Sommaire

• Petit résumé de sécurité informatique
• 12 idées fausses sur la sécurité
• Les acteurs
• Les menaces
• Les Malwares…
• Les Vulnérabilités
• Les techniques d’attaque
• Les bonnes pratiques

---

Les moyens de porter atteinte à un système d’information

• • • Destruction de matériels de supports : l’attaquant doit pouvoir accéder, au besoin par la force, au(x) équipement(s)..
    • Rayonnements électromagnétiques : par brouillage. Nécessite des moyens importants. Facilement détectable car peu discrète. Plutôt réservé aux militaires…
    • Le vol de supports ou de documents :  dans le premier cas il s’agit du vol de l’ordinateur de Mme. Michu soit à son domicile, soit en voyage (portable). Le vol de CD, clés USB, papiers peut aussi être très compromettant pour la sécurité. Les supports recyclés peuvent aussi porter constituer un moyen de pénétrer le système d’information ou bien une fuite d’informations critiques.
    • La divulgation : soit elle est utilisée comme menace et constitue un chantage, soit elle permet d’accéder aux comptes bancaires de la victime. La divulgation s’opère fréquemment via des techniques de Phishing.
    • La saturation : ce type d’attaque est dirigée contre les serveurs. La méthode consiste à envoyer un très grand nombre de requêtes vers le serveur afin qu’il ne puisse plus les traiter. Dans certains cas cette technique permet d’accéder au serveur avec des privilèges illégalement acquis. Le pirate peut, ensuite, modifier le contenu ou la configuration du serveur. Pour atteindre ce but, le pirate doit auparavant compromettre de nombreux ordinateurs, pourquoi pas celui de Mme. Michu…
    • Compromission du logiciel ou du système d’exploitation : effectué par des techniques différentes décrites ci-dessous…

---

Les virus

Un virus est un programme qui se reproduit en s’insérant partiellement dans d’autres fichiers ou qui est déjà présent dans un fichier programme (cas fréquent avec des logiciels piratés ou téléchargés illégalement).  Les pièces jointes de mails peuvent contenir des virus.

Les risques

Tant que le virus n’a pas été executé, on ne risque rien. Lorsqu’il est activé, la palette de ses actions n’a de limite que celle de son créateur.
Tandis que certains virus vont tout simplement se manifester par l’apparition d’un message l’ordinateur, d’autres vont être plus dangereux. Par exemple, ils pourront supprimer des données, formater un disque dur.
Une majorité des virus se propagent par courrier électronique via les pièces-jointes. D’autres via le branchement d’une clé USB (infectée) sur un ordinateur qui va devenir victime.
On peut classer les virus en plusieurs catégories selon leur mode d’action. Je ne détaille pas ces points ici.

Les vers

Les vers (en anglais worm) sont des programmes qui se propagent d’ordinateur à ordinateur via Internet. Ainsi, contrairement aux virus, les vers n’ont pas besoin d’un programme hôte pour se propager. Leur poids est très léger, ce qui leur permet de se propager à une vitesse impressionnante, et pouvant donc saturer les réseaux.

Les risques

Identiques à ceux des virus.

Les spywares & Hijackers

Les spywares, ou logiciels espion, transmettent à des tiers (malfaisants) des informations contenues dans votre ordinateur. Les spywares peuvent être présents dans des gratuiciels, ou des partagiciels. En général les logiciels à code source libre comme Mozilla FireFox n’en contiennent aucun car la communauté des développeurs indique sans retard toute faille identifiée. La communauté la corrige alors.

Les risques

Fuite de données confidentielles comme N° de cartes bancaires, mots de passe, données médicales, etc.

Les Troyens

Les troyens (en anglais trojan horse) tirent leur nom du mythe du cheval de Troie. Ces programmes ont une apparence saine, souvent même attirante, mais lorsqu’il sont exécutés, il effectuent, discrètement ou pas, des actions supplémentaires. Ces actions peuvent être de toute forme, comme l’installation d’une backdoor (littéralement “porte dérobée” : moyen pour un tiers de prendre le contrôle de l’ordinateur à distance) par exemple.

