Quelles sont les catégories d’attaques informatiques?

salle de serveurs bleu

Dans l’univers numérique en perpétuelle évolution, les cybercriminels sont les spécialistes du contournement, utilisant des stratégies de plus en plus avancées pour contourner les défenses des entreprises. Au fur et à mesure de l’évolution des technologies, il semble que leur créativité augmente de manière exponentielle. En 2023, la plateforme cybermalveillance.gouv a recensé plus de 51 types d’attaques informatiques, ce qui démontre l’ampleur croissante de la menace qui touche nos infrastructures numériques. Dans cette jungle numérique, il est essentiel de savoir qui est l’ennemi. Venez nous rejoindre afin d’explorer les chemins sinueux des cyberattaques les plus fréquentes et d’apprendre comment construire des barrières efficaces contre cette invasion du cybercrime.

Types d’attaques informatiques impliquant les machines seules

Qu’est-ce qu’une attaque par déni de service (DoS ou DDoS)

Une attaque par déni de service (Denial of Service) vise à rendre un serveur, un site web, un réseau ou toute autre ressource informatique indisponible. Afin d’atteindre cet objectif, le cybercriminel submerge ces ressources de demandes jusqu’à ce qu’elles ne puissent plus y répondre, entravant ainsi les réponses à toutes les demandes faites par les utilisateurs légitimes.
L’attaque DDoS (Distributed Denial of Service) est une forme de menace qui est lancée depuis plusieurs machines. Leur infection est précédemment provoquée par un logiciel malveillant qui permet au cybercriminel de les contrôler. Quand elles commencent à envoyer des requêtes simultanément vers la même cible, l’effet de saturation est multiplié exponentiellement.
On distingue plusieurs types d’attaques DoS et DDoS, dont voici quelques exemples :
L’inondation TCP SYN se produit lorsque l’attaquant bombarde la victime de demandes de connexion TCP qu’il ne prévoit pas de terminer. Le nombre élevé de connexions TCP ouvertes qui en découlent utilise les ressources du serveur et entraîne une consommation de trafic légitime, ce qui rend difficile ou impossible l’ouverture de nouvelles connexions légitimes et rend impossible le bon fonctionnement du serveur pour les utilisateurs autorisés et déjà connectés.
Le Teardrop consiste à envoyer au serveur cible des paquets de données fragmentés et mal structurés. En général, le serveur ne parvient pas à réassembler le paquet en raison d’une vulnérabilité TCP/IP, ce qui entraîne une surcharge.

On appelle Smurf une attaque qui consiste en ce que l’attaquant essaie de charger un serveur cible avec des paquets ICMP (Protocole de Messagerie de Contrôle Internet). Ainsi, il envoie de fausses demandes avec l’adresse IP falsifiée du système cible à un ou plusieurs réseaux, qui répondent à ces demandes, ce qui accroît le trafic et sature le réseau de la victime.
Les botnets sont des réseaux d’ordinateurs ou de dispositifs infectés que l’attaquant peut utiliser pour mener une attaque massive et coordonnée. Les botnets utilisent fréquemment un tableau de bord permettant à l’attaquant de visualiser le nombre de dispositifs infectés et de leur donner l’ordre d’envoyer en même temps un trafic de déni de service (DoS) à un serveur spécifique : l’attaquant envoie au serveur cible des paquets ICMP (ping) d’une taille supérieure à la taille maximale autorisée, ce qui provoque son blocage ou son plantage.

Les inondations ICMP et les inondations ping causent une saturation du serveur de demandes ICMP sans possibilité de réponse. Elles entravent la réactivité du serveur et entravent la réception des demandes valides.

