l’entretenir.

Un des principes du droit de la guerre est la réponse proportionnée, les conflits sont une escalade de réponse où l’arme atomique fait office de limite, la stratégie offre de nouveaux échelons stratégiques permettant de faire durer le conflit et de s’affronter sur d’autres terrains comme les médias (guerre de l’information), la politique ou le cyberespace.

La fin du conflit est plus difficile à prévoir : on ne peut plus « simplement » retirer son armée. Les cyberattaques peuvent avoir des conséquences sur le long terme. Certains acteurs non satisfaits de la fin du conflit peuvent avoir envie de continuer la lutte.

La réaction des États face à la persistance de ce nouveau type de menaces

Une régulation internationale encore balbutiante

Des « groupes des experts gouvernementaux » (GGE) sur la cybersécurité se sont réunis à six reprises entre 2004 et 2021 afin d’arrêter une régulation internationale sur l’usage de l’arme cyber par les États.

Les GGE ont permis des avancées sur la régulation internationale, notamment en 2013, quand l’applicabilité au cyberespace du droit international et de la charte des nations unies a été votée par les 16 pays réunis.

Toutefois, les GGE peuvent aboutir à des normes facultatives et non-contraignantes, mais seul le conseil de sécurité peut émettre des normes obligatoires contraignantes, comme rappelé sur le schéma suivant.

C’est pourquoi le GGE a encouragé en 2015 et en 2021 le conseil de sécurité à reprendre le sujet afin de mettre en place des obligations contraignantes :

Compte tenu des caractéristiques uniques des technologies numériques, [le Groupe d’experts gouvernementaux] réitère l’observation formulée dans le rapport 2015 selon laquelle des normes supplémentaires pourraient être élaborées au fil du temps et note par ailleurs la possibilité, à l’avenir, de mettre en place des obligations contraignantes, le cas échéant.

De plus, les seize pays réunis représentaient moins d’un dixième des états-membres de l’ONU. C’est notamment la raison pour laquelle un retour en arrière a été constaté en 2015 : des pays qui n’avaient jusqu’alors pas été conviés aux GGE, comme Cuba, ont souhaité revenir sur des décisions des occurrences précédentes.

La stratégie française de cyberdéfense

En France

Entre 2019 et 2025, la loi de programmation militaire met à disposition des Armées un budget de 1,6 milliard d’euros pour « la lutte dans l’espace numérique ». Ce budget s’inscrit dans la volonté de l’État français d’affirmer la souveraineté de la France dans le cyberespace, au même titre que les autres espaces. C’est également pourquoi en 2016, le Commandement de la Cyberdéfense ou COMCYBER a été fondé.

Cette entité du ministère des armées, subordonnée au Chef d’état-major des Armées, a pour mission d’assister et de conseiller le ministre des Armées français vis-à-vis de la cyberdéfense, ainsi que de coordonner les activités de lutte informatique, comme nous le verrons plus tard.

En 2020, le COMCYBER comptait un effectif de 3400 « cyber-soldats » (dont 270 réservistes opérationnels) et 4000 réservistes citoyens. L’objectif fixé par la loi de programmation militaire pour 2025 est d’atteindre 4500 cyber-soldats.

Que représente le budget de 1,6 milliards d’euros attribué au ministère des armées pour la lutte dans le cyberespace ? Au total, la LPM met à disposition des armées 197,8 milliards d’euros sur la période 2019-2023, pour des besoins à hauteur de 295 milliards d’euros sur la période 2019-2025.

Source : loi de programmation militaire

Ainsi, moins d’un pourcent du budget alloué au ministère des Armées est alloué à la lutte dans le cyberespace. Toutefois, la cyberdéfense en France n’est pas portée exclusivement par le ministère des Armées. Notamment, le Secrétariat Général de la Défense et de la Sécurité National (SGDSN), rattaché au Premier ministre, joue un rôle important sur la scène française de la cyberdéfense. C’est en effet à cette entité qu’est rattachée la célèbre Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). De plus, le ministère de l’Intérieur et le ministère de l’Économie, des Finances et de la Relance y participent également à travers leurs services de renseignement.