Les risques

Une fois exécuté, le troyen installe une porte dérobée à l’insu de l’utilisateur légitime l’ordinateur. Par cette porte dérobée, le hacker peut contrôler à distance l’ordinateur victime. Il dispose souvent de plus de droits que l’utilisateur légitime en possède. Il peut, par exemple, créer un compte administrateur  invisible lui permettant de revenir plus facilement. La “backdoor” est couramment utilisée pour faire du renseignement…

Les bootnets

Réseau de robots logiciels (bots) installés sur des machines aussi nombreuses que possibles. Ces robots se connectent sur des serveurs IRC (Internet Relay Chat) au travers desquels ils peuvent recevoir des instructions de mise en œuvre de fonctions non désirées (envoi de spam, vol d’informations, participation à des attaques de saturation…).

Les bombes logiques

Une bombe logique est un troyen qui, une fois exécutée, produira ses effets à un moment précis. Par exemple, la bombe logique Tchernobyl s’est activée le 26 avril 1999 (jour du 13ème anniversaire de la catastrophe nucléaire en Bulgarie), mais la bombe peut également attendre une combinaison de touches bien précise de la part de l’utilisateur pour se déclencher ou attendre qu’un fichier s’exécute. Le choix des programmeurs quant à son déclenchement est sans limite.

Les protections contre les virus, les vers, les spywares, les troyens & bombes logiques

• • Avoir un antivirus, et le mettre à jour régulièrement.
  • Avoir un parefeu et le configurer correctement.
  • Avoir un antispyware, et scanner son ordinateur régulierement
  • Ne pas ouvrir une pièce-jointe d’une personne inconnue.
  • Si vous connaissez la personne, passez la pièce-jointe au scanner, puisqu’il peut s’agir d’un virus qui se propage ou d’une personne tiers usurpant son identité.
  • Se renseigner sur la présence de spywares dans les logiciels que vous avez installés.
  • Utiliser un naviguateur moins ciblé par des attaques et ayant moins de faille de sécurité.
  • Etre vigilant lorsque vous surfez sur internet, notamment vis à vis du contenu du site

Les Hoax

Un hoax (canular) est un courrier électronique contenant une fausse information. Si certains sont inoffensifs, d’autres peuvent être dangereux.
Pour plus d’informations voir : www.hoaxbuster.com.
En cas de réception d’un tel courrier électronique et avant de le relayer, allez vérifier l’information sur le site ci-dessus. Dans plus de 95% des cas il s’agit d’un Hoax (expérience personnelle). Avec un peu d’habitude vous apprendrez à les reconnaître.

Les risques

Peu de risques à part la perte de temps…
Vérifiez toujours ces mails avec votre antivirus.

Les protections

A peu près aucune à part tenter l’éducation de votre envoyeur. Bon courage…

Le spam

Le spamming (ou encore pourriel) consiste à envoyer des messages appelés “spam” à une ou plusieurs personnes. Ces spams sont souvent d’ordre publicitaire. Tous les points suivant sont considérés comme du spamming.

• •  Envoyer un même mail, une ou plusieurs fois à une ou plusieurs personnes en faisant de la publicité.
  • Poster un ou plusieurs messages dans un forum qui n’a rien à voir avec le thème.
  • Faire apparaître un message publicitaire lorsque l’on navigue sur un site.

Les risques

• • • Risque d’effacer un message utile.
    • Perte de temps.
    • Désagrément.

Les protections

• • • Activer les règles de filtrage de votre logiciel de messagerie.
    • Installer un logiciel Anti-Spam.

Le Mail-bombing

Le mailbombing s’apparente au spamming puisqu’il a pour but de provoquer une gêne pour la victime. Mais cette fois, le but n’est pas le même, il s’agit de saturer la boîte aux lettres électronique de la victime en envoyant un très grand nombre de mails.

Les risques

Victime de mailbombing, vous risquez de perdre votre boîte. Pire encore serait que les mails soient infectés par des virus. Ainsi, la victime ne peut plus se servir de sa boîte.

Les protections

• • • Le mieux est d’avoir une deuxième adresse mail. Ainsi vous ne communiquez votre adresse personnelle qu’aux personnes de confiance. Vous limitez ainsi les risques de mailbombing sur l’adresse à laquelle vous tenez. Attention : la notion de deuxième boîte aux lettres est difficile à faire comprendre à certaines personnes qui se dépêchent de vous inscrire sur un site qui vous spasme ensuite.
    • Il existe des utilitaires permettant d’éviter les mailbombers.

