Dans ce cours, je vais aborder le sujet des différentes méthodes et techniques que les pirates peuvent utiliser. En jargon de la cybersécurité, on appelle ces techniques des vecteurs d’attaque. Dans un premier temps je vais vous présenter ce qu’est l’ingénierie sociale puis une introduction à plusieurs de ces vecteurs d’attaque.
Ingénierie sociale
L'ingénierie sociale est l'art de manipuler les interactions humaines pour atteindre des objectifs spécifiques.
Parmi les attaques auxquelles vous serez exposé, l’ingénierie sociale est probablement la plus efficace et donc la plus fréquente.
Mais qu’est-ce que l'ingénierie sociale ?
Et bien l'ingénierie sociale, c’est l’utilisation du langage et de techniques de manipulation dans le but de soutirer des informations.
Voyons un exemple:
Un employé reçoit un appel d’une personne se présentant comme l’administrateur réseau de l’entreprise. L'ingénierie sociale lui explique qu’il à fait une erreur de manipulation dans la configuration sur les comptes utilisateurs et que le patron est furieux. Il à besoin du mot de passe de l’employé afin de restaurer certains accès avant la fin de la journée sans quoi il risque de se faire virer. Bien sûr, il lui conseille de changer son mot de passe juste après qu’il ait réparé ses erreurs.
Dans cet exemple, l’attaquant se fait passer une personne de confiance, peut-être connaît-il même le nom de l’employé dont il vole l’identité, il joue sur l'émotion et le sentiment d’urgence et enfin réaffirme la confiance avec une recommandation de sécurité.
On peut constater qu’avec peu d'informations et de connaissances techniques, il est possible de soutirer des informations confidentielles. Pour cela il existe un vaste panel de techniques et je vais ici vous en présenter quelques-unes.
Phishing & Spear phishing
Le phishing ou hameçonnage en français, est une des techniques les plus utilisées pour soutirer des informations confidentielles, le plus souvent des couples identifiants - mots de passe.
Le pirate "pêche" en quelque sorte ces informations en envoyant le plus souvent et de façon massive des mails frauduleux imitant des mails officiels et donc que la victime potentielle pense légitimes.
L'appât est donc un mail vous invitant à mettre à jour certaines informations, ou régler une somme d’argent par exemple, etc… Lorsque vous cliquez sur le lien, et bien vous êtes redirigé vers un site frauduleux qui copie en général à 100% le site original.
Bien sûr, aujourd'hui beaucoup de personnes sont sensibles à ces arnaques par mail c’est pour cela qu’en général les criminels effectuent ce qu’on appelle des campagnes massives de phishing qui vont viser tous les employés d’une société, car le plus souvent il suffira qu’une seule personne clique sur un lien pour compromettre la sécurité de toute l’entreprise.
Évidemment, lorsqu’une campagne de ce type est lancée, elle est vite remarquée et identifiée, voire bloquée par les filtres des boites mail.
Pour contrer ceci, les pirates utilisent ce que l’on appelle le spear phishing qui consiste à viser en particulier une seule personne détenant de grosses responsabilités dans l’entreprise, comme le patron, le président ou les responsables.
Usurpation d'identité
Toutes les techniques d'ingénierie sociale reposent sur la notion de confiance, et il y a certaines personnes à qui on a tendance à accorder plus de confiance que d’autres, même si on ne les connaît pas.
L’usurpation d’identité, ou impersonation en anglais, c’est justement l’utilisation de cette technique pour obtenir des informations.
En effet, lors d’un appel téléphonique ou un échange mail, si quelqu’un se fait passer pour une figure d'autorité tels que, votre patron, ou le responsable d’un autre secteur dans l’entreprise pour laquelle vous travaillez, ou encore les forces de l’ordre, pourquoi pas un médecin ou le patron d’une entreprise cliente, vous ou n’importe quel autre employé auriez peut-être tendance à y accorder de la confiance même si vous n’avez réellement aucune certitude sur l’identité de la personne.
