Votre entreprise risque d’être la victime de cyber-criminels. Afin de vous permettre de mieux cerner les menaces de sécurité auxquelles vous êtes exposés, en voici le top 5 en 2019. Pour chaque catégorie de cyber-attaque, je vous propose également quelques contre-mesures possibles.
Une cyber-attaque consiste en tout type d’action offensive qui cible des systèmes informatiques, des infrastructures, des réseaux informatiques ou des dispositifs informatiques personnels. Les cyber-criminels utilisent des méthodes diverses pour voler, modifier ou détruire des données ou des systèmes d’information.
En 2019, selon le dernier rapport d’IBM, chaque entreprise dans le monde à une probabilité de 28% de subir une cyber-attaque.De plus, le coût moyen d’une violation de données s’élève à 3,4 millions de dollars. Il est donc préférable de connaître le risque auquel vous êtes exposé si vous voulez mieux vous prémunir. A chaque type d’attaque correspondent une ou plusieurs réponses permettant de réduire le risque. Nous vous proposons ici le top 5 des cyber-attaques que vous avez le plus de risque de devoir affronter.
1. Attaque par déni de service (DoS) ou par déni de service distribué (DDoDS)
Une attaque par déni de service surcharge les ressources d’un système. Elle l’inonde de demandes au delà de sa capacité maximum.. Ainsi, le système ne peut plus répondre aux demandes de service des utilisateurs autorisés. Une attaque DDoS est aussi une attaque sur les ressources du système. Mais elle est lancée à partir d’un grand nombre d’autres machines hôtes infectées par des logiciels malveillants contrôlés par l’attaquant (botnet).
Contrairement aux attaques qui sont conçues pour permettre à l’attaquant d’obtenir ou d’augmenter l’accès, le déni de service ne procure pas d’avantages directs aux attaquants. La satisfaction du déni de service est une motivation pour certains. Cependant, si la ressource attaquée appartient à un concurrent, alors l’avantage pour l’attaquant peut être tout à fait réel. Mais souvent, l’objectif d’une attaque DoS est de mettre un système hors ligne pour qu’une autre attaque puisse être lancée simultanément. L’attaque DoS sert ainsi à masquer la véritable attaque qui se déroule en parallèle. Vous pourrez retrouver ce point dans un de mes précédents articles décrivant la chaîne cyber criminelle (cyber kill chain). Un exemple courant est le détournement de session, que je décrirai plus tard.
Pour tout savoir sur les attaques de type DoS et DDoS, vous pouvez également télécharger cet excellent document de l’ANSSI : Comprendre et anticiper les attaques DDoS.
Il existe différents types d’attaques DoS et DDoS ; les plus courantes sont l’attaque TCP SYN flood, teardrop attack, smurf attack, ping-of-death attack et l’utilisation des botnets.
Attaque TCP SYN Flood
Ici, les cyber-criminels exploitent l’espace tampon à l’initialisation d’une session TCP (Transmission Control Protocol). Le dispositif de l’attaquant inonde la petite file d’attente du système cible de demandes de connexion (SYN). Mais lorsque le système cible répond à ces demandes, le dispositif de l’attaquant ne réagit pas. Le système cible se trouve alors bloqué en attente de la réponse. En générant suffisamment de connexions incomplètes de ce type, il est possible de surcharger les ressources du système et ainsi de l’empêcher d’accepter de nouvelles requêtes, avec pour résultat un déni de service.
Contre-mesures possibles :
- Placez les serveurs derrière un pare-feu configuré pour arrêter les paquets SYN entrants.
- Augmentez la taille de la file d’attente de connexion et diminuez le délai de temporisation des connexions ouvertes.
Attaque Teardrop
Elle consiste à envoyer des paquets TCP qui se recouvrent en jouant sur le champ de fragmentation dans les paquets du protocole Internet séquentiel (IP) sur l’hôte attaqué. Le système attaqué tente de reconstruire les paquets pendant le processus mais il échoue. Le système cible devient alors désorienté et plante.
Contre-mesures possibles :
Appliquez les correctifs système pour vous protéger contre cette attaque DoS ou désactivez SMBv2 et bloquez les ports 139 et 445.