Le Phishing

Le phishing, consiste à soutirer des informations confidentielles (comme les codes bancaires, les mots de passe…) auprès des clients par usurpation d’identité.
En créant un site de e-commerce avec la réplique conforme d’un vrai. Il suffit alors aux scamers de vous faire arriver sur leur site. Ainsi, vous pensez être sur le bon site, et vous donnez vos informations bancaires. Ils auront ainsi votre nom, votre code et la date d’expiration.
Les scamers peuvent aussi vous envoyer un mail en vous demandant des informations confidentielles. Bien sûr, ils usurpent l’identité de votre banque, pour vous mettre dans la confiance.

Les risques

La fuite de données confidentielles.

Les protections

• • • • NE CLIQUEZ PAS SUR LE LIEN ENVOYE PAR E-MAIL ! Ecrivez-vous même l’URL daccès au service lorsqu’il s’agit de faire des achats en ligne et non en cliquant sur un lien qui vous a été envoyé. Rien ne vous garantit que l’URL que vous voyez soit celle du site sur lequel vous êtes réellement.
      • Si le site utilise une liaison sécurisée (https), vérifiez dans la barre d’adresse que le certificat de sécurité est bien reconnu.
      • Méfiez-vous des courriels provenant de votre banque. Il est rare qu’ils vous demandent des informations confidentielles. En cas de doute, plutôt leur téléphoner.
      • Du bon sens ! Surtout du bon sens !…

---

Les vulnérabilités

Les vulnérabilités représentent les failles ou faiblesses des entités qui composent ou interagissent avec l’ordinateur de Mme Michu, ou plus généralement, un système d’information. Les vulnérabilités sont susceptibles d’être exploitées par des attaquants.

Types de vulnérabilités

On distinguera donc les grands types de vulnérabilités suivants :

• • les vulnérabilités de conception qui résultent d’un choix initial du concepteur (choix d’une technologie par exemple) ; leur suppression entraine des conséquences lourdes,
  • les vulnérabilités de réalisation qui résultent des principes de fabrication (mauvais codage par exemple) ; ces vulnérabilités peuvent être diminuées ou supprimées par des opérations correctrices à la charge du réalisateur. Hélas les objectifs de planning pour les développements entraînent un manque d’intérêt pour cette phase des développements.
  • les vulnérabilités liées aux conditions d’emploi des entités, qu’il s’agisse de leur environnement ou de leur processus d’installation (mauvais paramétrage par exemple) ; ces vulnérabilités peuvent être diminuées ou supprimées par des opérations correctrices à la charge du déploiement ,
  • les vulnérabilités liées à l’usage des entités et qui peuvent être diminuées ou supprimées par une action au niveau des utilisateurs, encore que d’autres mesures permettraient de les limiter.

Evolution des vulnérabilités

Selon Kaspersky lab, le site du célèbre antivirus pointe du doigt les 10 menaces les plus marquantes en 2013 :

“Les professionnels de la sécurité et les particuliers se souviendront de 2013, avec un certain nombre d’événements dans le domaine de la sécurité. Plusieurs épisodes, des révélations d’Edward Snowden à l’émergence des botnets de smartphones en passant par le ransomware Cryptolocker, ont eu un impact important sur le quotidien des utilisateurs et des entreprises. Comme la tradition le veut, les experts de Kaspersky Lab ont présenté la liste des principales menaces de 2013 sur SecureList. Nous avons sélectionné, pour vous, 10 phénomènes clés de 2013 qui continueront d’avoir une influence sur notre vie en 2014.

1. Internet sous surveillance

Les publications de The Guardian et du New York Times basées sur les documents classifiés fournis par Edward Snowden ont énormément affecté Internet (et continuent à le faire) en 2013. L’ancien employé de la NSA a fourni aux médias un volume monstrueux d’informations révélant comment le service secret surveillait Internet. Encore plus important, il ne s’agit pas de cas isolés de surveillance ciblée mais d’une collecte internationale d’informations et de données sur tout le monde. De plus, alors que la majorité des documents décrit des activités américaines (pour des raisons évidentes), il a été démontré que le même type d’activités était pratiqué par les services secrets d’autres pays. À la suite de cette nouvelle, les principaux fournisseurs de service Cloud se sont tous hâtés d’installer une protection chiffrée pour les données Cloud, y compris pour les liens de données intranet. Les organisations gouvernementales, à leur tour, ont commencé à réfléchir à des mesures de protection. Selon Aleks Gostev, directeur de la recherche en sécurité chez Kaspersky Lab, ces événements pourraient mener à une fragmentation de l’Internet et plus tard à une division par nation avec des « gigantesques pare-feux » tels que celui utilisé en Chine. Pendant ce temps, ceux qui préfèrent la confidentialité, y compris les entreprises et les utilisateurs qui pratiquent des activités illégales, recherchent activement à prendre refuge dans le « darknet » – un réseau souterrain anonyme qui utilise Tor et les protocoles I2P.

