false
Global nav V2 patch, remove after adding the mobile languages fix in the codebase (S7 or S8)

Les 50 plus grandes menaces de cybersécurité

L’équipe de recherche sur les menaces Splunk (STRT) répertorie les grandes menaces de cybersécurité selon les tactiques de menace du cadre MITRE ATT&CK, pour vous aider à garder une longueur d’avance sur les pirates.

hero image
command and control

Commande et contrôle

Commande et contrôle

Ce qu’il faut savoir : Une attaque par commande et contrôle se produit lorsqu’un pirate prend le contrôle d’un ordinateur afin d’envoyer des commandes ou des logiciels malveillants à d’autres systèmes du réseau. Dans certains cas, l’attaquant effectue des activités de reconnaissance en se déplaçant latéralement sur le réseau pour recueillir des données sensibles.

Les pirates peuvent également utiliser cette infrastructure pour lancer de véritables attaques. Elle permet en effet d’établir des serveurs qui communiqueront avec les implants installés sur les terminaux compromis. Ces attaques sont également souvent appelées attaques C2 ou C&C.

La plupart des pirates prennent pied dans un système au moyen d’e-mails d’hameçonnage puis installent des logiciels malveillants. Ils établissent ainsi un canal de commande et contrôle qui sert à transmettre des données et des commandes entre le point de terminaison compromis et l’attaquant.

On a recensé d’importantes attaques de commande et contrôle en provenance de Russie, d’Iran et même des États-Unis. Ces attaquants peuvent venir de n’importe où, mais ils ne veulent pas que vous le sachiez. 

La communication jouant un rôle clé dans ces attaques, les pirates utilisent des techniques conçues pour dissimuler la véritable nature de leurs échanges. Ils essaieront souvent de consigner leurs activités aussi longtemps que possible sans être détectés, en s’appuyant sur une variété de techniques pour communiquer tout en faisant profil bas.

iot threats

Menaces IoT

Ce qu’il faut savoir : Il y a environ 13,1 milliards d’appareils IoT connectés à l’échelle mondiale selon les estimations, et ce nombre devrait passer à 30 milliards d’ici 2030. Ces appareils manquent souvent d’infrastructure de sécurité, ce qui crée des vulnérabilités flagrantes dans le réseau et agrandit de manière exponentielle la surface d’attaque pour les logiciels malveillants. Différents types d’attaques peuvent être lancées via des appareils IoT : attaques DDoS, ransomwares et ingénierie sociale.

Les pirates et les États-nations malveillants peuvent exploiter les vulnérabilités des appareils IoT connectés à l’aide de logiciels sophistiqués pour accéder à un réseau. L’objectif : surveiller les utilisateurs ou voler de la propriété intellectuelle, des données classifiées ou personnellement identifiables, et autres informations critiques. Une fois qu’ils ont infiltré un système IoT, les pirates peuvent ensuite se déplacer latéralement vers d’autres appareils connectés ou accéder à un réseau plus vaste à diverses fins malveillantes.

Les attaques peuvent provenir de n’importe où dans le monde. Mais comme de nombreux secteurs verticaux tels que les administrations, la fabrication et la santé déploient une infrastructure IoT sans les protections de sécurité adéquates, ces systèmes sont la cible d’attaques d’États-nations hostiles et d’organisations cybercriminelles sophistiquées. Contrairement aux attaques visant les infrastructures technologiques, les attaques qui ciblent les systèmes civiques ou de santé connectés peuvent entraîner des perturbations généralisées et des situations de crise, et même mettre des personnes en danger.

iot threats

Ransomwares

Ce qu’il faut savoir : Une attaque par ransomware (ou rançongiciel) infecte un hôte, chiffre les données de la victime et les retient en otage jusqu’à ce qu’elle verse une rançon. Au cours de récentes attaques par ransomware, les pirates ont menacé de divulguer ou de vendre les données volées, augmentant considérablement les dommages potentiels de ce type d’attaques. 

Il existe d’innombrables types de rançongiciels, mais certains groupes sont particulièrement néfastes. Un gang bien connu, Blackmatter, a ciblé un certain nombre d’organisations essentielles à l’économie et à l’infrastructure des États-Unis, notamment dans l’industrie agro-alimentaire. Ryuk doit également faire l’objet d’une surveillance étroite. En 2019, Ryuk était l’auteur de la demande de rançon la plus élevée de l’histoire, avec 12,5 millions de dollars.

Les adversaires déploient des ransomwares auprès des entreprises et des particuliers par le biais de campagnes d’harponnage et de téléchargements furtifs, mais aussi, de façon plus traditionnelle, en exploitant des failles dans des services à distance. Une fois le logiciel malveillant installé sur la machine de la victime, il présente une fenêtre à l’utilisateur ou le dirige vers un site web, où il est informé que ses fichiers sont chiffrés et peuvent être libérés s’il paie la rançon.

Les ransomwares étaient habituellement l’œuvre de groupes de cybercriminels sophistiqués, qui restent anonymes après avoir extorqué des gouvernements ou de grandes entreprises en besoin de technologie avancée. Cependant, depuis l’arrivée des cryptomonnaies, qui simplifient les transactions anonymes, le grand public est plus exposé aux attaques de ransomwares.

credential

Accès aux identifiants

Appropriation de compte

Ce qu’il faut savoir : Plutôt que de voler directement des informations de carte ou des identifiants, l’appropriation de compte est plus subtile. Elle permet à l’attaquant d’utiliser autant que possible la carte volée avant que l’activité suspecte ne soit détectée. Les banques, les grands sites marchands et les services financiers comme PayPal sont des cibles courantes, et tout site web nécessitant une connexion est susceptible de subir ce type d’attaque.

Parmi les méthodes les plus courantes, citons les applications en un clic basées sur un proxy, les attaques de botnet par force brute, le phishing et les logiciels malveillants. Certains malfaiteurs n’hésitent pas à fouiller dans les poubelles pour trouver des informations personnelles dans le courrier, ou tout simplement à acheter des listes de « Fullz », un terme d’argot désignant des liasses complètes d’identifiants vendues sur le marché noir. Une fois le profil de la victime acheté ou construit, le voleur d’identité peut utiliser les informations pour déjouer un système d’authentification basé sur la connaissance.

Une part considérable de nos transactions, financières et autres, s’effectue en ligne. Pour les cybercriminels, l’acquisition d’identifiants de compte et d’informations personnelles (numéros de sécurité sociale, adresses personnelles, numéros de téléphone, numéros de carte de crédit et autres informations financières) est une activité lucrative, qu’il s’agisse ensuite de vendre les informations acquises ou de les utiliser pour leur propre profit. En tant que telles, ces attaques peuvent provenir de n’importe où dans le monde.

brute force

Attaques par force brute 

Ce qu’il faut savoir : Une attaque par force brute vise à obtenir des informations personnelles, en particulier des noms d’utilisateurs et des mots de passe, en utilisant une approche par essais et erreurs. C’est l’un des moyens les plus simples d’accéder à une application, à un serveur ou à un compte protégé par mot de passe : l’attaquant essaie simplement des combinaisons de noms d’utilisateurs et de mots de passe jusqu’à ce qu’il finisse par entrer (s’il y parvient, car n’oublions pas qu’un mot de passe à six caractères offre des milliards de combinaisons potentielles).

L’attaque par force brute la plus élémentaire est l’attaque par dictionnaire. L’adversaire essaie systématiquement tous les mots d’un dictionnaire ou d’une liste, jusqu’à ce qu’il obtienne un résultat. Il peut ajouter des symboles et des chiffres aux mots, ou utiliser des dictionnaires spéciaux contenant des mots de passe divulgués et/ou couramment utilisés. Et s’il n’a ni le temps ni la patience, il existe des outils automatisés qui peuvent rendre cette tâche beaucoup plus rapide et moins fastidieuse.

En raison de la simplicité de l’attaque par force brute, des cybercriminels qui n’ont que peu ou pas d’expérience technique peuvent essayer d’accéder au compte de quelqu’un. Les personnes qui mènent ces campagnes ont suffisamment de temps ou de puissance de calcul pour y arriver. 

compromised-credentials

Identifiants compromis

Ce qu’il faut savoir : La plupart des gens utilisent encore l’authentification à facteur unique pour s’identifier (ce qui fait froncer les sourcils à la plupart des professionnels de la cybersécurité). Certes, on commence à appliquer des exigences plus strictes en matière de mot de passe (nombre de caractères, combinaison de symboles et de chiffres et intervalles de renouvellement), mais les utilisateurs finaux continuent de réutiliser les mêmes identifiants sur différents comptes, plates-formes et applications, sans les mettre à jour périodiquement. 

