Cours: un monde à hauts risques
Cyber attaque: atteinte à des systèmes informatiques réalisée dans un but malveillant
4 types de risques cyber:
1) Cybercriminalité
2) Atteinte à l'image
Les attaques de déstabilisation via les réseaux sociaux.
Exfiltration, défiguration, déacement, qui portent atteinte à l'image de la victime
3) Espionnage, à des fins économiques ou scientifiques.
Lourds conséquence pour les organisations
Objectif de l'attaquant: maintenir son accès le plus longtemps possible pour capter l'information stratégique.
4) Sabotage : rendre inopérant un système d'information.
Impacts multiples:
perte de disponibilité : empêche le bon fonctionnement de l'entreprise (site de e-commerce...)
Affectation de l'image de l'entreprise. Confidentialité? Confiance?
Pertes financières: les actionnaires n'ont plus confiance et retirent leurs invesissements.
Cyber attaques massives ou ciblées.
Une caméra, une imprimante connectée à système d'information peut être une porte ouverte aux attaques.
Les attaquants se constituent ainsi des réseaux de botnets prêts à attaquer.
Les attaques ciblées: l'attaquant s'est renseigné sur sa victime et met en oeuvre des techniques pour l'atteindre. Cartographie de l'attaqué.
Qui me menace et comment?
LES "PIRATES TYPE"
Des groupes organisés tels que le réseau Anonymous quant à eux procèdent par exemple à des actions de défacement, de piratage de sites web, ou de divulgation d'informations pour revendiquer des actions auprès d’entreprises réputées ou pour procéder à des opérations punitives.
Il existe plusieurs types de pirates ayant des motifs d’attaques différents : du hacker isolé agissant par vengeance ou démonstration de compétence, au groupe du hacker organisé ayant pour objectif de revendre ses services pour déstabiliser des entreprises, ou de revendre des informations subtilisées dans des bases de données non-sécurisées comme des informations bancaires ou des données nominatives.
Cette multiplicité de menaces complique d'autant le travail de nos outils ou de notre service informatique.
Les attaques de masse
PENSEZ-VOUS QUE LES ATTAQUES DE PHISHING, C'EST-À-DIRE DES ATTAQUES UTILISANT DES MAILS PIÉGÉS, SOIENT FORCÉMENT CIBLÉES ? Non. Certaines attaques comme l'hameçonnage ou le « phishing » peuvent être massive ou ciblées.
Les attaques de masse sont aujourd'hui très courantes, car leur coût est très faible pour l'attaquant et les revenus générés peuvent rapidement devenir intéressants. Les attaques de masse scannent ou balayent Internet pour trouver des objets non-sécurisés comme les caméras que nous avions citées en introduction pour en prendre le contrôle facilement si le mot de passe n'a pas été changé.
Les attaquants arrivent ainsi à se constituer un réseau d'objets connectés pour en faire un « botnet », c'est-à-dire un réseau de machines compromises, autrement dit un groupe d’ordinateurs infectés et contrôlés par un pirate à distance. Ce réseau servira par la suite à commettre une attaque sur une cible prédéfinie par l’intermédiaire des objets connectés des entreprises ou des logements personnels sans que personne ne le sache.
EXEMPLE D'ATTAQUE DDoS
Cette attaque a ainsi utilisé un réseau de plus de 145 000 objets connectés sur Internet pour établir des connexions sur les serveurs de l’hébergeur de manière à les rendre instables.
Le nombre de connexions par seconde était bien plus important que le nombre de connexions que les serveurs avaient l’habitude de recevoir. Même si l’attaque a été absorbée, certains sites ont tout de même été rendus instables.
C'est cette situation qu'a connu un hébergeur français lors de l'attaque DDoS la plus puissante jamais enregistrée pour atteindre les 1Tbits/s (le débit demandé aux serveurs pour envoyer les données aux appareils connectés).
Notons qu'on appelle DDoS ou « Distributed Denial of Service » une attaque par déni de service visant à rendre indisponible un ou plusieurs services.
https://www.undernews.fr/hacking-hacktivisme/lhebergeur-ovh-vise-par-la-plus-violente-attaque-ddos-jamais-enregistree-1tbps.html
LES RANSOMWARE / RANÇONGICIELS
Les attaques de masse ne se soucient pas de l’identité des victimes. L’objectif est de faire l’attaque la plus large qui soit pour avoir un impact maximal et récolter le plus d’argent possible. Les dernières attaques de masse connues sous le nom de ransomware représentent bien cette théorie.
Le « ransomware » ou « rançongiciel » est une technique d’attaque courante de cybercriminalité qui consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange d’une clé de déchiffrement.