2. Des attaques ciblées sur demande

Alors qu’avant la majorité des attaques ciblées étaient probablement lancées par des agences et des bureaux gouvernementaux, certaines attaques en 2013 ont été exécutées par des pirates. Parmi celles-ci, l’attaque ciblée Icefog détectée par Kaspersky Lab. Elle cible principalement les utilisateurs Mac, ce qui est également un phénomène intéressant. Une action d’intelligence industrielle effectuée via un vol de données sur des ordinateurs corporatifs aide certainement certaines sociétés à obtenir un certain avantage sur leurs compétiteurs; et inutile de rappeler à quel point il est facile de faire croire que la surveillance gouvernementale est dans l’intérêt d’une nation. « Pour réaliser cela, les sociétés doivent engager des cyber-entrepreneurs, qui sont en fait des groupes de pirates organisés qui fournissent des services relevant de l’intelligence commerciale à des entreprises. Ces derniers se considèrent certainement comme des cyber-détectives », explique Gostev.
Les attaques ciblées ont une influence visible sur le monde de l’entreprise actuel. Un sondage récemment conduit par B2B International et commissionné par Kaspersky Lab, a démontré que 9% des entreprises ont été victimes d’attaques ciblées.

Le vol d’informations n’est pas le seul scénario d’attaque. La concurrence pourrait aussi utiliser des astuces comme les attaques DoS et DDoS, la suppression de données, la réalisation de dégâts délibérés sur certains ordinateurs ou même le vol d’argent, ou la destruction de la réputation d’un autre concurrent. Ce sujet est mentionné dans le rapport de Vitaly Kamlyuk et Sergey Lozhkin sur les menaces contre les entreprises.

 3. Les botnets mobiles

L’évolution rapide des menaces mobiles est une tendance visible : les coupables explorent activement ce nouveau marché qui offre un grand nombre de victimes potentielles et un moyen plutôt simple d’obtenir de l’argent. En seulement un an, notre base de données d’applications malveillantes a atteint le chiffre de 104421, alors que le nombre total d’applications de la sorte l’année précédente était d’environ 44000. Le majorité de ces menaces sont conçues pour Android – elles représentent plus de 98% de toutes les menaces mobiles.

Parmi elles, les botnets mobiles, des réseaux de smartphones infectés gérés à distance, sont de plus en plus répandus. Environ 60% des programmes détectés font en fait partie d’un botnet en construction. MTK et Opfake font partie des botnets les plus célèbres. Les botnets sont utilisés pour de nombreuses raisons : de l’envoi de courrier indésirable à la distribution d’autres malwares. Une nouveauté de 2013 : ces botnets peuvent désormais être loués.

4. Des menaces mobiles de plus en plus complexes

Les menaces mobiles ne font pas qu’augmenter en nombre, elles deviennent également de plus en plus complexes. Jusqu’à maintenant, la cheval de Troie Android le plus complexe est Obad qui exploite trois vulnérabilités différentes qui empêchent l’analyse et la suppression rapides de celui-ci et qui utilisent des backdoors, des botnets ainsi que des chevaux de Troie diffusés via SMS. L’année prochaine, nous devrons certainement faire face à des malwares Android encore plus complexes ainsi qu’à l’émergence de nouveaux modèles d’opération tels que les bloqueurs.

5. Cyber-chantage

Les pirates reçoivent des bénéfices financiers collatéraux de chaque attaque ou intrusion. Néanmoins, ils ne disposent pas de moyens efficaces d’obtenir directement de l’argent des utilisateurs. Une solution efficace serait de voler directement l’argent d’un compte bancaire en ligne ou d’une carte bancaire. Une autre méthode est l’utilisation de ransomwares. Ces derniers sont devenus plus fréquents en 2013 avec l’émergence de malwares tels que Cryptolocker. La différence essentielle avec Cryptolocker est le fait qu’il chiffre réellement les données de votre ordinateur grâce au chiffrement asymétrique ainsi qu’à une clé robuste et unique pour chaque ordinateur. L’utilisateur pourra déchiffrer ses fichiers uniquement grâce à une clé envoyée par les cyber-délinquants qui peuvent exiger jusqu’à 3000 dollars pour celle-ci. Un des modes de paiement de cette rançon est BitCoin.

