Module 3, Unité 1 du cours SecNum Académie proposé par l'ANSSI.

Internet est dès le commencement un réseau, un moyen pour les machines de communiquer. Développer à l'origine dans un objectif militaire, il s'étend rapidement au milieu universitaire et adopte au milieu des années 80 le protocole TCP/IP qui aujourd'hui encore est à la base de la plupart des réseaux informatiques.

Ce réseau est rapidement assimilé aux usages les plus communs qui en sont faits notamment la messagerie et le World Wide Web ou internet.

Le premier site internet a été créé au CERN en 1989, il décrivait les principales caractéristiques du web et était constitué de texte et de liens hypertexte permettant de passer d'un document à un autre.

A ces deux usages connus s'ajoutent rapidement d'autres applications telle que la téléphonie, la télévision ou les réseau sociaux.

Tout cela est possible grâce au protocole TCP/IP qui permet d'établir facilement des communications entre les machines.

Cette standardisation associée à une gouvernance mondialisée ont permis d'avoir une durabilité et une évolutivité d'Internet.

La toile se tisse à grande vitesse et prend aujourd'hui un espace considérable dans notre quotidien.

La navigation internet est tout d'abord devenu un moyen central de recherche d'information grâce aux moteurs de recherche. La messagerie électronique quant à elle à transformer notre méthodes de communication, remplaçant désormais de nombreux courriers postaux.

Ensuite le réseau téléphonique à permis de connecter une part croissante de la population à Internet (technologies xDSL) avant que la fibre ne s'installe peu à peu en ville permettant des échanges de plus en plus volumineux et de plus en plus rapides.

Les communications téléphoniques elles même ont été intégrée au réseau Internet avec la voix sur IP et l'utilisation de visioconférence dans de nombreux foyers.

Un autre usage concerne la télévision désormais transmise par la plupart des opérateurs via la ligne Internet.

Et que dire des réseaux sociaux aujourd'hui dans nos modes de communication et d'accès à l'actualité?

Comme évoqué dans le premier module, Internet apparaît également de plus en plus dans les objets du quotidien avec l'IoT et la domotique. Les serrures intelligentes, badgeuses ou caméra de surveillance connectées sont aujourd'hui présentes dans de nombreux foyers.

Les balances connectées qui enregistrent et stockent des données telles que l'IMC ou le pourcentage d'eau sont une réalité désormais commercialisée.

Nous voyons aux travers de ces différents exemples qu'Internet prend un espace croissant dans notre quotidien et avec ses nouveaux usages sont rapidement arrivés de nouveaux risques aggravés par le fait qu'Internet n'ait pas été conçu au départ pour gérer des utilisateurs malveillant mais pour faciliter la communication entre des participants de confiance au sein des forces armées ou des universités.

Nous avons déjà abordé certains risques dans le module précédent, d'autre vous sont peut être encore inconnus. Cette unité permettra de décrire ce qu'est Internet ainsi que les principales cybermalveillances dont vous pourriez être victime.

Parce que la sécurité passe avant tout par la connaissance et la compréhension des risques liés à l’utilisation du Web, il est indispensable de s’intéresser à ce qu’est Internet :

• Comment fonctionne-t-il ?
• Quelles sont les cyber-malveillances qui menacent vos usages quotidiens ?
• Comment déjouer les ruses des attaquants ?

Avant de nous intéresser aux différentes cyber-malveillances auxquelles chacun peut être confronté dans ses usages d’Internet, étudions son fonctionnement.

Afficher les résultats d’un moteur de recherche, jouer en ligne en réseau, envoyer un email ou encore discuter en VOIP (transmission de la voix via Internet) avec votre meilleur ami en Australie, vos usages d’Internet sont nombreux et variés.

Internet ne repose pas sur de la magie et nous allons voir en détail comment il rend toutes ces activités possibles.

La navigation sur Internet repose sur une architecture appelée client/serveur.

Il s’agit du mode de fonctionnement le plus courant en informatique de nos jours.

Les clients envoient leurs demandes au serveur qui envoie à son tour une réponse à ces demandes.

Ils sont tour à tour émetteurs et récepteurs de messages.

Un utilisateur, le client, se sert d’un navigateur… Exemple : Chrome, Firefox, Safari, Internet Explorer, Edge, Opera …pour demander un service à un serveur (une page web, l’envoi ou la réception d’un message, etc.).

Notez que votre ordinateur est capable d’interroger simultanément de nombreux serveurs.

C’est ce qui se passe lorsque vous êtes connecté sur le web et que vous consultez simultanément Skype ou votre messagerie qui sont des services hébergés sur Internet.

En effet, sur Internet différents services vous sont proposés dont le World Wide Web qui permet de naviguer de site en site.

Pour assurer le transit des données entre l’émetteur et le récepteur, celles-ci sont découpées en paquets.