Attaque Smurf
Il s’agit là d’un ping flooding un peu particulier. C’est une attaque axée sur les réseaux. Ce procédé comporte deux étapes:
- La première consiste à récupérer l’adresse IP de la cible par spoofing.
- La seconde est d’envoyer un flux maximal de packets ICMP ECHO (ping) aux adresses de Broadcast. Chaque ping comportant l’adresse spoofée de l’ordinateur cible.
Si le routeur permet cela, il va transmettre le broadcast à tous les ordinateurs du réseau, qui vont répondre à l’ordinateur cible. La cible recevra donc un maximum de réponses au ping, saturant ainsi totalement sa bande passante… Bien entendu, plus de réseau comporte de machines et plus c’est efficace… Ce processus est répétable et peut être automatisé pour générer d’énormes d’encombrements du réseau.
Contre-mesures possibles :
Pour vous protéger contre ce genre d’attaque, vous devez désactiver les diffusions dirigées par IP sur les routeurs. Ceci empêchera ou limitera la demande de diffusion d’écho ICMP sur les périphériques réseau. Une autre option serait de configurer les systèmes finaux pour les empêcher de répondre aux paquets ICMP à partir d’adresses de diffusion. Vous pouvez également configurer le firewall pour filtrer les packets ICMP echo ou les limiter à un pourcentage de la bande passante.
Ping of death
Un ping a normalement une longueur maximale de 65535 ((2 exp 16) – 1) octets, incluant une entête de 20 octets. Un ping of death c’est un ping qui a une longueur de données supérieure à la taille maximale. Lors de son envoi, le ping of death est alors découpé en packets plus petits. L’ordinateur cible qui reçoit ces paquets doit les reconstruire. Il peut alors subir des débordements de tampon et d’autres plantages. Certains systèmes ne gèrent pas cette fragmentation, et se bloquent, ou crashent complètement. D’où le nom de cette attaque.
Contre-mesures possibles :
Pour commencer, mettez à jour votre OS. Puis effectuez un test avant que quelqu’un d’autre le fasse à votre place. Si le système réagit correctement, il n’y a pas de problème. Dans le cas contraire, les attaques Ping of death peuvent être bloquées en utilisant un pare-feu qui vérifiera la taille maximale des paquets IP fragmentés.
Botnets
Les botnets sont les millions de systèmes infectés par des logiciels malveillants sous le contrôle de cyber-criminels, afin d’effectuer des attaques DDoS. Ces robots ou systèmes zombies sont utilisés pour effectuer des attaques contre les systèmes cibles. De la sorte, ils submergent souvent la bande passante et les capacités de traitement du système cible. Ces attaques DDoS sont difficiles à retracer parce que les botnets sont situés dans des lieux géographiques différents.
Contre-mesures possibles :
Il est très difficile de se protéger contre les botnets. Par contre, on affaiblit les botnets grâce aux mesures suivantes :
- Le filtrage RFC3704 empêchera le trafic en provenance d’adresses piratées et aidera à assurer la traçabilité du trafic jusqu’à son réseau source correct. Par exemple, le filtrage RFC3704 supprimera les paquets des adresses de liste bogon.
- Le filtrage des trous noirs, qui élimine le trafic indésirable avant qu’il n’entre dans un réseau protégé. Lorsqu’une attaque DDoS est détectée, l’hôte BGP (Border Gateway Protocol) doit envoyer des mises à jour de routage aux routeurs des FAI afin qu’ils acheminent tout le trafic en direction des serveurs victimes vers une interface null0 au prochain saut.
2. Attaque de l’homme au milieu
On parle d’attaque de l’homme au milieu (Man in the Middle ou MitM) lorsqu’un pirate s’insère entre les communications d’un client et d’un serveur. C’est une attaque qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l’internaute lambda. L’attaquant doit d’abord être capable d’observer et d’intercepter les messages d’une victime à l’autre. Les pirates interceptent les e-mails, l’historique de votre navigation sur Internet et les réseaux sociaux pour cibler vos données sécurisées et commettre des actes criminels.
