StoïkBlogCyberattaque

Vecteurs d'attaques d'un système d'information : quels sont-ils ?

Alexandre Grisey
Dernière mise à jour :

Si la notion de cyberattaque est globalement assimilée, il est plus difficile de comprendre comment un attaquant s’introduit dans le système informatique (SI) d'une entreprise pour ensuite le bloquer, y installer un virus ou y voler des données confidentielles. Or, pour bien s'en protéger, il est important de connaître ces différents points d'entrée, ou vecteurs d'attaques, qu'utilisent les cybercriminels. Voici quatre catégories de vecteurs d'attaques menant à des cyberattaques : le logiciel, le réseau, l'humain et le physique.

vecteur de cyberattaque

Le vecteur d’attaque technique : le logiciel

Un pirate informatique peut pénétrer un SI en exploitant une faille logicielle ou un défaut de paramétrage de celui-ci. Voici les différentes failles logicielles existantes pouvant être utilisées par un attaquant.

Les failles dans les extensions et modules utilisés

C'est typiquement le cas lors de l'utilisation de systèmes de gestion de contenus (CMS) (Wordpress, Webflow) ou de plateformes d'e-commerce (WooCommerce, Prestashop, etc.). Les plugins qu'on y installe, pour gérer la base clients ou les moyens de paiements par exemple, sont parfois créés par des développeurs ou groupes indépendants, dont le travail est parfois contrôlé avec moins de rigueur ou mis à jour moins rapidement lorsqu’il s’agit de corriger un problème critique. Ce sont ces mêmes failles qui mènent à une potentielle cyberattaque.

Cybermalveillance alerte régulièrement sur ce type de failles comme ici le 3 août 2022 :

alerte cybersécurité pros

Les logiciels d'entreprise et systèmes d'exploitation

On rencontre le même problème pour les logiciels ou services utilisés au sein d'une entreprise, comme un CRM (gestion de relation client) ou un réseau social d'entreprise. Provenant d'éditeurs indépendants, Ils peuvent contenir des failles de sécurité. C'est également le cas des systèmes d'exploitation utilisés en interne, tels que Windows ou macOS.

Les bonnes pratiques à mettre en place

En général, lorsqu'une faille est détectée, les équipes développant ces outils la corrigent et sortent une mise à jour assez rapidement. Le seul moyen de se protéger efficacement est donc de faire ces mises à jour dès qu'elles sont disponibles. Il est aussi possible d’activer leur installation automatique, pour plus de simplicité.

Tout logiciel est susceptible de contenir des erreurs exposant son utilisateur à un risque d’attaque. Ajouter un outil logiciel, que ce soit sur un site web ou sur un poste de travail, ne doit jamais être un acte anodin : il faut toujours se demander si ce dernier est activement maintenu par un éditeur compétant et digne de confiance. Aussi, l’usage de logiciel ou de système d’exploitation ne recevant plus de correctif de sécurité est à proscrire. Dès qu’un service n’est plus nécessaire, il doit être désinstallé au plus vite afin de limiter au maximum la surface d’attaque.

Stoïk détecte vos vulnérabilités
Et vous accompagne pour les résoudre rapidement.
Tester mon risque

Le vecteur d’attaque virtuel : le réseau

Un réseau informatique est constitué d’un empilement de couches remplissant chacune une fonction précise. Tout en bas se trouve la couche physique, les câbles, et tout en haut les protocoles logiciels gérant les échanges de données. Entre les deux, il y a une foule de protocoles dont le rôle est, entre autre, d’empaqueter et de distribuer les données ou encore de gérer les connections à un réseau sans fil. Lorsqu’elles sont mal configurées, ces couches intermédiaires sont autant d’opportunités d’attaque supplémentaires.

L'attaque par déni de service (DDoS)

Pour faire une attaque par DDoS, un attaquant ou un groupe d'attaquants va venir lancer des requêtes en grand nombre vers un serveur pour le surcharger, afin de le mettre hors service. Il n’y a pas d’intrusion lors d’une telle attaque, aucune donnée n’est dérobée mais tout ou partie du système devient inaccessible.

Il n’y a pas d’intrusion lors d’une telle attaque, aucune donnée n’est dérobée mais tout ou partie du système devient inaccessible.

La connexion via un réseau non sécurisé

Contrairement au réseau sans fil d’une entreprise ou à celui installé à domicile, le caractère publique des réseaux WiFi disponibles dans les gares, les aéroports et autres lieux publiques n’exclut pas la présence d’acteurs malveillants sur le réseau. Il faut alors considérer que toute communication non chiffrée peut être lue et modifiée soit par un autre utilisateur connecté simultanément soit par l’opérateur du réseau lui même.

Les bonnes pratiques à mettre en place

Pour se protéger des attaques réseaux, il faut mettre à jour les logiciels embarqués des équipements réseaux (routeurs, point d’accès, pare-feu, etc.) dès que possible.

Il faut utiliser dès que possible des protocoles chiffrant les communications :

  • HTTPS au lieu de HTTP pour la navigation web,
  • SSH au lieu de Telnet pour l’accès à distance,
  • SFTP (ou FTPS) au lieu de FTP pour le transfert de fichier.