Ces paquets se composent d’une partie de la donnée que l’émetteur souhaite transmettre, à laquelle sont ajoutées des informations relatives à son transport, telles que l’adresse IP du destinataire (numéro d’identification de son ordinateur sur un réseau).

Pour illustrer ce fonctionnement, prenons l’exemple de l’affichage d’une page web, et comparons-là au transport d’un courrier postal sur un réseau routier.

Le point de départ est la box ADSL du domicile, et le point d'arrivée est le serveur hébergeant les éléments du site à afficher.

Lors d'un clic sur le lien hypertexte menant à la page web, une requête est envoyée sur le réseau, sous la forme de paquets.

Cette requête part de la box vers le réseau de l'opérateur, et circule à travers de nombreux routeurs appartenant à différents opérateurs.

Les routeurs se basent sur l’adresse IP du serveur web, comparable à une adresse postale, pour acheminer les paquets jusqu’au lieu physique où est hébergé le serveur de destination.

Une fois que le serveur web reçoit le paquet, il le lit et renvoie le contenu demandé (textes, images et liens du site web).

Tout comme le courrier postal, la réponse du serveur web peut suivre un tout autre chemin que la demande initiale.

Et, tout comme sur la route, il y a des règles à suivre pour circuler. Ces règles correspondent aux protocoles, notamment la suite de protocoles TCP/IP que nous évoquions dans la vidéo d’introduction.

Protocole = code de la route

Bien que fréquemment confondus, Internet et le Web ne désignent pas la même chose.

• Internet désigne le réseau informatique qui relie par le biais du protocole de communication IP (Internet Protocol) des millions d’ordinateurs à l’échelle mondiale.
• Le World Wide Web ou Web désigne une des utilisations possibles d’Internet. Il a été inventé plusieurs années après Internet et désigne un système hypertexte public qui fonctionne sur Internet et permet de consulter des pages web et de naviguer entre elles via des hyperliens.

Nous l’avons vu en introduction, Internet prend un espace croissant dans notre quotidien. Et avec ces nouveaux usages, sont rapidement arrivés de nouveaux risques.

Nous avons tous entendu parler de grandes attaques informatiques ciblées, comme l'attaque Stuxnet contre l'industrie nucléaire iranienne en 2010, ou celle d’un grand producteur de cinéma autour du film « L'interview qui tue » en 2014.

Mais l'impact dans notre quotidien de ce genre d'attaque est relativement mineur, ce qui peut contribuer à se demander :

« Qui pourrait vouloir me pirater ? »

Une des fausses idées les plus répandues est en effet que les attaques informatiques ne concernent que les États, les administrations, et les grandes entreprises.

Internet a aussi donné les moyens à de nombreux escrocs, travaillant souvent en groupes organisés, d'obtenir de nouveaux revenus, à des curieux des nouvelles technologies de tester des attaques sur des personnes de leur entourage, à des grandes entreprises d'aller toujours plus loin dans le marketing agressif en espérant accroître leurs revenus, etc.

Nous allons ici donner quelques exemples, qui, sans porter un regard pessimiste sur notre capacité à résister à la cybercriminalité, ont pour objectif de prouver que la possibilité d'être victime de cybermalveillance est une éventualité qu'il ne faut pas négliger.

Bien qu'il ne s'agisse pas vraiment de réelle malveillance et que les publicités soient nécessaires au bon fonctionnement de nombreux sites web, la gêne qu'elles provoquent sur l'usage de nombreux utilisateurs peut être notable.

Nous connaissons généralement bien les spams (ou « pourriels » en français), désormais illégaux s'ils sont envoyés sans consentement de l'utilisateur, mais il existe d'autres problématiques.

Par exemple, le tracking (ou suivi de l'activité en ligne de l'utilisateur) permet une publicité beaucoup plus ciblée et donc plus efficace et rentable pour l'annonceur.

Elle peut se faire par le simple suivi de vos commandes, de votre profil de connexion (empreinte unique), de vos cookies (fichiers témoins de votre passage sur le site et éventuellement de votre authentification) ou bien encore par des « barres de recherche » partenaires greffées à votre navigateur.

Tous ces outils sont autant de moyens pour les commerçants en ligne d'adapter leur offre à votre navigation et vous proposer les offres de la manière la plus ciblée possible, dans leur intérêt.

D'après plusieurs enquêtes des médias, un exemple d'abus de ces techniques concerne le suivi de l’adresse IP (IP tracking) pratiqué par certaines compagnies aériennes à bas coûts, consistant à augmenter le prix du billet d'avion pendant le temps que vous consacrez à la décision de l'acheter.

Avec la mise en réseau de toujours plus de composantes de notre environnement, les opportunités des pirates sont chaque jour plus nombreuses.

