Comprendre les adversaires
Modéliser la menace de façon réaliste : motivations, profils d'attaquants (jusqu'aux insiders), méthodes et kill chains — pour défendre, pas pour attaquer.
En août 1986, Clifford Stoll, administrateur système au Lawrence Livermore Laboratory, repère une banale erreur de comptabilité. Cette anomalie déclenche une traque de dix mois au terme de laquelle il met au jour un espion siphonnant des secrets gouvernementaux américains. Largement considéré comme le premier cas public du genre, son récit — « Stalking the Wily Hacker » — a inspiré des générations de concepteurs en exposant les tactiques, techniques et procédures (tactics, techniques and procedures, TTP) que l'adversaire employait pour atteindre ses buts. Ce chapitre adopte exactement cette posture : on étudie l'adversaire pour mieux s'en défendre, jamais pour l'imiter. Comprendre qui pourrait vous attaquer, pourquoi et comment est la condition pour concevoir des systèmes à la fois sûrs et résilients.
Deux familles d'adversaires : le hacker rusé et le chat curieux
Le livre rappelle une intuition fondatrice : sécurité et fiabilité sont des propriétés émergentes indissociables, et leurs adversaires se ressemblent plus qu'on ne le croit. Côté fiabilité, l'« adversaire » est généralement bénin et abstrait : une panne matérielle de routine, un afflux soudain de trafic (un « désastre du succès » (success disaster)), un changement de configuration qui fait déraper le système, ou un chalutier qui sectionne par accident un câble sous-marin. En mars 2012, Google a ainsi enquêté sur une coupure de courant dans un datacenter belge : un chat avait endommagé une alimentation externe, déclenchant une cascade de défaillances. De cet incident, l'entreprise a tiré des pratiques de conception plus résilientes pour ses câbles partout dans le monde.
Côté sécurité, l'adversaire est humain : ses actions sont calculées pour nuire au système cible. Malgré ces intentions opposées, étudier les deux familles relève de la même discipline. Sans cette connaissance, anticiper les actions d'un « hacker rusé » (Wily Hacker) ou d'un « chat curieux » (Curious Cat) reste hors de portée.
À retenir
Il est tentant de se représenter l'attaquant à travers les clichés : un individu encapuchonné dans une cave, doté d'un pseudonyme et de motivations troubles. Ces personnages existent, mais quiconque dispose de temps, de connaissances ou d'argent peut compromettre un système. Pour quelques euros, on achète un logiciel qui prend le contrôle d'un téléphone auquel on a un accès physique. Les gouvernements achètent ou développent des outils d'intrusion. Les chercheurs sondent les mécanismes de sûreté pour les comprendre. Gardez donc un regard objectif sur qui attaque réellement votre système.
Le livre propose trois cadres complémentaires, éprouvés au fil des années chez Google, pour structurer cette réflexion : les motivations des attaquants, leurs profils, et leurs méthodes. Aucun ne prétend prédire l'avenir — prévoir la prochaine catastrophe de sécurité reste largement un jeu de devinettes, même pour les experts. Mais ensemble, ils aident à développer un état d'esprit adverse (adversarial mindset) au service de la défense.
Les motivations des attaquants
Puisque l'adversaire de sécurité est humain, on peut interroger le pourquoi de ses actes. Comprendre la motivation aide à répondre aussi bien de façon proactive (à la conception du système) que réactive (pendant un incident). Le livre recense huit grands ressorts.
| Motivation | Description |
|---|---|
| Amusement (fun) | Saper la sécurité d'un système pour la seule joie de prouver que c'est possible. |
| Notoriété (fame) | Gagner en réputation en exhibant ses compétences techniques. |
| Activisme (activism) | Faire passer un message, généralement politique, et le diffuser largement. |
| Gain financier (financial gain) | Gagner de l'argent. |
| Coercition (coercion) | Forcer une victime à faire sciemment ce qu'elle ne veut pas. |
| Manipulation (manipulation) | Produire un résultat voulu ou modifier des comportements — par exemple via de fausses données (désinformation). |
| Espionnage (espionage) | Obtenir des informations de valeur (y compris l'espionnage industriel) ; souvent le fait d'agences de renseignement. |
| Destruction (destruction) | Saboter un système, détruire ses données, ou simplement le mettre hors ligne. |
Un même attaquant peut cumuler plusieurs motivations. En juin 2018, le ministère américain de la Justice a inculpé Park Jin Hyok, accusé d'avoir participé pour le compte de son gouvernement à des activités variées : la création du rançongiciel WannaCry de 2017 (gain financier), la compromission de Sony Pictures en 2014 (coercition pour empêcher la sortie d'un film, et destruction d'infrastructure), et l'attaque de fournisseurs d'électricité (espionnage ou destruction). Des chercheurs ont même observé des attaquants étatiques détournant le malware de leurs opérations nationales pour voler de la monnaie virtuelle dans des jeux vidéo, à des fins personnelles.
