SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Attaques SSI Convertir en PDF Version imprimable Suggérer par mail
30-05-2007
Dans le monde réel, le pire n'est jamais certain, et vouloir ici faire un tour d'horizon des attaques SSI serait très prétentieux.
En effet, tout ordinateur allumé (est-ce une condition nécessaire lorsque l'on imagine le vol d'un portable ou d'un disque dur ?)  et connecté à un réseau est potentiellement susceptible d'être attaqué.
Une attaque est l'exploitation d'une faille humaine ou technique à des fins financières :
  • Vol d'informations
  • Vols d'identité
  • Usurpation d'identité
  • Usurpation de session
  • Exploitation indirecte du système pour des attaques en rebond
  • ...etc.
Panorama des attaques :
Image
source :Microsoft
Attaques Logiques :

Panorama des attaques logiques :
Remarques : devant l'imagination des cybercriminels, ce panorama n'a pas vocation à être exhaustif.

panorama des attaques logiques

Social engineering ou Ingénierie sociale :
Définition : Manipulation de personnes par le biais de scénarios (situation d'urgence, stress, pression hiérarchie,...) exploitant leur crédulité, leur dévouement, ou mettant en défaut leur vigilance. Il s'agit d'exploiter le maillon faible de tout système de sécurité : le facteur humain. Kevin Mitnick (ex pirate informatique) a écrit un livre sur ce sujet : L'art de la supercherie, démontrant l'efficacité de cette pratique.
Hoax ou canulars :
Définition :Fausses informations, chaine de solidarité, alerte virus imaginaire ou directive généralement transmise par des courriers électroniques propageant ces fausses informations et enjoignant les destinataires de le faire savoir à un maximum d'autres personnes. Ces messages exploitent la crédulité des utilisateurs qui deviennent eux-même vecteur de la re transmission multiple de ces messages.
Effet : Saturation du réseau, perte de temps, désinformation, perte d'image, ...etc.
Parade : Politique de sensibilisation des personnels, site de contrôle des rumeurs: exemple www.hoaxbuster.com, www.hoaxkiller.com.

Phishing ou hameçonnage : (source : Wikipédia)
Définition : Technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. L'hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques.
Effet : Vol d'information personnelle et confidentielle (N° carte bancaire= N° visuel), préjudice financier
Parade : Vigilence, refuser les message vous demandant de préciser ou repréciser vos coordonnées personnelle venant de votre banque, consulter le site de votre banque et ses mises en garde contre des opérations de phishing en cours.

Le pharming ou reroutage : (source Microsoft)
Technique d'escroquerie qui consiste à rediriger le trafic Internet d'un site Web vers un autre site lui ressemblant à s'y méprendre afin de vous faire entrer votre nom d'utilisateur et votre mot de passe dans la base de données du site factice. Généralement dirigées contre les sites bancaires ou financiers, ces attaques visent à obtenir vos données confidentielles afin d'accéder à votre compte bancaire, d'usurper votre identité ou de commettre des délits en se faisant passer pour vous. Cette technique s'apparente au Phishing mais s'avère plus insidieuse car il est possible d'être re-routé vers un faux site à son insu.
Effet : vol d'information personnelle et confidentielle, préjudice financier
Parade : Vigilance, rejeter tout message vous demandant de cliquer sur un hyperlien sans être absolument certain de l'émetteur, le contacter par tel si nécessaire pour vérifier en cas de doute.

Exemple de "Piratage psychologique" par téléphone : Fourni par Peter Wood
Exemple de conseils fournis par Monster suite à une attaque de ses serveurs : Les conseils du Monstre

Infection Informatique :

Programmes auto-reproducteurs :
Ver :

