Abstract FR:

La sécurité de I'lnternet représente un souci majeur de nos jours. De nombreuses initiatives sont menées qui cherchent à offrir une meilleure compréhension des menaces. Récemment, un nouveau domaine de recherches a vu le jour qui vise à étudier le mode opératoire des attaquants et à identifier les caractéristiques des groupes responsables des attaques observées. Le travail réalisé dans cette thèse concourt à cet objectif. Nous montrons que, à partir de traces réseau obtenues à partir d'un réseau mondial de pots de miel sur une période de deux ans, il est possible d'extraire de la connaissance significative et utile sur les attaquants. Pour atteindre ce but, la thèse offre plusieurs contributions importantes. Tout d'abord, nous montrons que les traces d'attaques peuvent être groupées en trois classes distinctes, correspondant à des phénoménes d'attaque différents. Nous avons défini, implémenté et validé des algorithmes qui permettent de classifier un trés grand nombre de traces selon ces trois catégories. Deuxièmement, nous montrons que, pour deux de ces classes, il est possible d'identifier des micro et macro événements d'attaques présents durant un nombre limité de jours. Ces événements sont des éléments importants pour identifier des activités spécifiques qui, autrement, auraient été perdues dans le bruit diffus des autres attaques. Ici encore, un environnement été défini, réalisé et validé à I'aide de deux ans de trace. Des centaines d'événements ont été ainsi été trouvés dans nos traces. Enfin, nous montrons que, en regroupant ces événements, il es possible de mettre en lumière le mode opératoire des organisations responsables des attaques. La validation expérimentale de notre approche nous a menés à l'identification de dizaines de ce que nous appelons des armées de zombies. Leurs caractéristiques principales sont présentées dans la thèse et elles révèlent des informations importantes sur la dynamique associée aux attaques observables sur internet.