Astuce
Raisonnez à partir de vos actifs. Une organisation qui traite des virements pour ses clients gagne à se demander pourquoi un attaquant s'y intéresserait. Un groupe d'attaquants nord-coréens (dont Park) aurait tenté de dérober des millions en s'introduisant dans des systèmes bancaires et en exploitant le réseau de transactions SWIFT pour vider des comptes clients. Comprendre la motivation, c'est déjà commencer à dimensionner la défense.
Les profils d'attaquants
On affine la compréhension en considérant qui sont ces personnes : agissent-elles pour elles-mêmes ou pour autrui, quels sont leurs centres d'intérêt ? Le livre dresse plusieurs profils — par souci de concision, ce sont des généralisations illustratives, jamais des étiquettes définitives. Le tableau suivant synthétise leur motivation dominante, leur compétence technique typique et leurs ressources.
| Profil | Motivation dominante | Compétence | Ressources | Posture défensive |
|---|---|---|---|---|
| Amateurs (hobbyists) | Curiosité, amusement | Variable, souvent élevée | Faibles | Souvent des alliés ; respectent une éthique personnelle. |
| Chercheurs en vulnérabilités (vulnerability researchers) | Améliorer les systèmes, prime | Élevée | Faibles à moyennes | Alliés clés via les programmes de prime aux bogues. |
| Gouvernements & forces de l'ordre | Renseignement, militaire, police | Très élevée | Très importantes | Modèle de menace exigeant ; jouer le long terme. |
| Activistes (hacktivistes) | Message politique | Faible à moyenne | Faibles (mais botnets à louer) | Visibles et imprévisibles ; durcir et savoir restaurer. |
| Acteurs criminels (criminal actors) | Gain financier | Faible à élevée | Variables | Coûteux à attaquer = victime contournée. |
| Automatisation & IA | Variable (relais d'un humain) | N/A (autonome) | Variables | Défenses résilientes et automatisées par défaut. |
| Insiders | Tout le spectre | Accès privilégié | L'accès EST la ressource | Moindre privilège, MPA, audit, récupérabilité. |
Amateurs et chercheurs en vulnérabilités : souvent des alliés
Les premiers hackers étaient des amateurs (hobbyists) : des technophiles curieux désireux de comprendre le fonctionnement des systèmes. En les démontant ou en déboguant leurs programmes, ils découvraient des failles que les concepteurs originaux n'avaient pas vues. Mus par la soif de savoir, ils respectent le plus souvent une éthique personnelle leur interdisant de nuire, et ne franchissent pas la ligne du comportement criminel. (Le terme « hacking » est né au MIT dans les années 1950, issu de farces inoffensives — d'où la distinction, conservée tout au long du livre, entre « hacking » non malveillant et « attaque » malveillante.)
Les chercheurs en vulnérabilités (vulnerability researchers) exercent professionnellement leur expertise : salariés, indépendants, ou simples utilisateurs tombant sur un bogue par hasard. Beaucoup participent à des programmes de récompense de vulnérabilités (Vulnerability Reward Programs), aussi appelés primes aux bogues (bug bounties). Ils opèrent selon des normes de divulgation (disclosure norms) prévisibles qui fixent les attentes entre propriétaire du système et chercheur : comment une faille est découverte, signalée, corrigée et discutée. Sortir de ces normes invalide la prime et peut basculer dans l'illégalité. Dans la même veine, les équipes rouges (Red Teams) et les testeurs d'intrusion attaquent avec l'autorisation du propriétaire, dans un cadre éthique, pour améliorer la sécurité.
