En savoir plus sur le risque Cyber-attaques

Il existe 4 types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises :

  • la cybercriminialité
  • l’atteinte à l’image
  • l’espionnage
  • le sabotage

Le premier type d’attaques touche aussi bien les particuliers que les entreprises. Les 3 autres sont plutôt perpétrées à l’encontre des administrations ou des entreprises.

 

La cybercriminalité

Les attaques visent à obtenir des informations personnelles afin de les exploiter ou de les revendre (données bancaires, identifiants de connexion à des sites marchands, etc.).

L'attaque par hameçonnage (phishing)

L’hameçonnage, phishing ou filoutage est une technique malveillante très courante sur Internet. L’objectif est d’opérer une usurpation d’identité afin d’obtenir des renseignements personnels et des identifiants bancaires pour en faire un usage criminel.

  1. Le cybercriminel se « déguise » en un tiers de confiance (banques, administrations, fournisseurs d’accès à Internet…) et diffuse un mail frauduleux, ou contenant une pièce jointe piégée, à une large liste de contacts. Le mail invite les destinataires à mettre à jour leurs informations personnelles (et souvent bancaires) sur un site internet falsifié vers lequel ils sont redirigés.
  2. La liste comprend un nombre important de contacts et augmente les chances que l’un des destinataires se sente concerné par le message diffusé.
  3. En un clic, l’utilisateur est redirigé vers le site falsifié qui va recueillir l’ensemble des informations qu’il renseigne.
  4. Ces informations sont alors mises à disposition du cybercriminel qui n’a plus qu’à faire usage des identifiants, mots de passe ou données bancaires récupérées.

L'attaque par « Rançongiciel » (ransomware)

Les rançongiciels sont des programmes informatiques malveillants de plus en plus répandus (ex : Locky, TeslaCrypt, Cryptolocker, etc…). L’objectif est de chiffrer des données puis demander à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

  1. Le cybercriminel diffuse un mail qui contient des pièces jointes et / ou des liens piégés. Le corps du message contient un message correctement rédigé, parfois en français, qui demande de payer rapidement une facture par exemple.
  2. En un clic, le logiciel est téléchargé sur l’ordinateur et commence à chiffrer les données personnelles : les documents bureautiques (.doc, .xls, .odf…etc), les photos, la musique, les vidéos, etc...
  3. Les fichiers devenus inaccessibles, un message s’affiche pour réclamer le versement d’une rançon, payable en bitcoin ou via une carte prépayée, en échange de la clé de déchiffrement. Attention, rien n'indique que le déchiffreur en question soit efficace !

 

L’atteinte à l’image

Lancées à des fins de déstabilisation contre des administrations et des entreprises et régulièrement relayées par les réseaux sociaux, les attaques de déstabilisation sont aujourd’hui fréquentes, faisant appel à des outils et des services disponibles en ligne. De l’exfiltration de données personnelles à l’exploitation de vulnérabilité, elles portent atteinte à l’image de la victime en remplaçant le contenu par des revendications politiques, religieuses, etc.

L'attaque par déni de service

Le déni de service peut porter atteinte à l’image de la victime et constitue une menace pour toute organisation disposant d’un système d’information connecté à Internet. L’objectif est de rendre le site internet, et donc le service attendu, indisponible.

Le cybercriminel peut :

  • exploiter une vulnérabilité logicielle ou matérielle
  • solliciter une ressource particulière du système d'information de la cible, jusqu'à « épuisement ». Cette ressource peut être la bande passante du réseau, la capacité de traitement globale d'une base de données, la puissance de calcul des processeurs, l'espace disque, etc…

Plusieurs indices classiques se manifestent :

  • accroissement de la consommation de la bande passante sans explication légitime
  • allongement des files d'attente des serveurs de messagerie ou retard dans le temps de transit des messages
  • ruptures de communications sur délai de garde (timeout) ou signalées par message d'erreur (host unreachable)

L'attaque par défiguration

Généralement revendiqué par des hacktivistes,  ce type d’attaque peut être réalisé à des fins politiques ou idéologiques, ou à des fins de défi technique (challenge entre attaquants). L’objectif est de modifier l’apparence ou le contenu d’un site internet, et donc de violer l’intégrité des pages en les altérant.