Ainsi, même sur un réseau avec des utilisateurs inconnus comme un WiFi publiques, les données échangées seront protégés. A défaut, l’usage d’une solution de réseau privé virtuel (VPN) est recommandée.

Le vecteur d’attaque humain : les collaborateurs

Si les failles techniques sont nombreuses, il ne faut pas oublier le vecteur humain, trop souvent à l'origine de cyberattaques. Généralement malgré eux, ce sont souvent des employés qui sont à l'origine d'une brèche permettant à un attaquant de rentrer dans le SI d'une entreprise. Et ces différentes vulnérabilités sont nombreuses.

faiblesse humaine

La faiblesse du mot de passe

Souvent, une attaque informatique causée par une faille humaine est liée à la récupération d'un mot de passe, permettant ensuite au pirate de s'introduire au sein du SI.

Lorsqu’un mot de passe trop simple est utilisé, et que le nombre de tentatives de connections n’est pas assez restreint, un attaquant pourra le trouver facilement en essayant toutes les combinaisons.

L'utilisation du même mot de passe sur plusieurs services est également une source d'attaque. Des bases de données piratées contenant des combinaisons nom d’utilisateur + mot de passe sont facilement monnayables sur le dark web, et une personne utilisant un mot de passe unique sur tous les sites et services sur lesquels elle est enregistrée verra tous ses autres comptes menacés.

Le phishing

Une autre façon de récupérer le mot de passe d'un utilisateur, c'est le phishing. Le cybercriminel envoie un mail à un collaborateur, en se faisant passer pour un tiers de confiance (sa banque, par exemple), dans lequel on l’incite à se rendre sur un site qui paraît fiable mais qui est en réalité un faux, une copie. On lui demande ensuite de se connecter avec ses identifiants, et le pirate récupère ainsi le mot de passe.

Le phishing peut également être utilisé pour pousser le destinataire à télécharger puis exécuter un fichier, qui s'avérera au final être un virus.

Chiffre clé
73% des attaques informatiques ont pour origine une attaque par phishing (source : CESIN 2022)

Le spear phishing

Il existe une version alternative du phishing : le spear phishing.

Il s'agit du même type d'attaque, mais cette fois, c’est du sur-mesure : le message cible le destinataire en incluant des informations personnelles. Pour réaliser ce type de message, l’attaquant se renseigne sur sa future victime afin de récupérer des informations qui crédibiliseront son message. Le mail pourra, par exemple, sembler provenir d’un collègue de travail et contiendra peut-être le nom de l’entreprise et le poste occupé par la cible.

C'est ce que l’on appelle l'ingénierie sociale.

Les bonnes pratiques à mettre en place

Pour prévenir ces failles humaines, il existe plusieurs éléments à mettre en place :

  • une politique de mot de passe forte (au moins 8 caractères : majuscules, minuscules, caractère spécial, chiffres, etc.) ;
  • un changement de mot de passe dès lors qu’il y a suspicion de compromission ;
  • une politique du moindre privilège (donner le moins de droits à un collaborateur, en fonction de ses besoins, pour limiter les accès d'un attaquant en cas de vol d'identifiants) ;
  • la sensibilisation du personnel à ce type d'attaques, pour éviter qu'un salarié tombe dans un piège de type phishing.
Protégez-vous contre le phishing
Stoïk met à disposition gratuitement un outil de simulation de phishing.
Découvrir Stoïk

Le vecteur d’attaque physique : le matériel

clé USB cyberattaque

L'utilisation de matériel contaminé

Il est possible que le branchement d'une clé USB à un ordinateur soit la cause d'une cyberattaque visant un SI. Une clé USB bénigne peut simplement contenir un programme malveillant qu’un collaborateur exécutera par curiosité. Un appareil rassemblant à s’y méprendre à une clé USB peut en réalité se comporter comme un clavier et envoyer une longue séquences de touches à l’ordinateur auquel elle a été branché en quelques secondes. Le code injecté infecte alors le système.

L'infiltration sur site

Bien que cela ne soit pas l'attaque la plus courante, il est tout à fait possible qu'une attaque puisse être faite de l'intérieur d'une entreprise, sur site. Il peut s'agir d'un collaborateur malveillant comme d'une personne qui a réussi à s'infiltrer dans les locaux (en se faisant passer pour un ouvrier, par exemple).

Si cette personne arrive à accéder à une quelconque machine, ou à la salle serveur, elle contaminera facilement tout le système d'information.

Les bonnes pratiques à mettre en place

Pour les attaques physiques, une bonne pratique à mettre en place est par exemple de limiter l'accès à l'entreprise, et notamment à la salle serveur, grâce à des badges. Également, la tenue d'un journal d'accès (via ces badges, ou de documents à remplir pour le personnel extérieur) est recommandé. L'installation de caméras de sécurité peut également être envisagée.

Il convient également de sensibiliser les collaborateurs au risque d’attaque par clé USB.

Sources :