Si la notion de cyberattaque est globalement assimilée, il est plus difficile de comprendre comment un attaquant s’introduit dans le système informatique (SI) d'une entreprise pour ensuite le bloquer, y installer un virus ou y voler des données confidentielles. Or, pour bien s'en protéger, il est important de connaître ces différents points d'entrée, ou vecteurs d'attaques, qu'utilisent les cybercriminels. Voici quatre catégories de vecteurs d'attaques menant à des cyberattaques : le logiciel, le réseau, l'humain et le physique.
Un pirate informatique peut pénétrer un SI en exploitant une faille logicielle ou un défaut de paramétrage de celui-ci. Voici les différentes failles logicielles existantes pouvant être utilisées par un attaquant.
C'est typiquement le cas lors de l'utilisation de systèmes de gestion de contenus (CMS) (Wordpress, Webflow) ou de plateformes d'e-commerce (WooCommerce, Prestashop, etc.). Les plugins qu'on y installe, pour gérer la base clients ou les moyens de paiements par exemple, sont parfois créés par des développeurs ou groupes indépendants, dont le travail est parfois contrôlé avec moins de rigueur ou mis à jour moins rapidement lorsqu’il s’agit de corriger un problème critique. Ce sont ces mêmes failles qui mènent à une potentielle cyberattaque.
Cybermalveillance alerte régulièrement sur ce type de failles comme ici le 3 août 2022 :
On rencontre le même problème pour les logiciels ou services utilisés au sein d'une entreprise, comme un CRM (gestion de relation client) ou un réseau social d'entreprise. Provenant d'éditeurs indépendants, Ils peuvent contenir des failles de sécurité. C'est également le cas des systèmes d'exploitation utilisés en interne, tels que Windows ou macOS.
En général, lorsqu'une faille est détectée, les équipes développant ces outils la corrigent et sortent une mise à jour assez rapidement. Le seul moyen de se protéger efficacement est donc de faire ces mises à jour dès qu'elles sont disponibles. Il est aussi possible d’activer leur installation automatique, pour plus de simplicité.
Tout logiciel est susceptible de contenir des erreurs exposant son utilisateur à un risque d’attaque. Ajouter un outil logiciel, que ce soit sur un site web ou sur un poste de travail, ne doit jamais être un acte anodin : il faut toujours se demander si ce dernier est activement maintenu par un éditeur compétant et digne de confiance. Aussi, l’usage de logiciel ou de système d’exploitation ne recevant plus de correctif de sécurité est à proscrire. Dès qu’un service n’est plus nécessaire, il doit être désinstallé au plus vite afin de limiter au maximum la surface d’attaque.
Un réseau informatique est constitué d’un empilement de couches remplissant chacune une fonction précise. Tout en bas se trouve la couche physique, les câbles, et tout en haut les protocoles logiciels gérant les échanges de données. Entre les deux, il y a une foule de protocoles dont le rôle est, entre autre, d’empaqueter et de distribuer les données ou encore de gérer les connections à un réseau sans fil. Lorsqu’elles sont mal configurées, ces couches intermédiaires sont autant d’opportunités d’attaque supplémentaires.
Pour faire une attaque par DDoS, un attaquant ou un groupe d'attaquants va venir lancer des requêtes en grand nombre vers un serveur pour le surcharger, afin de le mettre hors service. Il n’y a pas d’intrusion lors d’une telle attaque, aucune donnée n’est dérobée mais tout ou partie du système devient inaccessible.
Il n’y a pas d’intrusion lors d’une telle attaque, aucune donnée n’est dérobée mais tout ou partie du système devient inaccessible.
Contrairement au réseau sans fil d’une entreprise ou à celui installé à domicile, le caractère publique des réseaux WiFi disponibles dans les gares, les aéroports et autres lieux publiques n’exclut pas la présence d’acteurs malveillants sur le réseau. Il faut alors considérer que toute communication non chiffrée peut être lue et modifiée soit par un autre utilisateur connecté simultanément soit par l’opérateur du réseau lui même.