Comparons maintenant cette stratégie avec celle des autres grandes puissances que sont les États-Unis et la Russie, en tête de peloton dans la course à la lutte dans l’espace numérique.

Aux Etats-Unis

  • Le « United States Cyber Command » est opérationnel depuis le 21 mai 2010. Il est intéressant de noter que cette date coïncide avec la première cyberattaque étatique de grande ampleur, menée conjointement par les États-Unis et Israël : Stuxnet.
  • En mai 2011, l’administration Obama publie une stratégie intitulée International strategy for cyberspace. Cette stratégie développe notamment les liens entre la lutte dans le cyberespace et l’économie, les forces de l’ordre, l’armée, et la liberté et la vie privée sur Internet.
  • En 2022, le budget du US CYBERCOM est de 10,4 milliards de dollars (5,5 pour la cybersécurité, 4,3 pour les « opérations dans le cyberespace » et 510 millions pour la recherche et le développement), budget NSA exclus.

En Russie

Dès son arrivée au pouvoir en 2000, Vladimir Poutine dote la Russie de sa première doctrine de sécurité informationnelle. Fin 2011, soit peu de temps après la publication de la stratégie américaine, cette doctrine est renforcée avec la publication du document Points de vue conceptuels sur les activités des Forces armées de la Fédération de Russie dans l’espace informationnel.

La doctrine russe :

  • Est axée sur trois concepts phares : dissuader, prévenir et résoudre.
  • N’aborde pas la conduite d’opérations militaires offensives mais envisage clairement la mise en œuvre de la légitime défense « en accord avec les normes et principes de droit international ».
  • Est axée sur l’information elle-même, et pas seulement sur les systèmes d’information qui la contiennent :
    • Les médias traditionnels participent à part entière à la lutte dans le cyberespace comme forces de « contre-propagande » ;
    • Les « agences de trolling » ou « usines à troll » rémunèrent des internautes pour propager les informations pro-Kremlin sur Internet.

 
L’organisation de la cyberdéfense en France

La cyberdéfense regroupe la Lutte Informatique Offensive (LIO) et la Lutte Informatique Défensive (LID) :

Source : ministère des Armées

L’on notera que cette définition de la LIO par le ministère des Armées ne fait pas mention d’altérer l’intégrité des données, mais seulement leur disponibilité ou confidentialité. Or dans le même document, le ministère des Armées précise, comme nous le verrons plus tard, qu’un des objectifs de la LIO est la « modification des perceptions ou de la capacité d’analyse de l’adversaire », avec pour exemple l’altération des données d’un système de commandement ou encore la désorganisation des centres de propagande adverse.

Selon la revue stratégique de cyberdéfense, la cyberdéfense a six missions :

Prévenir

Faire prendre conscience aux utilisateurs du risque

Formations

Anticiper

Évaluer en permanence les probabilités de cyberattaques et prendre des mesures préventives

Gestion des risques

Protéger

Diminuer la vulnérabilité des SI

Gestion des vulnérabilités

Détecter

Rechercher des indices d’une éventuelle cyberattaque en cours

SOC

Réagir

Résister à une cyberattaque afin qu’elle n’empêche pas la poursuite d’activité

CERT

Attribuer

Préciser l’auteur d’une cyberattaque par des preuves ou indices

Politique

Ces missions sont réparties entre plusieurs acteurs :

Lutte informatique offensive (LIO)

La LIO a trois objectifs :

  1. Évaluation de capacités militaires adverses ;
  2. Réduction/neutralisation de capacités adverses ;
  3. Modification des perceptions ou de la capacité d’analyse de l’adversaire.

A cette fin, elle agit sur les trois couches du cyberespace, qui sont interdépendantes :

Physique :

  • équipements ayant une existence matérielle (notamment informatique, réseaux)

Logique :

  • Données et outils numériques
  • Flux d’échanges

Sémantique et sociale :

  • Informations qui circulent dans le cyberespace
  • Personnes (identités numériques)

La LIO peut avoir des effets dans chacune de ces couches. Ces effets peuvent être matériels ou immatériels, ainsi que temporaires, réversibles ou définitifs.