 

Qu’est-ce qu’une attaque Drive-by download


Le cybercriminel exploite la vulnérabilité d’un site web pour insérer un script malveillant dans son code HTML ou PHP lors d’une attaque Drive-by download. Un script s’exécute automatiquement lorsque l’utilisateur visite le site compromis et installe un logiciel malveillant sur le système de l’utilisateur, ou le redirige vers un site web malveillant.
L’insidiosité des attaques Drive-by Download réside dans le fait qu’elles se déroulent sans que l’utilisateur ait à télécharger ou à cliquer sur quoi que ce soit de possible. Il suffit de consulter un site web compromis pour être infecté.

 

En général, elles se déroulent de la façon suivante :

En utilisant un ordinateur fragile, vous accédez à une page web compromise qui contient un iframe (balise permettant d’intégrer une page dans une autre page web) qui est invisible.
Une page créée par le cybercriminel est cachée par l’iframe.
La page présente un logiciel qui cherche une vulnérabilité à la sécurité de votre système.
En cas de découverte d’une faille dans le programme, un logiciel malveillant est téléchargé sur votre ordinateur depuis un serveur contrôlé par l’attaquant.

 

Qu’est-ce qu’une attaque par injection SQL.

Une autre forme d’attaque informatique fréquente est l’injection SQL, qui cible principalement les sites web qui utilisent des bases de données. Cela implique de modifier une requête SQL en cours en ajoutant un fragment de requête non prévu, généralement via un formulaire. Le hacker a donc la possibilité d’accéder à la base de données, mais également de modifier son contenu, ce qui met en péril la sécurité du système.
En général, les sites web sont vulnérables aux attaques par injection SQL en raison d’une mauvaise gestion des données entrantes. Le langage SQL ne distingue pas réellement le plan de contrôle (les consignes du programme) du plan de données (les données traitées par le programme).

Par conséquent, si les informations provenant de la base de données ne sont pas correctement gérées ou traitées, elles peuvent être exploitées pour manipuler les requêtes SQL et accéder à des informations confidentielles, les modifier ou même les détruire.

Les attaques par injection SQL peuvent être de diverses sortes, dont voici quelques exemples :

Le Blind Based Injection injecte des fragments de code qui renvoient chaque caractère ce que l’attaquant cherche à extraire de la base de données.
La méthode basée sur les erreurs insère des fragments de code qui retournent chaque champ ce que le hacker cherche à extraire de la base de données.
L’injection basée sur l’Union injecte des fragments de code qui retournent un ensemble de données directement extraites de la base de données correspondante.
L’attaque la plus risquée est l’injection Stacked Queries qui peut exécuter toutes les requêtes SQL sur le système visé. Elle ne se résume pas uniquement à la collecte de données et offre à l’attaquant la possibilité d’injecter plus de requêtes SQL afin de manipuler la base à sa guise.

 

Qu’est-ce qu’une attaque XSS (scripting sur plusieurs sites)


Le cross-site scripting (XSS) est une menace qui vise principalement les applications en ligne. Lors d’une attaque XSS, l’attaquant exploite des ressources web externes afin de mettre en place des scripts malveillants dans le navigateur web de la victime. Plus précisément, il insère un script (généralement du JavaScript) dans un site web, qui est ensuite exécuté par le navigateur de l’utilisateur lorsqu’il se rend sur la page web concernée.

Si le site Web n’emploie pas assez de validation ou d’encodage, le navigateur de l’utilisateur ne saura pas détecter l’attaque XSS. L’attaquant pourra accéder à tous les cookies, jetons de session ou autres données sensibles liées au site, et, dans certains cas, le script malveillant pourra réécrire certains éléments HTML afin de modifier la page.

 

Nous pouvons classer les attaques XSS en trois catégories :

  • Le script des attaques stockées est constamment basé sur les serveurs cibles et est extrait lorsque le navigateur de la victime demande des données.
  • Le serveur web envoie le script malveillant dans le navigateur de la victime lorsqu’elle clique sur un lien ou soumet un formulaire infecté au préalable par l’attaquant.
  • L’attaque basée sur DOM consiste à injecter un script malveillant après avoir manipulé le DOM (Document Object Model) de la page web par le code client (JavaScript), sans avoir besoin d’interagir directement avec le serveur web.