Un ver (d’après la définition de Peter Denning en 1990) est un programme capable de fonctionner de manière indépendante. Il se propage de machine en machine au travers des connexions réseau. Un ver ne modifie aucun programme, il peut cependant transporter avec lui des portions de code qui pourront, par la suite, effectuer une telle activité (virus par exemple).
Virus :
Programme auto-reproducteur qui passe d’une machine à une autre suite à une action utilisateur. Il contient ou non une charge finale, c'est à dire une attaque pouvant prendre des formes diverses comme :
Déni de service partiel ou total, Destruction de données, Bombe à retardement, Modification de données, Destruction (les procédures de restauration sont-elles testées ?), Modification lente et aléatoire de données (propagation aux sauvegardes).
On dénombre plusieurs catégories de virus, en fonction de la cible visée dans l'ordinateur :
Virus programme : (source Clusif)
Les virus programme cherchent à infecter les exécutables binaires compilés. Le principe de fonctionnement est le suivant :
1) le virus est présent dans un fichier exécutable,
2) lorsque celui-ci est exécuté, le virus choisit et contamine un ou plusieurs autres fichiers,
3) il agit généralement par ajout entraînant une augmentation de taille,
4) s’il se maintient résident en mémoire, il infecte d'autres fichiers à l'exécution, ou simplement lors d'une manipulation.
Aujourd’hui, leur diffusion se fait par la messagerie électronique, les disques partagés et les échanges de fichiers sur le modèle « poste à poste ». L’infection locale des fichiers sur le poste de travail n’est qu’une fonctionnalité complémentaire aidant à la propagation du virus au travers du réseau.
Virus Système : (source Secuser)
Ces virus remplacent le secteur d'amorce du disque infecté par une copie d'eux-mêmes, puis déplacent le secteur original vers une autre portion du disque. Le virus est ainsi chargé en mémoire bien avant que l'utilisateur ou un logiciel ne prenne le contrôle de l'ordinateur.
Virus macro et virus Interprétés :
Les virus macro sont des virus qui infectent uniquement des documents (Word, Excel...), en utilisant le langage Visual Basic pour Application. Ces virus se propagent actuellement dans de fortes proportions et peuvent malheureusement causer de grands dégâts (formatage du disque dur par exemple).
Les virus interprétés regroupent principalement les virus de macro et les virus de script. Du fait de la sophistication des outils de bureautique actuels, tout fichier de données doit être considéré comme potentiellement dangereux. Même si aujourd’hui de nombreux standards de fichier
n’acceptent pas l’encapsulation de routines automatisables (macros ou scripts), cette technique tend à se développer.
Mailers et MassMailers : (source secuser)
Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à tout ou partie des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructives pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.
Pour aller plus loin : Secuser article de Fréderic Bourgeois
Programmes simples :
Bombe logique :
C’est un programme contenant une fonction destructrice cachée et généralement associée à un déclenchement différé. Cette fonction a été rajoutée de façon illicite à un programme hôte qui conservera son apparence anodine et son fonctionnement correct jusqu'au moment choisi par le programmeur malveillant. Elle peut être conçue pour frapper au hasard ou de manière ciblée.
Espion ou Spyware :
Logiciel exécuté sur un ordinateur à l’insu de son propriétaire, et conçu dans le but de collecter des données personnelles (adresse IP, URL consultées, mots de passe, numéros de cartes de crédit,…) et de les renvoyer à son concepteur via internet, sans autorisation préalable dudit utilisateur.Un spyware (ou espiogiciel, mouchard) est un logiciel espion contenant un programme qui, par Internet, peut recueillir et transmettre les données personnelles d’un internaute à une régie publicitaire, notamment sur ses intérêts, ses habitudes de téléchargement et de navigation. Tout cela dans un but exclusivement commercial. Ces mouchards présents dans de nombreux logiciels gratuits (freewares) ou en version de démonstration (sharewares) s’installent lors du téléchargement et ne sont pas détectables par l’utilisateur.
Keylogger :
Programme espion de surveillance, invisible, notant la moindre activité sur un ordinateur dont toutes les frappes de touches au clavier.
Cheval de troie ou Trojan :
Programme masquant un code executable malicieux (Vers ou Virus) servant à déclencher une attaque, généralement en ouvrant une porte dérobée (backdoor)sur un système.

Agents malveillants (Internet) :

Les applets JAVA et les contrôles Active-X entrent dans cette catégorie en véhiculant des programmes qui circulent spécifiquement via Internet.
Généralement de petite taille, ils sont autonome (adaptation à l'environnement) et ont une mission précise. Enfin, ils peuvent déclencher des processus d'auto-distribution dès qu'ils sont connectés au réseau.