6. Monnaies chiffrées

Le concept Bitcoin a été introduit en 2009 mais c’est en 2013 que la monnaie chiffrée a connu son heure de gloire et que son « taux d’échange » a considérablement augmenté. Alors qu’un bitcoin valait 13 dollars au début 2013, en avril, il atteignait 260 dollars jusqu’à atteindre la somme incroyable de 1000 dollars plus récemment. Bitcoin doit sa popularité à son système de paiement décentralisé et à l’anonymat de ses participants. Il n’est donc pas surprenant que la monnaie soit si populaire auprès des cybercriminels et qu’elle soit impliquée dans de nombreux incidents, qu’il s’agisse de violations de sécurité sur des services de paiement par Bitcoin ou de vols auprès des utilisateurs.

 7. Des attaques ciblant les services bancaires en ligne

Ces dernières années, les principales menaces ciblant les comptes bancaires des utilisateurs consistaient principalement à voler les codes de confirmations envoyés par SMS, en d’autres termes, les chevaux de Troie mobiles et les chevaux de Troie ciblant les PC fonctionnaient ensemble. En 2013, les applications mobiles malveillantes capables d’attaquer les services bancaires sans avoir recours aux ordinateurs sont devenues plus répandues. Les techniques sont variées : vol d’identifiants de carte bancaire, transferts illégaux d’argent provenant de cartes bancaires associées à des appareils mobiles et bien d’autres encore. Les chevaux de Troie sont également capables de vérifier le solde des comptes ciblés afin d’être encore plus rentables.

 8. De nombreux incidents de sécurité

Si vous pensiez ne pas avoir essuyé d’attaque en 2013, c’est probablement dû à votre protection antivirus. Les statistiques confirment que les chances d’éviter ce genre d’incident sont minces, car on a pu observer plus de 5 milliards de cyber-attaques cette année. En 2013, Kaspersky Lab découvrait en moyenne 315 000 malwares par jour.

9. Des pays plus touchés que d’autres

Les États-Unis et la Russie sont les champions incontestables dans la catégorie des pays qui hébergent le plus de serveurs de malwares : ils hébergent respectivement 25,5% et 19,4% des malwares. L’Allemagne et les Pays-Bas en hébergent 12%, les autres pays en hébergeant ensuite 3,5% ou moins. Le Vietnam fait désormais partie du top 10 alors que la Chine est passée de la 8ème à la 21ème position dû à ses critères très strictes d’enregistrement de domaine et d’hébergement imposés par le gouvernement chinois, selon Christian Funk et Maria Garnaeva, experts de Kaspersky Lab. Les russes, les autrichiens et les allemands ainsi que certains pays de la Communauté des états indépendants ou de l’Asie ont connu une augmentation du risque d’infection par une attaque. La République Tchèque, la Slovaquie et Singapour sont les pays qui présentent le moins de risque. Les méthodes les plus utilisées par les pirates incluent l’ingénierie sociale et l’exploitation des vulnérabilités Java. Java représente plus de 90% des vulnérabilités exploitées.

10. Le maillon faible ?

Le monde de la sécurité change sans cesse mais on peut néanmoins observer une constante : les utilisateurs eux-mêmes. Ils ont tendance à se laisser avoir par les astuces de l’ingénierie sociale (en cas d’attaque ciblée, cette approche à de grandes chances de fonctionner), à utiliser des boutique d’applications douteuses sur leurs appareils mobiles, à ne pas prêter attention aux barres d’adresse ainsi qu’à saisir leurs identifiants bancaires sur des sites d’hameçonnage. Et bien sûr, ils continuent d’utiliser des mots de passe comme « 12345″ pour accéder à leurs comptes en ligne. Seules des initiatives éducatives à long terme conçues spécialement pour les utilisateurs permettront de faire du monde en ligne un endroit plus sûr.“…

---

Sommaire
Précédent : Les acteurs – Suivant : Les techniques d’attaques