Shoulder surfing
Passons maintenant au shoulder surfing ou en français, “regarder par-dessus l’épaule”.
C’est probablement la technique la plus simple qui consiste soit à attendre directement que la victime entre un mot de passe par exemple pour regarder et le mémoriser, ou encore d’utiliser des moyens détournés tels que des jumelles ou des caméras-espions.
Talonnage
Si vous prenez le métro parisien, vous avez probablement déjà été victime de talonnage ou tailgating en anglais, lorsqu’une personne essaie de passer juste derrière vous sans utiliser de titre de transport.
C’est exactement ce qu’est le talonnage et cela peut permettre à une personne d'accéder à des endroits auxquels ils ne devraient normalement pas avoir accès.
Dumpster diving
Enfin le Dumpster diving, littéralement la plongée dans les poubelles, peut-être une technique très efficace pour obtenir des informations personnelles et confidentielles.
Des informations comme des listes d'employés ou de contrat peuvent fournir des renseignements en vue de réaliser une attaque d’usurpation d’identité par exemple.
Un point intéressant concernant la récupération d’informations dans les déchets et les poubelles et que la pratique est considérée comme légale si les poubelles sont dans l’espace public, car rien ne vient empêcher l'accès à ces informations.
C’est pourquoi il est important de bien veiller à détruire ou rendre illisible les informations qui pourraient être exploitées à l'ingénierie sociale, notamment en utilisant un destructeur de documents par exemple.
Vecteurs d’attaque
DoS & DDoS
Une DoS (Denial of Service), attaque par déni de service en français, est une tentative de perturber un service dans le but qu’il cesse de fonctionner. Pour les systèmes informatiques, la technique la plus souvent utilisée est de surcharger un système en lui envoyant plus de requêtes qu’il n’est capable d’en traiter.
Le but d’une attaque par déni de service est de perturber le bon fonctionnement d’une entreprise, d’une chaîne de production, d’un système de sécurité ou d’un service informatique et les techniques utilisées peuvent parfois être aussi simples que couper ou débrancher un câble d’alimentation !
Parfois une DoS peut être causé par de façon non intentionnelle par un système mal configuré ou un incident comme des utilisateurs qui téléchargent de gros volumes de fichiers ou une fuite d’eau à proximité de systèmes informatiques.
Une attaque par déni de service distribué (DDoS) vise plus particulièrement les systèmes informatiques et les serveurs. On dit distribué, car l’attaque est réalisée par une “armée” d’ordinateurs sur lesquels des bots ont été installés de façon malveillante.
Dans ce cas et bien c’est un peu comme un embouteillage. Une autoroute par exemple est conçue pour absorber un nombre limité de voitures et si vous envoyez trop de véhicules, un embouteillage se forme et le trafic s'arrête.
La plupart du temps ces bots proviennent de malwares et les utilisateurs des ordinateurs infectés ne savent même pas qu'ils participent indirectement à une attaque. On appelle ces ordinateurs infectés des zombies.
Zero-day
Une vulnérabilité Zéro-day (ou 0-day) et bien c’est une faille dans un système de sécurité qui permet des cyberattaques et dont seuls les pirates sont au courant. Cela signifie que les fabricants de matériel ou les développeurs n’ont pas encore conscience du risque et qu’il n’existe pas encore de patch pour réparer cette vulnérabilité.
Les systèmes sont donc vulnérables, mais personne n’est encore au courant.
Cela veut dire que lorsqu’une vulnérabilité que l’on appelle zéro day devient publique il faut trouver très rapidement un moyen d’évaluer et réduire le risque en attendant que la vulnérabilité soit patché.
Man-in-the-middle
Une attaque man in the middle, ou attaque de l'homme du milieu en français est un terme qui décrit une technique pour laquelle l’attaquant vient se placer au milieu des communications entre un utilisateur et un autre réseau.