La plupart des attaques nécessitent de passer par un malware (programme malveillant), tel qu’un spyware qui visera à analyser vos habitudes ou un keylogger qui interceptera vos frappes claviers afin d’intercepter votre mot de passe (confère un monde à hauts risques).

Ces derniers peuvent être reçus par mail, téléchargés sur le web, ou partagés par périphérique USB ; de façon visible ou au contraire sans que vous ne vous en rendiez compte.

Dans la très large majorité des cas, ces attaques se font par le biais d'Internet, qui permet alors à un attaquant de toucher un public mondial, bien au-delà de son entourage immédiat.

Au départ plutôt créés par des curieux en vue de prouver leurs compétences, de dénoncer des faiblesses techniques, ces programmes sont désormais majoritairement créés avec des objectifs financiers par des équipes de développement structurées et professionnelles.

Ils sont ensuite revendus à leurs utilisateurs finaux, qui n'ont parfois aucune réelle compétence technique mais sauront les utiliser pour en tirer des revenus. L'image de l'étudiant dans son garage qui pirate une entité connue pour la gloire a laissé la place à des groupes mafieux très organisés.

Pour certains types d'attaques, les pirates peuvent avoir besoin de puissance de calcul, d'un débit important et de possibilités de contournements des systèmes de détection.

À titre d'exemple, des attaques contre les entités connues (organismes gouvernementaux, grandes entreprises, etc.) qui sont ciblées et ont vocation à faire le « buzz », sont souvent des attaques en déni de service distribué qui consistent à rendre indisponibles des sites Web ou services en ligne, en les submergeant sous de très nombreuses requêtes venant de partout dans le monde, parfois impossibles à distinguer de requêtes classiques.

Pour les pirates, la stratégie consiste donc à infecter un grand nombre d'ordinateurs peu sécurisés et à les utiliser ensuite selon leurs besoins : envoi de pourriels, déni de service, etc. en constituant un réseau de machines compromises, un « botnet » (« réseau de zombies » en français).

Notez que certains botnets peuvent même être loués à l’heure !

Bien que vous ne soyez pas directement la cible de l'attaque finale et qu'elle soit le plus souvent invisible pour vous, si votre ordinateur est infecté et participe à un réseau de zombies, vous courez un risque légal en plus de subir un ralentissement de votre ordinateur et de votre connexion Internet.

Les ordinateurs sont certes une proie de choix pour ce type d'attaques, mais d'autres types de matériel connecté le sont également, tels que les caméras IP, les ordiphones et les objets connectés.

Pour exemple, fin 2016, le site internet d’un chercheur en sécurité a été victime d’une attaque produite par un botnet constitué d’ordinateurs infectés par un malware dénommé Mirai.

Plus de 600Go/sec de trafic inutile ont été produits par ce réseau de machines zombies, qui se compose principalement d’une vaste gamme d’objets connectés de faible puissance, comme des routeurs domestiques et des webcams.

En 2016 encore, un hébergeur français a fait face à une attaque d’ampleur de ce type. À l’origine de l’offensive, se trouvait un botnet de près de 150.000 caméras de sécurité infectées par les cybercriminels.

Ces exemples illustrent la possibilité pour les attaquants d’utiliser également des botnets d’objets connectés pour attaquer une société.

Les dénis de service dont sont victimes les entreprises suite à une infection utilisant les botnets, coupent leurs communications avec l'extérieur et rendent impossible leur bon fonctionnement commercial (notamment la vente ou la fourniture de services en ligne).

Les pirates demandent alors une rançon en contrepartie d'un arrêt de l'attaque. Rappelez-vous cette technique d’attaque appelée « rançonnement » est basée sur l’utilisation d’un « rançongiciel » ou « ransomware » en anglais.

Le rançonnement peut prendre également une autre forme qui consiste à infecter le poste d'un particulier, d'une administration ou d'une entreprise à l'aide d'un fichier malveillant. Une fois ouvert par l'utilisateur, ce fichier bloque ou chiffre les données du poste piraté et exige un paiement en contrepartie d’une promesse de déblocage.

Vous avez probablement entendu parler des attaques Locky (Février 2016), Wannacry (Mai 2017) et Notpetya (Juin 2017) ? Les particuliers, administrations et entreprises touchés par ces attaques ont été victimes d’un rançongiciel. Le mode opératoire classique consiste à envoyer par courrier électronique une pièce jointe contenant le fichier malveillant.

Une fois la pièce jointe ouverte, tous les fichiers du destinataire, périphériques éventuellement branchés, ainsi que répertoires partagés sur un réseau, sont chiffrés et sont donc rendus inaccessibles par le logiciel malveillant.

Les victimes dont les données ont été prises en otage, se sont vues alors exiger un paiement en bitcoins en contrepartie d'une promesse de fournir la clé de déchiffrement qui permet le déblocage. Il s'agit tout simplement de chantage.