Gouvernements et forces de l'ordre : le modèle de menace le plus exigeant
La plupart des États ont investi dans l'expertise offensive pour quatre grands usages. Le renseignement (intelligence gathering) modernise les techniques classiques (renseignement d'origine électromagnétique, SIGINT ; renseignement humain, HUMINT). En 2011, la société RSA a été compromise par un adversaire que beaucoup associent au renseignement chinois : les attaquants ont volé les graines cryptographiques (seeds) de ses jetons d'authentification à deux facteurs, ce qui leur a permis ensuite de pénétrer Lockheed Martin sans posséder le moindre jeton physique. Les finalités militaires (cyberguerre, guerre de l'information) ont été illustrées par Stuxnet à la fin des années 2000 : un logiciel modulaire introduit illicitement sur les automates pilotant les centrifugeuses d'enrichissement d'uranium iraniennes, dans le but de les détruire. La police de l'activité intérieure soulève des débats éthiques aigus : le contractant NSO Group a vendu à des gouvernements un logiciel de surveillance de téléphones, censé viser terroristes et criminels, mais parfois retourné contre des journalistes et des activistes.
Attention
Vous pouvez être une cible sans le savoir. L'opération Aurora (janvier 2010), attaque sophistiquée venue de Chine visant l'accès durable à des comptes Gmail, a touché au moins une vingtaine d'organisations de la finance, de la technologie, des médias et de la chimie — grandes comme petites, dont beaucoup ne se croyaient pas exposées. En 2018, la carte de chaleur publiée par l'application de fitness Strava a révélé l'emplacement de bases militaires secrètes en Syrie, simplement parce que des soldats y traçaient leurs entraînements. Demandez-vous toujours : mes activités, mes données ou mes utilisateurs pourraient-ils intéresser un acteur étatique ?
Face à un État, les ressources offensives peuvent largement dépasser ce qu'une organisation peut consacrer à la défense. La recommandation du livre est de jouer le long terme : protéger tôt ses actifs les plus sensibles, ajouter des couches de protection dans la durée, et viser un résultat idéal — forcer l'adversaire à dépenser tant de ressources que son risque d'être démasqué augmente, révélant son activité aux autres victimes potentielles et aux autorités.
Activistes et acteurs criminels
L'hacktivisme mobilise la technologie pour réclamer un changement social ; le livre s'intéresse à sa face destructrice. Les hacktivistes défigurent des sites (en 2015, la Syrian Electronic Army a détourné un réseau de diffusion de contenu (content distribution network, CDN) pour insérer un message pro-Assad sur army.mil) ou lancent des dénis de service (en 2012, Anonymous a mis hors ligne de nombreux sites israéliens). Ces attaques par déni de service distribué (distributed denial-of-service) submergent la cible de trafic émis par des milliers de machines compromises — des botnets souvent louables en ligne, ce qui rend l'attaque banale et facile. Particularité : les hacktivistes sont bruyants, revendiquent publiquement, et ne sont pas toujours très techniques — ce qui rend leur action difficile à prévoir.
Les acteurs criminels (criminal actors) transposent des délits classiques : fraude à l'identité, vol d'argent, chantage. Leurs compétences vont du faible au sophistiqué. Beaucoup achètent des outils clés en main, et l'ingénierie sociale (social engineering) — tromper la victime pour qu'elle vous aide — reste redoutablement efficace malgré sa simplicité. Les rançongiciels (ransomware) chiffrent un système jusqu'au paiement ; le stalkerware, vendu pour une vingtaine d'euros, espionne un proche en abusant d'une relation de confiance. Tous les criminels ne travaillent pas pour eux-mêmes : entreprises, cabinets, campagnes politiques et cartels en embauchent.
Astuce
Les acteurs criminels gravitent vers la voie la moins coûteuse en effort initial. Rendez votre système suffisamment résistant et ils iront voir ailleurs. L'évolution des CAPTCHA illustre cette logique du coût croissant : des lettres déformées aux images à reconnaître, puis à l'analyse comportementale, chaque génération a renchéri le coût d'attaque des robots au fil du temps.