Les logiciels malveillants de rançonnage se diffusent souvent par mail grâce à des techniques de « phishing », ou « d'hameçonnage » consistant à imiter les couleurs d’une institution ou d’une société (banque, services des impôts) pour inciter le destinataire à fournir des informations personnelles.
Ces mails, envoyés en masse via des listes constituées d'adresses volées ou achetées illégalement, demandent à l’utilisateur de cliquer sur un lien ou d’ouvrir un fichier en pièce jointe. Lorsque l'utilisateur ouvre le fichier, un logiciel est installé sur son poste à son insu, qui chiffre une partie ou l’ensemble des données contenues sur l’ordinateur.
Si par la suite, l’utilisateur souhaite déchiffrer les données, il devra payer une rançon, d’où le terme de « ransomware » ou « rançongiciel ».
Une société bretonne a ainsi dû stopper sa production pendant une quinzaine de jours à cause d’un rançongiciel.
Dans ce cas, l'entreprise en tant que telle n'était pas spécifiquement visée, mais l'adresse email de l'un de ses employés faisait partie d'une liste d'adresse qui a reçu un email malveillant. Cette personne a ouvert la pièce-jointe du mail, ce qui a eu pour conséquence d'infecter le réseau de l'entreprise.
FACE À CES ATTAQUES DE RANÇONGICIELS, MON ANTIVIRUS SUFFIT À ME PROTÉGER? Non. Il est important d’être conscient qu’un antivirus vous protège de nombreuses menaces déjà connues mais qu’il sera inefficace face à ce type d’attaques. Votre messagerie peut dans certains cas vous aider à identifier des mails suspects mais vous devez toujours rester vigilant.
SE PROTÉGER DES RANÇONGICIELS
● Sauvegardez régulièrement vos données
● Vérifiez les expéditeurs des emails
● Soyez vigilants avec les extensions de fichiers en .exe
● Utilisez un antivirus à jour
● N'ouvrez pas de pièces jointes en cas de doute sur leur légitimité
● Ne téléchargez rien sur des plateformes douteuses et surtout... n'encouragez pas le cyber crime en payant une rançon !
Rançon payée =fichiers libérés
Rançon impayée = fichiers définitivement chiffrés
Notez qu’un rançongiciel est destructeur pour votre ordinateur et vos données.
Une fois exécuté, son action est irréversible ! Il chiffre les documents présents sur le disque dur et sur l’ensemble du réseau de l’entreprise où l’ordinateur est connecté.
Plusieurs sources de motivation
LE DÉFI TECHNIQUE
Etudions en détail les sources de motivations des pirates informatiques.
De manière générale, il y a plusieurs sources demotivation pour qu’une personne ou une
organisation décide de s’en prendre à un système d’information.
▼
On trouve en premier lieu, et de manière« historique », certains individus souvent assez jeunes, qui possèdent une certaine maîtrise de l’outil informatique et souhaitent relever un défi en attaquant des systèmes d’information.
C’est ce qu’on appelle des « script kiddies » qui utilisent bien souvent des logiciels d’attaque existant ou des tutoriels trouvés sur Internet pour réaliser certaines attaques.
REVENTE DE FAILLE TECHNIQUE
En revanche, certains attaquants ont un
profil beaucoup plus technique.
Ce sont souvent eux qui conçoivent les
outils utilisés par les « scripts kiddies ».
Ces profils techniques vont s’atteler à
rechercher des failles informatiques
inconnues et mettre à disposition des
outils simples pour les exploiter.
De tels attaquants peuvent même vendre
certaines découvertes.
C’est ce qui alimente un marché noir sur les
failles informatiques, dites failles 0-day.
Ces failles ont pour particularité d’être
inconnues avant qu’elles ne soient exploitées
par la personne l’ayant découverte.
Ainsi, des failles 0-day pour des logiciels très
utilisés peuvent valoir bien plus cher qu’une
faille 0-day pour un logiciel métier peu
connu.
Ces profils techniques peuvent se structurer
entre eux pour constituer des « cyber-gang »
qui mettent à disposition leurs services
payants pour réaliser des attaques
informatiques sur catalogue.
Ces profils ont donc le profit comme
principale motivation.
Exemple, faille ie, 300 Euros…
LES HACKTIVISTES
Au-delà de l’aspect lucratif, certains hacktivistes recherchent l’impact le plus large possible pour avoir un effet ayant une taille critique. Assurément, l’objectif est bien de diffuser un message idéologique et d’influencer l’opinion à travers des attaques informatiques.
En général, le niveau technique utilisé alors par les attaquants n’est pas très élaboré. Il s’agit par exemple d’utiliser la défiguration de sites Internet qui ne nécessite pas de niveau technique élevé mais pour lequel l’impact peut être important.