La défiguration de site (aussi parfois vu sous le terme « défacement » par anglicisme de defacement) consiste à modifier une partie d'un site web, affichant alors des éléments choisis par le pirate.

Les motivations sont là encore très variables, mais sont dans la majeure partie des cas de l'ordre du défi technique ou utilisées afin de porter des revendications (souvent politiques).

Parfois, le pirate intégrera du contenu malveillant sur des fausses publicités en ligne pour essayer de piéger les visiteurs de sites web sans passer par le propriétaire du site en question.

Fin 2016, une attaque baptisée « Stegano », en référence au terme stéganographie qui signifie l'art de la dissimulation, a diffusé des bannières publicitaires malveillantes sur de nombreux sites. Lorsque l’internaute cliquait sur une bannière, celle-ci installait des codes malveillants capables de voler ses identifiants et mots de passe grâce à un enregistreur de frappes ou de prendre des captures de ses écrans.

De célèbres médias américains ont également été touchés par ce type d’attaque en 2016. Quand les internautes cliquaient sur les publicités de leur diffuseur, ils étaient redirigés vers un serveur qui hébergeait un code malveillant. Le code tentait alors de chiffrer le disque dur de l’utilisateur et exigeait un paiement en bitcoins en contrepartie d'une promesse de fournir la clé de déchiffrement qui permet le déblocage.

Comme nous l'avons vu au travers du module 2 de ce MOOC sur l'authentification, l'ingénierie sociale (plus connue sous son nom anglais « social engineering ») désigne l'ensemble des attaques informatiques mettant l'accent sur les vulnérabilités humaines.

À la frontière de la technique et de la psychologie, elle mérite de s'y attarder car, si renforcer la sécurité nécessite souvent des compétences techniques, l'aspect humain ne peut être de la seule responsabilité des experts, mais bien de tous les acteurs impliqués.

Ces attaques constituent le plus souvent le point d'entrée des attaquants dans le système informatique ciblé. Elles sont aussi de plus en plus utilisées dans les actes de malveillance en ligne.

En effet, bien que les mécanismes de sécurité des équipements informatiques se soient considérablement améliorés ces dernières années, les utilisateurs derrière ces équipements sont encore peu sensibilisés au rôle central qu'ils peuvent avoir dans les attaques dont ils sont victimes et constituent bien souvent de nos jours le point faible des mécanismes de sécurité.

Nous allons dans cette partie présenter quelques exemples. Les possibilités sont nombreuses, la seule limite étant l'imagination toujours plus débordante des attaquants. Les scénarios présentés ci-après ne doivent donc être pris que comme des exemples illustrant la menace.

Nous verrons ensuite les bonnes pratiques qui peuvent être mises en place pour se protéger contre ces attaques.

Les attaques par ingénierie sociale reposent souvent sur la ruse. Le pirate joue avec vos émotions (peur, confiance, envie d’aider, etc.) et vos habitudes, pour vous mettre en confiance, vous inquiéter, endormir votre vigilance, etc.

Indiquer notre identité dans la vie réelle est un acte qui nous paraît simple. Parfois il est nécessaire de montrer sa carte d'identité, et d'autre fois la confiance prévaut et l'on donne simplement notre nom.

Cela peut bien souvent être insuffisant, mais nous nous contentons généralement de peu, ce que l'on peut qualifier d'authentification faible.

Des individus malveillants peuvent alors facilement utiliser la ruse et se faire passer pour quelqu'un d'inoffensif en donnant des indications minimales d'une identité qui n'est pas la leur.

Illustrons par un exemple :

Vous êtes au travail à Paris et Sophie, votre correspondante habituelle basée à Toulouse, vous a annoncé qu'elle serait en congés pour les prochaines semaines.

Vous recevez un appel de François Martin, qui annonce qu'en son absence, il la remplace sur le dossier sur lequel vous travailliez ensemble, mais qu'il n'a pas eu le compte-rendu de la dernière réunion dont il vous donne la date et vous demande de lui transférer par mail, ce que vous faites sans attendre.

Ici il est facile de se laisser tromper, l'attaquant connaît le nom de votre collègue, le fait qu'elle est en vacances, le dossier sur lequel elle travaillait, le fait que vous soyez également concerné par le dossier et votre numéro de téléphone professionnel…

Toutes ces données, qui n’ont pas vocation à être rendues publiques, peuvent potentiellement être trouvées par des personnes extérieures.

Dans notre exemple, l’attaquant a pu obtenir plus ou moins facilement ces informations, réserver un nom de domaine très similaire au nom de domaine légitime de votre entreprise (typosquatting), et se faire passer pour le collègue de Sophie sans que vous ne vous posiez de questions.