 

Qu’est-ce qu’une attaque par interprétation des URLs


Dans ce genre d’attaque informatique, le cybercriminel cherche à exploiter les lacunes dans l’interprétation des URL par un site web. Il est possible pour le cybercriminel de chercher à déchiffrer l’URL qui lui permettra d’accéder aux privilèges administrateur, d’accéder au backend du site, ou encore d’accéder au compte d’un utilisateur.

Souvent, ce type d’attaque découle d’une mauvaise conception ou d’une mauvaise mise en place des contrôles d’accès. En utilisant la structure de son URL pour déterminer les ressources auxquelles un utilisateur peut accéder, l’attaquant peut aisément déterminer les URL qui lui permettront de passer à l’action.

 

Différentes méthodes d’interprétation des URL existent :

L’attaquant effectue des tests à l’aveugle sur des répertoires et des extensions d’URL traditionnelles (/admin, /phpinfo, /bak…) dans le but d’accéder à des informations essentielles.
L’attaquant modifie le chemin de l’arborescence dans l’URL pour contraindre le serveur à accéder à des sections du site non autorisées.
L’attaquant effectue une falsification des paramètres en modifiant les paramètres de l’URL afin d’observer la réaction du site web. Cela englobe la modification de l’identifiant d’un utilisateur, des paramètres de cookies ou d’autres données susceptibles de modifier le fonctionnement du site web.

Qu’est-ce qu’une attaque par usurpation de DNS


L’attaque informatique de l’usurpation de DNS (Domain Name System) consiste à modifier les enregistrements DNS d’un site web afin de rediriger son trafic vers un site contrefait ou usurpé. Afin d’y parvenir, il tentera de mettre en péril un serveur DNS cible ou de manipuler le cache DNS d’une victime.
Après avoir accédé au site frauduleux, l’attaquant collecte des données confidentielles telles que ses identifiants de connexion ou ses numéros de carte de crédit. Par la suite, elles sont exploitées pour des fraudes, des vols d’identité ou sont vendues sur le marché parallèle.
Le criminel en ligne peut aussi exploiter cette méthode afin de compromettre la réputation d’une entreprise ciblée, en créant un site web de mauvaise qualité contenant du contenu satirique qui créera une image défavorable.

On distingue

Le DNS spoofing consiste à réécrire les valeurs du cache DNS local en utilisant de fausses valeurs afin de rediriger la victime vers un site web malveillant.
Le DNS hijacking consiste en une infection par un logiciel malveillant qui modifie la configuration TCP/IP de la victime et rediriger le trafic vers un serveur DNS malveillant, ce qui entraîne finalement une redirection du trafic vers le site frauduleux.

 

Qu’est-ce qu’une attaque d’anniversaire

 

Cette attaque tire parti d’une lacune des fonctions de hachage, les algorithmes qui générent des signatures numériques (hash) afin de vérifier l’authenticité d’un message. Si un hacker réussit à générer un hash identique à celui de sa victime, il a alors la possibilité de remplacer le message original par le sien, sans que le destinataire s’en rende compte.
Le nom de cette menace vient du paradoxe de l’anniversaire, une théorie mathématique qui affirme que la probabilité que deux individus partagent la même date d’anniversaire dans un groupe de 23 individus est supérieure à 50%. De même, un hacker ne nécessite qu’une petite quantité de hachages avant de rencontrer une collision – c’est-à-dire deux messages différents qui génèrent le même hachage.
Quand le destinataire reçoit le message modifié, il est considéré comme authentique car il a la signature numérique appropriée. Cela peut entraîner des répercussions telles que le vol de données ou la propagation de logiciels malveillants.