Exemples d’effets :

  • Couche physique : neutralisation d’un système d’armes ou autre site critique
    • En 2009, les gouvernements américain et israélien ont freiné le programme nucléaire iranien en neutralisant les centrifugeuses de la centrale de Natanz grâce au célèbre ver Stuxnet. Cet effet était toutefois réversible car l’objectif était la discrétion : les centrifugeuses n’ont donc pas été détruites.
  • Couche logique : perturbation de communications, indisponibilité de terminaux
    • En 2022, peu avant l’invasion de l’Ukraine par la Russie, ces derniers déploient le malware FoxBlade, un « wiper» destiné à effacer des données et rendre inopérants des terminaux.
  • Couche sémantique et sociale : collecte de renseignements
    • En 2020, plusieurs institutions américaines ont été touchées par une cyberattaque de type « supply-chain» via un hack nommé Sunburst, affectant le système de mise à jour du logiciel Orion de SolarWinds. Ces attaques ont, entre autres, permis une violation de données.

La lutte informatique offensive a plusieurs atouts :

  • Elle propose des modes d’actions discrets, efficaces et immédiats ;
  • Elle est capable de se substituer à d’autres modes d’action, de les préparer ou de les compléter ;
  • Elle permet une granularité des impacts pour une réponse proportionnée, et est donc un outil polyvalent en politique.

Lutte contre la désinformation

La désinformation est une atteinte à l’un des quatre piliers de la sécurité de l’information : l’intégrité. C’est également un outil de propagande majeur pour certains pays. Certaines puissances comme la Russie l’intègrent donc dans leur stratégie de cyberdéfense.

  • La propagande traditionnelle est d’autant plus facile avec la multiplication des médias en ligne, de la facilité de propagation des informations à partir de sources non nécessairement fiables, et des partages massifs de chaînes de messages.
  • Les trolls issus des usines à troll russes y contribuent massivement sur internet.

 

A ce titre, des services spécialisés dans la lutte contre la désinformation voient le jour. Par exemple, Viginum est un service français dépendant du SGDSN. Créé en juillet 2021, son objectif est d’atteindre 50 agents d’ici fin 2022. Bien que le service soit encore assez discret dans l’espace numérique, son défi est de « préserver le débat public des manipulations de l’information provenant de l’étranger sur les plateformes numériques ».

A l’échelle européenne, East Stratcom TaskForce, renommé European External Action Service, est un groupe de travail de l’Union Européenne spécialisé dans la désinformation en provenance de la Russie. Fondé en 2015, sa principale activité consiste à réfuter des fausses informations pro-russes sur le site euvsdisinfo.eu.

Références

  1. Revue Stratégique de Cyberdéfense, SGDSN (12 février 2018)
    http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/
  2. Éléments publics de doctrine militaire de lutte informatique offensive, ministère des Armées (2019)
    https://www.defense.gouv.fr/content/download/557389/9657802/Lutte%20informatique%20offensive%20(LIO).PDF
  3. Politique ministérielle de lutte informatique défensive, ministère des Armées (2019)
    https://www.defense.gouv.fr/content/download/557388/9657794/Lutte%20informatique%20d%C3%A9fensive%20%28LID%29.PDF
  4. The Sixth United Nations GGE and International Law in Cyberspace (justsecurity.org)
  5. International Cyber Law Politicized: The UN GGE’s Failure to Advance Cyber Norms – Just Security
  6. https://documents-dds-ny.un.org/doc/UNDOC/GEN/N18/465/02/PDF/N1846502.pdf
  7. A/76/135. Soixante-seizième session Point 96 de la liste préliminaire Progrès de l’informatique et des télécommunications et sécurité internationale – Groupe d’experts gouvernementaux chargé d’examiner les moyens de favoriser le comportement responsable des États dans le cyberespace dans le contexte de la sécurité internationale, 14 juillet 2021
  8. EU vs Disinfo About – EU vs DISINFORMATION
  9. Viginum, vigilance et protection contre les ingérences numériques étrangères | Secrétariat général de la défense et de la sécurité nationale (sgdsn.gouv.fr)

