Chapitre 6 — Acteurs de Menaces & Motivations
Comprendre qui attaque et pourquoi est fondamental pour concevoir des défenses adaptées. Ce module couvre les types d'acteurs de menaces, leurs attributs, motivations, et les concepts d'OSINT.
| Acteur | Sophistication | Motivation principale | Caractéristiques |
|---|---|---|---|
| Script Kiddie | Très faible | Notoriété, curiosité | Utilise des outils préexistants sans comprendre. Attaques opportunistes. |
| Hacktiviste | Moyenne | Idéologie, cause politique/sociale | Anonymous, DDoS, defacement. Motivés par conviction. |
| Cybercriminel organisé | Élevée | Gain financier | Ransomware-as-a-Service, fraude BEC, vol de données revendu. |
| Initié (Insider Threat) | Variable | Vengeance, gain financier, erreur | Accès légitime déjà en place. Peut être malveillant ou accidentel. |
| État-nation / APT | Très élevée | Espionnage, sabotage, géopolitique | Ressources illimitées, patient (peut rester des mois sans être détecté), cibles spécifiques. |
| Concurrent commercial | Variable | Avantage concurrentiel | Espionnage industriel, vol de propriété intellectuelle. |
| Shadow IT | Faible (inadvertant) | Commodité | Utilisateurs qui contournent l'IT pour utiliser des services non autorisés. Risque accidentel. |
Une APT est une attaque sophistiquée et prolongée menée généralement par un État ou une organisation bien financée.
- Advanced : utilise des zero-days, outils personnalisés, techniques d'évasion avancées.
- Persistent : l'attaquant maintient l'accès pendant des mois ou années sans être détecté.
- Threat : cible des organisations ou individus spécifiques avec des objectifs définis.
- Cycle APT : reconnaissance → compromission initiale → établissement de persistance → mouvement latéral → exfiltration → couverture des traces.
- Exemples réels : Stuxnet (Iran, sabotage centrifugeuses nucléaires), APT29 (Cozy Bear, Russia), APT41 (Chine, espionnage + ransomware).
L'OSINT consiste à collecter des informations publiquement disponibles sur une cible. Les attaquants l'utilisent pour la reconnaissance. Les défenseurs l'utilisent aussi (threat intelligence).
- Sources OSINT : réseaux sociaux (LinkedIn — organigramme, technologies), WHOIS, Shodan (appareils exposés sur internet), Google Dorks, archives DNS, offres d'emploi (révèlent les technologies utilisées), GitHub (code et secrets accidentellement publiés).
- Shodan : moteur de recherche pour les appareils connectés à internet. Un attaquant peut trouver tous les serveurs IIS 6.0 vulnérables en quelques secondes.
- Google Dorks : requêtes Google avancées pour trouver des informations sensibles indexées. Ex:
site:example.com filetype:pdf "confidentiel".
Initié malveillant (malicious insider) vs initié inadvertant (negligent insider) : l'un agit intentionnellement, l'autre par erreur. Dans les deux cas, les contrôles d'accès et la surveillance sont les défenses. La formation réduit le risque de l'inadvertant.