Novice

  /    /  Novice

De quoi parle-t-on ? 

La cybersécurité, c’est l’ensemble des dispositifs utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels. Les actifs sont les données et les supports sur lesquelles ces données sont stockées (ordinateurs, disques durs, personnes dépositaires du savoir…).

Le cyberespace est l’ensemble des infrastructures numériques, des données et des services mis en réseaux. 

Le système d’information (SI) d’une entreprise ou d’un organisme, désigne l’ensemble des ressources destinées à collecter, classifier, stocker, gérer, diffuser les informations au sein d’une organisation.  

Une cybermenace est une menace qui si elle se concrétise affecte le bon fonctionnement du système informatique et des activités qui en dépendent. Elle est liée au fait que le système informatique est vulnérable. 

Les menaces 

Une menace est la cause potentielle d’un incident qui pourrait entraîner des dommages sur un bien si elle se concrétise. Les types de menace :

  • la malveillance : cyberattaques, malveillance interne… 
  • les catastrophes naturelles (par exemple : perte de données lors d’inondation) 
  • les erreurs, les pannes ou les accidents associés à l’incompétence.

Les menaces dues à la malveillance

Elles sont protéiformes.

Criminelles

Les groupes de cybercriminels sont organisés et structurés. Leurs activités concernent : 

  • l’escroquerie
  • le développement de programmes malveillants et virus informatiques 
  • la revente de données (personnelles, industrielles…)
  • l’exploitation et la commercialisation de services pour réaliser des attaques informatiques et/ou de la vente des données volées (ex. : données de carte bancaire) 
  • l’hébergement de contenus malveillants, (parfois à l’insu des victimes)

Etatiques

Les cyberattaques sont la nouvelles armes des Etats. Certains Etats s’appuient même sur des groupes de hackers. Les spécialistes considèrent que le monde est dans un état de cyberguerre.

Activistes

Ce sont des groupes qui revendiquent pour dénoncer, « mettre en lumière » certains faits, ou encore étendre leur propagande : Anonymous, les groupes djihadistes…

Internes

La menace vient de l’intérieur : employé mécontent dans un but de vengeance ou malhonnête dans un but d’enrichissement.

Des technologies très utiles pour les attaquants

Le Darknet

C’est une sorte de sous-réseau caché qui permet de communiquer et d’échanger de façon anonyme. Ses pages sont inaccessibles via un navigateur classique et évidemment jamais référencées par nos moteurs de recherche. Il faut utiliser un logiciel spécifique pour y accéder : Tor.
A l’origine, créé pour permettre à des dissidents chinois de contourner la censure, il est toujours utilisé par tout ceux qui veulent pouvoir s’exprimer dans un environnement hostile (dissident, journaliste…). Mais il est aussi très largement utilisé par toutes ceux qui sont dans l’illégalité. On y trouve, par exemple, des sites de vente de drogues, d’armes et d’attaques informatique.

Les cryptomonnaies

La plus connue est le bitcoin. Les cryptomonnaies sont des monnaies virtuelles qui permettent à leurs utilisateurs de rester anonyme, ce qui est très utile pour certaines transactions illégales… Elles sont très utilisées sur le darknet.

Pour en savoir plus

Les attaques 

Une attaque est une action malveillante destinée à porter atteinte à la sécurité d’un bien. Elle représente la concrétisation d’une menace et nécessite l’exploitation d’une vulnérabilité. 

Ex. : envoi d’un mail à une organisation comportant une pièce-jointe compromise (contenant un virus).

Les « armes » des hackers, petites définitions utiles

Les malwares : ce sont des logiciels malveillants qui peuvent avoir des actions différentes (modifier/détruire des données, espionner, ouvrir une porte dérobée, envoyer des requêtes vers d’autres machines…).
Ils embarquent très souvent une charge utile (partie du code exécutable destinée à nuire).

il en existe plusieurs sortes :

le ver informatique (worm) : il se reproduit sur plusieurs ordinateurs en utilisant le réseau informatique.

