Cyberespionnage

Le cyberespionnage est l'acte ou la pratique consistant à obtenir des secrets et des informations sans l’autorisation et à l'insu de leur détenteur, par le biais de méthodes sur Internet, de réseaux ou d'ordinateurs individuels, par l'utilisation de serveurs proxy^[1], de techniques de piratage et de logiciels malveillants, notamment de chevaux de Troie et de logiciels espions^[2]^,^[3]. Le cyberespionnage peut cibler divers acteurs – individus, concurrents, rivaux, groupes, gouvernements, etc. – afin d'obtenir des avantages personnels, économiques, politiques ou militaires. Il peut être entièrement perpétré en ligne depuis les ordinateurs de professionnels basés dans des pays lointains ou impliquer une infiltration à domicile par des espions et des taupes conventionnels formés à l'informatique, ou encore être l'œuvre criminelle de pirates informatiques et de développeurs amateurs^[2].

Histoire

Le cyberespionnage a débuté dès 1996, lorsque le déploiement généralisé de la connexion à Internet dans les systèmes gouvernementaux et d'entreprise a pris de l'ampleur. Depuis, de nombreux cas de ce type ont été recensés^[4].

Détails

Le cyberespionnage implique généralement l'utilisation de cet accès à des secrets ou à des informations classifiées, ainsi que le contrôle d'ordinateurs individuels ou de réseaux entiers pour un avantage stratégique et pour des activités de subversion psychologique, politique et physique ainsi que des sabotages^[5]. Plus récemment, le cyberespionnage implique également l'analyse de l'activité publique sur les sites de réseaux sociaux comme Facebook et Twitter^[6].

De telles opérations, tout comme l'espionnage non cybernétique, sont généralement illégales dans le pays victime, tout en bénéficiant du soutien total des plus hautes autorités du pays agresseur. La situation éthique dépend également du point de vue de chacun, notamment de perception que l'on a des gouvernements concernés^[5].

Plateformes et fonctionnalités

Des outils de cyber-collecte ont été développés par certains gouvernements et groupes privés pour la quasi-totalité des systèmes d'exploitation d'ordinateurs et de smartphones. Actuellement, ils existent pour les ordinateurs Microsoft, Apple et Linux, ainsi que pour les iPhone, Android, Blackberry et Windows Phones. Parmi les principaux fabricants de technologies de cyber-collecte de produit informatique standard (COTS) figurent Gamma Group (Royaume-Uni)^[7] et Hacking Team (Italie)^[8]. Parmi les entreprises d'outils de cyber-collecte sur mesure, dont beaucoup proposent des packages COTS d'exploits zero-day, on trouve Endgame, Inc., Netragard (États-Unis) ainsi que Vupen (France). Les agences de renseignement étatiques disposent souvent de leurs propres équipes pour développer leurs outils de cyber-collecte, comme Stuxnet, mais ont malgré tout besoin d'une source constante d' exploits zero-day pour introduire leurs outils dans les systèmes nouvellement ciblés. Les détails techniques précis de ces méthodes d’attaque se vendent souvent à des prix de l’ordre de plusieurs centaines de milliers de dollars.

Les fonctionnalités communes des systèmes de cyber-collecte comprennent :