Le cybercriminel exploite souvent des vulnérabilités connues (défaut de sécurité), mais non corrigées du site web.

Visible ou bien plus discrète pour le visiteur, la compromission réussie du site peut prendre différentes formes : ajout d’informations sur une page Web ou remplacement intégral d’une page par une revendication.

 

L’espionnage

Très ciblées et sophistiquées, les attaques utilisées pour l’espionnage à des fins économiques ou scientifiques sont souvent le fait de groupes structurés et peuvent avoir de lourdes conséquences pour les intérêts nationaux. De fait, il faut parfois des années à une organisation pour s’apercevoir qu’elle a été victime d’espionnage, l’objectif de l’attaquant étant de maintenir discrètement son accès le plus longtemps possible afin de capter l’information stratégique en temps voulu.

L'attaque par point d’eau (watering hole)

La technique du « point d’eau » consiste à piéger un site Internet légitime afin d’infecter les équipements des visiteurs du secteur d’activité visé par l’attaquant. L’objectif est d’infiltrer discrètement les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblée pour récupérer des données.

  1. Le cybercriminel exploite une vulnérabilité d’un site web et y dépose un virus (malware). Le site qui sert d’« appât » est choisi spécifiquement pour attirer la victime ciblée par l’attaque in fine.
  2. La victime ciblée est incitée à se rendre ou est redirigée automatiquement sur le site contaminé. Son navigateur exécute alors le malware et l’installe à son insu sur ces appareils (ordinateur, téléphone). Le cybercriminel dispose alors d’un accès total ou partiel à l’appareil infecté.
  3. Le cybercriminel demeure discret afin de capter le plus longtemps possible des données.

L'attaque par hameçonnage ciblé (spearphishing)

Cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée. L’objectif est d’infiltrer le système d’information d’une organisation d’un secteur d’activité ciblé.

  1. Le cybercriminel, via un courriel, usurpe l’identité d’une personne morale (établissement financier, service public, concurrent…) ou d’une personne physique (collègue de travail, famille, ami…).
  2. Phase de contamination : le destinataire est invité à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site Web malveillant. Une première machine est ainsi contaminée.
  3. Phase d’infiltration : le cybercriminel en prend le contrôle pour manœuvrer au sein du système d’information de l’organisation qui est la véritable cible.
  4. « Escalade de privilège » : l’attaquant cherche à obtenir des droits « d’administrateur » pour pouvoir rebondir et s’implanter sur les postes de travail et les serveurs de l’organisation où sont stockées les informations convoitées (« propagation latérale »).
  5. Phase d’exfiltration : l’attaquant vole le plus discrètement possible des données, soit en une seule fois, en profitant d’une période de moindre surveillance (la nuit, durant les vacances scolaires, lors d’un pont…), soit de manière progressive plus insidieuse.
  6. Il prend généralement soin de toujours effacer derrière lui toute trace de son activité malveillante.

 

Le sabotage

Le sabotage informatique est le fait de rendre inopérant tout ou partie d’un système d’information d’une organisation via une attaque informatique.

Le sabotage s’apparente à une « panne organisée », frappant tout ou partie des systèmes, selon le type d’atteinte recherchée (désorganisation durable ou non, médiatisée ou non, plus ou moins coûteuse à réparer). Pour y parvenir, les moyens d’attaques sont d’autant plus nombreux que les organisations ne sont pas toujours préparées à faire face à des actes de malveillance.

Le sabotage et la destruction de systèmes informatiques peuvent avoir des conséquences dramatiques sur l'économie d'une organisation, sur la vie des personnes, voire sur le bon fonctionnement de la Nation s’ils touchent des secteurs d’activité clés.

 

Source : www.gouvernement.fr/risques