Le virus informatique : il s’intègre dans un programme légitime et à chaque exécution contamine d’autres programmes.

Un cheval de Troie (Trojan) : il prend l’apparence d’un programme légitime, mais contient une fonctionnalité malveillante.

Le cryptovirus ou rançongiel (ransomware) : il chiffre (rend les données illisibles) tous les fichiers qu’il peut atteindre même ceux en réseau puis demande une rançon.

Le sniffer  : il permet d’intercepter des données transitant sur un réseau, par exemple le couple ID/mot de passe.

Le réseau de machine zombie/botnet : réseau de logiciels malveillants installés sur des machines (à leur insu) qui communiquent entre eux et peuvent lancer une action simultanément. Le Botnet permet d’obtenir une capacité de traitement considérable et d’avoir un impact plus important. 

Les hackers utilisent aussi d’autres techniques comme l’ingénierie sociale. C’est une technique de manipulation exploitant la confiance, l’ignorance ou la crédulité d’une personne. ils s’appuient pour ça sur des outils légitimes : téléphone, mail, réseaux sociaux.

En savoir plus sur toutes ces techniques : keylogger, spyware, rootkit …

Les types d’attaques 

Elles reposent sur 3 piliers : 

  • Détourner le mode opératoire des ressources : machine zombie, minage…
  • Exploiter des failles et des vulnérabilités des ressources 
  • Leurrer des personnes et des systèmes : usurpation de mot de passe, manipulation de l’information

Elles peuvent être passive ou active, massive ou ciblée.

Les techniques d’attaques 

Lhameçonnage (phishing) est une attaque de masse qui vise à abuser de la naïveté des clients ou des employés pour récupérer leurs identifiants de banque en ligne ou leurs numéros de carte bancaire. Le mode opératoire est simple :

  1. Réception d’un mail utilisant le logo et les couleurs de l’entreprise  
  2. Demande pour effectuer une opération comme la mise-à-jour des données personnelles ou la confirmation du mot de passe  
  3. Récupération par l’attaquant des identifiants/mots de passe (ou tout autre donnée sensible) saisie par le client sur le faux site  

Le rancongiciel (ransomware) : logiciel rançonneur, logiciel de rançon ou logiciel d’extorsion est un logiciel malveillant qui prend en otage des données personnelles. Comment ? Le rançongiciel chiffre (rend les données illisibles) des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer. La rançon est souvent réclamée en bitcoins.

Le deni de service (denial of service – Ddos) : Cette attaque vise à rendre une application informatique incapable de répondre aux requêtes de ses utilisateurs. Elle peut provenir de plusieurs origines distinctes. Elle utilise très souvent une multitude de PC zombies  exploités à distance par un pirate et attaquant simultanément une cible unique.

APT (Advanced Persistent Threat) ou menace persistante avancée : cyberattaque prolongée et ciblée par laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une longue période. L’idée est souvent de surveiller l’activité réseau et voler des données plutôt que de porter atteinte au réseau ou à l’organisation.

Le FOVI ou “fraude au president” et ses variantes

Le FOVI (Faux Ordre de Virements Internationaux) est la forme d’ingénierie sociale la plus répandue : usurper l’identité d’un donneur d’ordres pour exiger d’un collaborateur qu’il effectue un virement frauduleux, en prétextant l’urgence et la confidentialité. Le collaborateur est en position de subordination hiérarchique et s’exécute. 

Les premières victimes ont d’abord été des entreprises “connues” 

  • La banque postale : 360 K€ 
  • L’olympique de Marseille : 756 K€ 
  • LCL : 1 M € 
  • Michelin : 1,6 M € 
  • KPMG : 7,6 M €

Aujourd’hui, toutes les entreprises/organismes sont visés (voir cas réel). 