Ces pratiques permettent aux adversaires d’accéder plus facilement au compte d’un utilisateur, et un certain nombre de violations actuelles sont dues à ces campagnes de collecte d’identifiants.

Une fois découvert, un mot de passe, une clé ou un autre type d’identifiant peut être utilisé par un acteur malveillant pour obtenir un accès non autorisé à des informations et des ressources. La violation peut toucher un compte isolé comme une base de données entière.

 

En s’appuyant sur un compte de confiance au sein d’une organisation ciblée, un acteur malveillant peut opérer sans être détecté et exfiltrer des données sensibles sans déclencher de signal d’alarme. Les méthodes couramment employées pour collecter des identifiants sont les renifleurs de mots de passe, le phishing et les logiciels malveillants.

Les identifiants compromis représentent un vecteur d’attaque pour les acteurs malveillants qui veulent accéder à des ordinateurs, à des comptes protégés par mot de passe et à l’infrastructure réseau d’une organisation avec une facilité relative. Les auteurs sont souvent organisés et visent une organisation ou une personne spécifique. Et ils ne viennent pas toujours de l’extérieur : il peut s’agir de menaces internes ayant un certain niveau d’accès – légitime – aux systèmes et aux données de l’entreprise. 

credentials-dumping

Déversement d’identifiants

Ce qu’il faut savoir : Le déversement d’identifiants (ou credential dumping) désigne simplement une attaque qui repose sur la collecte d’identifiants auprès d’un système ciblé. Même s’ils ne sont pas en texte brut puisqu’ils sont le plus souvent stockés sous forme de hash ou chiffrés, un adversaire peut toujours extraire les données et casser le chiffrement hors ligne sur ses propres systèmes. C’est pourquoi on parle de « déversement ». 

Les pirates tentent souvent de voler les mots de passe de systèmes qu’ils ont déjà compromis. Le problème s’amplifie lorsque les utilisateurs répliquent le même mot de passe sur plusieurs comptes et plusieurs systèmes. 

Les informations d’identification obtenues de cette manière incluent généralement celles d’utilisateurs privilégiés, qui ont accès à des informations et à des opérations système plus sensibles. Les pirates ciblent souvent plusieurs sources pour extraire des identifiants : gestionnaire de comptes de sécurité (SAM), autorité de sécurité locale (LSA), NTDS des contrôleurs de domaine ou fichiers de préférence de stratégie de groupe (GPP).

 

Lorsque des malfaiteurs ont obtenu des identifiants valides, ils les utilisent pour se déplacer facilement sur un réseau ciblé, découvrir de nouveaux systèmes et identifier les actifs qui les intéressent.

Le déversement d’identifiants peut provenir de n’importe où. Et parce que nous avons tous, un jour ou l’autre, recyclé des mots de passe, ces informations peuvent être vendues pour faciliter de futures attaques.

creden-reuse-aattack

Attaque par réutilisation des identifiants

Ce qu’il faut savoir : La réutilisation des identifiants est un problème omniprésent dans toute entreprise ou base d’utilisateurs. De nos jours, la plupart des utilisateurs ont des dizaines (voire des centaines) de comptes et doivent mémoriser d’innombrables mots de passe répondant à toutes sortes d’exigences strictes. Ils sont donc tentés de réutiliser le même mot de passe à plusieurs reprises, dans l’espoir de mieux mémoriser leurs identifiants sur tous leurs comptes. Sans surprise, cela peut entraîner des problèmes de sécurité majeurs lorsque les identifiants en question sont compromis.

En théorie, l’attaque elle-même est simple, directe et étonnamment furtive (si l’authentification à deux facteurs n’est pas activée). Une fois les identifiants d’un utilisateur dérobés, le coupable peut essayer le même nom d’utilisateur et le même mot de passe sur d’autres sites web grand public ou bancaires jusqu’à ce qu’il obtienne une correspondance – d’où la précision « réutilisation » dans « attaque par réutilisation des identifiants ».

 

L’entrée est toutefois un peu plus compliquée. Pour obtenir des informations privilégiées, les attaquants commencent généralement par une tentative de phishing, en utilisant des e-mails et des sites web d’apparence légitime pour duper l’utilisateur et l’inciter à fournir ses identifiants.

Il peut s’agir d’une attaque ciblée : l’auteur connaît la victime et souhaite accéder à ses comptes pour des raisons personnelles, professionnelles ou financières. L’attaque peut également provenir d’un parfait inconnu qui a acheté les identifiants de l’utilisateur sur un réseau cybercriminel clandestin.

credential stuffing

Injection d’identifiants

Ce qu’il faut savoir : Les cybercriminels utilisent des identifiants de compte volés – souvent des noms d’utilisateurs et des mots de passe obtenus à la suite d’une violation – pour accéder à des comptes supplémentaires en automatisant des milliers, voire des millions, de demandes de connexion dirigées contre une application web. Ils tentent tout simplement d’accéder à des comptes sensibles en se connectant. Cette méthode fonctionne parce que beaucoup de gens réutilisent les mêmes noms d’utilisateurs et mots de passe sur plusieurs services. Lorsque l’attaque réussit, un identifiant peut déverrouiller des comptes contenant des informations financières et exclusives, donnant à son auteur les clés de toute la vie de la victime, ou presque. 

Les pirates ont simplement besoin d’identifiants de connexion, d’un outil automatisé et de proxys pour mener une attaque par injection d’identifiants. Ils vont exploiter un cache de noms d’utilisateurs et de mots de passe, récolté à partir de violations massives d’entreprises. Grâce à des outils automatisés, ils vont tout simplement « injecter » ces identifiants dans les interfaces de connexion d’autres sites.

Les proxys dissimulent la localisation des pirates utilisant la méthode d’injection d’identifiants. On les rencontre pourtant dans le monde entier, en particulier dans les points chauds de la cybercriminalité. Des pirates isolés ou organisés ont souvent accès à des outils dédiés de vérification de compte et à de nombreux proxys pour éviter que leurs adresses IP ne soient bloquées. Les malfaiteurs moins sophistiqués finissent parfois par se trahir en tentant d’infiltrer un grand nombre de comptes à l’aide de robots, produisant involontairement un scénario de déni de service distribué (DDoS).

information-repositories

Données des dépôts d’informations

Ce qu’il faut savoir : Dépôts d’informations sont des outils qui permettent de stocker des informations : Microsoft SharePoint et Atlassian Confluence en sont de bons exemples. Ces référentiels facilitent généralement la collaboration ou le partage d’informations entre des utilisateurs et conservent une grande variété de données susceptibles de tenter les malfaiteurs, qui peuvent y trouver de précieuses informations.

Les dépôts d’informations ont souvent une large base d’utilisateurs et la détection des violations peut s’avérer difficile. Les pirates peuvent collecter des informations à partir de dépôts de stockage partagés, hébergés sur une infrastructure cloud ou dans des applications SaaS.

Des groupes criminels comme APT28 ciblent les agences gouvernementales, les sites de réservation d’hôtels, ainsi que les sociétés de télécommunications et d’informatique. Au minimum, il faut surveiller étroitement l’accès aux dépôts d’informations par des utilisateurs privilégiés (par exemple, les administrateurs d’entreprise, de schéma ou de domaine Active Directory). En effet, ces types de comptes ne devraient normalement pas servir à accéder aux dépôts d’informations. Une infrastructure supplémentaire de stockage et d’analyse des logs apportera des capacités de détection plus robustes.

network-sniffing

Reniflage de réseau

Ce qu’il faut savoir : Le reniflage de réseau, également connu sous le nom de reniflage de paquets, désigne la capture, la surveillance et l’analyse en temps réel des données circulant au sein d’un réseau. Que ce soit via le matériel, le logiciel ou une combinaison des deux, les acteurs malveillants utilisent des outils de détection pour espionner les données non chiffrées des paquets réseau : informations d’identification, e-mails, mots de passe, messages et autres informations sensibles. 

