Qu’est-ce qu’un acteur malveillant ?

Types d’acteurs malveillants

Les acteurs malveillants se présentent sous de nombreuses formes, chacune avec ses propres motivations, tactiques et objectifs. Il est essentiel de comprendre ces distinctions pour s’en protéger efficacement.

Acteurs étatiques

Les acteurs étatiques sont généralement des groupes ou des individus soutenus par un gouvernement qui se livrent à des cyberopérations malveillantes, telles que le cyberespionnage, le vol de données ou les menaces persistantes avancées (Advanced persistent threats, APT), afin d’atteindre des objectifs politiques, militaires ou économiques. Ces acteurs sont généralement très sophistiqués et disposent de ressources importantes, ciblant souvent des infrastructures critiques, des agences gouvernementales et des industries clés.

Exemple : en 2021, le groupe de hackers NOBELIUM (alias Midnight Blizzard), lié à la Russie, a piraté les systèmes de sécurité de Microsoft, ciblant les données des clients via le compte compromis d’un revendeur dans le cadre d’une campagne de cyberespionnage plus large.

Cybercriminels

Les cybercriminels sont des individus ou des groupes qui mènent des cyberattaques principalement à des fins financières. Ils ont souvent recours à des tactiques telles que les ransomwares, le phishing et le vol d’identité pour extorquer de l’argent à leurs victimes ou leur voler des données précieuses.

Exemple : le groupe de ransomware Dark Angels chiffre les données de ses victimes et exige une rançon pour les déchiffrer. Ils ciblent les réseaux d’entreprise, menaçant de divulguer les données volées si leurs demandes ne sont pas satisfaites, souvent en recourant à des tactiques de double extorsion.

Acteurs internes

Les menaces internes proviennent de l’intérieur même d’une entreprise et peuvent être malveillantes ou involontaires. Elles impliquent souvent des employés ou des sous-traitants qui ont accès à des informations sensibles et en font un usage abusif à des fins personnelles, par vengeance ou par négligence, par exemple en étant victimes d’attaques de phishing.

Exemple : en 2023, les chercheurs en IA de Microsoft ont accidentellement exposé 38 To de données sensibles, notamment des clés privées et des mots de passe, en configurant de manière incorrecte une URL de stockage Azure partagée utilisée pour le développement d’IA open source.

Hacktivistes

Les hacktivistes sont des personnes qui utilisent des techniques de piratage pour promouvoir ou faire avancer leurs objectifs, qu’ils soient sociaux ou politiques. Leurs attaques visent souvent à perturber des services, à détériorer des sites web ou à divulguer des informations afin d’attirer l’attention sur leurs causes.

Exemple : Anonymous, un groupe hacktiviste décentralisé, a lancé des attaques contre les sites Web du gouvernement russe en 2022 en réponse à l’invasion de l’Ukraine. Un autre exemple est le groupe LulzSec, qui a ciblé des entreprises et des agences gouvernementales en 2011.

Script kiddies

Les script kiddies sont des hackers inexpérimentés qui utilisent des scripts pré-écrits ou des outils développés par d’autres pour lancer des attaques. Bien qu’ils manquent généralement de compétences avancées, ils peuvent néanmoins causer d’importants dommages, notamment en exploitant des vulnérabilités connues et des systèmes mal sécurisés. Ces acteurs malveillants moins expérimentés ont trouvé un terrain plus propice à leurs activités grâce aux services de cybercriminalité tels que le ransomware-as-a-Service (RaaS) et aux progrès de l’IA générative.

Exemple : en 2016, un groupe de script kiddies a utilisé le botnet Mirai pour lancer une attaque massive par déni de service distribué (Distributed denial of service, DDoS) qui a paralysé une grande partie d’Internet. Un autre exemple est le piratage de Twitter en 2019, où des adolescents ont eu accès à des comptes très médiatisés en exploitant des techniques d’ingénierie sociale.

Motivations des acteurs malveillants

Les motivations des acteurs malveillants sont diverses et variées, et chacune d’entre elles influence la nature et la gravité de leurs actions à différentes échelles. Les cybercriminels motivés par le gain financier, par exemple, cherchent souvent à voler des informations sensibles, telles que des numéros de carte de crédit ou des propriétés intellectuelles, qu’ils peuvent vendre sur le marché noir ou utiliser à des fins d’extorsion par le biais d’attaques de ransomware.

D’autres sont motivés par une idéologie politique. Dans ces cas, les acteurs peuvent cibler des entreprises ou des gouvernements afin de promouvoir leurs convictions, perturber leurs activités ou dénoncer ce qu’ils considèrent comme des injustices. Ces acteurs considèrent leurs cyberattaques comme une forme de protestation, visant à influencer l’opinion publique ou à faire pression sur ceux qui sont au pouvoir afin qu’ils modifient leurs politiques.

D’autres encore sont motivés par la vengeance ou simplement par le frisson du défi. Des employés mécontents ou d’anciens partenaires peuvent lancer des attaques contre une entreprise par dépit, dans le but de régler des comptes personnels. D’autres, en particulier les hackers plus jeunes ou moins expérimentés, peuvent être motivés par la poussée d’adrénaline que procure le fait de s’introduire dans un système sécurisé, à la recherche de la reconnaissance qui accompagne la réussite d’un cyber-coup audacieux. Pour ces individus, l’acte lui-même est souvent plus important que le résultat.

