Comment se protéger des cyberattaques ?

Dans le cadre des cyberattaques, les criminels utilisent Internet pour s’enrichir personnellement ou nuire aux autres. Ce faisant, différents schémas d’attaque sont mis en œuvre, qui sont adaptés aux objectifs poursuivis par les attaquants. Il est toutefois possible de les contrecarrer en recourant à la prudence et à des stratégies de sécurité.

Qu’est-ce qu’une cyberattaque ?

Une cyberattaque est une attaque ciblée contre des systèmes informatiques ou des réseaux, visant à voler des données, saboter des systèmes ou causer d’autres types de dommages. Les cybercriminels visent délibérément certaines personnes, entreprises, organisations ou autorités. Chaque attaque poursuit donc un objectif précis. Les motivations peuvent toutefois être très diverses :

• Vol : à l’image de nombreux actes criminels, la cybercriminalité a souvent pour objectif de s’enrichir. Des données sont régulièrement subtilisées à cette fin, qui sont ensuite revendues ou utilisées pour piller des comptes bancaires.
• Extorsion : les criminels infectent le système d’individus particuliers et des entreprises de manière à en empêcher l’utilisation ; du moins par les profanes. En agitant la promesse de libérer à nouveau l’infrastructure informatique, les criminels peuvent extorquer des sommes d’argent considérables.
• Sabotage : il n’est pas toujours question d’extorquer l’argent de la victime : bien souvent, les attaques sont financées par des commanditaires. Leur objectif peut être, par exemple, de nuire à la concurrence afin de favoriser le succès de leur propre entreprise.
• Activisme : l’« hacktivisme » devient de plus en plus populaire. Les cybercriminels motivés par des opinions politiques mobilisent leurs compétences pour nuire à certains acteurs impopulaires ou pour attirer l’attention sur des objectifs politiques à travers leurs attaques.
• Espionnage : l’espionnage industriel et l’espionnage gouvernemental visant d’autres États prennent de plus en plus place sur Internet. L’objectif consiste ici à s’arroger un avantage en matière de connaissances.

Quels sont les différents types de cyberattaques ?

La variété des motifs se reflète aussi dans la variété des moyens mis en œuvre à cette fin. Dans de nombreux cas de figure, les schémas d’attaque sont également combinés entre eux afin de causer des dommages aussi importants et étendus que possible.

Hameçonnage

Les emails d’hameçonnage (phishing en anglais) incitent les personnes à négliger les aspects de sécurité et à télécharger des logiciels malveillants camouflés ou à divulguer des informations sensibles à l’aide de l’ingénierie sociale. Cette méthode se décline aussi dans les sous-catégories du smishing (hameçonnage par SMS) ou du vishing (hameçonnage par téléphone).

Man in the Middle (MITM)

Dans le cas des attaques Man in the Middle, l’attaquant s’immisce entre deux utilisateurs du réseau Internet, par exemple entre un client et un serveur. Les criminels tentent ainsi d’accéder à des données sensibles, telles que des mots de passe. De telles attaques peuvent être rendues possibles, par exemple via des logiciels malveillants ou des connexions Wi-Fi non sécurisées. Ces attaques utilisent principalement des certificats falsifiés ou différentes techniques de spoofing.

Déni de service

Quand le seul but d’une attaque est de mettre un service Web à l’arrêt, une attaque par déni de service est souvent utilisée. Un serveur est inondé de requêtes jusqu’à ce qu’il ne puisse plus fonctionner. Des attaques de plus grande envergure sont déclenchées par le biais d’attaques DDoS (Distributed-Denial-of-Service). Pour ce faire, les criminels utilisent souvent les ressources de botnets, des réseaux de centaines d’ordinateurs infectés par le malware correspondant. Les appareils participent alors à la cyberattaque sur le serveur, sans que leurs propriétaires ne le sachent.

Injection SQL

Dans le cas d’une injection SQL, les pirates utilisent les interactions SQL d’une application Web dans lesquelles des entrées utilisateur insuffisamment filtrées sont intégrées aux requêtes (par exemple via des champs de saisie non sécurisés). Grâce à des zones comme les champs de commentaire ou les barres de recherche, ils parviennent à manipuler la base de données SQL de manière à extraire, modifier ou supprimer des données sensibles.

Exploits zero day

Les exploits zero day sont des vulnérabilités logicielles ou matérielles exploitées par des attaquants avant que le fabricant ou la communauté de développeurs n’en soit informé et ne puisse fournir un correctif. Le terme « zero day » fait référence au fait qu’il n’y a pas de délai d’alerte préalable. La menace des exploits zero day est particulièrement élevée, car les mesures de sécurité traditionnelles ne peuvent pas les détecter dans la plupart des cas. Les attaques peuvent par exemple se produire via des pièces jointes d’email infectées, des sites Web compromis ou directement via des vulnérabilités dans les systèmes d’exploitation et les applications.