Les variantes :  

La fraude au fournisseur : le client reçoit une facture au nom d’un de ses fournisseurs dont l’IBAN est modifié au préalable par l’attaquant…
La fraude au faux technicien : l’attaquant contacte un client en se faisant passer pour l’assistance technique d’un prestataire de l’entreprise. Il cherche à prendre la main sur le poste du client…

En savoir plus sur les types d’attaques

Les risques 

Le risque : c’est l’exploitation d’une vulnérabilité et la concrétisation d’une menace. 

Les risques sont multiples :

Pour les individus : harcèlement, chantage, surveillance (atteinte à la vie privée, à l’intimité), Vol de données (personnelles, confidentielles, propriété intellectuelle), usurpation d’identité …

Pour les organisations (entreprises, associations…) : espionnage industriel et économique, attaques concurrentielles (vol de fichiers clients, devis…), atteinte à l’image, à la réputation, incapacité à produire, à fonctionner, non conformité aux lois et réglementations …

Les vulnérabilités

Elles sont dues :

  • aux faiblesse des systèmes informatiques (conception, réalisation, installation, configuration, utilisation) 
  • au déficit ou absence de comportement averti de l’utilisateur 
  • aux carences ou limites des solutions de sécurité 

L’infrastructure Internet contribue à ces vulnérabilités : dématérialisation des données et des services, pas de mécanisme de sécurité “en natif”, disponibilité d’outils d’analyse de trafic, de chiffrement…, monde virtuel sans frontière, juridictions multiples…

La sécurité de l’information

Elle dépend de la maîtrise des vulnérabilités.

L’enjeu : réduire les risques et limiter les impacts, financiers, juridiques et réglementaires, organisationnels, ou de communication (image, réputation). 

Pour protéger l’information, il faut la qualifier : quel est son rôle, son niveau d’importance, sa sensibilité pour aboutir à une classification des données (publique, privée ou restreinte, confidentielle…). Les mesures de sécurité mises en place doivent être en corrélation avec cette classification.
Il est inutile de chiffrer (de protéger la confidentialité) un catalogue produit destiné au public.

Une “bonne sécurité” doit aussi assurer le respect de l’intimité numérique et la protection de ses données personnelles (Privacy et RGPD).

Les mesures de sécurité doivent se situer à plusieurs niveaux (défense en profondeur) :

Sécurité des données (logique) :

  • de mécanismes cryptographiques (intégrité et confidentialité),
  • de procédures de contrôle d’accès logique, d’authentification,
  • des procédures de détection de logiciels malveillants (mise en œuvre d’anti-virus),
  • des procédures de sauvegarde...

Sécurité applicative

  • robustesse des applications,
  • intégration des mécanismes de sécurité,
  • jeux de tests

Sécurité des postes de travail, smartphone…

Sécurité réseau

Sécurité physique et environnementale

Sécurité juridique et réglementaire

Naviguer en toute sécurité

Les conseils de l’ANSSI.

Se prémunir du phishing ou hameçonnage

L’infographie de l’ANSSI

Non, cela n’arrive pas qu’aux autres ! Exemple d’un cas réel

Arnaque au président 

Avril 2016 : des escrocs, basés à l’étranger, piratent la boîte mail d’un membre de la direction du bailleur social dunkerquois « Cottage Social des Flandres ».
L’escroc envoie des mails à une salarié du service comptabilité, lui demandant de verser des sommes d’argent à un avocat en charge, pour le compte de Cottage Social des Flandres, d’acquérir des sociétés à l’étranger. Celle-ci réalise 23 versements, sur un compte situé à Bratislava, en Slovaquie, pour un montant de 400 000 euros chacun, sur une période de 2 mois (soit presque 10 millions d’euros).
Lorsque la salariée part en vacances et « passe la main » à son directeur de service, celui-ci découvre l’escroquerie. Les escrocs avaient inventé un scénario bien rodé pour la convaincre. La perte représente 25% du chiffre d’affaires et la société a dû revoir à la baisse ses projets de construction. 

Article France 3

You don't have permission to register