Automatisation et intelligence artificielle
En 2015, la DARPA a organisé le Cyber Grand Challenge : concevoir un système de cyber-raisonnement capable, sans intervention humaine, de trouver des failles, de les exploiter et de les corriger. Sept équipes ont vu leurs systèmes entièrement autonomes s'affronter en direct — et l'un d'eux a réussi. Cela laisse présager que certaines attaques futures pourront se dérouler sans humain aux commandes, ce qui appelle des défenses elles aussi automatisées. Pour y résister, le livre prône une conception résiliente par défaut et la capacité à faire évoluer automatiquement sa posture de sécurité : distribution automatisée de configuration et justifications d'accès, build/test/déploiement automatisés du code, gestion automatique des dénis de service.
Les insiders : le risque le plus sous-estimé
Toute organisation a des insiders : des personnes actuelles ou passées disposant d'un accès interne ou d'un savoir propriétaire. Le risque interne (insider risk) est la menace qu'elles font peser — qu'elles soient malveillantes, négligentes ou simplement maladroites. C'est ici que sécurité et fiabilité se recoupent le plus, parce que les insiders ont un accès privilégié. La plupart des incidents de fiabilité proviennent d'un insider qui ne réalise pas son impact (code défectueux, configuration erronée). Et côté sécurité, si un attaquant prend le contrôle d'un compte employé, il hérite de tous ses privilèges : tout droit accordé à un insider devient disponible pour l'attaquant. Concevoir contre les deux à la fois est la bonne pratique.
Le livre distingue trois catégories d'insiders.
INSIDERS — TROIS CATÉGORIES (Table 2-1)
Première partie Tierce partie Apparentés
(first-party) (third-party) (related)
───────────────── ───────────────────────── ──────────────
Employés Développeurs d'apps tierces Amis
Stagiaires Contributeurs open source Famille
Dirigeants Contributeurs de contenu Colocataires
Membres du conseil Partenaires commerciaux
Sous-traitants, fournisseurs
AuditeursLes insiders de première partie (first-party) sont intégrés pour un objectif métier précis. Ils nourrissent l'essentiel des affaires médiatisées : un ingénieur de General Electric inculpé en 2019 pour avoir volé des fichiers propriétaires en les dissimulant dans des images par stéganographie ; des employés du UCLA Medical Center licenciés en 2008 pour avoir consulté indûment les dossiers de patients célèbres ; un homme licencié pour sous-performance condamné en 2019 pour avoir effacé 23 serveurs virtuels de son ancien employeur. À cause même de la dynamique de l'emploi, ce risque est inévitable.
Les insiders de tierce partie (third-party) sont souvent des personnes que personne dans votre organisation n'a jamais rencontrées. Ouvrez votre bibliothèque en open source et acceptez des contributions : un contributeur à l'autre bout du monde devient un insider capable de nuire à vos utilisateurs via une modification malveillante — ou simplement de dégrader la fiabilité avec du code non testé dans tous vos environnements. De même, une interface de programmation (application programming interface, API) ouverte à un partenaire lui confère un accès qui en fait, lui aussi, un insider potentiel. La parade : revue et test rigoureux de tout code soumis, et limitation stricte de ce qu'une API autorise.
Les insiders apparentés (related) sont les grands oubliés : on fait implicitement confiance aux gens avec qui l'on vit. Un portable d'entreprise déverrouillé sur la table de la cuisine pendant le week-end, le télétravail, l'astreinte nocturne — autant de situations où la personne derrière le clavier n'est pas l'insider « typique ». Adoptez une définition large du « lieu de travail » qui inclut le domicile.
Piège courant
Si un système tombe à cause d'un insider qui jure que c'était un accident, le croyez-vous ? En cas de négligence extrême, il peut être impossible de trancher avec certitude. Ces cas mobilisent souvent juristes, ressources humaines, voire forces de l'ordre. La règle d'or : concevez, exploitez et maintenez vos systèmes en prévoyant à la fois l'acte malveillant et l'erreur involontaire — et supposez que vous ne saurez pas toujours faire la différence.
