Plus de 200 millions de francs, c’est ce qu’a coûté la cybercriminalité en 2014 aux entreprises de la Confédération(1). ProtonMail, la Banque cantonale de Genève, le média 20minutes.ch ou même le système d’échanges interbancaires SWIFT ont vu leurs sites respectifs compromis ou leurs données volées, à l’instar des géants internationaux comme Facebook, JP Morgan, Twitter, Adobe ou LinkedIn. Mais si les attaques informatiques représentent une perte financière, elles ont aussi un impact majeur sur l’image d’une entreprise et la confiance de ses clients, notamment quand la confidentialité de données est menacée. Certaines attaques sont tellement handicapantes qu’elles vont jusqu’à stopper la production de l’entreprise ciblée…

Or, on ne se protège bien que de ce que l’on connaît. Pour que les entreprises protègent efficacement leurs systèmes d’information, et ainsi pour sécuriser le Web suisse dans son ensemble, il est important que les décideurs sachent ce à quoi ils font face. Net4All rentre donc dans une démarche de démocratisation de la sécurité informatique afin d’accompagner au mieux les entreprises suisses dans l’intégration de cette dimension dans leur réflexion digitale.

LES PIRATES INFORMATIQUES : QUI SONT-ILS ?

Avec la montée en puissance d’Internet, la sécurité informatique a beaucoup évolué. Le nombre de cibles potentielles a largement augmenté (multiplication des acteurs, sites et applications pouvant être pris pour cible) et les attaques se sont simplifiées, notamment grâce à l’apparition de tutoriels et de documentation accessibles à tous. En parallèle, le commerce d’attaques informatiques a également pris de plus en plus d’ampleur. La population d’attaquants potentiels, directs ou indirects, est donc multipliée…

Cependant, les pirates ayant des intentions malveillantes (les « black hats ») ont souvent des objectifs bien différents les uns des autres, selon leurs motivations, leurs moyens ou encore leur niveau technique. On distingue trois principaux types de pirates :

  • Les « script kiddies » veulent se faire la main et cherchent souvent à acquérir une réputation dans le milieu des pirates. Ils n’ont cependant pas de grandes compétences techniques, la majorité de leurs attaques sont donc de simples industrialisations d’exploits exposés en ligne.
  • Les « idéologiques » utilisent le piratage pour véhiculer des messages à tendance majoritairement politique ou religieuse. Ces derniers attaquent en priorité l’image des entreprises, ou bien utilisent des sites peu sécurisés comme média de propagande (comme dans le cadre de l’opération OpFrance, début 2015 chez nos voisins francophones).
  • Les « professionnels » visent à faire du profit en vendant leurs services ou en faisant du chantage aux entreprises attaquées. Ce sont les plus dangereux. Ils font souvent partie d’un réseau organisé, mais peuvent également travailler seuls, et leur technique peut atteindre un très haut niveau.

DES ATTAQUES INFORMATIQUES AUSSI VARIÉES QUE LA TECHNOLOGIE ELLE-MÊME

Les virus font partie du paysage informatique depuis longtemps, et sont connus de la grande majorité des utilisateurs de l’Internet. Mais de nouvelles menaces, plus ou moins sophistiquées et contre qui les antivirus sont inefficaces, sévissent aujourd’hui. Comme on l’a vu, l’objectif le plus fréquent de ces attaques est le vol massif de données personnelles ou professionnelles, mais elles peuvent également avoir pour but l’espionnage ou l’intégration des serveurs victimes dans un parc de machines zombies.

Il existe bon nombre de techniques que les pirates utilisent pour arriver à leurs fins, selon leurs objectifs et leurs compétences techniques ; la plupart du temps, une attaque requiert l’utilisation de plusieurs d’entre elles. Voici donc les méthodes les plus connues, et les plus communément utilisées.

Le malware (programme malveillant)

Un malware est un programme ayant pour but de nuire à un système informatique. Il peut se propager seul, par email, par le biais d’un téléchargement… Il en existe plusieurs types :

  • Les virus et les vers ont pour objectif de se propager au plus de machines possibles, et servent notamment à grossir des parcs de machine zombie.
  • Un cheval de Troie est un logiciel en apparence légitime, mais qui contient une fonctionnalité malveillante (un parasite) pouvant par exemple créer une faille dans un système.
  • Un ransomware (ou rançongiciel) est un malware particulier qui consiste à rendre inaccessible des données à son propriétaire et à lui demander une rançon pour qu’il en récupère l’accès.