Tout comme dans les scénarios d’écoute téléphonique, le reniflage de réseau opère en arrière-plan, écoutant silencieusement les échanges d’informations entre les entités d’un réseau. Pour y parvenir, les malfaiteurs placent un renifleur sur un réseau en installant un logiciel ou un dispositif matériel connecté à un appareil qui lui permet d’intercepter et de consigner le trafic sur le réseau filaire ou sans fil auquel l’appareil hôte a accès. En raison de la complexité inhérente à la plupart des réseaux, les renifleurs peuvent rester longtemps présents avant d’être détectés.

Le reniflage de réseau est souvent effectué légalement par des organisations telles que les FAI, les agences de publicité, les agences gouvernementales et autres qui ont besoin de surveiller le trafic réseau.

 

Mais il peut également être le fait de pirates pour le « panache », ou d’États-nations cherchant à dérober des secrets industriels. Comme les ransomwares, les renifleurs de réseau peuvent être injectés dans le réseau en demandant à la bonne personne de cliquer sur le bon lien. Les acteurs internes ayant accès à du matériel sensible peuvent également représenter un vecteur d’attaque.

privilige-user-compromise

Compromission d’utilisateur privilégié

Ce qu’il faut savoir : Il est largement admis que de nombreuses violations graves de données peuvent être attribuées à l’abus d’identifiants privilégiés. Il s’agit de comptes disposant de privilèges élevés, comme des droits d’administration sur un domaine ou des privilèges root. Les adversaires utilisent de plus en plus les identifiants d’utilisateurs privilégiés pour accéder aux ressources et aux informations d’une organisation et exfiltrer des données sensibles. Un pirate qui accède aux identifiants d’un utilisateur privilégié peut contrôler l’infrastructure d’une organisation et modifier les paramètres de sécurité, exfiltrer des données, créer des comptes utilisateurs et plus encore, tout en paraissant légitime, et donc plus difficile à détecter.

Les pirates tentent d’obtenir un accès à des comptes privilégiés en utilisant des techniques d’ingénierie sociale, des messages d’harponnage, des malwares ou des attaques « pass the hash ». Les organisations ont ouvert leurs réseaux pour répondre aux besoins d’une main-d’œuvre de plus en plus mobile et distante, et mis un réseau complexe d’accès à distance à la disposition de leurs fournisseurs et prestataires de services. Bon nombre de ces connexions, y compris vers le cloud, sont accessibles à l’aide d’identifiants de comptes privilégiés. Il est extrêmement difficile de trouver, contrôler et surveiller toutes ces connexions – une manne pour les malfaiteurs.

 

Une fois armés des identifiants, les attaquants entrent et se saisissent de tout ce qui peut être intéressant : clés SSH, certificats, hash d’administration de domaine. Et il suffit d’un seul compte pour entraîner une violation de données majeure et mettre une organisation à genoux.

Parce qu’elle offre aux cybercriminels un accès aussi large que discret à toutes sortes de données, la compromission d’utilisateurs privilégiés est très attrayante et couramment employée dans des cyberattaques de toutes sortes, du cyberespionnage national motivé par une idéologie politique à la cybercriminalité sophistiquée à but lucratif, avec des groupes comme Lapsus$.

spyware

Logiciels espions

Ce qu’il faut savoir : Un logiciel espion est un logiciel malveillant qui vise à collecter des données personnelles ou organisationnelles, à suivre ou à vendre l’activité web d’une victime (ses recherches, son historique et ses téléchargements), à capturer des informations sur les comptes bancaires et même à voler l’identité d’une cible. Il existe plusieurs types de logiciels espions, et chacun utilise une tactique unique pour suivre sa victime. En bout de ligne, les logiciels espions peuvent prendre le contrôle d’un appareil, exfiltrer des données ou envoyer des informations personnelles à une autre entité inconnue, à l’insu de leur propriétaire et sans son consentement.

Les logiciels espions peuvent être installés sur l’appareil d’une victime par divers moyens, mais ils s’implantent généralement en dupant la cible ou en exploitant les vulnérabilités existantes. L’infection peut se produire lorsqu’un utilisateur clique négligemment sur un pop-up aléatoire, télécharge un logiciel ou une mise à jour à partir d’une source non fiable, ouvre des pièces jointes à des e-mails d’expéditeurs inconnus ou pirate des films et de la musique.

Grâce aux kits de logiciels criminels, désormais facilement disponibles, ce type d’attaque peut provenir de n’importe qui et de n’importe où. Mais le plus souvent, elles sont le fait d’organisations malveillantes cherchant à vendre les informations de leurs victimes à des tiers.

web-session-cookie-theft

Vol de cookies de session web

Ce qu’il faut savoir : Lorsqu’un malfaiteur réussit à voler un cookie de session, il peut effectuer toutes les actions que l’utilisateur d’origine est autorisé à réaliser. C’est particulièrement dangereux en entreprise, car les cookies peuvent être utilisés pour reconnaître des utilisateurs dans les systèmes d’authentification unique. Celui qui se les approprie a potentiellement accès à toutes les applications web que la victime peut utiliser : systèmes financiers, dossiers des clients et systèmes commerciaux contenant potentiellement des secrets industriels.

Quand un utilisateur accède à un service et valide son identité, un cookie est stocké sur sa machine pendant une période prolongée afin qu’il n’ait pas à se reconnecter régulièrement. Un malfaiteur peut voler des cookies de session web à l’aide de logiciels malveillants, puis les importer dans un navigateur qu’il contrôle afin d’utiliser le site ou l’application aussi longtemps que le cookie de session est actif. Une fois connecté au site, il peut accéder à des informations sensibles, lire des e-mails ou effectuer toutes les opérations entrant dans le champ d’autorisation du compte de la victime.

Le vol de cookies est généralement réalisé par le biais de logiciels malveillants qui copient les cookies de la victime et les envoient directement à l’attaquant. Le logiciel malveillant peut être installé sur la machine de la victime par différents moyens que nous avons déjà vus : phishing, virus macro, XSS, etc. De nombreux pirates se livrant au vol de cookies appartiennent à de vastes réseaux basés en Russie et en Chine. On a ainsi découvert que les acteurs à l’origine de l’attaque de YouTube, par exemple, faisaient partie d’un groupe de pirates connectés via un forum russophone.

business-invoice

Exécution

Fraude à la facture en entreprise

Ce qu’il faut savoir : La fraude à la facture d’entreprise tente d’inciter les victimes à payer une facture frauduleuse (mais convaincante) adressée à leur organisation. En réalité, les fonds parviennent à des imposteurs qui ont pris l’apparence de fournisseurs. Les montants facturés sont généralement raisonnables afin de ne pas attirer les soupçons. Mais en répétant ces escroqueries des centaines ou des milliers de fois, les chiffres grossissent rapidement.

Dans ce scénario, la victime reçoit des fausses factures vouées à lui dérober de l’argent en comptant sur une négligence dans les processus de règlement. Les pirates choisissent des cibles en fonction de la taille de l’entreprise, de sa localisation et de ses fournisseurs, et ils créent de fausses factures qui semblent légitimes. En espérant que le service des règlements de la victime soit en retard, ils envoient des fausses factures assorties d’une mention telle que « Somme due depuis 90 jours, règlement immédiat ! ».

Si une partie de la fraude à la facture en entreprise est le fait d’escrocs isolés, la majorité provient d’organisations disposant des ressources requises pour faire des recherches sur la banque de la victime et créer une expérience de facturation crédible. On rencontre des organisations de fraude utilisant des fausses factures dans le monde entier.

cloud-cryptomining

Cryptominage dans le cloud 

Ce qu’il faut savoir : Le cryptominage est une activité intentionnellement difficile et consommatrice de ressources. Sa complexité a un objectif : garantir que le nombre de blocs extraits chaque jour reste stable. On comprend donc que des mineurs ambitieux, mais sans scrupules, cherchent à détourner la puissance de calcul des grandes entreprises pour l’exploiter – une pratique connue sous le nom de crypto-détournement. 