Contrairement au phishing qui nécessite que vous baissiez votre garde involontairement et que vous ouvriez votre ligne de défense, une attaque dite de l’homme du milieu est une cyber-attaque passive. Elle se fait sans que vous en ayez conscience.
Elle affecte laussi bien es particuliers que les entreprises. Personne n’est à l’abri. En 2015, une importante opération menée par Europol a piégé 49 membres d’un groupe de cyber-criminels. Ils ciblaient des victimes à travers toute l’Europe. Leurs méthodes impliquaient l’utilisation de techniques de piratage informatique pour pénétrer des communications de confiance entre les entreprises et leurs clients. Une fois à l’intérieur, ils ont surveillé les communications et poussé les victimes peu méfiantes à transférer de l’argent sur leurs comptes bancaires.
Méthodes d’attaque
L’augmentation spectaculaire des bornes wifi gratuites et des connexions à haut débit a contribué à améliorer nos vies. Mais c’est aussi une aubaine pour les criminels qui veulent espionner ou intercepter vos activités en ligne.
Les voyageurs constituent une cible facile pour les cyber-criminels. Une méthode d’attaque classique consiste à créer sa propre connexion wifi. Imaginez que vous vous trouvez dans votre restaurant préféré. Vous configurez alors vos paramètres wifi pour vous connecter au réseau gratuit. Les réseaux disponibles listés sont-ils tous des réseaux wifi légitimes, ou certains appartiennent-ils à un pirate?
Cette question est primordiale. En effet, une fois que vous vous connectez à un faux réseau, le pirate obtient l’accès instantané à votre appareil. Il est très facile pour un pirate de créer des bornes wifi frauduleuses lui permettant d’avoir accès aux informations personnelles des personnes qui tentent de s’y connecter.
Détournement de messagerie
Le détournement de messagerie consiste à cibler des comptes de messagerie et à espionner des communications. Une fois infiltrés dans ce système fermé, les cyber-criminels peuvent envoyer de faux e-mails ou des imitations très réalistes. Généralement il s’agit de demande d’un transfert d’argent, de vos informations financières ou encore de vos mots de passe. Cela peut être particulièrement problématique lorsque les cibles sont des dirigeants d’une entreprise. Ils peuvent ainsi recevoir de faux e-mails semblant pourtant authentiques et leur demandant de transférer de l’argent.
Détournement de session
Le détournement de session est une attaque courante, où le pirate prend le contrôle des cookies de votre navigateur. Les cookies sont de petits morceaux de données qui stockent des renseignements sur les sites Web que vous visitez. Grâce à cet accès, le cyber-criminel peut voler tout un tas de données. Il peut s’agir de vos informations de connexion ou de vos informations personnelles saisies dans les formulaires en ligne.
Comment se protéger d’une attaque de type homme au milieu?
L’essentiel est de faire en sorte de naviguer en toute sécurité.
- Cryptez le trafic entre le réseau et votre appareil à l’aide d’un logiciel de chiffrement de navigation. Vous pourrez ainsi repousser les éventuelles attaques dites de l’homme du milieu.
- Vérifiez toujours la sécurisation des sites que vous visitez. La plupart des navigateurs affichent un symbole de cadenas à côté de l’URL lorsqu’un site Web est sécurisé. Si vous ne voyez pas ce symbole, vérifiez que l’adresse Web commence par « https ». Le « S » signifie « sécurisé » et garantit que vos données ne seront pas susceptibles d’être interceptées par des cyber-criminels.
- Utilisez un pare-feu. C’est également un moyen fiable de protéger vos données de navigation. Sans être infaillible, un pare-feu fournit un degré de sécurité supplémentaire lorsque vous utilisez un réseau wifi public. Si vous naviguez souvent sur un réseau wifi public, configurez un réseau privé virtuel (VPN). Ce type de réseau protège votre trafic et complique la tâche des pirates qui voudrait l’intercepter.
- Mettez vos logiciels de sécurité à jour. Les cyber-criminels ne cessent de s’adapter et de se perfectionner. Vous devriez donc en faire de même. En mettant à jour votre solution de sécurité, vous avez accès en permanence à des outils les plus actualisés. Et ils surveilleront votre activité en ligne pour une navigation sécurisée et agréable.