L’exploitation de failles système ou applicatives

Cette méthode consiste à chercher un composant vulnérable sur une plateforme, par exemple avec un scanner de vulnérabilités, et à l’exploiter pour investir le système d’information. Les failles applicatives, en particulier celles listées dans le Top 10 OWASP, sont plus couramment exploitées ; cependant, les composants système ne sont pas pour autant oubliés ! Voici deux exemples de failles dont on entend beaucoup parler actuellement :

  • L’injection de code consiste à envoyer au serveur ciblé des requêtes contenant du code, souvent via les champs d’un formulaire, afin de récupérer tout ou partie de la base de données correspondante. La plus connue, l’injection SQL (écrite donc en langage SQL), fait partie du Top 10 OWASP.
  • Les failles 0-Day sont des failles spécifiques ne bénéficiant d’aucun correctif, car elles n’ont pas encore été (ou viennent d’être) publiées. Elles peuvent être découvertes par un pirate qui l’exploite jusqu’à ce que la cible s’en rende compte, ou bien par un white hat (pirate aux intentions honorables) qui en informe l’entreprise ou les médias afin qu’un correctif soit fourni au plus vite. Heartbleed, Shellshock ou encore les failles récentes sur Drupal et Imagemagik en sont quelques exemples.

Attaque informatique par ingénierie sociale

L’ingénierie sociale est l’une des plus anciennes formes d’attaque informatique… Et elle pourtant, elle consiste à sortir de la technique ! Les pirates pratiquant cette méthode utilisent la force de persuasion et le déguisement pour chercher une faille humaine au niveau des équipes plutôt que du système. On en distingue deux sortes principales :

  • Le phishing ou hameçonnage consiste à envoyer un email apparaissant comme légitime et demandant des informations personnelles à la cible. Un des exemples couramment cité est celui d’un email se faisant passer pour une banque et demandant à la victime de changer son mot de passe de connexion. Pour ce faire, ce dernier clique sur un lien le redirigeant vers un faux site, identique à celui de sa banque mais contrôlé par le pirate, dans lequel il rentre ses informations qui sont alors récupérées par ce dernier.
  • L’ingénierie sociale en direct peut prendre des proportions très importantes. Les pirates gagnent ici la confiance d’une personne et en abusent pour obtenir des informations : c’est de l’escroquerie, parfois à grande ampleur. Dans les entreprises, une attaque d’ingénierie sociale sera souvent ciblée sur les personnes possédant des accès intéressants au système d’information, mais qui ne sont pas nécessairement protégées ou formées à ce type de tentatives (services support comme l’administration, le marketing, la comptabilité…).

L’interception de données

Comme son nom l’indique, l’interception de données consiste à s’interposer entre l’expéditeur et le destinataire d’une transmission de données (email, requête HTTP…) pour espionner les communications : c’est ce qu’on appelle une attaque « Man-in-the-Middle » ou « Homme-au-milieu ». Cette attaque peut être mise en place au sein d’un réseau local, mais pas seulement : un Wi-Fi public, s’il est mal sécurisé, peut être une mine d’or pour un pirate qui n’a qu’à se placer là où il le souhaite pour récupérer les données de toutes les personnes connectées en même temps que lui…

Le cas des DDoS

L’acronyme DDoS signifie « Distributed Denial of Service », ou Déni de Service Distribué. Ces attaques consistent envoyer un grand nombre de requêtes à un site web, notamment grâce à des machines zombie. Devant l’augmentation drastique de requêtes, le serveur est rapidement saturé et n’est plus capable de traiter toutes ses tâches : le site est alors indisponible.

LA SÉCURITÉ INFORMATIQUE, UNE HYDRE DE LERNE

Cet article est loin d’être exhaustif, mais il donne une première idée de la diversité des attaques informatiques existantes… et donc de la nécessité de protection des entreprises ! Les menaces évoluent constamment, et la sécurité se doit de suivre le rythme : un système peut facilement se faire dépasser devant les innovations des pirates. Heureusement, les white hats ne sont pas en reste, et les organismes spécialisées en sécurité des systèmes d’informationfournissent aujourd’hui des solutions de plus en plus efficaces. Ne reste plus aux entreprises qu’à intégrer la sécurité informatique dans leurs processus !

 

  1. 1 – http://www.bilan.ch/economie/cybercriminalite-coute-plus-de-200-mio-de-francs-aux-entreprises-2014
Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.