Le cryptominage attire de plus en plus l’attention des médias depuis que sa popularité a explosé à l’automne 2017. Les attaques, qui ciblaient au départ les vulnérabilités des navigateurs et des téléphones mobiles, visent aujourd’hui les services cloud d’entreprises telles qu’Amazon Web Services, Google Cloud Platform (GCP) et Microsoft Azure. 


Il est difficile de déterminer exactement à quel point cette pratique s’est répandue, car les pirates informatiques perfectionnent continuellement leur capacité à échapper à la détection. Ils utilisent notamment des points de terminaison non répertoriés, modèrent leur utilisation du processeur et masquent l’adresse IP du pool de minage derrière un réseau de diffusion de contenu (CDN) gratuit. 


Lorsque les mineurs volent une instance cloud, créant souvent des centaines de nouvelles instances, les coûts peuvent devenir astronomiques pour le titulaire du compte. Il est donc essentiel de surveiller les systèmes pour détecter les activités suspectes pouvant trahir une infiltration de réseau.

Comme les cryptomonnaies s’échangent dans le monde entier, les attaques peuvent provenir de n’importe où. Plutôt que de se concentrer sur l’origine des attaques, il est essentiel de surveiller les instances de cloud computing pour rechercher les activités liées au crypto-détournement et au cryptominage : nouvelles instances cloud provenant de régions inconnues auparavant, lancement d’un nombre anormalement élevé d’instances par un même utilisateur, ou création d’instances de calcul par des utilisateurs inconnus auparavant.

cross site scripting

Cross-Site Scripting

Ce qu’il faut savoir : Les attaques XSS se produisent lorsqu’un attaquant utilise une application web pour envoyer un code malveillant, généralement sous la forme d’un script côté navigateur, à un autre utilisateur final. Les failles sur lesquelles reposent ces attaques sont répandues et se produisent partout où une application web génère une entrée d’un utilisateur sans la valider ni l’encoder. 

Le navigateur de l’utilisateur final n’a aucun moyen de savoir que le script ne doit pas être approuvé, et exécute automatiquement le script. Parce qu’il pense que le script provient d’une source fiable, il le laisse accéder aux cookies, aux jetons de sessions et autres informations sensibles conservées par le navigateur. Ces scripts peuvent même réécrire le contenu de la page HTML.

Il existe deux types d’attaques XSS : stockées et réfléchies. On parle d’attaque XSS stockée lorsqu’un script injecté est stocké sur le serveur à un emplacement fixe – un message de forum ou un commentaire, par exemple. Chaque utilisateur qui visite la page infectée sera affecté par l’attaque XSS. Pour une attaque XSS réfléchie, le script injecté est servi à un utilisateur en réponse à une requête, comme une page de résultats de recherche.

Bien que les attaques XSS ne soient plus aussi courantes qu’auparavant, principalement en raison des améliorations apportées aux navigateurs et à la technologie de sécurité, elles sont encore suffisamment répandues pour se classer parmi les dix principales menaces répertoriées par l’Open Web Application Security Project. La base de données Common Vulnerabilities and Exposures répertorie près de 14 000 vulnérabilités associées aux attaques XSS.

credential-dumping

Attaque par crypto-détournement

Ce qu’il faut savoir : Le crypto-détournement est une méthode d’attaque par laquelle un pirate cible et détourne des systèmes informatiques à l’aide d’un malware qui se cache dans une machine puis exploite sa puissance de calcul pour miner des cryptomonnaies comme le Bitcoin ou l’Ethereum, aux frais de la victime. Le pirate cherche à créer des cryptomonnaies, très rentables, à partir des ressources informatiques d’un tiers. 

La méthode d’attaque la plus courante du crypto-détournement consiste à envoyer un lien malveillant dans un e-mail de phishing pour inciter le destinataire à télécharger le code de cryptominage sur son ordinateur. Une autre méthode consiste à intégrer un morceau de code JavaScript dans une page web visitée par l’utilisateur, dans ce qu’on appelle une attaque « drive-by ». Quand l’utilisateur consulte la page, le code malveillant destiné à miner la crypto-monnaie est automatiquement téléchargé sur la machine. Il s’exécute ensuite silencieusement en arrière-plan, à l’insu de l’utilisateur, et seule une lenteur anormale de l’ordinateur peut trahir sa présence.

Ces attaques viennent du monde entier car le crypto-détournement ne nécessite pas de compétences techniques importantes. On trouve en effet des kits prêts à l’emploi sur le web profond pour seulement 30 $ – un ticket d’entrée très faible pour les pirates qui veulent gagner rapidement de l’argent en courant relativement peu de risques. Victime d’une attaque, une banque européenne a observé des modèles de trafic inhabituels sur ses serveurs, un ralentissement des processus de nuit et des connexions inexpliquées de ses serveurs. Tous ces phénomènes avaient une même explication : un employé malhonnête avait installé un système de cryptominage.

ddos attack

Attaque DDoS

Ce qu’il faut savoir : Quand des pirates, des hacktivistes ou des cyberespions recourent à une attaque DDoS, c’est dans le but de ralentir ou mettre hors service un site web ou des serveurs en les inondant de trafic provenant de plusieurs sources. Comme leur nom l’indique, les attaques par déni de service distribué sont des assauts de force brute largement distribués visant à semer le chaos et provoquer la destruction. Ces attaques ont souvent tendance à cibler des sites populaires ou prestigieux, comme ceux des banques, des grands journaux ou des administrations, que ce soit pour les empêcher d’agir ou de publier des informations importantes, ou bien pour les affaiblir financièrement.

Les acteurs malveillants à l’origine des attaques DDoS cherchent à faire des ravages chez leur cible en sabotant son site web, à nuire à son image de marque et à provoquer des pertes financières en empêchant les utilisateurs d’accéder à son site ou ses ressources. Les attaques DDoS s’appuient sur des centaines ou des milliers d’ordinateurs infectés, ou « bots », répartis dans le monde entier. Connues sous le nom de botnets, ces armées d’ordinateurs compromis exécutent l’attaque simultanément pour une efficacité totale.

Le pirate ou le groupe de pirates qui contrôle ces ordinateurs infectés devient alors le botmaster. Il infecte les systèmes vulnérables avec des logiciels malveillants, souvent des chevaux de Troie. Lorsqu’un nombre suffisant d’appareils a été infecté, le botmaster leur donne l’ordre d’attaquer et les serveurs et réseaux cibles sont bombardés de requêtes, ce qui les étouffe et les arrête.

Comme leur nom l’indique, les attaques DDoS sont distribuées. Autrement dit, le flot de trafic ciblant le réseau de la victime provient de nombreuses sources. Les pirates à l’origine de ces attaques peuvent donc littéralement se trouver n’importe où dans le monde. Et par leur nature distribuée, ces attaques sont impossibles à arrêter en sécurisant ou en bloquant une source unique.

iomt threat

Menaces IoMT

Ce qu’il faut savoir : L’Internet des objets médicaux (IoMT) est une révolution pour les soins de santé, en particulier à l’ère du Covid-19. L’IoMT a le pouvoir de libérer d’innombrables opportunités dans le diagnostic, le traitement et la gestion de la santé et du bien-être d’un patient, et détient la clé pour réduire les coûts tout en améliorant la qualité des soins. Mais avec la multiplication des appareils connectés, le risque de cybersécurité augmente également. En 2020, plus de 25 % des cyberattaques ayant visé des établissements de santé impliquaient l’IoMT.

Les technologies numériques vieillissent plus rapidement que leurs homologues physiques, dont le cycle de vie peut être long, et les équipements et logiciels obsolètes créent de graves vulnérabilités de cybersécurité pour les hôpitaux et les patients. Actuellement, les fabricants n’autorisent pas les clients à dépanner et à corriger eux-mêmes leurs appareils, et peuvent même annuler les garanties s’ils ne respectent pas la règle. Si l’on ajoute à cela l’absence de chiffrement, des identifiants codés en dur et des contrôles de sécurité laxistes, les organisations de santé ne sont pas armées pour atténuer les risques liés aux équipements vieillissants.