Alban RECLY

Consultant Governance, Risks & Compliance

Alia SAADI

Consultante Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

25 novembre 2024
Avec une souche éprouvée, des outils bien choisis et des cibles stratégiques, 8Base se distingue comme une menace particulièrement redoutable. […]
12 novembre 2024
L'IA est devenue un facilitateur de la conduite des affaires cybercriminelles. La résilience exigée au sein de diverses organisations pour […]
29 octobre 2024
L'usurpation d'identité vous effraie ? De l'arnaque corporate jusqu'aux manipulations à l'échelle globale, l'essor des deepakes incarnant des personnalités publiques […]
28 octobre 2024
2024 is the year of elections. But how does it impact the threat landscape? Almond would like to share a […]
22 octobre 2024
Les interfaces que vous utilisez chaque jour subissent de multiples assauts, et leur manipulation met en danger de nombreuses entreprises […]
2 octobre 2024
Le Moyen Orient attire tous les regards après l'attaque sur la chaine d'approvisionnement des bippers et de talkies-walkies. L'Iran, acteur […]
17 juillet 2024
CWATCH vous invite au travers de cet article à vous interroger sur l’écosystème d’attribution actuel et les impacts de celui-ci […]
26 juin 2024
À l'approche des Jeux olympiques de Paris, la communauté de la cybersécurité a déjà observé une augmentation des activités malveillantes.
20 juin 2024
Ce Cybersecurity Insights a pour but de naviguer entre l’intérêt, le fonctionnement et l’étendue du marché des scanners de vulnérabilités. 
10 juin 2024
2024 is the year of elections. But how does it impact the threat landscape? Almond would like to share a […]

Nous vous souhaitons de joyeuses fêtes de fin d’année hautes en couleur et à l’année prochaine pour une année 2025 exaltante ! 🎉

🎁 Merci à tous pour votre participation au quiz de l’avent, nous contacterons le gagnant très prochainement.

🎅 Chez Almond, l’esprit festif des fêtes de fin d’année est arrivé en avance !

Nos collaborateurs ont profité d’une soirée chaleureuse et joyeuse dans l’un des restaurants les plus spectaculaires de Paris, Le Cirque avec un cocktail dinatoire, des surprises et un Secret Santa.

Et un peu plus de magie de Noël ? Almond a également ouvert ses portes aux familles de nos collaborateurs pour une après-midi conviviale autour de l’arbre de Noël. Les enfants ont été captivés par des contes enchantés, de 1001 contes Constance Felix et ont savouré un goûter délicieux avec des chocolats chauds préparés par les Empotés. Le Père Noël a distribué des coloriages géants et des cadeaux pour le plus grand bonheur des enfants 🎁

Jour 23 |

Jour 22 | Laquelle de ces menaces n’est pas un cryptoransomware ?

  • Réponse 1 : Lockbit3
  • Réponse 2 : Phobos
  • Réponse 3 : NotPetya
  • Réponse 4 : WannaCry

Laïus explicatif : Bien que NotPetya ressemble à un ransomware, il s’agit en réalité d’un wiper. Ce malware rend indisponible les fichiers de la victime, mais ne fournit aucun moyen de les déchiffrer, même après le paiement de la rançon. L’objectif principal de NotPetya n’est pas l’extorsion financière, mais la destruction de données.
En cas d’incident, voici les coordonnées de notre CERT : [email protected] +33 (0)1 83 75 36 94

Jour 21 | Vous dialoguez via votre terminal avec un service distant et vous vous rendez compte qu'il contient un stack-based overflow. Vous cherchez à l'exploiter à l'aveugle et trouvez finalement l'offset de l'adresse de retour, après avoir contourné les éventuelles protections. Vous cherchez maintenant un stop gadget pour continuer votre exploitation. Quelle est son utilité :

  • Réponse 1 : interrompre à la demande le flux d’exécution du binaire distant le temps de l’exploitation
  • Réponse 2 : obtenir une exécution fiable et maîtrisée avec un comportement reproductible
  • Réponse 3 : pouvoir mettre en pause le binaire temporairement pendant l’envoi de la payload
  • Réponse 4 : pouvoir stopper proprement le binaire afin d’éviter un éventuel crash à la fin de l’exploitation

Laïus explicatif : L’exploitation se déroulant en aveugle, il est nécessaire de trouver une adresse permettant d’obtenir un comportement particulier et reproductible à chaque exécution, comme l’affichage du texte « Bye ». Si une telle adresse est trouvée, elle correspond au stop gadget. Il permettra donc de continuer l’exploitation et de valider ou invalider nos déductions lors de l’exécution du binaire.