Les attaques dites APT (Advanced Persistent Thread) :

David TRESGOTS Cert-IST :

Attaque basée sur une stratégie dont l’objectif est de rester le plus longtemps possible sans éveiller les soupçons (furtivité), par opposition une attaque “opportuniste”.
Au sens large, une APT est une catégorie d’attaques mettant en œuvre de nombreuses techniques d’attaques (injection SQL, XSS, etc.).
Attaque dite “avancée” au sens où elle utilise tout un arsenal de techniques d’attaques et d’outils pour atteindre son objectif.
Unitairement les composants d’une telle attaque ne sont pas forcément “évolués” techniquement (phishing, malware, XSS, etc.). Des outils de génération de composants d’attaques existent (ex. Poison Ivy, etc.). La combinaison des méthodes et outils d’attaques en font une
attaque avancée.
L’attaque est scénarisé par les attaquants, et des objectifs précis sont établis pour compromettre toute une chaine de systèmes.
Des cibles de replis peuvent être définis.
L’objectif est de rester sous les “radars” (“low and slow”)
C’est bien sûr une menace.Elle implique une coordination de moyens techniques et humains.Elle est généralement peu automatisée (bien que les compromissions de systèmes puissent l’être).
Les attaquants sont très motivés et dotés de compétences techniques et de moyens inhabituels.


Pour aller plus loin :
APT : David Tresgots CERT-IST : APT PDF de 13 pages
Wikipedia : Taxonomie des Malwares
Clusif : Glossaire des Menaces
CME :Initiative pour nommer les Malwares de façon unique (article CERT-IST)
Le Journal du Net, Solutions : La cybercriminalité toujours plus professionnelle
Le Monde : Cyberdélinquance : Les Pirates devenus Pros
Sénat : Cyberdéfense : un nouvel enjeu de sécurité nationale (Rapport R. Romani) PDF de 4 pages
Clusif : Panorama de la cybercriminalité en 2006 (PDF de 94 pages)
Clusif : Panorama de la cybercriminalité 2007 (video et pdf de 168 pages)
Clusfi : Panorama de la cybercriminalité 2008 (video et pdf de 2,5 Mo)
Clusif : Social engineering : Influence soumission, manipulation : par la psychosociologue Danielle Kaminsky (PDF de 33 Pages)
Clusif : Programmes potentiellement indésirables : Spyware  (2008 Pdf de 32 pages)
Le rapport de l'OCDE intitulé Malicious Software (Malware) : A security Threat to the Internet Economy (106 pages, format PDF, en anglais).

Définitions JDNet :
D'autres attaques :
Last...but not least :

  • le spear phishing consiste à envoyer un courriel à des assistantes de direction en leur demandant d'imprimer un document à destination du directeur. Il est nécessaire de cliquer sur un lien pour obtenir ce document. Pour s'assurer qu'elles s'exécuteront, ces assistantes reçoivent un appel téléphonique, à chaque fois dans la langue du pays et sans accent, pour les inciter à remettre d'urgence ce document au directeur. Or, le lien n'a d'autre objet que d'introduire un "maliciel" dans le système informatique de l'entreprise. (source : la tribune : Nabil Bourassi : Cyber-criminalité: les nouvelles techniques d'attaques, toujours plusperfectionnées... et redoutables)
  • le "trou d'eau" : Egalement appelé "watering hole", il s'agit d'une technique plutôt futée. Les hackers identifient les hobbies des cadres ou grands patrons visés, puis vont les attendre patiemment sur un site référent en la matière. Par exemple, si un PDG de PME aime la pêche, alors les pirates vont identifier un site référent pout tous les passionnés de pêche, et vont s'installer sur ce site jusqu'à ce que la cible y arrive. "Comme un lion qui se cache près d'un point d'eau en attendant sa proie", illustre Laurent Heslault. "C'est une attaque relativement efficace mis en place par un groupe appelé Elderwood" ajoute l'expert en sécurité informatique. (source : la tribune : Nabil Bourassi : Cyber-criminalité: les nouvelles techniques d'attaques, toujours plusperfectionnées... et redoutables)

Dernière mise à jour : ( 10-10-2013 )
Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.