 

Qu’est-ce qu’une attaque par mot de passe (force brute)

Au cours d’une attaque brutale, le cybercriminel essaie toutes les combinaisons de mots de passe possibles jusqu’à trouver la bonne. On peut utiliser cette méthode de manière aléatoire ou selon une certaine logique en essayant des mots de passe associés au nom de la victime, à son emploi, à ses loisirs ou à des éléments similaires. Le cybercriminel peut également avoir recours à un répertoire des mots de passe les plus couramment utilisés pour essayer d’accéder à l’ordinateur ou au réseau d’un utilisateur.

Malgré la durée considérable de l’attaque par force brute, celle-ci demande en réalité très peu de ressources au cybercriminel. En général, il se limite à l’utilisation d’un bot ou d’un programme automatique qui évalue tous les mots de passe successivement.

Ce processus peut durer plusieurs jours, voire plusieurs semaines, le bot travaillant sans relâche jusqu’à ce qu’il découvre le mot de passe approprié. Un délai avantageux car en cas de réussite, l’attaquant peut accéder à l’intégralité du système ou du réseau.

Type d’attaques informatiques impliquant une action humaine et une machine

Qu’est-ce qu’une attaque MITM

L’attaque MITM, également connue sous le nom de Man-In-The-Middle, est une attaque informatique dans laquelle le cybercriminel s’interpose entre deux parties qui communiquent, sans qu’elles ne perçoivent sa présence. Il est en mesure d’écouter, d’intercepter et de modifier les informations qui sont transmises.

Dans cette situation, les deux acteurs de la communication sont convaincus de pouvoir échanger des informations en toute sécurité. Toutefois, sans le savoir, l’attaquant modifie ou accède illégalement au message avant qu’il ne parvienne à son objectif. Les attaques MITM peuvent donner à un attaquant la possibilité de voler des données confidentielles, de diffuser des logiciels malveillants ou d’usurper des identités.

 

Pour y parvenir, les attaquants peuvent se positionner sur un réseau non sécurisé, comme un Wi-Fi public, et espionner toutes les données qui y circulent. Ils ont aussi la possibilité d’employer des méthodes plus avancées telles que l’ARP spoofing, qui implique d’envoyer de fausses informations ARP (Protocole de résolution d’adresse) sur le réseau afin de rediriger le trafic vers l’attaquant.

L’usurpation d’adresse IP : l’attaquant manipule les données d’adresse IP dans les paquets de données afin de se faire passer pour une partie importante de la communication. Il peut alors recevoir, modifier et renvoyer les messages à la victime, qui pense communiquer avec la partie légitime.
Le détournement de session : l’attaquant cherche à obtenir l’identifiant de session unique d’une communication existante pour s’y immiscer. Une fois qu’il a obtenu cet identifiant, il peut l’utiliser pour se faire passer pour la victime et prendre le contrôle de la session. Il peut alors effectuer des actions en son nom, comme envoyer des messages, effectuer des transactions ou changer ses paramètres de compte.

Ransomware

Le ransomware est une cyberattaque qui capture les informations de sa victime. Son mécanisme est simple mais performant : il empêche l’accès aux informations de l’utilisateur et menace de les publier ou de les supprimer à moins qu’une rançon ne soit payée.

L’infection par un ransomware peut avoir lieu de différentes façons. Dans certaines situations, la personne touchée reçoit un courriel qui semble légitime, puis ouvre une pièce jointe ou clique sur un lien qui télécharge le ransomware et l’installe sur son ordinateur.

Dans d’autres situations, les ransomwares se diffusent par le biais de téléchargements à la demande, et la simple visite d’un site web compromis peut entraîner leur téléchargement et leur installation.


Finalement, le criminel informatique a également la possibilité d’utiliser directement les vulnérabilités présentes dans le système ou les applications de sa victime afin d’installer lui-même le ransomware là où il le désire.