Cyberattaques célèbres

Ces dernières années ont vu les attaques à grande échelle contre les entreprises et les administrations augmenter. Cela est dû d’une part aux actions de collectifs de hackers comme Anonymous, dont les médias se font écho. D’autre part, il est également fait état de vols de données à grande échelle qui n’ont pas seulement touché les entreprises attaquées, mais aussi des milliers d’utilisateurs.

WannaCry

Une cyberattaque classique s’est produite en 2017 en s’appuyant sur le rançongiciel WannaCry. Si les attaques n’étaient pas ciblées, elles ont été orchestrées de manière à ce que des centaines de milliers de PC soient attaqués en très peu de temps. Les cybercriminels avaient emprunté une porte dérobée dans les anciens systèmes Windows, qui a été initialement découverte par l’agence américaine de renseignement NSA, mais qui n’a pas été divulguée. Les ordinateurs sur lesquels aucun correctif de sécurité n’avait été installé auparavant ont été affectés.

Cet exploit a permis aux attaquants d’injecter leur logiciel malveillant, qui a ensuite chiffré toutes les données. Les utilisateurs ne sont alors plus en mesure d’utiliser leur système. Au lieu de cela, ils reçoivent un message leur intimant de payer 300 $ en bitcoins. Bien que de nombreux experts en sécurité déconseillaient le paiement de la rançon, les criminels ont pu rassembler plus de 130 000 $ sous la forme de cryptomonnaie.

Projet Chanology

Le groupe de hackers Anonymous a fréquemment défrayé la chronique ces dernières années. Une attaque du groupe a ciblé la Scientologie. En 2007, l’organisation a tenté de faire disparaître d’Internet une interview avec son célèbre membre Tom Cruise. Les activistes qui ont revendiqué leur appartenance à Anonymous y ont vu une forme de censure et ont annoncé des actions de représailles par message vidéo.

Peu de temps après, les pirates ont commencé à saturer les serveurs de la Scientologie par des attaques DDoS. Cela a permis aux attaquants de paralyser le site Web pendant une courte période. Une multitude de fax a été envoyée et des appels bidons ont été passés dans le but de perturber massivement le fonctionnement des activités de l’organisation. Après les attaques numériques illégales du début contre la Scientologie, l’activisme s’est progressivement orienté vers des manifestations légales devant les bureaux de l’organisation.

Piratage de SolarWinds

L’une des cyberattaques les plus graves de ces dernières années a été révélée en 2020. Il s’agit du piratage de SolarWinds, qui a consisté en une attaque dite de supply chain. Cette attaque a compromis la chaîne d’approvisionnement en logiciels de la société SolarWinds, un fournisseur de logiciels de gestion de réseau utilisés par de nombreuses entreprises et administrations dans le monde entier. Les pirates ont accédé au système interne de SolarWinds et ont manipulé une mise à jour du logiciel Orion, qui a ensuite été installée par des milliers de clients.

Grâce à cette porte dérobée, les responsables de l’attaque ont pu accéder à des réseaux sensibles d’agences gouvernementales américaines, de sociétés informatiques et de grandes entreprises. Le Trésor américain, le ministère du Commerce des États-Unis, Microsoft et FireEye ont notamment été touchés. L’attaque est restée inaperçue pendant des mois, car les traces ont été brouillées et les actions particulièrement prudentes, la rendant particulièrement dangereuse. Ce n’est que lorsque la société de cybersécurité FireEye a découvert des activités suspectes dans son système que l’ampleur du piratage est apparue.

Hack de Yahoo!

En 2013 et 2014, le groupe Yahoo! a dû faire face à plusieurs attaques réussies sur ses bases de données. Les attaquants ont pu exploiter plusieurs milliards d’enregistrements de données, y compris des mots de passe mal chiffrés ou des réponses entièrement non chiffrées aux questions de sécurité. Ils ont ensuite été revendus sur des marchés illégaux sur le Dark Web. Les acheteurs espéraient ainsi pouvoir exploiter les mots de passe sur d’autres plateformes ou par le biais des services bancaires en ligne, et en tirer profit.

Suite à ces attaques, Yahoo! a demandé à ses utilisateurs d’attribuer de nouveaux mots de passe et de définir de nouvelles réponses aux questions de sécurité. Ils ont ensuite été soumis à un meilleur chiffrement. Yahoo! a dû indemniser les utilisateurs touchés d’un montant de plus de 100 millions de dollars US.

