Module 1, unité 2 du cours SecNum Académie proposé par l'ANSSI.

Le cyberespace se compose d'un ensemble hétérogène d'objets connectés (ordinateurs, serveurs, montres, téléphones, voitures, caméras etc). Ils sont mis à jour en continu pour s'adapter aux besoins mais leur connexion permanente les rend plus vulnérables aux risques d'attaques.

La multiplicité des objets, des modes de connexion et de réglementation rend difficile l'application d'un seul modèle de sécurité.

Le cyberespace est donc par nature un mode à hauts risques d'attaque.

cyberattaque: Atteinte à un système informatique réalisée dans un but malveillant.

Les cibles peuvent être multiples: Tout périphérique isolé ou en réseau.

4 types de risques:

1. Cybercriminalité
2. Atteinte à l'image
3. Espionnage: Maintient discret de l’accès afin de capter les informations stratégiques.
4. Sabotage: rendre inopérant tout ou partie d'un système d'information.

Les impacts sont multiples:

• Perte de disponibilité des services (par mesure préventive ou suite à un sabotage);
• Pertes financières: fuite d'informations, perte d'image, indisponibilité.
• Impact sur la réputation: confiance des usagers/clients.

Les cyberattaques sont fréquentes et nombreuses. Un périphérique anodin relié au réseau d'entreprise (imprimante, caméra) resté en configuration usine peut s'avérer vulnérable et compromettre la sécurité du système.

On distingue les attaques de masse et les attaques ciblées.

• Les attaques de masses scannent Internet à la recherche de périphériques identifiés comme ayant des paramètres de sécurité faibles par défaut. Les machines compromises forment un botnet (groupe de périphériques connectés infectés contrôle par un pirate a distance). Ce réseau servira a conduire une attaque a l'insu des utilisateurs légitimes.
• Les attaques ciblés. Dans ce cas les pirates établissent une cartographie de la cible via les informations collectées sur le web ou par phishing et tentent par exemple de transmettre du code malveillant par mail.

Les cyberattaques hétérogènes, diffuses et distantes rendent complexe l'identification des pirates.

Les pirates, les objectifs sont multiples:

• script kiddies, bonne connaissance de l' informatique, utilisent des outils préexistant, motivés par la technicité/reconnaissance.
• Profil technique: recherche des failles (0-day) et conçoit des outils qu'il revend ou diffuse. Peuvent se structurer en gangs et rechercher le profit.
• hacktiviste: diffusion idéologique, atteindre une masse critique pour influencer l'opinion à travers des attaques informatiques.
• Étatique: ciblé, sophistiquée utilisant des vulnérabilités inconnues de facon coordonnées.
• hacker isolé, agissant par vengeance ou démonstration de compétences.
• groupe hackers organisé avec objectifs de revente de service ou d'informations, déstabilisation.

Devenues courantes car de faible coût pour l'attaquant, elles peuvent être automatisées et leurs revenus devient vite intéressant. Scanne Internet à la recherche d'objets connectés non sécurisés.

Une fois sous contrôle le matériel intègre un réseau dit botnet qui servira ensuite a lancer des attaques ciblées: exemple DDos ¹⁾.

Dans une attaque de masse, le pirate ne se soucie par de l'identité de la cible: Le but étant de générer une attaque la plus étendue possible. Dernièrement les ransomwares se sont généralisés. L'antivirus n'est pas systématiquement efficace contre les ransomwares.

Moins courante, mode opératoire plus complexe demande plus d'investissement de la part des hackers: des compétences spécifiques et connaissances particulières sur la cible.

Dans ce cas l'attaquant connaît sa cible et met en œuvre tout un procédé pour l'atteindre. qualifiées d' APT ²⁾ c'est à dire menace persistante avancée. Attaques discrètes, subversives peuvent être repérées des années après la première infiltration. Intègre du code malveillant pensé spécifiquement pour accomplir discrètement des taches d’espionnage ou préparer un sabotage. Le pirate se renseigne, identifie une faiblesse. Le plus souvent, par phishing, il établit un contact dit “tête de pont” qui lui ouvre l’accès au réseau d'entreprise. Face aux attaques ciblés, les antivirus et les pare-feux ne suffisent pas a se protéger d'un attaquant malveillant qui a bien observé le SI et les utilisateurs. Tous les usagers du SI doivent rester vigilants et adopter de bonnes pratiques.

Quelques recommandations simples:

• Détruire les messages non sollicités sans répondre
• Choisir des mots de passe sécurisés
• Ne pas exécuter d'instructions venant d'un inconnu
• Faire les mises a jour.
• Ne pas diffuser d'informations personnelles/confidentielles sur Internet.

Les menaces ou malwares:

• DoS (Démi de Service: rendre un service indisponible.
• Cryptovirus/ransomware: chiffre les fichiers et demande une rancon pour les déchiffrer.
• Ver: se reproduit sur différents appareils via le réseau
• Spyware: enregistrement frappe clavier, micro, webcam.
• Botnet: réseau d'appareils exécutant du code malveillant et communiquant entres eux via Internet pour executer des tâches.
• Virus: altère le fonctionnement d'un autre programme.
• Trojan/Cheval de Troie: prendre le contrôle d'un appareil.
• Phishing: usurpation d'identité d'un service et de mande des informations personnelle tel que identifiants/mmot de passe.

Les rootkits s'installent et permettent de dissimuler des traitements, des tâches effectués sur la machine hôte. Ils peuvent s’exécuter en espace utilisateur ou plus en profondeur dans l'OS si des droits d'exécution plus élevés sont obtenus.

L'installation d'un rootkit nécessite une compromissionf préalable. Ces programmes modifient les commandes usuelles afin de masquer leur présence.

Les adwares traduits en publiciels ne compromettent pas les données. Ils sont ajoutés illégitimement à des programmes utiles préexistants et diffusent des publicités ciblées ou non.

En cas de compromission:

• Déconnecter l'appareil des réseaux et l’arrêter.
• Prévenir le service informatique.
• L' ANSSI a mis en place une plateforme d'assistance en cas de compromission: https://cybermalveillance.gouv.fr

• SecNum Académie