Les personnes compétentes techniquement peuvent débloquer les formes les plus basiques de ransomware. Les ransomwares les plus sophistiqués font appel à la méthode d’extorsion cryptovirale. Dans cette situation, le logiciel malveillant crypte les fichiers de la victime de manière à les rendre quasiment impossibles à récupérer sans la clé de déchiffrement, ce qui rend l’attaque beaucoup plus destructrice.

 

Qu’est ce que le phishing / spear Phishing


Le phishing consiste en une forme d’attaque informatique où l’attaquant se présente comme une personne de confiance et trompe ses victimes afin qu’elles cliquent sur un lien frauduleux ou divulguent des informations confidentielles telles que les mots de passe et les numéros de carte de crédit. Les attaques de phishing peuvent avoir lieu sur différentes plateformes, parmi lesquelles les plus fréquentes sont :

Les courriels de phishing se présentent souvent sous la forme de notifications provenant de services financiers, de réseaux sociaux ou de prestataires de services. En essayant de répondre à ces courriels, les victimes sont redirigées vers des sites web malveillants.

Les attaques de phishing par SMS, également appelées « Smishing », impliquent l’envoi de messages textes contenant des liens vers des sites Web malveillants ou demandant directement des informations confidentielles.
Les plateformes de travail collaboratif en ligne telles que Slack, Teams ou Google Workspace sont devenues la principale cible des attaques de phishing. Les pirates informatiques y envoient des messages directs ou émettent des publications dans des plateformes de discussion qui reproduisent parfaitement les conversations habituelles de leurs victimes afin de les tromper davantage.
Le spear phishing est une forme de phishing plus spécifique. Dans ce genre d’attaques informatiques, le cybercriminel se focalise sur un petit nombre d’individus ou d’organisations plutôt que d’envoyer des messages en masse.

Il rassemble d’abord des données très précises sur leurs destinataires afin de personnaliser leurs messages et les rendre légitimes.

L’intelligence artificielle occupe une place de plus en plus importante dans ces attaques, employée afin de concevoir des messages plus persuasifs et plus spécifiques. Le criminel en ligne copie le langage de leurs collègues : leurs messages sont susceptibles de devenir indiscernables, même pour les plus méfiants.

Qu’est ce qu’un cheval de Troie ?

Le terme « cheval de Troie » tire son origine de la légende selon laquelle les soldats grecs se sont dissimulés dans un immense cheval en bois afin d’infiltrer la ville de Troie. De même, les chevaux de Troie informatiques sont des logiciels malveillants qui se dissimulent à l’intérieur de logiciels légitimes afin de mieux faire peur à leurs victimes.
À la différence de la majorité des logiciels malveillants, les chevaux de Troie ne se reproduisent pas par eux-mêmes. Ils sont intégrés à un système à travers un téléchargement ou un e-mail piégé et agissent ensuite conformément aux consignes de leur créateur. Des données sont détruites, le fonctionnement du système est interrompu ou une « porte dérobée » est créée dans le système de l’utilisateur.  Dans ce cas, le cybercriminel a la possibilité d’accéder au système infecté et de l’exploiter selon ses préférences.

Les informations personnelles étant facilement accessibles sur Internet, les utilisateurs sont particulièrement exposés à ces types d’attaques informatiques. Une recherche simple permet à un cybercriminel d’obtenir le nom, le prénom et l’adresse e-mail d’une personne pour personnaliser et cibler ses attaques de manière plus efficace.

 

Qu’est-ce qu’une attaque pas usurpation d’identité (Identity theft)

Les attaques informatiques par usurpation d’identité ou Identity Theft sont des formes d’attaques basées sur l’ingénierie sociale et l’exploitation de la confiance des affectés. Afin de la concrétiser, le cybercriminel se présente sous une fausse identité et encourage ses victimes à divulguer des informations confidentielles. Il est possible que l’usurpateur se présente comme un collègue de travail, un directeur d’entreprise, un prestataire de services ou toute autre personne en qui la victime peut avoir confiance.