Les attaquants IoMT disposent des capacités et des ressources nécessaires pour identifier les établissements de santé dans lesquels les responsabilités de sécurité sont mal définies, qui ont une mauvaise visibilité sur leurs actifs et leur inventaire, et qui utilisent des systèmes et des appareils obsolètes.

malicious-powershell

Powershell malveillant 

Ce qu’il faut savoir : PowerShell est un outil de ligne de commande et de script développé par Microsoft et reposant sur .NET (qu’on prononce « dot net »). Il permet aux administrateurs et aux utilisateurs de modifier des paramètres système et d’automatiser des tâches. L’interface en ligne de commande (CLI), très souple, offre une large gamme d’outils, ce qui en fait un shell et un langage de script populaires. Les pirates ont, eux aussi, bien cerné les avantages de PowerShell : en tant que terminal de code, il leur permet d’opérer sans être détecté sur un système et d’agir en coulisses.

Comme PowerShell est un langage de script qui s’exécute sur la majorité des machines d’entreprise, et que la plupart des entreprises ne surveillent pas les terminaux de code, la logique derrière ce type d’attaque est parfaitement claire. Il est facile d’obtenir l’accès à un système et de s’y s’enraciner. Nul besoin d’installer un logiciel malveillant pour exécuter le script nuisible. Pour le pirate, c’est un moyen simple d’éviter toute détection en contournant les analyses de fichiers exécutables, pour ensuite semer le chaos à sa guise.

Plus sophistiqué que les autres méthodes, ce type d’attaque est généralement l’œuvre d’un pirate informatique qui sait exactement ce qu’il fait (contrairement à un amateur qui pourrait recourir à des attaques par force brute). Toujours furtif dans son approche, il sait brouiller les pistes et se déplacer latéralement sur un réseau.

man-in-the-middle

Attaque de l’homme du milieu (MITM)

Ce qu’il faut savoir : L’attaque MITM, également connue sous le nom d’adversary-in-the-middle (AiTM), consiste à mettre en place un serveur proxy qui intercepte la session de la victime. L’acteur malveillant agit alors comme un relais entre les deux parties ou systèmes, et peut ainsi consulter et/ou voler des informations sensibles. Ce type d’attaque permet d’intercepter, d’envoyer et de recevoir des données destinées à quelqu’un d’autre, ou qui ne sont pas destinées à être envoyées du tout, sans qu’aucune des parties extérieures ne le sache, jusqu’à ce qu’il soit trop tard.

L’attaque de l’homme du milieu est à la portée de n’importe qui ou presque. Mais depuis la généralisation d’HTTPS, elle est devenue plus difficile à exécuter et se fait donc plus rare. Dans une attaque MITM, le pirate se place entre l’utilisateur et le site web (ou l’autre utilisateur) et assure la transmission des données tout en exfiltrant celles qui l’intéressent.

Dans la mesure où l’amélioration des technologies de sécurité a rendu les attaques MITM plus difficiles à exécuter, les seuls groupes qui les tentent sont des pirates sophistiqués ou des acteurs parrainés par des états. En 2018, la police néerlandaise a découvert quatre membres du groupe de pirates russe Fancy Bear garés devant l’Organisation pour l’interdiction des armes chimiques en Hollande ; ils tentaient une infiltration MITM pour voler les identifiants des employés. Plus tard cette année-là, les gouvernements américain et britannique ont publié des mises en garde indiquant que des acteurs parrainés par l’État russe ciblaient activement les routeurs des particuliers et des entreprises à des fins d’exfiltration MITM.

system misconfiguration

Erreurs de configuration des systèmes

Ce qu’il faut savoir : Les défauts – voire l’absence – des contrôles de configuration de sécurité sont un problème répandu qui peut mettre les organisations en danger. Tous les niveaux de la pile informatique et de sécurité, ou presque, peuvent être concernés, du réseau sans fil de l’entreprise aux applications web et serveur, en passant par le code personnalisé.

Ce type d’attaque est généralement lié à des correctifs manquants, à l’utilisation de comptes par défaut, à des services inutiles, aux configurations par défaut non sécurisées et à la mauvaise qualité de la documentation. Les possibilités de failles sont innombrables : en-tête de sécurité non défini sur un serveur web, oubli de désactiver l’accès administratif de certains niveaux d’employés, etc. Cette attaque peut également se produire lorsque des pirates s’implantent dans des applications anciennes présentant des défauts de configuration en raison du manque de mises à jour.

Une mauvaise configuration n’est pas considérée comme un acte malveillant en soi, et est essentiellement le résultat d’une erreur humaine. Cependant, des adversaires peuvent savoir où chercher s’ils soupçonnent un certain laxisme dans la configuration de la pile informatique d’une organisation donnée.

watering-hole-attack

Attaques par point d’eau

Ce qu’il faut savoir : Dans l’attaque par point d’eau, les malfaiteurs compromettent l’ordinateur d’un utilisateur au moment où il visite un site web infecté par des malwares conçus pour infiltrer votre réseau et voler des données ou des actifs financiers. Il s’agit essentiellement d’une attaque zero-day : le but est d’infecter votre système informatique pour obtenir l’accès à votre réseau afin d’en tirer un gain financier ou de voler des informations propriétaires.

Dans un premier temps, les adversaires vont déterminer quels sites web les utilisateurs visitent fréquemment, puis rechercher des faiblesses à exploiter. En exploitant les failles identifiées, les pirates compromettent les sites web en question puis attendent, sachant que votre prochaine visite n’est qu’une question de temps. Le site web va ensuite infecter votre réseau et leur permettre d’y accéder puis de se déplacer latéralement vers d’autres systèmes.

S’ils peuvent venir du monde entier, la majorité des cybercriminels derrière ces attaques sont basés dans des régions où les organisations menaçantes se multiplient, comme la Russie, l’Europe de l’Est et la Chine. En 2018, une attaque de point d’eau d’envergure nationale a été attribuée au groupe de menace chinois connu sous le nom de LuckyMouse (alias Iron Tiger, EmissaryPanda, APT 27 ou encore Groupe de menace 3390), connu pour cibler les secteurs de l’administration, de l’énergie et de la fabrication par différents types d’attaques, y compris des assauts par point d’eau.

zero-day-exploit

Exploit zero-day

Ce qu’il faut savoir : Au départ, une vulnérabilité zero-day est une faille. Il s’agit d’une faiblesse au sein d’un logiciel ou d’un réseau informatique dont les pirates profitent peu de temps, voire immédiatement, après son lancement. Son nom fait référence au fait que ces vulnérabilités sont souvent exploitées le jour-même.

L’attaque zero-day se produit dès que la vulnérabilité est exploitée. La nature de la vulnérabilité influera sur la mise en œuvre de l’attaque, mais on observe un modèle récurrent. Tout d’abord, le pirate (ou le groupe de pirates) analyse la base de code à la recherche de vulnérabilités. Une fois qu’il a trouvé la faille, il crée un code qui exploite la vulnérabilité. Il infiltre ensuite le système (en utilisant une ou plusieurs des méthodes décrites ici) et l’infecte avec son code malveillant avant de lancer l’exploit.

La généralisation de la technologie a entraîné une croissance exponentielle des attaques zero-day. Ces attaques peuvent apparemment être lancées de n’importe où, mais elles proviennent souvent d’États-nations ou de régions qui abritent d’importants réseaux cybercriminels. Selon des rapports récents, la majeure partie des menaces zero-day en 2021 provenaient de groupes de pirates basés en Chine. 

drive-by-data-download-attack

Accès initial

Attaque par téléchargement furtif

Ce qu’il faut savoir : Le téléchargement furtif désigne le téléchargement involontaire de code malveillant sur un ordinateur ou un appareil mobile, exposant les utilisateurs à différents types de menaces. Les cybercriminels utilisent le téléchargement furtif pour voler et collecter des informations personnelles, injecter des chevaux de Troie bancaires, des kits d’exploitation ou d’autres logiciels malveillants sur les appareils des utilisateurs. Pour vous protéger des téléchargements furtifs, appliquez régulièrement les mises à jour et les correctifs aux applications, aux logiciels, aux navigateurs et aux systèmes d’exploitation. Il est également recommandé de rester à l’écart des sites web non sécurisés ou potentiellement malveillants.

Le téléchargement furtif se distingue en ce que les utilisateurs n’ont pas besoin de cliquer sur quoi que ce soit pour lancer le téléchargement. Il suffit en effet à la victime de consulter un site web ou de le parcourir pour activer le téléchargement sur son appareil, à son insu. Le téléchargement furtif tire parti d’applications, de navigateurs ou même de systèmes d’exploitation non sécurisés, vulnérables ou obsolètes.