Pour démarrer simplement, le livre propose un cadre de modélisation à combiner librement (utilisable comme atelier de brainstorming, voire comme jeu de cartes).
| Acteur / Rôle | Motif | Action | Cible |
|---|---|---|---|
| Ingénierie | Accidentel | Accès aux données | Données utilisateurs |
| Opérations | Négligent | Exfiltration (vol) | Code source |
| Ventes | Compromis | Suppressions | Documents |
| Juridique | Financier | Modifications | Journaux (logs) |
| Marketing | Idéologique | Injections | Infrastructure |
| Dirigeants | Vengeur (retaliatory) | Fuite à la presse | Services, finances |
| Vanité |
On dresse la liste des rôles présents, puis on combine un motif, une action et une cible pour générer des scénarios : un ingénieur mécontent de son évaluation qui injecte une porte dérobée volant des données ; un SRE détenant les clés SSL contraint par menaces sur sa famille ; un analyste financier épuisé qui multiplie par mille le chiffre d'affaires annuel ; l'enfant d'un SRE qui installe un jeu piégé bloquant le portable parental en plein incident.
Note
L'erreur honnête fait partie du modèle de menace. Le 31 janvier 2009, pendant environ 40 minutes, Google Search a affiché l'avertissement « Ce site risque d'endommager votre ordinateur » pour toutes les recherches : un « / » avait été ajouté par accident à la liste des sites connus pour diffuser des logiciels malveillants — un motif correspondant à tous les sites de la planète. Une simple vérification automatisée de la configuration aurait évité la panne. Concevez en partant du principe que les humains se trompent.
Quelques concepts s'avèrent particulièrement efficaces contre le risque interne, tous développés ailleurs dans le livre : le moindre privilège (least privilege), le zéro confiance (zero trust) via des mécanismes proxy ou automatisés, l'autorisation multipartite (multi-party authorization, MPA) exigeant plusieurs personnes pour une action sensible, les justifications métier (business justifications) documentant formellement chaque accès, l'audit et détection des journaux, et la récupérabilité (recoverability) pour restaurer après une action destructrice.
Les méthodes des attaquants
Comment ces acteurs procèdent-ils concrètement ? Prédire l'action précise d'un attaquant un jour donné est irréaliste tant les méthodes sont variées. Mais les défenseurs disposent d'un corpus croissant de cadres pour structurer le problème : le renseignement sur les menaces, la cyber kill chain et les TTP.
Renseignement sur les menaces
De nombreuses entreprises de sécurité publient des descriptions détaillées d'attaques observées dans la nature. Ce renseignement sur les menaces (threat intelligence) aide les défenseurs à comprendre comment opèrent les vrais attaquants. Il prend plusieurs formes : des rapports écrits retraçant la progression et l'intention d'une attaque ; des indicateurs de compromission (indicators of compromise, IOC) — attributs finis comme l'adresse IP d'un site de hameçonnage ou la somme de contrôle SHA256 d'un binaire malveillant, souvent structurés dans un format commun et diffusés en flux automatisés pour configurer les systèmes de détection ; et des rapports d'analyse de malware issus de la rétro-ingénierie de binaires. Privilégiez une source réputée, avec références clients : connaître les attaques que subissent vos pairs sectoriels offre une alerte précoce sur ce qui vous attend peut-être.
La cyber kill chain
Pour se préparer, on peut dérouler toutes les étapes qu'un attaquant doit franchir pour atteindre son but. Des cadres formalisés comme la Cyber Kill Chain (conçue par Lockheed Martin, adaptée des structures d'attaque militaires) permettent de tracer cette progression en regard des contrôles défensifs à prévoir. Chaque étape est aussi un point de contact où détecter et stopper l'attaque.
CYBER KILL CHAIN — attaque hypothétique vs défenses (Table 2-3)
ÉTAPE EXEMPLE D'ATTAQUE DÉFENSE D'EXEMPLE
─────────────── ───────────────────────────────── ──────────────────────────────
Reconnaissance Recherche des e-mails d'employés Sensibiliser les employés à la
(surveiller) via un moteur de recherche. sécurité en ligne.
Entrée Hameçonnage -> identifiants volés, 2FA (clés de sécurité) sur le VPN.
(accès initial) puis connexion au VPN de la cible. VPN limité aux machines gérées.
Mouvement Connexion à distance sur d'autres Connexion limitée à sa propre
latéral systèmes avec les identifiants. machine. 2FA sur les systèmes
multi-utilisateurs.
Persistance Installation d'une porte dérobée Liste blanche d'applications :
d'accès distant. seuls les logiciels autorisés
peuvent s'exécuter.