Analyse de données : les espaces de stockages locaux et réseaux sont analysés pour rechercher et copier les fichiers d'intérêt, il s'agit souvent de documents, de feuilles de calcul, de fichiers de conception tels que les fichiers Autocad et de fichiers système tels que le fichier passwd.
Enregistrement de la localisation : GPS, Wi-Fi, informations réseau et autres capteurs connectés sont utilisés pour déterminer l'emplacement et le mouvement de l'appareil infiltré
Mouchard électronique : le microphone de l'appareil peut être activé pour enregistrer du son. De même, les flux audio destinés aux haut-parleurs locaux peuvent être interceptés et enregistrés au niveau de l'appareil.
Réseaux privés cachés : ils peuvent contourner la sécurité du réseau d'entreprise. Un ordinateur espionné peut être connecté à un réseau d'entreprise légitime, étroitement surveillé contre les logiciels malveillants, et appartenir simultanément à un réseau Wi-Fi privé extérieur à l'entreprise, qui divulgue des informations confidentielles de l'ordinateur d'un employé. Un agent double du service informatique peut facilement configurer un ordinateur de ce type en installant une deuxième carte sans fil et un logiciel spécial permettant de surveiller l'ordinateur d'un employé à distance via cette deuxième carte d'interface, sans qu'il ne soit conscient de l'existence d'un canal de communication récupérant des informations de son ordinateur.
Caméra : les caméras de l'appareil peuvent être activées afin de capturer secrètement des images ou des vidéos.
Keylogger et Mouse Logger : l'agent malveillant peut capturer chaque entrée du clavier, mouvement de souris et clic de l'utilisateur ciblé. Associé à des captures d'écran, il peut être utilisé pour obtenir les mots de passe saisis à l'aide d'un clavier virtuel.
Capture d'écran : l'agent malveillant peut effectuer des captures d'écran périodiques. Outre l'affichage d'informations sensibles non stockées sur la machine, telles que les soldes bancaires en ligne et les messages web chiffrés, ces captures peuvent être utilisées, en combinaison avec les données de l'enregistreur de clés et de souris, pour déterminer des identifiants d'accès à d'autres ressources Internet.
Chiffrement : Les données collectées sont généralement chiffrées au moment de leur capture et peuvent être transmises immédiatement ou stockées pour une exfiltration ultérieure. De même, il est courant, pour chaque opération, d'utiliser des capacités de chiffrement et de polymorphisme spécifiques à l'agent de cyber collecte afin de garantir qu'une détection de l'un des appareils ne compromette pas tout le réseau.
Contournement du chiffrement : L'agent malveillant opérant sur le système cible avec tous les accès et droits du compte utilisateur de la cible ou de l'administrateur système, le chiffrement est contourné. Par exemple, l'interception audio via le microphone et les périphériques de sortie audio permet au logiciel espion de capturer les deux côtés d'un appel Skype chiffré.
Exfiltration : Les agents de cyber-collecte exfiltrent généralement les données capturées de manière discrète, en attendant souvent un trafic web important et en déguisant la transmission en navigation web sécurisée. Des clés USB ont été déjà utilisées pour exfiltrer des informations de systèmes protégés par un espace d'air. Les systèmes d'exfiltration impliquent souvent l'utilisation de proxys inverses qui anonymisent le destinataire des données^[9].
Réplication : Les agents peuvent se répliquer sur d'autres supports ou systèmes. Par exemple, un agent peut infecter des fichiers sur un partage réseau inscriptible ou s'installer sur des clés USB afin d'infecter des ordinateurs protégés par un espace aérien ou autrement non situés sur le même réseau.
Manipulation et maintenance des fichiers : Un logiciel malveillant peut être utilisé pour effacer ses traces des fichiers journaux. Il peut également télécharger et installer des modules ou des mises à jour, ainsi que des fichiers de données. Cette fonction peut également servir à introduire des « preuves » sur le système cible, par exemple pour insérer de la pornographie infantile sur l'ordinateur d'un politicien ou pour manipuler les votes sur une machine de dépouillement électronique.
Règles de combinaison : Certains agents sont très complexes et peuvent combiner les fonctionnalités ci-dessus afin de fournir des capacités de collecte de renseignements très ciblées. Par exemple, l'utilisation de zones de délimitation GPS et de l'activité du microphone peut transformer un smartphone en un micro intelligent interceptant les conversations uniquement dans le bureau d'une cible.
Téléphones portables compromis : Les téléphones portables modernes étant de plus en plus similaires aux ordinateurs, ils sont vulnérables aux mêmes cyberattaques de collecte que les systèmes informatiques et peuvent divulguer des informations de conversation et de localisation extrêmement sensibles à un attaquant. La fuite de la localisation GPS et des informations de conversation d'un téléphone portable à un attaquant a été signalée dans plusieurs cas récents de cyberharcèlement. L'attaquant a pu utiliser la localisation GPS de la victime pour appeler les commerces et les autorités policières à proximité afin de porter de fausses accusations contre elle en fonction de sa localisation. Cela peut aller de la divulgation d'informations au personnel du restaurant pour la taquiner, à un faux témoignage contre elle. Par exemple, si la victime est garée dans un grand parking, les attaquants peuvent appeler et déclarer avoir vu une activité liée à la drogue ou à une violence en cours, avec une description de la victime et des indications pour se rendre à sa position GPS.