La multiplication des kits de téléchargement furtif prêts à l’emploi permet aux pirates de tout niveau de compétence de lancer ce type d’attaques. En effet, un malfaiteur peut acheter et déployer ces kits sans écrire son propre code ni créer sa propre infrastructure pour exfiltrer des données ou commettre d’autres abus. En raison de leur extrême simplicité, ces attaques peuvent provenir de pratiquement n’importe où.

phishing

Phishing 

Ce qu’il faut savoir : Une attaque par hameçonnage incite des particuliers ou des employés à cliquer sur un lien malveillant qui les conduit généralement à un faux site pour qu’ils saisissent des informations personnellement identifiables telles qu’un numéro de compte bancaire, des informations de carte de crédit ou des mots de passe. L’hameçonnage parvient à la victime par e-mail, message direct ou autre communication. Faites preuve de vigilance : ces faux sites sont souvent très convaincants, mais les pirates s’apprêtent à récolter toutes les informations que vous y saisirez. Ils peuvent également lancer des malwares visant à dérober des fonds sur votre compte, des informations personnellement identifiables ou d’autres ressources critiques.  

Vous êtes généralement leurré par un e-mail dont l’auteur usurpe l’identité d’une personne que vous connaissez – un collègue ou un supérieur, par exemple – et qui vous demande d’ouvrir une pièce jointe malveillante ou de cliquer sur un lien conduisant à une page quasiment identique au site légitime qu’elle imite. 

Il y a quelques dizaines d’années seulement, une grande partie des attaques par hameçonnage provenaient du Nigeria  elles étaient surnommées « arnaques 419 » en référence au paragraphe du code pénal nigérien qui les condamne. Aujourd’hui, les attaques par hameçonnage proviennent du monde entier et en particulier des BRIC (Brésil, Russie, Inde et Chine), selon l’Institut InfoSec. En raison de la simplicité et de la disponibilité des kits d’hameçonnage, même des pirates possédant des compétences techniques limitées sont en mesure de lancer des campagnes d’hameçonnage. Les auteurs de ces campagnes sont variés, allant du pirate isolé à l’organisation cybercriminelle.

social-engineering-attack

Attaque d’ingénierie sociale

Ce qu’il faut savoir : L’ingénierie sociale désigne un large éventail d’activités malveillantes qui exploitent la manipulation psychologique et visent à inciter les utilisateurs à commettre des erreurs de sécurité ou à divulguer des informations sensibles. Ce qui rend l’ingénierie sociale particulièrement dangereuse, c’est qu’elle repose sur l’erreur humaine, plutôt que sur les vulnérabilités des logiciels et des systèmes d’exploitation. Les erreurs commises par des utilisateurs légitimes sont beaucoup moins prévisibles, ce qui les rend plus difficiles à identifier et à déjouer qu’une intrusion basée sur un logiciel malveillant.

Les attaques d’ingénierie sociale se présentent sous de nombreuses formes et peuvent être menées partout où une interaction humaine est impliquée. Un exemple d’attaque d’ingénierie sociale : l’agresseur commence par enquêter sur la victime visée pour recueillir les informations de base nécessaires comme les points d’entrée potentiels ou les protocoles de sécurité faibles, pour poursuivre l’attaque. Ensuite, il gagne la confiance de la victime et l’incite à agir de manière contraire aux pratiques de sécurité, par exemple en révélant des informations sensibles ou en accordant l’accès à des ressources critiques.

L’ingénierie sociale peut prendre de nombreuses formes et avoir diverses sources et motivations. Le plus souvent, elle se présente sous la forme d’e-mails de phishing, mais pas seulement. Dans le faux-semblant, l’attaquant crée un bon prétexte pour voler des données importantes. Citons aussi le fait d’appâter et le quid pro quo, dans lesquels l’attaquant offre à la victime quelque chose de désirable en échange d’identifiants de connexion ; ou encore le talonnage, dans lequel un attaquant accède à une zone restreinte d’une entreprise en passant derrière un employé authentifié lorsqu’il passe les portes sécurisées.

sql-injection

Injection SQL

Ce qu’il faut savoir : L’injection SQL vise à manipuler ou détruire des bases de données à l’aide d’instructions SQL malveillantes. Les instructions SQL contrôlent la base de données de votre application web et peuvent être utilisées pour contourner les mesures de sécurité si les saisies utilisateur ne sont pas correctement filtrées.

Une attaque par injection SQL consiste à insérer ou « injecter » une requête SQL via les données d’entrée du client vers l’application. Un exploit d’injection SQL réussi peut lire des données sensibles de la base de données, modifier les données de la base de données, exécuter des opérations d’administration sur la base de données, récupérer le contenu d’un fichier donné présent sur le système de fichiers du SGBD et, dans certains cas, envoyer des commandes au système d’exploitation.

Comme une grande partie d’Internet repose sur des bases de données relationnelles, les attaques par injection SQL sont extrêmement courantes. Rechercher « injection » dans la base de données Vulnérabilités et expositions courantes renvoie à 15 000 résultats.

supply-chain-attack

Attaques de la chaîne logistique

Ce qu’il faut savoir : Une attaque de la chaîne logistique est une puissante cyberattaque qui peut traverser les défenses de sécurité les plus sophistiquées par l’intermédiaire de fournisseurs tiers légitimes. Comme les fournisseurs ont besoin d’accéder à des données sensibles pour s’intégrer aux systèmes internes de leurs clients, les cyberattaques qui les visent exposent aussi souvent les données de leurs clients. Et comme les fournisseurs stockent les données sensibles de nombreux clients, une seule attaque de la chaîne logistique permet à des pirates d’accéder aux données sensibles de nombreuses entreprises, dans de nombreux secteurs. La gravité des attaques de la chaîne logistique ne saurait être surestimée. Et la récente vague d’attaques de ce genre laisse penser que cette méthode est aujourd’hui à la mode parmi les acteurs étatiques.

Une attaque de la chaîne logistique utilise des processus légitimes et fiables pour obtenir un accès complet aux données des entreprises en ciblant le code source du logiciel, les mises à jour ou les processus de compilation d’un fournisseur. Elles sont difficiles à détecter car elles se produisent en décalage par rapport à la surface d’attaque. Les fournisseurs compromis transmettent alors involontairement des programmes malveillants au réseau de leurs clients. Les victimes peuvent être atteintes par le biais de mises à jour de logiciels tiers, d’installeurs d’applications ou de programmes malveillants présents sur des appareils connectés. Une mise à jour logicielle peut infecter des milliers d’entreprises avec un minimum d’efforts de la part des pirates, qui disposent désormais d’un accès « légitime » pour se déplacer latéralement dans leurs réseaux.

Les attaques de la chaîne logistique sont des attaques sophistiquées à grande échelle perpétrées par des acteurs de menaces avancées, souvent parrainés par des États-nations et motivés par des idéologies, bien que le gain financier soit également une motivation importante. 

application-access-token

Déplacement latéral

Jeton d’accès aux applications

Ce qu’il faut savoir : Avec un jeton d’accès OAuth, un pirate peut utiliser l’API REST accordée par l’utilisateur pour exécuter des fonctions comme la recherche d’e-mails et l’énumération des contacts. Dans le cas d’un service de messagerie basé sur le cloud, une fois qu’un jeton d’accès OAuth est accordé à une application malveillante, celle-ci peut potentiellement obtenir un accès à long terme aux fonctionnalités du compte utilisateur si elle reçoit un jeton « d’actualisation » permettant l’accès en arrière-plan.

Les adversaires peuvent utiliser des jetons d’accès aux applications pour contourner le processus d’authentification et accéder à des comptes, des informations ou des services restreints sur des systèmes distants. Ces jetons sont généralement volés aux utilisateurs et utilisés à la place des identifiants de connexion.