Jour 20 | Le terme "spam" pour désigner les messages indésirables provient initialement

  • Réponse 1 : D’une marque de jambon en boîte
  • Réponse 2 : D’un acronyme signifiant « Stupid Pointless Annoying Messages »
  • Réponse 3 : D’un sketch des Monty Python
  • Réponse 4 : D’un code utilisé pendant la Seconde Guerre mondiale

Laïus explicatif : Ce mot, à l’origine un acronyme de : SPiced hAM (du jambon épicé en boîte vendue par une entreprise américaine), est repris en masse, pour brouiller la conversation, dans un sketch des Monty Python.

Jour 19 | L’acronyme PACS désigne  :

A. Un format permettant la visualisation des images dans l’imagerie médicale

B. Un système d’archivage et de communication d’images dans l’imagerie médicale

C. Un prestataire d’audit et de conseil en cybersécurité

D. Un pacte civil de solidarité

  • Réponse 1 : L’ensemble des réponses
  • Réponse 2 : Réponses C et D
  • Réponse 3 : Réponses B, C et D
  • Réponse 4 : Réponses A, C et D

Laïus explicatif :

Un PACS, dans le secteur de l’imagerie médicale, désigne effectivement un système (et non un format) signifiant « Picturing Archiving and Communication System » permettant de gérer les images médicales grâce à des fonctions d’archivage.

De plus, depuis septembre, l’ANSSI a publié un référentiel d’exigences qui permet aux commanditaires de prestations de sécurité de bénéficier de garanties sur les compétences des prestataires, sur le processus d’accompagnement et de conseil, ainsi que sur la sécurité des systèmes d’information associés. Ce référentiel vise à reconnaître officiellement les prestataires en tant que « Prestataires d’accompagnement et de conseil en sécurité ».
Enfin, en France, le PACS désigne aussi une forme d’union civile dénommée Pacs.

Jour 18 | En quelle année l'ANSSI prévoit de ne plus recommander l'utilisation de certains algorithmes de chiffrement classiques en raison de l'augmentation de la puissance de calcul des ordinateurs classiques et de la menace posée par les ordinateurs quantiques ?

  • Réponse 1 : 2026
  • Réponse 2 : 2030
  • Réponse 3 : 2035
  • Réponse 4 : 2050

Laïus explicatif : Dans son dernier avis sur la migration vers la cryptographie post quantique, paru en janvier 2024, l’ANSSI encourage tous les éditeurs à mettre en œuvre dès à présent une hybridation entre la cryptographie standard et la cryptographie post-quantique (pour les produits qui doivent protéger des informations après 2030) et recommande d’utiliser en priorité la cryptographie post-quantique à partir de 2030.  

Jour 17 | Quelle est la dernière course à laquelle j’ai participé ?

  • Réponse 1 : Le Vendée Globe
  • Réponse 2 : National Figaro 3 en équipage
  • Réponse 3 : La Solitaire du Figaro Paprec
  • Réponse 4 : Le Havre Allmercup

Laïus explicatif : Le National Figaro 2024 s’est déroulé du 4 au 6 octobre dernier à Lorient. Thomas et son équipe sont arrivés en 2e position ! Cette course clôture ainsi la saison 2024 sur le circuit Figaro. 

  • Réponse 1 : Aetheris

  • Réponse 2 : Venopie

  • Réponse 3 : Lumidus

  • Réponse 4 : Pandama

Laïus explicatif : Au sein de la plateforme d’attaque – défense M&NTIS, le scénario Pandama propose une kill chain dont l’impact, après compromission du contrôleur de domaine, permet de déployer, par GPO, une charge utile effaçant les données présentes sur les systèmes de fichiers du SI simulé.

Pour rappel, basé sur les technologies d’émulation d’adversaire et de Cyber Range, M&NTIS permet d’exécuter des campagnes d’attaques réalistes afin de challenger dans un environnement immersif les procédures et l’expertise des équipes SOC et CERT. M&NTIS répond ainsi aux enjeux d’amélioration continue de la défense.

