ObjectifCyber

Chapitre 6 — Acteurs de Menaces & Motivations

Comprendre qui attaque et pourquoi est fondamental pour concevoir des défenses adaptées. Ce module couvre les types d'acteurs de menaces, leurs attributs, motivations, et les concepts d'OSINT.

Mémorisez ! Les acteurs diffèrent en sophistication, ressources et motivations. Un État-nation = APT (très sophistiqué, patient, ressources illimitées). Un script kiddie = peu sophistiqué, utilise des outils existants. Un initié = risque particulier car il a déjà accès.
ActeurSophisticationMotivation principaleCaractéristiques
Script KiddieTrès faibleNotoriété, curiositéUtilise des outils préexistants sans comprendre. Attaques opportunistes.
HacktivisteMoyenneIdéologie, cause politique/socialeAnonymous, DDoS, defacement. Motivés par conviction.
Cybercriminel organiséÉlevéeGain financierRansomware-as-a-Service, fraude BEC, vol de données revendu.
Initié (Insider Threat)VariableVengeance, gain financier, erreurAccès légitime déjà en place. Peut être malveillant ou accidentel.
État-nation / APTTrès élevéeEspionnage, sabotage, géopolitiqueRessources illimitées, patient (peut rester des mois sans être détecté), cibles spécifiques.
Concurrent commercialVariableAvantage concurrentielEspionnage industriel, vol de propriété intellectuelle.
Shadow ITFaible (inadvertant)CommoditéUtilisateurs qui contournent l'IT pour utiliser des services non autorisés. Risque accidentel.

Une APT est une attaque sophistiquée et prolongée menée généralement par un État ou une organisation bien financée.

L'OSINT consiste à collecter des informations publiquement disponibles sur une cible. Les attaquants l'utilisent pour la reconnaissance. Les défenseurs l'utilisent aussi (threat intelligence).

Astuce Examen

Initié malveillant (malicious insider) vs initié inadvertant (negligent insider) : l'un agit intentionnellement, l'autre par erreur. Dans les deux cas, les contrôles d'accès et la surveillance sont les défenses. La formation réduit le risque de l'inadvertant.

1. Un groupe d'attaquants sponsorisé par un gouvernement reste dans le réseau d'une entreprise d'armement pendant 18 mois sans être détecté, collectant des données de conception de missiles. Quel type d'acteur décrit-on ?

Les caractéristiques APT sont présentes : sponsorisé par État, persistance longue (18 mois), cible spécifique (propriété intellectuelle militaire), sophistication (non détecté). Un script kiddie ou cybercriminel n'aurait pas cette patience et ces capacités.

2. Un employé mécontent qui copie les données clients de son employeur avant de démissionner représente quel type de menace ?

Initié malveillant = employé (ou ex-employé) qui utilise son accès légitime de manière malveillante. C'est particulièrement dangereux car il a déjà les accès — pas besoin de contourner les contrôles d'accès externes. Surveillance et déprovisionnement immédiat sont clés.

3. Le groupe "Anonymous" qui lance des attaques DDoS contre des entreprises en protestation contre leurs politiques est quel type d'acteur ?

Hacktiviste = hacker + activiste. Motivés par des convictions politiques, sociales ou environnementales. Anonymous est l'exemple le plus connu. Leur but est de faire passer un message ou causer des dommages à une organisation qu'ils considèrent comme moralement mauvaise.

4. Un attaquant utilise Shodan pour trouver tous les routeurs Cisco avec des vulnérabilités connues exposés sur internet. Quelle phase de l'attaque est-ce ?

Shodan est un outil OSINT de reconnaissance. L'attaquant collecte des informations sur les cibles potentielles avant de passer à l'exploitation. La reconnaissance peut être active (scanning direct) ou passive (OSINT sans contact avec la cible).

5. Quelle caractéristique distingue principalement un "script kiddie" d'un cybercriminel organisé ?

Script kiddie = utilise des outils d'attaque créés par d'autres sans comprendre leur fonctionnement. Motivé par notoriété ou curiosité, pas financièrement. Cybercriminel organisé = sophistiqué, infrastructure professionnelle, objectifs financiers clairs.

6. Le "Shadow IT" représente un risque de sécurité car :

Shadow IT = employés qui utilisent des outils SaaS non approuvés (Dropbox personnel, WhatsApp pour des données d'entreprise). Ces services échappent aux politiques DLP, aux contrôles de chiffrement, aux audits. Risque de fuite de données involontaire.

7. Un concurrent utilise LinkedIn pour identifier les technologies utilisées par votre équipe IT, puis cibler des failles dans ces technologies spécifiques. Quelle technique utilisent-ils ?

LinkedIn, les offres d'emploi, les présentations de conférences et GitHub révèlent souvent les technologies d'une organisation. Un attaquant peut identifier "ils utilisent Apache 2.2.15 sur CentOS 6" et chercher les CVEs correspondants — tout ça via OSINT sans aucun contact direct.

8. La phase "Persistence" dans le cycle d'une APT consiste à :

La persistance assure que l'attaquant maintient l'accès à long terme. Techniques : création de backdoors (RAT), tâches planifiées malveillantes (scheduled tasks), modification du registre Windows (Run keys), rootkits. Même si le mot de passe est changé, l'accès est maintenu.

9. Stuxnet est un exemple célèbre de :

Stuxnet (découvert 2010) = premier malware clairement conçu pour cibler des systèmes industriels physiques (PLCs Siemens). Attribué aux USA et Israël, il a endommagé ~20% des centrifugeuses nucléaires iraniennes à Natanz — sabotage physique via malware.

10. Un attaquant utilise Google Dorks pour trouver des fichiers Excel contenant des mots de passe stockés par inadvertance sur des sites web publics. Quel type d'activité est-ce ?

Google Dorks = reconnaissance passive OSINT. L'attaquant n'interagit pas avec la cible — il utilise Google comme intermédiaire pour trouver des informations publiquement indexées. Exemple: site:example.com filetype:xlsx password.