Infiltration

Il y a plusieurs moyens pour infecter ou obtenir un accès un une cible :

Un proxy d'injection est un système placé en amont de la personne ou de l'entreprise ciblée, généralement chez le fournisseur d'accès à Internet, qui injecte un logiciel malveillant dans le système ciblé. Par exemple, un téléchargement innocent effectué par l'utilisateur peut être instantanément infecté avec le fichier exécutable du logiciel malveillant, rendant ainsi le système cible accessible aux agents gouvernementaux^[10].
Hameçonnage : Un e-mail soigneusement conçu est envoyé à la cible afin de l'inciter à installer le logiciel malveillant via un document contenant un cheval de Troie ou une attaque par drive-by hébergée sur un serveur Web compromis ou contrôlé par le propriétaire du logiciel malveillant.
L'intrusion clandestine peut être utilisée pour infecter un système. Autrement dit, les espions s'introduisent discrètement dans le domicile ou le bureau de la cible et y installent le logiciel malveillant.
Un moniteur ou renifleur en amont est un appareil capable d'intercepter et de visualiser les données transmises sur Internet par un système cible. Ce dispositif est généralement installé chez le fournisseur d'accès à Internet. Le système Carnivore, développé par le FBI américain, en est un exemple célèbre. Basé sur la même logique qu'une interception téléphonique, ce type de système est aujourd'hui d'une utilité limitée en raison de l'utilisation généralisée du chiffrement lors de la transmission des données.
Un système d'infiltration sans fil peut être utilisé à proximité de la cible lorsque celle-ci utilise une technologie sans fil. Il s'agit généralement d'un système portable qui se fait passer pour une station de base Wi-Fi ou 3G afin de capturer les systèmes ciblés et de relayer les requêtes vers Internet. Une fois les systèmes ciblés connectés au réseau, le système fonctionne alors comme un proxy d'injection ou un moniteur en amont pour infiltrer ou surveiller le système ciblé.
Une clé USB préchargée avec l'infecteur de logiciel malveillant peut être donnée, ou déposée sur le site cible.

Les agents de cyber-collecte sont généralement installés sur les appareils cible à l'aide de logiciels de livraison de charge utile conçus à l'aide d'attaques zero-day et diffusés via des clés USB infectées, des pièces jointes de courriels ou des sites web malveillants. Les efforts de cyber-collecte parrainés par l'État ont également utilisé des certificats officiels de systèmes d'exploitation au lieu de s'appuyer sur des failles de sécurité. Par exemple, dans l'opération Flame, Microsoft affirme que le certificat Microsoft utilisé pour se faire passer pour une mise à jour Windows était falsifié ;^[11] cependant, certains experts pensent qu'il pourrait avoir été acquis grâce à des opérations de renseignement humain.

Exemples d'opérations

Stuxnet
Flamme
Duqu
Bundestroyens
Rocra^[12]
Opération High Roller^[13]
Cozy Bear : un groupe de cyberespionnage doté de ressources importantes, très dévoué et organisé qui, selon F-Secure, travaille pour la Fédération de Russie depuis au moins 2008^[14]^,^[15]^,^[16].