Jour 15 | Quel type de menace ne fait pas parti de l’insider threat?

  • Réponse 1 : Malicious
  • Réponse 2 : Ransomware group
  • Réponse 3 : Negligent
  • Réponse 4 : Vendors

Laïus explicatif : Almond a proposé une étude sur la menace interne qui décrit chaque type d’insider. Les groupes de ransomware sont externes à l’entreprise mais peuvent recruter des employées pour récupérer des accès valides et compromettre l’entreprise. Retrouvez l’étude ici.

Jour 14 | Selon vous, quelle proportion des cyberattaques réussies sont liées à une erreur humaine ?

  • Réponse 1 : 40%

  • Réponse 2 : 100%

  • Réponse 3 : 70%

  • Réponse 4 : 90%

Laïus explicatif : 90% des cyberattaques trouvent leur origine dans une erreur humaine. L’erreur humaine en cybersécurité englobe toutes les actions, conscientes ou non, qui exposent les systèmes et les données à des menaces. Cela inclut des gestes apparemment innocents, comme le fait de :

  • Cliquer sur les liens malveillants
  • Utiliser des mots de passe faibles ou partagés
  • Partager des informations sensibles
  • Négliger la mise à jour des logiciels et systèmes
  • Commettre une erreur de configuration ou mal administrer les accès
  • Utiliser des clés USB non sécurisées ou prévenant de sources inconnues

Jour 13 | Almond & Amossys sont présents en France et à l’international pour garantir proximité et réactivité grâce à nos services 24/7. Dans quels pays se trouvent nos équipes ?

  • Réponse 1 : FRA – CHE – AUS – JPN

  • Réponse 2 : FRA – CAN – CHE – KOR

  • Réponse 3 : FRA – AUS – CAN – GBR

  • Réponse 4 : FRA – BEL – ITA – USA

Jour 12 | Challenge OSINT

Val Thorens

Laïus explicatif : Depuis plusieurs années consécutives, notre CSE organise des séjours à Val Thorens pour profiter des sports d’hiver. Que l’on aime dévaler les pistes de ski à toute allure, tenter l’aventure en prenant des cours d’initiation ou simplement déguster une raclette après une randonnée raquette et un passage à la piscine et au sauna, ce séjour est l’occasion de partager des moments convivaux avec ses collègues ! TIC, TAC, le prochain séjour ski approche à grands pas !

Jour 11 | Parmi ces propositions, quelle technique Mitre Atta&ck est la plus utilisée par les attaquants ?

  • Réponse 1 : OS Credential Dumping
  • Réponse 2 : Valid Account
  • Réponse 3 : Impair Defenses
  • Réponse 4 : Remote services

Laïus explicatif : L’achat ou la récupération de comptes valides sont de plus en plus commun. Certains cybercriminels appelés Initial Access Broker se spécialisent dans la compromission de victimes dans le but de récupérer des identifiants valides qui seront ensuite vendus à d’autres cybercriminels comme les groupes de ransomware.

Jour 10 | Parmi ces structures de données de la mémoire dans Windows, quelle est celle qui permet de lister les processus en cours d’exécution ?

  • Réponse 1 : EPROCESS
  • Réponse 2 : Kernel Debugger Data Block (KDBG)
  • Réponse 3 : Kernel Processor Control Region (KPCR)
  • Réponse 4 : Process Environment Block (PEB)

Laïus explicatif : La structure EPROCESS (Executive Process) est utilisée par Windows pour gérer chaque processus en cours d’exécution. Elle contient des informations essentielles comme l’identifiant du processus (PID), l’état, les threads associés, et d’autres données nécessaires au système pour suivre les processus actifs. En analysant les structures EPROCESS, on peut lister les processus actuellement en mémoire. Le PEB est lié à chaque processus de manière individuelle. Enfin le KPCR est nécessaire pour trouver l’adresse du KDB qui à son tour permettra de pointer vers le EPROCESS.  

Jour 9 | Quel est le problème si la suite cryptographique TLS_RSA_WITH_AES_256_CBC_SHA256 est utilisée avec l'extension encrypt_then_mac pour la sécurité d'une communication TLS ?