Les jetons d’accès compromis peuvent être utilisés comme première étape pour compromettre d’autres services. Par exemple, si un jeton accorde l’accès à l’e-mail principal d’une victime, l’attaquant peut étendre son accès à tous les autres services auxquels la cible est abonnée en déclenchant des routines de mot de passe oublié. L’accès direct à l’API via un jeton annule l’efficacité d’un deuxième facteur d’authentification, et peut contourner des contre-mesures telles que la modification des mots de passe.

cloud-access-management

Gestion de l’accès au cloud 

Ce qu’il faut savoir : La gestion des autorisations de votre organisation revêt aujourd’hui une importance croissante quand il s’agit d’éviter une violation basée sur le cloud. Une sécurité laxiste ou inexistante – ou, dans ce cas, des contrôles de sécurité mal configurés – peut facilement compromettre la sécurité de vos données et exposer votre organisation à une quantité de risques inutiles, y compris des dommages importants à la réputation de la marque.

Cette attaque se produit généralement en raison d’une mauvaise communication, d’un manque de protocole, d’une configuration par défaut non sécurisée et d’une mauvaise documentation. Une fois que l’attaquant exploite la vulnérabilité et prend pied dans votre environnement cloud, il peut exploiter des privilèges pour accéder à d’autres points d’entrée distants, rechercher des applications et des bases de données non sécurisées ou des faiblesses dans les contrôles réseau. Il devient alors facile d’exfiltrer des données sans être détecté.

La mauvaise gestion et la mauvaise configuration d’un environnement cloud ne sont pas considérées comme un acte malveillant en soi et, comme on l’a dit, se produisent généralement en raison d’une erreur humaine.

macro-viruses

Virus macro

Ce qu’il faut savoir : Un virus macro est un virus informatique écrit dans le langage macro qui est utilisé dans les applications logicielles. Certaines applications comme Microsoft Office, Excel et PowerPoint, permettent d’intégrer des programmes de macros dans des documents de façon à ce qu’elles soient exécutées automatiquement à l’ouverture du document, fournissant un mécanisme pour la propagation d’instructions informatiques malveillantes. C’est l’une des raisons pour lesquelles il peut être dangereux d’ouvrir des pièces jointes inattendues ou des e-mails provenant d’expéditeurs non reconnus. De nombreux programmes antivirus peuvent détecter les virus macro, mais leur comportement reste parfois difficile à détecter.

Les attaques d’ingénierie sociale se présentent sous de nombreuses formes et peuvent être menées partout où une interaction humaine est impliquée. Un exemple d’attaque d’ingénierie sociale : l’agresseur commence par enquêter sur la victime visée pour recueillir les informations de base nécessaires comme les points d’entrée potentiels ou les protocoles de sécurité faibles, pour poursuivre l’attaque. Ensuite, il gagne la confiance de la victime et l’incite à agir de manière contraire aux pratiques de sécurité, par exemple en révélant des informations sensibles ou en accordant l’accès à des ressources critiques.

L’ingénierie sociale peut prendre de nombreuses formes et avoir diverses sources et motivations. Le plus souvent, elle se présente sous la forme d’e-mails de phishing, mais pas seulement. Dans le faux-semblant, l’attaquant crée un bon prétexte pour voler des données importantes. Citons aussi le fait d’appâter et le quid pro quo, dans lesquels l’attaquant offre à la victime quelque chose de désirable en échange d’identifiants de connexion ; ou encore le talonnage, dans lequel un attaquant accède à une zone restreinte d’une entreprise en passant derrière un employé authentifié lorsqu’il passe les portes sécurisées.

pass-the-hash

Pass the hash

Ce qu’il faut savoir : La technique pass the hash permet à un attaquant d’authentifier le mot de passe d’un utilisateur avec le hash NTLM ou LanMan sous-jacent plutôt que le mot de passe en clair. Une fois que le pirate a un nom d’utilisateur valide ainsi que les valeurs de hash de son mot de passe, il peut accéder au compte de l’utilisateur sans problème et effectuer des actions sur des systèmes locaux ou distants. Essentiellement, les hash remplacent les mots de passe d’origine à partir desquels ils ont été générés.

Sur les systèmes utilisant l’authentification NTLM, le mot de passe ou la phrase secrète d’un utilisateur n’est jamais soumis en texte clair. Au lieu de cela, il est envoyé sous forme de hash en réponse à un schéma d’authentification défi-réponse. Lorsque cela se produit, les hashes de mot de passe valides pour le compte utilisé sont capturés à l’aide d’une technique d’accès aux identifiants.

Ce type d’attaque est plus sophistiqué que d’autres méthodes et est généralement l’œuvre de groupes de menaces hautement organisés et motivés, qui visent une organisation ou une personne spécifique, dans un but politique ou financier.

suspicious-cloud-authentication-activities

Activités d’authentification cloud suspectes

Ce qu’il faut savoir : Les organisations doivent renoncer à une approche de la sécurité axée sur le réseau pour mieux protéger et authentifier les identités des utilisateurs. Mais jusqu’à récemment, c’était beaucoup plus facile à dire qu’à faire. Il manquait tout simplement à certaines technologies les capacités d’intégration nécessaires, empêchant les organisations de superviser de manière centralisée la sécurité globale de leurs ressources.

Il existe maintenant d’innombrables technologies de contrôle d’accès, comme l’authentification multifacteur (MFA). Pour éviter une authentification illégitime sur les applications cloud, aucun utilisateur ou appareil, qu’il soit interne ou externe à l’organisation, ne doit faire l’objet d’une confiance implicite, et l’accès à toutes les ressources doit être explicitement et continuellement authentifié et autorisé.

Un adversaire peut facilement franchir le périmètre et pénétrer le réseau lorsque le framework IAM est insuffisant ou faible, et lorsqu’une organisation s’appuie toujours sur la sécurité du réseau et des terminaux. Dans les deux cas, du fait du laxisme des contrôles d’accès et d’identité, l’attaquant peut facilement se connecter avec les identifiants volés sans être détecté, puis se déplacer latéralement sur le réseau, et donc sur tous les systèmes connectés, pour compromettre librement les actifs et causer des dommages irrévocables.

Avec la multiplication des attaques de phishing, le nombre croissant d’identités d’utilisateurs et l’adoption toujours plus rapide du cloud, ce type d’attaque peut provenir de n’importe où, y compris de fournisseurs tiers, d’employés, de télétravailleurs et de sous-traitants.

suspicious-zoom-child-processes

Processus enfants Zoom suspects

Ce qu’il faut savoir : Pour résumer, ces failles d’élévation des privilèges locaux tirent parti des conceptions d’architecture logicielle de Zoom. Ces exploits peuvent être lancés par un attaquant local – dans ce cas, il a déjà le contrôle physique d’un ordinateur vulnérable. Une fois les bugs exploités, il peut obtenir et conserver un accès persistant à diverses fonctions de l’ordinateur de la victime, ce qui lui permet d’installer des rançongiciels, des chevaux de Troie, des logiciels espions et divers autres types de codes malveillants dans des systèmes ciblés à des fins néfastes.

Cette attaque peut notamment se produire via le programme d’installation de Zoom conçu pour installer l’application MacOS sans aucune interaction de l’utilisateur. Dans ce scénario, un adversaire local possédant des privilèges d’utilisateur de bas niveau peut injecter des logiciels malveillants dans le programme d’installation de Zoom pour obtenir les privilèges de niveau root les plus élevés, et ainsi accéder au système d’exploitation Mac sous-jacent. Il pourra alors exécuter des logiciels malveillants ou des logiciels espions à l’insu de l’utilisateur. 

 

Un autre bug exploite une faille dans la fonction de validation de la bibliothèque locale de Zoom. Un adversaire peut charger une bibliothèque tierce malveillante dans l’espace de traitement/d’adressage de Zoom, qui hérite automatiquement de tous les droits d’accès de Zoom, et ainsi prendre le contrôle des autorisations de la caméra et du microphone à l’insu de l’utilisateur, et sans son consentement.

Ce qui rend cette vulnérabilité particulière unique, c’est que l’adversaire a besoin d’un accès physique à l’ordinateur de la victime pour exploiter ses multiples failles. Cette attaque provient donc soit de l’intérieur, soit de pirates qui ont eu accès à un ordinateur portable ou à un système informatique perdu ou volé. Autre scénario d’attaque possible : une infection réalisée à distance après l’installation d’un malware donnant un accès préalable au système ciblé.

application-access-token

Acquisition de privilèges

Attaques d’Amazon Web Services (AWS)

Ce qu’il faut savoir : Le modèle de « responsabilité partagée » d’Amazon précise qu’AWS est responsable de l’environnement qui entoure la machine virtuelle, mais que le client est responsable de la sécurité à l’intérieur du conteneur S3.