Du côté de l’utilisateur, le fonctionnement est normal, du côté de l’attaquant, le fameux homme du milieu, cela lui permet d’écouter les communications, de récupérer des informations ou de les modifier à la volée.
L’attaque man-in-the-middle en fait, c’est un peu comme si votre facteur ouvrait votre courrier pour lire les informations qu’il contient, puis refermais les enveloppes et les déposerais dans votre boite aux lettres.
Attaque de mots de passe
Nous allons voir maintenant différentes attaques sur les mots de passe.
→On commence avec le brute force la méthode d’attaque la plus primitive.
Aucun mot de passe n’est réellement sécurisé puisque l’on peut techniquement tester toutes les combinaisons des symboles jusqu'à trouver le bon mot de passe et bien c’est justement ça la technique brute force.
Par exemple, si l'on sait que le mot de passe est une série de 4 chiffres, on va tester 0000 puis 0001 puis 0002… jusqu’à 9999. Cela peut paraître long et répétitif, mais les ordinateurs eux peuvent trouver la solution à ce problème en quelques millisecondes.
Et c’est pour ça que l’on recommande l’usage de mots de passe long, avec des caractères spéciaux, que parfois on autorise que trois essais ou encore que l’on utilise des CAPTCHAs pour vérifier que vous n’êtes pas un robot.
→On continue avec une attaque de type dictionnaire, qui est tout simplement l’utilisation d’une liste de mots de passe.
En effet on peut constater que beaucoup de mots de passe simples sont fréquemment utilisés tels que 1234, password…
Depuis plusieurs années des attaques ont rendu publiques des bases de données de mots de passe, et donc on à pu créer des listes de mots de passe les plus utilisés. Comme on est aussi capable de les compter et bien on peut avoir une représentation statistique de l’usage de ces mots de passe et donc les organiser dans une liste du mot de passe le plus fréquemment utilisé au moins utilisé.
Mais il n’y a pas que les pirates qui utilisent ce type de liste, en effet certaines entreprises viennent tester régulièrement les mots de passe de leurs employés avec ces dictionnaires que l’on trouve facilement en ligne dans le but justement de renforcer la sécurité.
→On termine avec l’attaque de type rainbow table qui est un peu plus complexe.
Comme nous avons pu le voir juste avant, des bases de données de mots de passe ont été rendues publiques plus d’une fois dans l’histoire de l’informatique. Pour contrer ce problème, on à alors décidé de modifier la façon de stocker les mots de passe.
Pour cela on utilise une fonction mathématique qui se nomme le hash. C’est un peu comme un algorithme de chiffrement, mais qui ne peut pas être déchiffré, c'est-à-dire qu'on peut calculer le hash d’une chaîne de caractère, mais il est impossible de calculer la chaîne de caractère à partir du hash.
Le serveur stocke donc uniquement les hashs des mots de passe et lorsqu' un utilisateur souhaite se connecter et bien du côté serveur on calcul à nouveau le hash et on le compare à celui enregistré. Du coup et bien si la base de données de hash de mots de passe est piratée et rendue publique et bien les mots de passe ne sont pas directement identifiables.
Mais revenons à notre attaque de l’arc-en-ciel qui utilise une rainbow table. Et bien une rainbow table c’est tout simplement une liste de mots de passe qui sont déjà convertis sous forme de hash. Ces tableaux peuvent prendre beaucoup de place, mais imaginons que vous êtes arrivé à obtenir le hash d’un mot de passe et bien l’opération à effectuer n’est que de rechercher dans ce tableau un mot de passe correspondant à ce hash.
On peut noter que les systèmes utilisent des algorithmes de hash qui peuvent être différents les uns des autres. Un moyen de contrer ce type d’attaque est la technique de salting, soit salage qui est d’ajouter une information aléatoire aux mots de passe avant de générer le hash.
L'ingénierie sociale combine habilement la psychologie et la technologie pour influencer les comportements humains et obtenir des informations confidentielles.
Plus de cours CompTIA A+