Objectifs Vol de documents et exfiltration Moindre privilège sur les données
(action) via la porte dérobée. sensibles + surveillance des comptes.Tactiques, techniques et procédures (MITRE ATT&CK)
Cataloguer méthodiquement les TTP des attaquants est devenu une pratique courante. Le framework MITRE ATT&CK instrumente cette idée en profondeur : il éclate chaque étape de la kill chain en sous-étapes détaillées et décrit formellement comment un attaquant pourrait mener chacune. Par exemple, au stade « accès aux identifiants », ATT&CK signale qu'un fichier .bash_history peut contenir des mots de passe tapés par erreur, qu'un attaquant lirait simplement. Le framework recense des centaines (voire des milliers) de façons d'opérer, afin que les défenseurs bâtissent une protection contre chacune.
Considérations d'évaluation du risque
Évaluer la menace réelle posée par ces adversaires est nuancé. Le livre dégage cinq considérations majeures, dont le fil conducteur est : concevoir contre un modèle de menace réaliste, pas par paranoïa.
| Considération | Implication pour le défenseur |
|---|---|
| Vous ignorez peut-être que vous êtes une cible. | En 2012, Adobe a été pénétrée pour signer des malwares avec son certificat officiel : la victime servait de relais. Demandez-vous si vos actifs intéressent un attaquant, pour un gain direct ou comme tremplin vers autrui. |
| La sophistication ne prédit pas le succès. | Les attaquants choisissent le moyen le plus simple et le plus économique qui atteint leur but. Couvrez d'abord les bases (authentification à deux facteurs) avant les attaques exotiques (portes dérobées dans le firmware). |
| Ne sous-estimez pas l'adversaire. | Un attaquant bien financé peut aller très loin : la NSA a intercepté du matériel Cisco en transit vers ses clients pour y implanter des portes dérobées — mais ces cas restent l'exception, non la norme. |
| L'attribution est difficile. | NotPetya (2017) se déguisait en rançongiciel financier alors qu'il visait l'Ukraine. Concentrez-vous d'abord sur comment opèrent les attaquants (leurs TTP) avant de chercher qui ils sont. |
| Les attaquants ne craignent pas toujours d'être pris. | Le système judiciaire, surtout à l'international, complique la poursuite — particulièrement pour les acteurs étatiques qu'aucun gouvernement n'extradera. |
Note
Toute attaque de sécurité remonte à une personne motivée. La question n'est donc pas de savoir si vous serez ciblé, mais par qui, pour quels actifs, et avec quelles ressources comparées aux vôtres. Même face à un adversaire bien financé, le reste de ce livre vous aide à devenir une cible plus coûteuse — au point, parfois, de faire disparaître l'incitation économique à vous attaquer.
À retenir
- Sécurité et fiabilité partagent leurs adversaires : le hacker rusé humain et le chat curieux des pannes appellent la même discipline d'anticipation, à intégrer dès la conception. On étudie l'attaquant pour défendre, jamais pour attaquer.
- Trois cadres structurent l'analyse : les motivations (de l'amusement à la destruction), les profils (amateurs, chercheurs, États, hacktivistes, criminels, automatisation/IA, insiders) et les méthodes.
- Les chercheurs en vulnérabilités et amateurs sont souvent des alliés via les normes de divulgation et les primes aux bogues ; les États constituent le modèle de menace le plus exigeant, à contrer en jouant le long terme et en renchérissant le coût de l'attaque.
- Ne sous-estimez jamais les insiders : première partie, tierce partie (open source, API, partenaires) ou apparentés (domicile, famille). Prévoyez à la fois l'acte malveillant et l'erreur involontaire, sans toujours pouvoir les distinguer.
- Contre le risque interne, Google s'appuie sur le moindre privilège, le zéro confiance, l'autorisation multipartite (MPA), les justifications métier, l'audit et la récupérabilité.
- Les méthodes se cartographient avec le renseignement sur les menaces (rapports, IOC), la cyber kill chain (chaque étape est un point de détection) et les TTP du framework MITRE ATT&CK.
- Évaluez le risque sans paranoïa : vous êtes peut-être une cible sans le savoir, la simplicité prime souvent sur la sophistication, l'attribution est difficile — concentrez-vous sur le comment avant le qui.