Concrètement, défigurer un seul site Internet pour faire passer un message aura bien moins d’impact que si 5 000 sites Internet diffusent le même message. L’impact dépend également de la nature du site Internet ciblé. Par exemple, si le site d’une société de sécurité informatique est attaqué, même si l’attaque ne dure que peu de temps, l’image de la société sera ternie de même que sa réputation, et donc à terme, son chiffre d’affaires.
ATTAQUE ÉTATIQUE
Certaines attaques sont dites « étatique » et se caractérisent généralement par leur aspect très ciblé, leur degré de sophistication et l’utilisation de vulnérabilités inconnues de manière coordonnée.
Des lanceurs d’alertes ont ainsi révélé par exemple que certains opérateurs téléphoniques américains livraient chaque jour aux services de renseignements, la totalité des données téléphoniques en leur possession concernant les communications téléphoniques au sein des États-Unis, mais aussi entre les États-Unis et l'étranger.
De même, d’autres révélations ont montré que les internautes étaient également surveillés via des programmes installés dans les serveurs de grandes entreprises américaines.
ESPIONNAGE
Les cyberattaques peuvent également servir pour de l'espionnage. Dans ce cas, les attaquants vont rechercher à exfiltrer les informations stratégiques des entreprises et des particuliers comme des secrets de fabrication, des orientations de recherche et de développement, etc. Les secteurs les plus touchés sont l'armement, le spatial et le secteur pharmaceutique.
REGIN
En 2014, un éditeur d'anti-virus a ainsi découvert un virus d'espionnage nommé « REGIN ». Actif depuis au moins 2008, il serait utilisé comme plate-forme de cyber espionnage contre des organisations privées et publiques. Il aurait pour rôle principal de collecter des données, mais il pourrait également prendre le contrôle d'ordinateurs cibles, prendre des captures d'écrans et voler les mots de passe sur des cibles bien identifiées.
Part d'infection de REGIN par secteur d'activité
Recherche 5 %
Aéronautique 5 %
Énergie5 %
Santé 5 %
Télécoms 28 %
Petites entreprises 48 %
Source :
Symantec
https://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
FLAME
Autre exemple, en mai 2012, le virus nommé « FLAME » était chargé d'intercepter les emails, fichiers PDF, fichiers de bureautique (comme Word ou Excel) et d'enregistrer des conversations à distance, sur plus de 1 000 postes notamment basés au Proche-Orient. Il s'agit d'une véritable trousse à outils pour récupérer n'importe quel type d'information à distance.
Ce virus est présumé créé par les États-Unis et Israël, on parle de virus d'état ou de cyber espionnage.
Part d'infection de REGIN par pays
Mexique 5%
Autriche Belgique 5%
Arabie Saoudite 24%
Pakistan, Inde 5%
Iran, Afghanistan 5%
Russie 28%
Irlande 5%
VENGEANCE
Enfin, il existe une autre catégorie d'attaques ciblées, lorsque l'attaquant est tout simplement
un ancien employé de l'entreprise victime par exemple.
En effet, les anciens employés connaissent assez bien les systèmes d'information et connaissent les potentielles vulnérabilités.
Dans ce cas-là, les motivations de ce type de profil sont d'ordre émotionnel ou pour tirer
profit de la situation.
Un ex-employé mécontent des pratiques de son ancienne entreprise pourrait vouloir se
retourner contre son employeur et attaquer les systèmes d'information pour avoir un impact
financier ou un impact sur la réputation de l'organisme ciblé.
VOL DE DONNÉES
Les cyberattaques peuvent également avoir pour objectif de voler vos données. Ces données vont souvent être des identifiants / mots de passe, ou des numéros de carte bancaire. Le vol de données peut aussi être plus ciblé, se rapprochant de la vengeance ou de l'espionnage industriel.
Dans tous les cas, le principe consiste à exploiter une faille (humaine ou technique) dans le système
d'information d'une entité afin d'accéder à des données (fichiers ou bases de données) non autorisées.
APT
Dans le cas d'attaques ciblées comme les APT par exemple, la phase de préparation de l'attaque va être longue, afin que l'intrusion soit la plus discrète possible. Il en est de même pour l'exfiltration des données, qui va
être lissée dans le temps afin de ne pas être repérée par leur propriétaire légitime.
Le vol de données peut également faire l'objet de chantage. Ce chantage pourra aussi être lié à une menace d'attaque tels que les rançongiciels ou les DdoS
Nous venons de voir Plusieurs sources de motivations. Découvrons maintenant "Les conséquences
pour les victimes de cyberattaques".
LES CONSÉQUENCES POUR LES VICTIMES DE CYBERATTAQUES
LA PERTE FINANCIÈRE
Pour les entreprises et les particuliers, les
conséquences des cyberattaques peuvent être
de plusieurs natures mais la conséquence la
plus couramment rencontrée est la perte
financière engendrée par la fraude.
