Qu’est-ce que le Hacktivisme ?

Contrairement à de nombreux cybercriminels uniquement motivés par l’appât du gain, les cyberactivistes mènent des opérations perturbatrices ou préjudiciables au nom d’une cause politique, sociale ou religieuse. Ces groupes ou individus se considèrent souvent comme des « redresseurs de torts virtuels », cherchant à mettre au jour les fraudes, les actes répréhensibles ou la cupidité des entreprises, à dénoncer des violations des droits de l’homme, à lutter contre la censure ou encore à mettre en lumière d’autres injustices sociales.

Le nombre d’attaques de cyberactivisme a augmenté de manière exponentielle ces dernières années. Cette explosion est en partie due à notre dépendance à Internet, aux réseaux sociaux et autres formes de communications numériques, ainsi qu’à un contexte politique mondial chargé d’émotion.

Bien que de nombreux cyberactivistes affirment agir au nom de nobles causes et œuvrent souvent dans une optique d’égalité, de justice et d’amélioration des droits de l’homme, il ne faut pas oublier que le cyberactivisme reste une forme de cybercriminalité. Quelles que soient les motivations des cyberpirates ou l’issue d’une attaque, leurs actions restent illicites.

Quelles sont les cibles des cyberactivistes ?

Les cyberactivistes ciblent des entités dont ils estiment qu’elles violent les valeurs qu’ils défendent ou représentent un obstacle à l’accomplissement de l’idéal recherché. Voici quelques exemples des cibles les plus souvent visées :

• États
• Organismes publics
• Entreprises
• Institutions religieuses
• Organisations terroristes

Formes courantes de cyberactivisme

Les cyberactivistes s’appuient sur tout un éventail d’activités légales et illégales pour atteindre leurs objectifs. Vous trouverez ci-dessous les techniques les plus couramment utilisées :

Attaques par déni de service (DoS) ou par déni de service distribué (DDoS) : attaques ciblées inondant délibérément un réseau de fausses requêtes dans le but de perturber les activités de l’entreprise. Lors d’une attaque DoS, les utilisateurs sont incapables d’effectuer des tâches courantes et nécessaires, comme accéder à la messagerie électronique, à des sites web, à des comptes en ligne ou à d’autres ressources gérées par un ordinateur ou un réseau compromis. Si la plupart des attaques DoS n’entraînent pas de perte de données et sont généralement résolues sans versement de rançon, elles coûtent du temps, de l’argent et d’autres ressources à l’entreprise pour le rétablissement des activités stratégiques.

Doxing : divulgation d’informations d’identification personnelle ou d’éléments compromettants, souvent dans le but que d’autres personnes s’en servent pour harceler, menacer ou intimider une cible.

Dégradation d’un site web : modification de l’apparence ou du contenu d’un site web afin de dénoncer l’insuffisance des mesures de sécurité mises en place, porter atteinte à la réputation de l’entreprise ou faire avancer la cause des cyberactivistes.

Vol de données : vol de données, d’éléments de propriété intellectuelle ou d’autres informations propriétaires, généralement dans le but de mener à bien une attaque de ransomware ou de les vendre sur le Dark Web.

Contrairement à de nombreux cybercriminels, les cyberactivistes rendent souvent publics leurs projets d’attaques et leurs cibles à l’avance, de façon à attirer davantage l’attention sur leur cause, à recruter de nouveaux soutiens ou à lever des fonds.

Dans de nombreux cas d’attaques, les interruptions de réseau ne sont qu’un moyen pour les cyberactivistes d’arriver à leurs fins. L’objectif premier de ces attaques n’est pas de générer des recettes, mais de mettre une cause en avant. Bien que certains cyberactivistes tirent financièrement profit de leurs attaques, ils ont généralement pour objectif principal de dénoncer une cible, de sensibiliser le public à un problème particulier ou de contribuer à changer la société.

See Crowdstrike Falcon In Action

Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

Exemples de cyberactivisme

Anonymous

Le groupe Anonymous, également surnommé Anon, est l’un des groupes de cyberactivistes les plus connus. Créé en 2008, Anonymous doit sa notoriété à ses attaques contre l’Église de scientologie, qui ont d’abord consisté à divulguer des vidéos privées de membres célèbres, puis à lancer une attaque DDoS contre le site web de l’organisation.

Ces dernières années, le groupe Anonymous a revendiqué certaines des attaques de cyberactivisme les plus importantes, dont plusieurs à l’encontre d’entreprises et d’organismes publics de premier plan. « Opération Tunisie », qui est probablement sa campagne la plus connue, avait ciblé plusieurs sites gouvernementaux dans le but de soutenir le mouvement du Printemps arabe en 2010.

LulzSec

Autre organisation cyberactiviste bien connue, LulzSec doit sa création à plusieurs membres d’Anonymous.

LulzSec est elle aussi parvenue à pirater les serveurs d’un certain nombre d’entreprises et de services de police dans le but de voler des données et de dégrader l’apparence de sites web. Parmi ses cibles les plus ambitieuses figurent Fox.com, Sony et la CIA.