Comment se protéger contre une cyberattaque ?

Les cybercriminels trouvent des moyens toujours plus élaborés pour pirater des systèmes étrangers et subtiliser des données. Même les experts en sécurité ont généralement un temps de retard. Mais cela ne signifie pas que l’on est à la merci des cyberattaques ! Les conseils suivants sur la cybersécurité vous aideront à vous préparer aux attaques.

Comment se préparer ?

Les attaquants exploitent souvent des failles de sécurité dans des systèmes obsolètes. Pour cette raison, il est essentiel de veiller à la mise à jour correcte de son système d’exploitation et des logiciels utilisés. Vérifiez régulièrement si de nouvelles mises à jour ou correctifs sont disponibles et activez la fonction de mise à jour automatique le cas échéant. Cela s’applique également aux moteurs antivirus.

Les criminels ne recourent pas toujours à des logiciels malveillants pour pratiquer leurs cyberattaques. Au lieu de cela, les zones protégées par mot de passe sont directement attaquées. Il est possible de craquer rapidement des mots de passe faibles en s’aidant de la force brute (qui consiste à essayer différentes combinaisons de mots de passe), de Rainbow Tables (tables de hachage) ou de dictionnaires de mots de passe (collections de mots de passe fréquemment utilisés). Des mots de passe sécurisés combinés à une authentification à deux facteurs font partie des meilleures mesures préventives contre les cyberattaques.

Comment reconnaître une cyberattaque ?

De nombreuses attaques se soldent par un succès parce que les utilisateurs ne les identifient pas en tant que telles. En particulier dans le contexte de l’hameçonnage, par exemple, les emails provenant d’expéditeurs inconnus devraient toujours éveiller votre attention. Dans de tels cas, il faut absolument s’abstenir d’enregistrer ou d’ouvrir des pièces jointes ou de cliquer sur des liens. Il convient de surfer sur le Web avec le même degré de prudence : ici aussi, les menaces peuvent se nicher sur des sites Web prétendument inoffensifs. Par conséquent, ne téléchargez aucun logiciel depuis des sites Web auxquels vous ne pouvez pas faire confiance. L’absence de certificats SSL devrait vous alerter.

Les administrateurs système disposent également d’autres moyens pour détecter les cyberattaques. Les serveurs consignent les événements dans des fichiers journaux en standard. On peut aussi retracer les activités dangereuses dans ces derniers. Par exemple, une augmentation des tentatives infructueuses de saisie de mot de passe laisse penser qu’il s’agit d’une attaque par force brute.

De plus, il convient de surveiller sa propre infrastructure informatique. Les logiciels malveillants s’accompagnent souvent d’effets collatéraux. Si la connexion au système ou au réseau est plus lente que d’habitude, cela peut annoncer qu’une cyberattaque est en cours.

Comment contrecarrer une attaque ?

Même dans le cas d’attaques DDoS, vous avez la possibilité de garder votre site Web en ligne. L’utilisation d’un Content Delivery Network (CDN) ou « réseau de diffusion de contenu » en français rend pratiquement impossible la paralysie complète des sites Web. Même si votre serveur est saturé, la disponibilité du site Web peut toujours être assurée grâce à des contenus en miroir présents sur le réseau.

En cas de doute, il existe également des points de contact qui peuvent vous aider pour vous défendre. Des services spécialisés de la Police nationale et de la Gendarmerie nationale se chargent du volet de l’enquête après dépôt de plainte tandis que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a pour mission d’offrir son expertise et son assistance technique en matière de cybercriminalité aux administrations et aux entreprises. Elle offre des conseils pratiques pour se défendre contre les attaques concrètes. Vous trouverez les coordonnées et plus d’informations à ce sujet sur le site Web du Gouvernement français.

Quelle est la protection dans le pire des cas ?

Il n’existe pas de protection à 100 % contre les attaques, c’est pourquoi vous devez prendre des mesures de protection pour les cas d’urgence. Cela englobe, par exemple, l’utilisation de procédures de chiffrement efficaces. Assurez-vous que les données sensibles soient inutilisables par des inconnus s’ils arrivent à s’emparer de vos informations.

Il est également important de mettre en place une stratégie de sauvegarde. Les attaques basées sur des rançongiciels perdent ainsi de leur aspect menaçant si vous conservez toutes les données importantes dans un emplacement de stockage distinct et sécurisé. Utilisez la règle du backup 321 pour garantir la sécurité de vos fichiers.