3. Phishing et Spear Phishing
L’hameçonnage (phishing) est la pratique consistant à envoyer des courriels qui semblent provenir de sources fiables. Le but est d’obtenir des renseignements personnels ou d’influencer les utilisateurs à faire quelque chose. Il combine l’ingénierie sociale et la supercherie technique. Cela peut prendre la forme d’une pièce jointe à un mail qui charge un logiciel malveillant sur votre ordinateur. Cela peut également être d’un lien vers un site Web illégitime qui peut vous amener à télécharger des logiciels malveillants ou à communiquer vos renseignements personnels. Pour une description détaillée, je vous invite à relire un de mes précédents articles : Phishing mode d’emploi.
L’hameçonnage au harpon (spear phishing) est un type particulier d’activité d’hameçonnage très ciblé. Les cyber-criminels prennent le temps de faire des recherches sur leurs cibles pour créer des messages personnels et pertinents. Pour cette raison, l’hameçonnage au harpon peut être très difficile à identifier et encore plus difficile à défendre. L’une des façons les plus simples qu’un pirate peut utiliser pour mener une attaque de harponnage est l’usurpation de courriels. Par exemple l’information dans la section « De » du courriel donne l’impression qu’elle provient de l’une de vos connaissances. Ce peut être votre direction ou un partenaire d’affaire. Les cyber-criminels utilisent souvent le clonage de site web pour donner de la crédibilité à leur histoire. Ils copient des sites Web légitimes pour vous tromper en fournissant des informations personnellement identifiables (IPI) ou des identifiants de connexion.
Comment vous protéger de l’hameçonnage ou de l’hameçonnage au harpon?
Pour réduire le risque d’être victime d’hameçonnage, je vous propose ces techniques simples :
- Pensée critique – Ne considérez jamais un courriel comme fiable par défaut. Peut-être simplement êtes-vous occupé ou stressé ou avez-vous 150 autres messages non lus dans votre boîte de réception. Arrêtez-vous un instant et analysez soigneusement le courriel.
- Survolez les liens – Déplacez votre souris sur le lien, mais ne cliquez surtout pas dessus ! Il suffit de laisser le curseur de votre souris sur le lien et de voir où il vous emmènerait réellement. Appliquer la pensée critique pour déchiffrer l’URL.
- Analyse des en-têtes de courriel – Les en-têtes de courriel définissent comment un courriel est arrivé à votre adresse. Les paramètres « Reply-to » et « Return-Path » doivent conduire au même domaine que celui indiqué dans l’email.
- Sandboxing – Vous pouvez tester le contenu des e-mails dans un environnement sandbox, en enregistrant l’activité à partir de l’ouverture de la pièce jointe ou en cliquant sur les liens à l’intérieur de l’e-mail.
4. Attaque par drive by download
Les attaques Drive by-download sont une méthode courante pour propager des logiciels malveillants. Les cyber-criminels recherchent les sites Web non sécurisés. Ils y implantent alors un script malveillant dans le code HTTP ou PHP sur l’une des pages. Ce script, invisible, peut installer des logiciels malveillants directement sur l’ordinateur d’une personne qui visite le site. Il peut aussi rediriger la victime vers un site contrôlé par les cyber-criminels. Les Drive by-download peuvent se produire lors de la visite d’un site Web ou de l’affichage d’un message électronique ou d’une fenêtre contextuelle.
Contrairement à de nombreux autres types d’attaques de cybersécurité, un drive-by ne nécessite pas qu’un utilisateur active l’attaque. Ainsi, même si vous n’avez pas cliqué sur un bouton ou ouvert une pièce jointe malveillante, vous pouvez être infecté. Un téléchargement par drive-by download peut profiter d’une application, d’un système d’exploitation ou d’un navigateur Web qui contenant des failles de sécurité dues à des mises à jour échouées, ou à l’absence de mises à jour.
Méthode d’attaque
Une attaque de type drive by download se déroule en 5 étapes.
Le terme drive-by download décrit la manière avec laquelle les malwares infectent votre ordinateur, lors de la simple visite d’un site web qui utilise un code malveillant (l’étape 1 de la cyberattaque : le point d’entrée).