WikiLeaks

WikiLeaks est un site lanceur d’alertes axé sur la politique, connu pour avoir divulgué des informations confidentielles et autres données sensibles. WikiLeaks est également à l’origine d’attaques DDoS contre Amazon, PayPal, Visa et Mastercard en riposte à la décision de ces entreprises d’interdire à leurs clients tout don financier en faveur de WikiLeaks. L’interruption des services web provoquée par ces attaques aurait apparemment entraîné de lourdes pertes pour ces entreprises.

Pourquoi les entreprises ne peuvent ignorer le cyberactivisme

Bien que les attaques de cyberactivisme semblent avoir connu leur plus haut niveau en 2011, elles restent un phénomène courant dans le paysage des cybermenaces.

Même si les cyberactivistes visent souvent des organismes publics, des grandes entreprises, des multinationales et des institutions établies, toutes les entreprises constituent des cibles potentielles. Comme indiqué précédemment, cela s’explique par le fait que les cyberactivistes ne cherchent pas à s’enrichir, mais à attirer l’attention. Autrement dit, même petites ou peu connues, toutes les organisations et entreprises sont exposées à un risque d’attaque de cyberactivisme.

Ces attaques peuvent se traduire par une perturbation des services, des pertes financières, le vol de données ou une atteinte à la réputation. En cas de doxing, ces attaques peuvent mettre en danger la sécurité et la vie privée de citoyens.

Empêcher les attaques de cyberactivisme

Compte tenu de la nature unique des attaques de cyberactivisme, il est important de développer un plan de réponse à incident qui définisse clairement les mesures qui seront mises en œuvre par l’entreprise pour limiter les dommages et neutraliser les attaques dans les meilleurs délais. Dans le cadre de ce plan, les entreprises doivent garder à l’esprit que de nombreux cyberactivistes font part de leurs intentions en amont de l’attaque. Il est donc essentiel que les entreprises développent une stratégie complète qui prenne en compte aussi bien les menaces d’attaques que les attaques elles-mêmes.

En termes de prévention, immuniser une entreprise contre les attaques de cyberactivisme passe par l’adoption des nombreuses bonnes pratiques de cybersécurité que nous recommandons généralement pour une protection contre les logiciels malveillants, les ransomwares et autres cybermenaces, notamment :

1. Formez tous vos collaborateurs aux bonnes pratiques en matière de cybersécurité.

Vos collaborateurs constituent votre première ligne de défense. Assurez-vous qu’ils respectent les bonnes pratiques en matière d’hygiène IT — utilisation de mots de passe forts, connexion à des réseaux Wi-Fi sécurisés uniquement et surveillance constante des tentatives de phishing — sur l’ensemble de leurs terminaux. Il sera ainsi plus difficile pour les cyberactivistes de s’infiltrer dans votre réseau ou votre système informatique et de mener à bien une attaque.

2. Maintenez votre système d’exploitation et vos logiciels à jour et appliquez les correctifs.

Les cyberpirates sont constamment à la recherche de failles et de portes dérobées à exploiter. En mettant scrupuleusement à jour vos systèmes, vous réduirez votre exposition aux vulnérabilités connues.

3. Utilisez des logiciels capables de bloquer les menaces inconnues.

Même si les solutions antivirus traditionnelles peuvent bloquer les ransomwares, elles sont incapables de détecter les cybermenaces inconnues et autres techniques peu courantes utilisées par les cyberactivistes. La plateforme CrowdStrike Falcon® intègre un antivirus de nouvelle génération détectant à la fois les logiciels malveillants connus et encore inconnus grâce à l’intelligence artificielle et au Machine Learning. Des indicateurs d’attaque basés sur les comportements sont utilisés pour prévenir les attaques sophistiquées sans fichier ni logiciel malveillant comme les ransomwares. Plutôt que de tenter de détecter les itérations de logiciels malveillants connus, Falcon recherche des indicateurs d’attaque afin de bloquer les ransomwares avant qu’ils ne puissent s’exécuter ou causer des dégâts.

4. Surveillez en continu votre environnement afin d’identifier les activités malveillantes et les indicateurs d’attaque.

La solution de détection et d’intervention sur les endpoints CrowdStrike® Falcon Insight™ agit comme une caméra de surveillance sur tous les endpoints. Elle capture les événements bruts à des fins de détection automatique des activités malveillantes non identifiées par les méthodes de prévention classiques, tout en offrant une visibilité inégalée propice à un Threat Hunting proactif.

Pour contrer les attaques furtives ou dissimulées qui peuvent ne pas déclencher immédiatement les alertes automatisées, CrowdStrike propose Falcon OverWatch™, un service de Threat Hunting managé qui s’appuie sur une équipe de threat hunters chevronnés qui traquent les menaces de manière proactive dans votre environnement, 24 heures sur 24, 7 jours sur 7.

5. Intégrez la cyberveille à votre stratégie de sécurité.

Surveillez vos systèmes en temps réel et restez au courant des dernières informations sur les menaces pour détecter rapidement les attaques, déterminer comment y répondre au mieux et empêcher leur propagation. CrowdStrike Falcon® Intelligence automatise l’analyse des menaces et l’investigation des incidents, permettant ainsi d’examiner toutes les menaces et de déployer des contremesures de manière proactive, en seulement quelques minutes.