Dans une situation du vol de l’identité d’un directeur ou du PDG d’une société, le cybercriminel envoie un courriel prétendument provenant du responsable à un employé, sollicitant des renseignements confidentiels ou des services. Du fait de la position perçue de l’expéditeur, l’employé est plus enclin à accepter la demande sans vérifier son authenticité.

 

La corruption et les menaces internes

La corruption et les menaces internes représentent un type d’attaque informatique souvent sous-estimé, mais dont les effets sont dévastateurs. En effet, il peut être plus facile et moins coûteux pour un cybercriminel de corrompre un employé, un partenaire ou un fournisseur plutôt que de contourner les mesures de sécurité informatique de l’entreprise.

Dans cette stratégie, le cybercriminel cible un individu vulnérable pour obtenir, souvent moyennant des rétributions, des informations confidentielles, installer des logiciels malveillants sous son identité ou faciliter l’accès à des ressources protégées.

Les répercussions d’une telle attaque sont désastreuses pour l’entreprise visée à tous les niveaux : de la sécurité des données à sa situation financière, en passant par sa réputation, sa légitimité et sa crédibilité.

 

Mais alors que faut-il faire ?

Maximiser la Défense : Intégrer les Solutions Logicielles

 

Dans la bataille incessante contre les attaques informatiques, combiner diverses solutions logicielles s’avère impératif pour renforcer la sécurité de votre entreprise.

Pare-feu : La première ligne de défense de votre réseau, les pares-feux, régulent le flux entrant et sortant selon des règles de sécurité préétablies, bloquant ainsi les connexions non autorisées.

Antivirus : Indispensables pour protéger les ordinateurs contre les logiciels malveillants, les programmes antivirus scrutent les fichiers et programmes pour identifier et éliminer les menaces avant qu’elles n’infectent le système.

Gestion des Vulnérabilités : En parallèle, les outils de gestion des vulnérabilités repèrent, identifient et corrigent les failles dans votre infrastructure informatique avant qu’elles ne soient exploitées par les cybercriminels.

Protection de la Collaboration : Pour sécuriser les outils partagés tels que Microsoft 365, les solutions de protection de la collaboration ajoutent une couche de sécurité supplémentaire contre le phishing, les contenus malveillants et les attaques ciblées.

Plateforme de Protection des Points de Terminaison (EPP) et Détection et Réponse aux Menaces (EDR) : Pour une sécurité optimale, l’intégration de l’EPP et de l’EDR est recommandée. L’EPP protège les points de terminaison contre les menaces, tandis que l’EDR offre une détection avancée des menaces, une enquête détaillée des incidents et une réponse proactive aux anomalies détectées. En combinant ces deux solutions, vous établissez une défense robuste contre l’ensemble des attaques informatiques.

Renforcer l’Armure : Investir dans la Formation des Collaborateurs

Sensibilisation et Formation : En complément des solutions logicielles, le soutien des équipes à travers la formation et la sensibilisation est essentiel. Les collaborateurs doivent être capables d’identifier et de gérer les menaces auxquelles ils sont le plus souvent confrontés, comme les attaques de phishing et l’usurpation d’identité. Ils doivent également comprendre l’importance de respecter les politiques de cybersécurité en vigueur. La sensibilisation peut prendre diverses formes, des ateliers interactifs aux simulations d’attaques, et doit être une démarche continue pour s’adapter à l’évolution constante des attaques informatiques.

Bonnes Pratiques : Les bonnes pratiques des collaborateurs jouent un rôle crucial dans la stratégie de défense contre les cyberattaques. L’utilisation de mots de passe forts et uniques pour chaque compte en ligne, l’adoption de l’authentification à deux facteurs lorsque possible, et le refus de se connecter à des réseaux non sécurisés depuis des appareils personnels contribuent à renforcer les dispositifs de sécurité de l’entreprise.

Approche « