Cyberattaque : les dangers venus du Net

Les criminels utilisent Internet pour s’enrichir personnellement ou nuire aux autres. Ce faisant, différents schémas d’attaque sont mis en œuvre, qui sont à leur tour en adéquation avec le motif soutenant ces cyberattaques. Il est toutefois possible de les contrecarrer en recourant à la prudence et à des stratégies de sécurité.

Une cyberattaque fonctionne de manière ciblée, contrairement à la propagation classique de logiciels malveillants. Alors que les virus, les vers et les chevaux de Troie trouvent leurs victimes plus ou moins par hasard, les cybercriminels ciblent des personnes, des entreprises, des organisations ou des autorités précises. On retrouve donc également derrière chaque attaque un motif particulier. Toutefois, les motivations peuvent varier considérablement d’une cyberattaque à l’autre :

• Vol : À l’image de nombreux actes criminels, la cybercriminalité s’assimile souvent à l’envie de s’enrichir. Des données sont régulièrement subtilisées à cette fin, qui sont ensuite revendues ou utilisées pour piller des comptes bancaires.
• Extorsion : Les criminels infectent le système d’individus particuliers et des entreprises de manière à en empêcher l’utilisation – du moins par les profanes. En agitant la promesse de libérer à nouveau l’infrastructure informatique, les criminels peuvent extorquer des sommes d’argent considérables.
• Sabotage : Il n’est pas toujours question d’extorquer de l’argent de la victime, car des donneurs d’ordre financent souvent les attaques. Ces derniers entendent ainsi nuire à la concurrence afin de renforcer le succès de leur propre entreprise.
• Activisme : L’« hacktivisme » devient de plus en plus populaire. Les cybercriminels motivés par des vues politiques mobilisent leurs compétences pour nuire à certains acteurs impopulaires ou pour attirer l’attention sur des objectifs politiques à travers leurs attaques.
• Espionnage : L’espionnage industriel et l’espionnage gouvernemental visant d’autres États prend de plus en plus place sur Internet. L’objectif consiste ici à s’arroger un avantage en matière de connaissances.

La variété des motifs se reflète aussi dans la variété des moyens mis en œuvre à cette fin. Dans de nombreux cas de figure, les schémas d’attaque sont également combinés entre eux afin de causer des dommages aussi efficaces et d’envergure aussi large que possible.

Les e-mails d’hameçonnage incitent les personnes à négliger les aspects de sécurité et à télécharger des logiciels malveillants camouflés à l’aide de l’ingénierie sociale. Il s’agit souvent de rançongiciels (ou « ransomware »), qui paralysent alors le système. Cette méthode se décline aussi dans les sous-catégories du smishing (hameçonnage par SMS) ou du vishing (hameçonnage par téléphone).

Dans le cas des attaques de l’homme du milieu, l’attaquant s’immisce entre deux utilisateurs du réseau Internet, par exemple entre un client et un serveur. Les criminels tentent ainsi d’accéder à des données sensibles, telles que des mots de passe. De telles attaques peuvent être rendues possibles, par exemple au travers de logiciels malveillants ou de connexions WiFi non sécurisées.

Quand le seul but des attaquants est de mettre un service Web à l’arrêt, ils font souvent appel aux attaques par déni de service. Un serveur est inondé de requêtes jusqu’à ce qu’il ne puisse plus fonctionner. Des attaques de plus grande envergure sont déclenchées par le biais d’attaques DDoS (Distributed-Denial-of-Service). Les attaquants mettent au point à l’avance un botnet en infectant autant d’ordinateurs que possible avec des logiciels malveillants appropriés. Les appareils participent alors à la cyberattaque sur le serveur, sans que leurs propriétaires le sachent.

Les attaquants exploitent des zones de saisie non sécurisées sur les sites Web dans le cadre d’une injection SQL. En prenant pied sur les fonctions de commentaire ou de masques de recherche, les cybercriminels peuvent manipuler la base de données SQL afin de pouvoir accéder aux données sensibles.

Ces dernières années ont vu les attaques à grande échelle contre les entreprises et les administrations s’accumuler. D’une part, cela est dû à des cyberattaques à grande échelle qui sont perpétrées par des groupes comme Anonymous, dont les médias se font écho. D’autre part, des informations font état de vols de données à grande échelle, qui ont non seulement affecté les entreprises attaquées, mais qui ont fait aussi des milliers de victimes parmi les utilisateurs.

Une cyberattaque classique s’est produite en 2017 en s’appuyant sur le rançongiciel WannaCry. Si les attaques n’étaient pas ciblées, elles ont été orchestrées de manière à ce que des centaines de milliers de PC ont été attaqués en très peu de temps. Les cybercriminels avaient emprunté une porte dérobée dans les anciens systèmes Windows, qui a été initialement découverte par l’agence américaine de renseignement NSA, mais qui n’a pas été divulguée. Les ordinateurs sur lesquels aucun correctif de sécurité n’avait été installé auparavant ont été affectés.

Cet exploit a permis aux attaquants d’injecter leur logiciel malveillant, qui a ensuite chiffré toutes les données. Les utilisateurs ne sont alors plus en mesure d’utiliser leurs systèmes. Au lieu de cela, ils reçoivent un message leur intimant de payer 300 $ en bitcoins. Bien que de nombreux experts en sécurité ont déconseillé le paiement de la rançon, les criminels ont pu rassembler plus de 130 000 dollars US sous la forme de cryptomonnaie.

Le groupe déstructuré « Anonymous » a fréquemment défrayé la chronique ces dernières années. Une attaque du groupe a ciblé la Scientologie. En 2007, l’organisation a tenté de faire disparaitre de l’Internet une interview avec son célèbre membre Tom Cruise. Les activistes qui ont revendiqué leur appartenance à Anonymous y ont vu une forme de censure et ont annoncé des actions de représailles par message vidéo.

Peu de temps après, les pirates ont commencé à saturer les serveurs de Scientologie par des attaques DDoS. Cela a permis aux attaquants de paralyser le site Web pendant une courte période. Une multitude de fax a été envoyée et des appels bidons ont été passés dans le but de perturber massivement le fonctionnement des activités de l’organisation. Après les attaques numériques illégales du début contre la Scientologie, l’activisme s’est progressivement orienté vers des manifestations légales devant les bureaux de l’organisation.

En 2013 et 2014, le groupe Yahoo! a dû faire face à plusieurs attaques réussies sur ses bases de données. Les attaquants ont pu exploiter plusieurs milliards d’enregistrements de données, y compris des mots de passe mal chiffrés ou des réponses entièrement non chiffrées aux questions de sécurité. Ils ont ensuite été revendus sur des marchés illégaux dans le Dark Web. Les acheteurs espèrent ainsi pouvoir exploiter les mots de passe sur d’autres plateformes ou par le biais des services bancaires en ligne, et en tirer profit.

Face à ces attaques, Yahoo! a demandé à ses utilisateurs d’attribuer de nouveaux mots de passe et de définir de nouvelles réponses aux questions de sécurité. Ils ont ensuite été soumis à un meilleur chiffrement. Yahoo! a dû indemniser les utilisateurs touchés d’un montant de plus de 100 millions de dollars US.

Les pirates informatiques et autres cybercriminels trouvent des moyens toujours plus élaborés pour pirater des systèmes étrangers et subtiliser des données. Les experts en sécurité sont aussi généralement un petit pas en retrait des attaquants. Mais cela ne signifie pas que l’on est à la merci des cyberattaques. Ces conseils sur la cybersécurité vous aideront à vous préparer aux attaques.