La plupart du temps, il s’agit de sites officiels, qui ont été corrompus et qui vous redirigent vers un autre site web sous le contrôle de hackers (l’étape 2 d’une attaque web : la distribution).
Aujourd’hui, les cyber-criminels utilisent des malwares sophistiqués, disponibles sous la forme d’un kit d’exploit, et qui permettent de trouver une vulnérabilité au sein de votre logiciel parmi des milliers de possibilités.
Lorsque votre navigateur internet est redirigé vers le site web qui héberge un kit d’exploit, il examine votre système d’exploitation, votre navigateur internet et les autres logiciels (comme votre lecteur de PDF ou le lecteur vidéo). L’objectif est de trouver une faille de sécurité qu’il pourra exploiter (l’étape 3 de la cyber-attaque : l’exploit).
Lorsque le kit d’exploit a identifié une vulnérabilité, l’étape 4 d’une attaque web : l’infection, peut commencer. Dans la phase d’infection d’une attaque web, le kit d’exploit télécharge le logiez malveillant qui s’installe alors sur votre ordinateur.
Pour finir, vient l’étape 5 d’une attaque web: l’exécution. Lors de cette étape, le logiciel malveillant fait ce pour quoi il a été conçu, à savoir rapporter de l’argent à son maître.
Par exemple, le malware connu sous le nom de Zbot (APT), peut avoir accès à vos emails et vos comptes bancaires. Un autre type de charge utile est appelée ransomware. Le logiciel malveillant prend en otage vos fichiers en les cryptant et vous demande de payer une rançon pour les récupérer.
Comment vous protéger contre une attaque de type drive-by?
Pour vous protéger contre les attaques par drive-by-download, vous devez tenir à jour vos navigateurs et systèmes d’exploitation. Evitez également les sites Web qui pourraient contenir des codes malveillants. Tenez-vous-en aux sites que vous utilisez normalement – mais gardez à l’esprit que même ces sites peuvent être piratés. Ne conservez pas trop de programmes et d’applications inutiles sur votre machine. Plus vous avez de plug-ins, plus il y a de vulnérabilités exploitable par des attaques par drive-by-download.
5. Attaque par mot de passe
Méthode d’attaque
Les mots de passe sont le mécanisme le plus couramment utilisé pour authentifier les utilisateurs d’un système d’information. L’obtention de mots de passe est donc une approche d’attaque commune et efficace. Les cyber-criminels obtiennent l’accès au mot de passe d’une personne de multiples façon. Il suffit souvent de regarder autour du bureau de la personne, de sniffer la connexion au réseau pour acquérir des mots de passe non cryptés, d’utiliser l’ingénierie sociale, d’accéder à une base de données de mots de passe ou de le deviner directement. La dernière approche peut se faire de manière aléatoire ou systématique :
- Deviner un mot de passe par un passage en force brutal signifie essayer de nombreux mots de passe en espérant que l’un d’entre eux fonctionne. Les cyber-criminels appliquent alors une certaine logique en essayant des mots de passe liés au nom de la personne, à sa fonction, à ses loisirs, à ses proches ou à des éléments similaires.
- Dans une attaque par dictionnaire, un dictionnaire de mots de passe communs est utilisé pour tenter d’accéder à l’ordinateur et au réseau d’un utilisateur. Une approche consiste à copier un fichier crypté contenant les mots de passe, à appliquer le même cryptage à un dictionnaire de mots de passe couramment utilisés et à comparer les résultats.
Comment vous protéger?
Afin de vous protéger contre les attaques par dictionnaire ou par force brute, vous pouvez mettre en œuvre une politique de verrouillage de compte qui verrouillera le compte après quelques tentatives de mot de passe invalides.
Vous avez un témoignage ou un commentaire? Alors ne soyez pas timide et laissez-nous un commentaire. Plus il y a d’échanges sur ce sujet sensible et plus les gens seront informés et sensibilisés. N’oubliez pas : la probabilité de subir une cyber-attaque en 2019 est de 28%. Si cet article vous a plu, vous pouvez aussi nous laisser un « like » et vous abonner à notre blog.