  • Réponse 1 : L’algorithme de chiffrement est trop faible

  • Réponse 2 : L’intégrité de la communication n’est pas assurée

  • Réponse 3 : Il n’y a pas la propriété de confidentialité persistante (Perfect Forward Secrecy)

  • Réponse 4 : Le serveur n’est pas correctement authentifié

Laïus explicatif : La bonne réponse est le manque de confidentialité persistante.

La suite TLS_RSA_WITH_AES_256_CBC_SHA256 utilise la clé publique RSA du serveur pour chiffrer le secret partagé utilisé pour sécuriser les échanges de la session TLS : en cas de compromission de la clé privée du serveur, l’ensemble des échanges des sessions passées peuvent être déchiffrés par un attaquant.
La confidentialité persistante (connue sous le nom de Perfect Forward Secrecy en anglais) consiste en l’utilisation d’un échange Diffie-Hellman éphémère pour négocier le secret partagé, sans utilisation de la clé RSA du serveur.

Jour 8 | Quel est l'avantage d'utiliser un outil de couverture de code lors d'une session de fuzzing ?

  • Réponse 1 : Réduire le temps de fuzzing en optimisant certaines instructions assembleur.

  • Réponse 2 : Utiliser la technique de « pré-chauffage » du harnais (« warming code attack »).

  • Réponse 3 : Pouvoir analyser facilement les sections de code atteintes par le fuzzer.

  • Réponse 4 : Ne pas prendre en compte les vulnérabilités de type use-after-free.

Laïus explicatif : Les outils de couverture de code (“code coverage” en anglais) permettent de savoir avec précision quelles lignes de code d’un programme qui ont réellement été exécutées. Lors d’une session de “fuzzing”, ces outils peuvent aider l’analyste à savoir si les fonctions ciblées ont été atteintes par le fuzzer. Cette technique a notamment été utilisée par un membre de l’équipe Offsec pour trouver une vulnérabilité dans une bibliothèque open-source (voir notre article de blog)

Jour 7 | Quelle est la principale éthique qui doit être prise en compte dans le développement de l’Intelligence Artificielle ?

  • Réponse 1 : L’équité et la non-discrimination

  • Réponse 2 : La transparence des algorithmes utilisés

  • Réponse 3 : La sécurité et la confidentialité des données

  • Réponse 4 : Toutes les réponses

Laïus explicatif : L’équité et la non-discrimination sont des principes fondamentaux dans le développement de l’IA. Les systèmes d’IA doivent être conçus pour éviter les biais et assurer qu’ils ne favorisent pas des groupes spécifiques au détriment d’autres, afin de garantir un traitement juste et égal pour tous les utilisateurs. La transparence des algorithmes est cruciale. Les utilisateurs doivent comprendre comment les décisions sont prises par l’IA, ce qui inclut la possibilité d’expliquer les résultats ou actions générés par un système d’intelligence artificielle, afin d’éviter des décisions opaques ou injustes. La sécurité et la confidentialité des données sont enfin des préoccupations majeures lorsque l’on développe des systèmes d’IA, car ces technologies peuvent collecter et traiter des informations sensibles, ce qui soulève des questions sur la protection des données personnelles et la vie privée.

Jour 6 | Selon vous, en moyenne combien de ransomware ont eu lieu par jour en 2023 dans le monde ?

  • Réponse 1 : 1 par jour

  • Réponse 2 : 100 par jour

  • Réponse 3 : 30 par jour

  • Réponse 4 : 12 par jour

Laïus explicatif : En moyenne 12 attaques ransomware ont été signalées par jour par des victimes dans le monde en 2023 selon les chiffres d’Almond. Pour plus d’informations, n’hésitez pas à consulter notre Threat Landscape.

Jour 5 | Challenge de stéganographie

Réponse : PASSI RGS, PASSI LPM, CESTI, ANJ, Cybersecurity made in Europe, PCI QSA Company et Swift

Etape 1 : Observer l’image, trouver 3 logos cachés (Cybersecurity made in Europe, PCI QSA Company & Swift) et une indication pour chercher dans les métadonnées du fichier. 