Les attaquants exploitent souvent des failles de sécurité dans des systèmes obsolètes. Pour cette raison, il est essentiel de veiller à la mise à jour correcte de son système d’exploitation et des logiciels utilisés. Vérifiez régulièrement si de nouvelles mises à jour ou correctifs sont disponibles et activez la fonction de mise à jour automatique le cas échéant. Cela s’applique également aux moteurs antivirus. Ils ne sont fonctionnels que si le logiciel de protection est constamment mis à jour et ainsi tenu informé des nouvelles menaces.

Les criminels ne recourent pas toujours à des logiciels malveillants pour pratiquer leurs cyberattaques. Au lieu de cela, les zones protégées par mot de passe sont directement attaquées. Il est possible de craquer rapidement des mots de passe faibles en s’aidant de la force brute (qui consiste à essayer différentes combinaisons de mots de passe), de Rainbow Tables (tables de hachage) ou de dictionnaires de mots de passe (collections de mots de passe typiques). Utiliser des mots de passe sécurisés est donc l’une des meilleures mesures préventives contre les cyberattaques.

De nombreuses attaques se soldent par un succès parce que les utilisateurs ne les identifient pas en tant que tels. En particulier dans le contexte de l’hameçonnage, par exemple, les emails provenant d’expéditeurs inconnus devraient toujours éveiller l’attention. Dans de tels emails, il faut absolument s’abstenir d’enregistrer ou d’ouvrir des pièces jointes ou de cliquer sur des liens. Il convient de surfer sur le Web avec le même degré de prudence : ici aussi, les menaces peuvent se nicher sur des sites Web prétendument inoffensifs. Par conséquent, ne téléchargez aucun logiciel depuis des sites Web auxquels vous ne pouvez pas faire confiance. L’absence de certificats SSL constitue ici un bon indice.

Les administrateurs système et les webmasters disposent également d’autres moyens pour détecter les cyberattaques. Les serveurs consignent les événements dans des fichiers journaux en standard. On peut aussi retracer les activités dangereuses dans ces derniers. Par exemple, une augmentation des tentatives infructueuses d’entrer le mot de passe laisse penser qu’il s’agit d’une attaque en force brute.

En outre, il convient de surveiller sa propre infrastructure informatique. Les logiciels malveillants s’accompagnent souvent d’effets collatéraux. Si la connexion au système ou au réseau est plus lente que d’habitude, cela peut annoncer qu’une cyberattaque est en cours. Cependant, l’inverse ne fonctionne pas : les ordinateurs entièrement opérationnels peuvent quand même être infectés par des logiciels malveillants.

En particulier dans le cas d’attaques DDoS, les opérateurs ont la possibilité de garder leurs sites Web en ligne malgré l’attaque. L’utilisation d’un Content Delivery Network (CDN) ou « réseau de diffusion de contenu » en français rend pratiquement impossible la paralysie complète des sites Web. Même si votre propre serveur est saturé, la disponibilité du site Web peut toujours être assurée grâce à des contenus en miroir présents sur le réseau.

En cas de doute, il existe également des points de contact qui peuvent vous aider pour vous défendre. Des services spécialisés de la police nationale et de la gendarmerie nationale se chargent du volet de l’enquête après dépôt de plainte tandis que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a pour mission d’offrir son expertise et son assistance technique en matière de cybercriminalité aux administrations et aux entreprises. Elle offre des conseils pratiques pour se défendre contre les attaques concrètes. Vous trouverez les coordonnées et plus d’informations à ce sujet sur le site Web du Gouvernement français.

On n’est jamais vraiment à l’abri des attaques et on devrait pour cette raison toujours prendre des mesures en prévision du pire. Cela englobe, par exemple, l’utilisation de procédures de chiffrement efficaces. Assurez-vous que les données sensibles sont aussi inutiles que possible pour les attaquants s’ils peuvent exploiter les informations.

Mais il est aussi important de mettre en place une stratégie de sauvegarde. Les attaques basées sur des rançongiciels perdent ainsi de leur aspect menaçant si vous conservez toutes les données importantes dans un emplacement externe. Utilisez la règle du backup 321 pour garantir la sécurité de vos fichiers.