Techniques et tactiques des acteurs malveillants

Voici quelques-unes des méthodes les plus couramment utilisées par les cybercriminels pour exploiter les failles d’un individu ou d’une entreprise :

• Phishing : techniques trompeuses « d’ingénierie sociale » visant à inciter les utilisateurs à divulguer des informations sensibles, à transférer des sommes d’argent, etc. Il peut s’agir d’e-mails ou de SMS, de faux sites web utilisés pour voler des identifiants, d’attaques de vishing, etc. qui incitent les victimes à faire confiance au hacker. Cela reste une méthode de cyberattaque dominante, avec une augmentation de 58,2 % des tentatives en 2023
• Malware : logiciels malveillants conçus pour envahir un système informatique et y mener des actions hostiles, comme le vol ou le chiffrement d’informations sensibles, la prise de contrôle des fonctions du système ou la propagation à d’autres appareils, le plus souvent à des fins lucratives. Il existe de nombreux types de malwares, notamment les ransomwares, les spywares, les adwares et les chevaux de Troie. Pour en savoir plus sur les dernières évolutions concernant les malwares, cliquez ici.
• Menaces persistantes avancées (Advanced persistent threats, APT) : les APT sont la marque de fabrique des acteurs malveillants étatiques et des cybercriminels sophistiqués, dans le cadre desquelles un hacker accède furtivement au réseau d’une entreprise et y établit une base qui lui permet de s’y maintenir indétecté pendant une longue période. Les APT ciblent souvent une société spécifique et font généralement appel à des malwares avancés capables de contourner ou d’esquiver les mesures de sécurité classiques.
• Techniques de menace interne : un individu disposant d’un accès autorisé aux systèmes et aux données d’une entreprise abuse de ses privilèges pour lui porter préjudice. Les menaces internes peuvent être intentionnelles ou non et provenir d’employés, de sous-traitants, de fournisseurs tiers ou de partenaires.

Cyberattaques concrètes

Il existe de nombreuses méthodes de cyberattaque, et nous avons récemment observé plusieurs exemples notables. Voici quelques attaques réelles notables qui mettent en évidence leur impact potentiel :

Attaque de SolarWinds

En décembre 2020, l’attaque de SolarWinds a ciblé la plateforme logicielle Orion utilisée par des milliers d’entreprises dans le monde. Les hackers ont inséré du code malveillant dans des mises à jour logicielles, qui ont ensuite été distribuées à plus de 18 000 clients, notamment des agences gouvernementales et de grandes entreprises. Cette violation a permis aux hackers d’accéder à des données et à des réseaux sensibles, sans être détectés pendant plusieurs mois. Elle est considérée comme l’une des campagnes de cyberespionnage les plus importantes de l’histoire.

Ransomware WannaCry

En mai 2017, l’attaque du ransomware WannaCry s’est rapidement propagée à travers le monde, affectant des centaines de milliers d’ordinateurs dans plus de 150 pays. Cette souche exploitait une vulnérabilité dans les systèmes d’exploitation Windows, chiffrant les fichiers et exigeant le paiement d’une rançon en bitcoins. Des services critiques, notamment des systèmes de santé tels que le National Health Service (NHS) au Royaume-Uni, ont été gravement perturbés. Malgré son impact considérable, l’attaque a été largement atténuée en quelques jours grâce à la découverte d’un kill switch.

Scattered Spider

Scattered Spider est un groupe de cybercriminels motivé par l’appât du gain qui a émergé vers 2022 et qui est connu pour cibler les sociétés de télécommunications et de technologie. Le groupe a recours à des techniques d’ingénierie sociale, telles que le phishing et le SIM-swapping, pour accéder aux réseaux d’entreprise et commettre des fraudes ou déployer des ransomwares. Les sociétés ciblées par Scattered Spider ont subi d’importantes perturbations opérationnelles et des pertes financières considérables, les tactiques sophistiquées du groupe en faisant une menace redoutable.

Colonial Pipeline

L’attaque de Colonial Pipeline en mai 2021 était une attaque par ransomware menée par le groupe DarkSide, ciblant le plus grand oléoduc de carburant des États-Unis. Elle a exploité des mesures de cybersécurité obsolètes, entraînant une interruption qui a perturbé l’approvisionnement en carburant sur toute la côte Est. L’attaque a mis en évidence les vulnérabilités des infrastructures critiques, exposant la nécessité d’une cybersécurité renforcée dans les services essentiels.

Dark Angels

Dark Angels est un groupe de ransomware apparu en 2022, connu pour ses tactiques sophistiquées, ses attaques ciblées contre une seule société de grande valeur à la fois et ses demandes de rançon élevées. Le groupe recourt généralement à des méthodes de double extorsion, qui consistent à non seulement chiffrer les données de la victime, mais aussi à menacer de divulguer des informations sensibles si la rançon n’est pas payée. Cette tactique n’a toutefois pas été utilisée pour orchestrer le paiement d’une rançon record de 75 millions de dollars, découvert par ThreatLabz en 2024.