Les menaces qui tirent parti des vulnérabilités créées par des erreurs de configuration et de déploiement sont devenues un problème majeur à l’heure où les entreprises adoptent les technologies cloud à grande vitesse, car l’organisation qui utilise AWS est responsable de la sécurisation de son environnement. Et le nombre de menaces ciblant les clients AWS est impressionnant.

Une attaque contre une instance AWS peut se produire de plusieurs manières. Le passage accéléré au cloud provoqué par la pandémie de Covid-19 a multiplié les menaces visant les fournisseurs de cloud. 

 

Il est important de rester vigilant face à des activités qui se résument parfois à un comportement suspect au sein d’un environnement AWS. On surveillera également les accès à S3 provenant d’emplacements et d’utilisateurs inconnus.

 

Il est également important de contrôler qui a accès à l’infrastructure AWS d’une organisation. La détection des connexions suspectes fournit en effet un bon point de départ pour les enquêtes. Certains comportements abusifs permis par la compromission d’identifiants, par exemple, peuvent avoir des conséquences financières directes, car toutes les instances EC2 créées par l’attaquant seront facturées à l’entreprise cliente.

En raison de la diversité des services hébergés sur AWS et des nouveaux types de menaces cloud qui apparaissent quotidiennement, ces attaques peuvent pratiquement provenir de n’importe où et de n’importe qui.

insider-threat

Menaces internes 

Ce qu’il faut savoir : Une attaque interne, ou menace interne, est une agression malveillante menée par un membre de l’organisation ayant accès au système informatique, au réseau et aux ressources de votre banque. Les auteurs d’attaques internes cherchent souvent à obtenir des informations et des ressources confidentielles, propriétaires ou sensibles, que ce soit pour un bénéfice personnel ou pour fournir des renseignements à un concurrent. Ils peuvent également tenter de saboter votre entreprise en perturbant les systèmes, causant des pertes de productivité, de rentabilité et de réputation.

Ces initiés malveillants ont un atout de poids : ils ont déjà un accès autorisé au réseau, aux informations et aux actifs de votre institution. Comme ils disposent souvent de comptes ayant accès aux systèmes ou aux données critiques, ils peuvent facilement les localiser, contourner les contrôles de sécurité et les exfiltrer de la société.

Les attaquants internes peuvent être des employés de l’organisation ayant de mauvaises intentions, ou des cyberespions se faisant passer pour des sous-traitants, des tiers ou des télétravailleurs. Ils peuvent aussi bien travailler pour leur propre compte que pour celui d’un gouvernement, d’une organisation criminelle ou d’une entreprise concurrente. Même s’il s’agit de prestataires indépendants ou de sous-traitants situés ailleurs dans le monde, ces malfaiteurs disposent d’un certain niveau d’accès légitime aux systèmes et aux données de l’organisation.

router-and-infrastructure-security

Sécurité des routeurs et de l’infrastructure

Ce qu’il faut savoir : Les implants de routeur sont rares et ont longtemps été considérés comme purement théoriques. Cependant, de récents avis des fournisseurs signalent en avoir observés dans le monde réel. Le vecteur d’infection initial ne semble pas tirer parti d’une vulnérabilité zero-day. On pense que l’adversaire utilise les identifiants par défaut non modifiés ou découvre les nouveaux identifiants pour installer une porte dérobée. Cependant, la position du routeur dans le réseau en fait une cible idéale pour obtenir un accès durable et poursuivre l’infection.

Les périphériques réseau, tels que les routeurs et les switches, sont rarement considérés comme des ressources visées par des adversaires pour compromettre une entreprise. Les attaquants infectent les périphériques réseau et peuvent ensuite obtenir un accès direct à l’infrastructure interne de l’entreprise, ce qui augmente efficacement la surface d’attaque et ouvre la porte qui donne sur les services et les données privés.

Les acteurs des menaces avancées ont montré une propension à cibler ces actifs critiques pour siphonner et rediriger le trafic réseau, flasher les systèmes d’exploitation infiltrés et mettre en œuvre des algorithmes de chiffrement affaiblis pour déchiffrer plus facilement le trafic réseau.

simjacking

Simjacking

Ce qu’il faut savoir : Le SIMjacking (également connu sous le nom d’escroquerie par échange de carte SIM, escroquerie par transfert, fractionnement de carte SIM et échange de carte SIM) est un type de prise de contrôle de compte qui cible généralement une faiblesse de l’authentification à deux facteurs et de la vérification en deux étapes impliquant un message texte (SMS) ou appel émis vers un téléphone mobile. En termes simples, le simjacking se produit lorsqu’un attaquant se fait passer pour une cible auprès d’un fournisseur de téléphonie mobile afin de voler son numéro de téléphone portable en le faisant transférer sur une autre carte SIM (qui est déjà en possession du pirate).

Le pirate appelle la ligne d’assistance d’un fournisseur de services mobiles ; il se fait passer pour la cible et dit qu’il a perdu sa carte SIM. Il peut confirmer son identité car il a acquis une partie des informations personnelles de la cible (adresse, mots de passe ou numéro de sécurité sociale) via l’un des nombreux piratages de bases de données de la dernière décennie. L’employé du fournisseur de services, n’ayant aucun moyen de savoir que la personne à l’autre bout de la ligne n’est pas celle qu’elle prétend être, effectue le changement. Instantanément, ce numéro de téléphone (qui est la clé d’une grande partie de la vie numérique) est sous le contrôle de l’attaquant.

Les simjackers cherchent généralement à extorquer une ressource de grande valeur – un portefeuille de Bitcoin ou autre cryptomonnaie, ou bien un compte de réseau social important – ou à nuire à la réputation de leur victime, comme l’a fait Chuckling Squad avec Jack Dorsey. Membres de groupes organisés ou acteurs solitaires, ces pirates peuvent être basés n’importe où dans le monde.

suspicious-okta-activity

Activité Okta suspecte

Ce qu’il faut savoir : Okta est le principal fournisseur d’authentification unique (SSO). Une fois qu’un utilisateur s’est authentifié auprès d’Okta, il peut accéder à une variété d’applications web. Ces applications sont attribuées aux utilisateurs par les administrateurs, qui gèrent de manière centralisée les autorisations d’accès aux applications des utilisateurs. Okta fournit également une journalisation centralisée qui permet de savoir comment les applications sont utilisées et par qui.

Bien que la SSO soit extrêmement pratique pour les utilisateurs, elle représente également une opportunité pour des adversaires qui, s’ils franchissent la barrière d’Okta, ont ensuite accès à une variété d’applications.

Une fois exploitée, cette vulnérabilité permet une attaque par injection d’identifiants : l’acteur malveillant acquiert des noms d’utilisateurs et des mots de passe à partir de diverses sources (sites web piratés, attaques de phishing et sites de déversement de mots de passe). En menant des attaques par force brute à l’aide d’outils automatisés, il teste ces identifiants à grande échelle et sur une myriade de sites web jusqu’à ce qu’une connexion réussisse. À partir de là, il a la possibilité de lancer toutes sortes d’attaques, y compris des campagnes de phishing ou de spam, d’accéder à des informations personnelles identifiables et autres informations sensibles, et de vider des comptes bancaires volés.

 

Les attaques par pulvérisation de mot de passe, qui sont essentiellement des attaques par force brute, consistent à introduire une grande quantité de noms d’utilisateurs dans un programme automatisé qui tente de deviner les mots de passe associés. Comme leur nom l’indique, elles s’appuient sur une technique de « pulvérisation » dans l’espoir que l’une des combinaisons nom d’utilisateur/mot de passe soit correcte. Et une seule suffit.

Ces attaques peuvent techniquement provenir de n’importe où. Bien qu’on puisse les attribuer à des réseaux de cybercriminalité sophistiqués, elles peuvent également être le fait pirates informatiques distants moins avancés, qui ont acquis des outils automatisés capables de mener simultanément un grand nombre d’attaques par force brute.

Prêt à lutter contre les cybermenaces avec Splunk ?

En savoir plus sur les principales détections de menaces de cybersécurité avec Splunk et MITRE ATT&CK.