La fraude est un acte commis dans l’intention
de nuire et d’en tirer un profit illicite.
Plusieurs conséquences sont alors possibles :
les « pirates » peuvent se connecter aux
systèmes dans le but de détruire des données,
ou au contraire d’accumuler les données
pour mieux connaitre leur « proie » et parvenir
à détourner de l’argent.
Ce dernier cas est illustré par la « fraude au président » qui consiste à obtenir un virement vers un compte à l'étranger, sur ordre supposé d'un dirigeant ou d'un fournisseur, derrière lequel se cache en réalité un internaute malveillant.
En effet, la fraude est assez facile à mettre en œuvre avec les nouveaux modes de communication puisqu’il est assez simple de récupérer des données d’une entreprise en vue d'un gain financier qui peut être important.
On peut également retrouver la fraude dans des cas plus précis et plus techniques comme les attaques sur les systèmes d’information des bourses et notamment les systèmes de HFT (« High Frequency Trading ») où il y a un risque d’effacement de millions de transactions et de détournement d’investissements associés. Dans ce cas, des sommes importantes d’investissement peuvent être perdues et donc léser l’entreprise.
L'ATTEINTE À L'IMAGE
Au-delà de l’aspect financier, les attaques informatiques peuvent jouer sur l’avenir des dirigeants.
Par exemple, lors du piratage ("The impact team") d’un site de rencontres extraconjugales, le PDG de la société propriétaire dusite a décidé de démissionner suite à la publication de 30 Go de données du site contenant les noms, les comptes utilisateurs, les courriels et les adresses ainsi que les historiques de navigation de ses clients.
https://www.latribune.fr/technos-medias/internet/le-pdg-d-ashley-madison-demissionne-501183.html
Malheureusement cette expérience a démontré que cela pouvait aller tragiquement plus loin puisque certaines personnes se sont suicidées suite aux révélations du site.
Il s’agit là d’un aperçu des conséquences sociales que peut avoir un piratage.
Enfin, les attaques informatiques peuvent servir à neutraliser les systèmes ciblés.
Par exemple, l’attaque par déni de service distribué (DDoS) va saturer le réseau pour
rendre un site Internet indisponible. Pour une entreprise, cela peut se traduire par des pertes financières élevées lors de l’indisponibilité de ses services.
De manière plus poussée, les cyberattaques peuvent également aller jusqu’à détruire du matériel physique. Par exemple, il est possible de leurrer les capteurs de sécurité d’un système industriel
afin de modifier ses réglages et donc l’obliger à détruire voire à s’autodétruire.
Ces attaques sont rares, mais restent envisageables.
CONCLUSION
Le cyberespace est un monde à hauts risques qu'il est important d'identifier afin de mettre en place les mesures de protection adaptées pour protéger les systèmes d'information visés par les attaquants. Si malgré toutes vos précautions vous êtes la cible d'une cyberattaque, quelques recommandations s'imposent.
En tant que salarié, il est tout d'abord recommandé de débrancher son ordinateur de bureau du réseau et de couper son wifi.
Ensuite, il est important de signaler l'attaque à votre service informatique dans les plus brefs délais afin qu'il puisse intervenir pour évaluer les dommages et limiter les conséquences.
cybermalveillance.gouv.fr
D'autre part, la plateforme cybermalveillance.gouv.fr mise en place par l'ANSSI a pour objectif de venir en aide aux victimes d'actes de cyber malveillance.
La plateforme s'adresse aux particuliers et également à toutes les entreprises et collectivités territoriales (hors OIV).
Elle a pour objectifs :
-La mise en relation des victimes via une plateformenumérique avec des prestataires de proximité
susceptibles de les assister techniquement ;
-La mise en place de campagnes de prévention et de sensibilisation à la sécurité du numérique, sur le modèle de la sécurité routière ;
-La création d'un observatoire du risque numérique permettant de l'anticiper.
Concrètement, une victime d'un acte de cybermalveillance pourra se connecter sur une plateforme en ligne qui lui indiquera la marche à suivre.
Grâce à ses réponses au questionnaire, la victime sera orientée vers les prestataires de proximité susceptibles de répondre à son besoin technique.
La plateforme d'assistance aux victimes d'actes de cybermalveillance (ACYMA)
fournira également des contenus de sensibilisation aux enjeux de la protection de la vie privée numérique et développera des campagnes de prévention en la matière. Grâce au recueil de nombreuses statistiques, ACYMA créera un observatoire du risque numérique permettant
ainsi de l'anticiper. Les CERT (Computer Emergency Response Team) - de l'entreprise, d'état ou autre - sont également capable d'intervenir pour vous venir en aide.
https://www.ssi.gouv.fr/administration/glossaire/
Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit
Commentaires?
Voilà, j'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus
ou contactez-nous?