Comment se protéger contre les acteurs malveillants

Les acteurs malveillants trouveront tous les moyens possibles pour infiltrer vos systèmes. Ces techniques peuvent vous aider à combler les vulnérabilités de votre entreprise.

• Maintenir les systèmes d’exploitation et les navigateurs à jour : les fournisseurs de logiciels corrigent régulièrement les nouvelles vulnérabilités découvertes dans leurs produits et publient des mises à jour pour protéger vos systèmes.
• Protéger vos données à l’aide de sauvegardes automatiques : instaurez un processus régulier de sauvegarde des données du système afin de pouvoir le restaurer si vous êtes victime d’une attaque par ransomware ou d’une perte de données.
• Utiliser l’authentification multifacteur (Multifactor authentication, MFA) avancée : les stratégies de contrôle de l’accès telles que la MFA créent des couches de défense supplémentaires entre les hackers et vos systèmes internes.
• Sensibiliser vos utilisateurs : les cybercriminels inventent constamment de nouvelles stratégies pour mener leurs attaques, et le facteur humain demeure la principale vulnérabilité de toute entreprise. Votre entreprise sera moins exposée si tous vos utilisateurs savent comment identifier et signaler les tentatives de phishing, éviter les domaines malveillants, etc.
• Investir dans une sécurité Zero Trust complète et intégrée : les cybermenaces ont beaucoup évolué. Pour protéger au mieux vos employés et réduire les risques auxquels votre entreprise est exposée, recherchez une plateforme de défense proactive, intelligente et holistique.

Tendances futures des activités des acteurs malveillants

Voici quelques-unes des méthodes que les acteurs malveillants et les groupes auxquels ils appartiennent continueront d’utiliser pour compliquer la tâche des équipes de sécurité.

Chatbots obscurs et attaques basées sur l’IA

Le fléau de « l’IA pour le mal » va prendre de l’ampleur. Les attaques optimisées par l'IA devraient se multiplier, car le dark web sert de terrain fertile aux chatbots malveillants tels que WormGPT et FraudGPT, qui amplifient les activités cybercriminelles. Ces outils insidieux joueront un rôle déterminant dans l’exécution d’attaques d’ingénierie sociale, de phishing et de diverses autres menaces.

Attaques de l’IoT

Les dispositifs IoT vulnérables vont se multiplier et constitueront une menace majeure, exposant les entreprises à des violations et à de nouveaux risques de sécurité. L’absence de mesures de sécurité standardisées de la part des développeurs et des fabricants de dispositifs IoT entraîne des vulnérabilités que les hackers peuvent facilement exploiter.

Compte tenu de l’adoption et de l’utilisation généralisées de ces appareils, l’IoT est une proie facile pour les hackers, qui peuvent en retirer des gains financiers importants.

Exploitation des VPN

Compte tenu de la fréquence, de la gravité et de l’ampleur des vulnérabilités des VPN, les entreprises doivent s’attendre à ce que cette tendance se poursuive. Les acteurs malveillants et les chercheurs en sécurité sont conscients du risque accru des vulnérabilités critiques affectant les produits VPN. Ils recherchent donc activement d’autres vulnérabilités, ce qui laisse présager la découverte de nouvelles CVE dans les mois et les années à venir.

Protection contre les cybercriminels avec Zscaler

Pour repousser les cybercriminels sous tous les angles, investissez dans Zscaler Cyberthreat Protection, une composante de notre plateforme Zero Trust Exchange™. Zscaler est le cloud de sécurité en mode inline le plus important et le plus déployé au monde, spécialement conçu pour répondre à l’évolution des besoins cybernétiques des entreprises modernes.

Fondée sur le principe du moindre privilège, l’architecture proxy de Zscaler permet une inspection TLS/SSL complète à l’échelle, avec des connexions négociées entre les utilisateurs et les applications en fonction de l’identité, du contexte et des politiques de l’entreprise, de sorte que vous puissiez :

• Réduire la surface d’attaque : masquez vos applications, emplacements et appareils sur Internet, afin d’empêcher les acteurs malveillants d’atteindre et de violer ces ressources.
• Prévenir les compromissions : éliminez les attaques de phishing et les téléchargements de malwares avec une inspection TLS/SSL en mode inline complète à l’échelle et la prévention des menaces optimisée par l’IA.
• Éliminer les déplacements latéraux : minimisez le rayon d’action, protégez-vous contre les menaces internes et réduisez les frais opérationnels grâce à une segmentation Zero Trust.
• Stopper la perte de données : identifiez l’informatique fantôme et les applications à risque grâce à la classification automatique des données sensibles. Sécurisez le trafic des utilisateurs, des charges de travail et de l’IoT/OT pour les données au repos et en mouvement.

Vous souhaitez en savoir plus sur la protection contre les cybermenaces de Zscaler ? Planifiez une démonstration personnalisée avec l’un de nos experts pour découvrir comment Zscaler vous aide à tenir à distance les acteurs malveillants, quelle que soit la sophistication de leurs techniques.