Pour se protéger des attaques réseaux, il faut mettre à jour les logiciels embarqués des équipements réseaux (routeurs, point d’accès, pare-feu, etc.) dès que possible.
Il faut utiliser dès que possible des protocoles chiffrant les communications :
Ainsi, même sur un réseau avec des utilisateurs inconnus comme un WiFi publiques, les données échangées seront protégés. A défaut, l’usage d’une solution de réseau privé virtuel (VPN) est recommandée.
Si les failles techniques sont nombreuses, il ne faut pas oublier le vecteur humain, trop souvent à l'origine de cyberattaques. Généralement malgré eux, ce sont souvent des employés qui sont à l'origine d'une brèche permettant à un attaquant de rentrer dans le SI d'une entreprise. Et ces différentes vulnérabilités sont nombreuses.
Souvent, une attaque informatique causée par une faille humaine est liée à la récupération d'un mot de passe, permettant ensuite au pirate de s'introduire au sein du SI.
Lorsqu’un mot de passe trop simple est utilisé, et que le nombre de tentatives de connections n’est pas assez restreint, un attaquant pourra le trouver facilement en essayant toutes les combinaisons.
L'utilisation du même mot de passe sur plusieurs services est également une source d'attaque. Des bases de données piratées contenant des combinaisons nom d’utilisateur + mot de passe sont facilement monnayables sur le dark web, et une personne utilisant un mot de passe unique sur tous les sites et services sur lesquels elle est enregistrée verra tous ses autres comptes menacés.
Une autre façon de récupérer le mot de passe d'un utilisateur, c'est le phishing. Le cybercriminel envoie un mail à un collaborateur, en se faisant passer pour un tiers de confiance (sa banque, par exemple), dans lequel on l’incite à se rendre sur un site qui paraît fiable mais qui est en réalité un faux, une copie. On lui demande ensuite de se connecter avec ses identifiants, et le pirate récupère ainsi le mot de passe.
Le phishing peut également être utilisé pour pousser le destinataire à télécharger puis exécuter un fichier, qui s'avérera au final être un virus.
Il existe une version alternative du phishing : le spear phishing.
Il s'agit du même type d'attaque, mais cette fois, c’est du sur-mesure : le message cible le destinataire en incluant des informations personnelles. Pour réaliser ce type de message, l’attaquant se renseigne sur sa future victime afin de récupérer des informations qui crédibiliseront son message. Le mail pourra, par exemple, sembler provenir d’un collègue de travail et contiendra peut-être le nom de l’entreprise et le poste occupé par la cible.
C'est ce que l’on appelle l'ingénierie sociale.
Pour prévenir ces failles humaines, il existe plusieurs éléments à mettre en place :
Il est possible que le branchement d'une clé USB à un ordinateur soit la cause d'une cyberattaque visant un SI. Une clé USB bénigne peut simplement contenir un programme malveillant qu’un collaborateur exécutera par curiosité. Un appareil rassemblant à s’y méprendre à une clé USB peut en réalité se comporter comme un clavier et envoyer une longue séquence de touches à l’ordinateur auquel elle a été branché en quelques secondes. Le code injecté infecte alors le système.
Bien que cela ne soit pas l'attaque la plus courante, il est tout à fait possible qu'une attaque puisse être faite de l'intérieur d'une entreprise, sur site. Il peut s'agir d'un collaborateur malveillant comme d'une personne qui a réussi à s'infiltrer dans les locaux (en se faisant passer pour un ouvrier, par exemple).
Si cette personne arrive à accéder à une quelconque machine, ou à la salle serveur, elle contaminera facilement tout le système d'information.
Pour les attaques physiques, une bonne pratique à mettre en place est par exemple de limiter l'accès à l'entreprise, et notamment à la salle serveur, grâce à des badges. Également, la tenue d'un journal d'accès (via ces badges, ou de documents à remplir pour le personnel extérieur) est recommandé. L'installation de caméras de sécurité peut également être envisagée.
Il convient également de sensibiliser les collaborateurs au risque d’attaque par clé USB.
Sources :