Références

↑ (en) « Residential proxy network use cases », GeoSurf (consulté le 28 septembre 2017).
(en) « Cyber Espionage », PC Magazine.
↑ (en) « Cyberspying », Techopedia, 11 mars 2024.
↑ (en) « Has Stuxnet, Duqu and Flame Ignited a Cyber Arms Race? », AOL Gov,‎ 12 juillet 2012 (lire en ligne [archive du 8 juillet 2012], consulté le 23 août 2025)
Messmer, « Cyber Espionage: A Growing Threat to Business » [archive du 26 janvier 2021] (consulté le 21 janvier 2008)
↑ « Five Ways the Government Spies on You » [archive du 18 octobre 2019], The LockerGnome Daily Report, 7 novembre 2011 (consulté le 9 février 2019)
↑ « FinFisher IT Intrusion » [archive du 31 juillet 2012] (consulté le 31 juillet 2012)
↑ « Hacking Team, Remote Control System » [archive du 15 décembre 2016] (consulté le 21 janvier 2013)
↑ (en) Robert Lemos, « Flame stashes secrets in USB drives », InfoWorld,‎ 13 janvier 2012 (lire en ligne )
↑ Pascal Gloor, (Un)lawful Interception « https://web.archive.org/web/20160205065155/http://www.swinog.ch/meetings/swinog25/p/02_%28Un%29Lawful%20Intercept%202012-11-07%20SwiNOG25.pdf »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)}, 5 février 2016, SwiNOG #25, 07 November 2012
↑ (en-US) Mike Lennon, « Microsoft Certificate Was Used to Sign "Flame" Malware », sur SecurityWeek, 4 juin 2012 (consulté le 23 août 2025)
↑ « Wayback Machine » [archive du 19 mai 2016], sur newsroom.kaspersky.eu (consulté le 23 août 2025)
↑ Dave Marcus & Ryan Cherstobitoff, Dissecting Operation High Roller « https://web.archive.org/web/20130308024801/http://www.mcafee.com/us/resources/reports/rp-operation-high-roller.pdf »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)}, 8 mars 2013, McAfee Labs
↑ « the Dukes, timeline » [archive du 13 octobre 2015] (consulté le 13 octobre 2015)
↑ « The Dukes Whitepaper » [archive du 9 décembre 2015]
↑ « F-Secure Press Room - Global »

Voir aussi

Chaos Computer Club
Chinese intelligence operations in the United States
Computer security
Computer surveillance
Cyber-security regulation
Cyber spying on universities
Cyber threat intelligence
Cyberwarfare
Employee monitoring software
GhostNet
Industrial espionage
Proactive Cyber Defence
Stalkerware
Surveillance
Titan Rain
Vulkan files leak

Notices d'autorité :

BnF (données)
Tchéquie

[1] (en) « Residential proxy network use cases », GeoSurf (consulté le 28 septembre 2017).

[pcmag-2] (en) « Cyber Espionage », PC Magazine.

[3] (en) « Cyberspying », Techopedia, 11 mars 2024.

[AolTech-4] (en) « Has Stuxnet, Duqu and Flame Ignited a Cyber Arms Race? », AOL Gov,‎ 12 juillet 2012 (lire en ligne [archive du 8 juillet 2012], consulté le 23 août 2025)

[messmer-5] Messmer, « Cyber Espionage: A Growing Threat to Business » [archive du 26 janvier 2021] (consulté le 21 janvier 2008)

[6] « Five Ways the Government Spies on You » [archive du 18 octobre 2019], The LockerGnome Daily Report, 7 novembre 2011 (consulté le 9 février 2019)

[finfisher-7] « FinFisher IT Intrusion » [archive du 31 juillet 2012] (consulté le 31 juillet 2012)

[hackingteam-8] « Hacking Team, Remote Control System » [archive du 15 décembre 2016] (consulté le 21 janvier 2013)

[FlameUSB-9] (en) Robert Lemos, « Flame stashes secrets in USB drives », InfoWorld,‎ 13 janvier 2012 (lire en ligne )

[Gloor-10] Pascal Gloor, (Un)lawful Interception « https://web.archive.org/web/20160205065155/http://www.swinog.ch/meetings/swinog25/p/02_%28Un%29Lawful%20Intercept%202012-11-07%20SwiNOG25.pdf »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)}, 5 février 2016, SwiNOG #25, 07 November 2012

[MSCertForged-11] (en-US) Mike Lennon, « Microsoft Certificate Was Used to Sign "Flame" Malware », sur SecurityWeek, 4 juin 2012 (consulté le 23 août 2025)

[Kaspersky-12] « Wayback Machine » [archive du 19 mai 2016], sur newsroom.kaspersky.eu (consulté le 23 août 2025)

[HighRollerMcAfee-13] Dave Marcus & Ryan Cherstobitoff, Dissecting Operation High Roller « https://web.archive.org/web/20130308024801/http://www.mcafee.com/us/resources/reports/rp-operation-high-roller.pdf »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)}, 8 mars 2013, McAfee Labs

[14] « the Dukes, timeline » [archive du 13 octobre 2015] (consulté le 13 octobre 2015)

[15] « The Dukes Whitepaper » [archive du 9 décembre 2015]

[16] « F-Secure Press Room - Global »

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]