Etape 2 : Challenge de stéganographie

En lançant dans son terminal un des outils les plus courants, « binwalk », on trouve une image JPEG dans le PDF. En extrayant les données grâce au même outil et en renommant le fichier en .jpeg, on voit apparaitre une image cachée. Ensuite, en utilisant « steghide », on peut extraire le fichier avec le mot de passe « Almond ». Ce fichier contient une suite de caractère encodée en base64. En la déchiffrant, on obtient les quatre autres certifications : PASSI RGS, PASSI LPM, CESTI et ANJ. 

Jour 4 | Concernant les accompagnements de la nouvelle qualification PACS de l’ANSSI, sur la portée Sécurité des Architectures, quels sont les domaines qui font partie du périmètre possible d’un accompagnement ?

  • Réponse 1 : la sécurité réseau, l’authentification, et l’administration du SI

  • Réponse 2 : la sécurité réseau, la sécurité système, et les mécanismes de chiffrement

  • Réponse 3 : l’administration du SI, le cloisonnement, les sauvegardes, et la stratégie de détection/réponse

  • Réponse 4 : tous ces sujets et plus encore

  • Laïus explicatif : Le référentiel PACS, sur la portée Sécurité des Architectures, porte bien sur tous les sujets liés de près ou de loin aux infrastructures du SI. La liste n’est pas exhaustive et est à adapter à chaque prestation d’accompagnement suivant le périmètre d’intervention. Dans le référentiel, l’ANSSI propose une liste de sujets à adresser dans un rapport PACS page 28 et 29.

    https://cyber.gouv.fr/sites/default/files/document/PACS_referentiel-exigences_v1.0.pdf

Jour 3 | Quel référentiel permet la certification de produits de sécurité ?

  • Réponse 1 : NIS2

  • Réponse 2 : Critères Communs

  • Réponse 3 : PASSI

  • Réponse 4 : ISO27001

Laïus explicatif : Le schéma Critères Communs est un ensemble de normes et méthodologies permettant de cadrer les moyens utilisés pour évaluer, de manière impartiale, la sécurité d’un produit de sécurité (logiciel ou matériel). Ce schéma est reconnu internationalement au travers de plusieurs accords (SOG-IS, CCRA et prochainement EUCC).

Le référentiel PASSI permet la qualification, par l’ANSSI, des prestataires d’audit de la sécurité des SI. ISO27001 est la norme décrivant les bonnes pratiques à suivre dans la mise en place d’un SMSI. Enfin, NIS2 est une directive visant à harmoniser et à renforcer la cybersécurité du marché européen.

Jour 2 | Quel est l’artefact forensique qui permet de prouver une exécution d’un programme sous Windows ?

  • Réponse 1 : JumpList

  • Réponse 2 : ShimCache

  • Réponse 3 : $MFT

  • Réponse 4 : Prefetch

Laïus explicatif : Le Prefetch est un artefact spécifique à Windows qui optimise le chargement des programmes. Lorsqu’un programme est exécuté pour la première fois, Windows crée un fichier dans le dossier C:\Windows\Prefetch, qui contient des informations sur le programme et les ressources qu’il a utilisées. Ces fichiers incluent également des horodatages correspondant à la première et aux dernières exécutions. L’existence d’un fichier Prefetch (.pf) pour un programme est une preuve solide qu’il a été exécuté. C’est l’un des artefacts forensiques les plus fiables pour prouver l’exécution d’un programme.

Jour 1 | Quel texte européen permettra qu’à partir de fin 2027, tous les produits vendus dans l’UE et comprenant des composants numériques seront exempts de vulnérabilités et maintenus pendant tout leur cycle de vie ? #DigitalTrust

  • Réponse 1 : Le Cyber Security Act
  • Réponse 2 : Le Cyber Resilience Act
  • Réponse 3 : La Directive REC
  • Réponse 4 : La Directive NIS2 

Laïus explicatif : Le Cyber Resilience Act, qui a été publié ces derniers jours au Journal Officiel de l’Union Européenne est entré en vigueur le 10 décembre 2024. A compter de cette date, les fabricants et éditeurs doivent adapter leur processus pour pouvoir continuer à vendre des produits au sein de l’UE après le 10/12/2027.

EU Cyber Resilience Act | Shaping Europe’s digital future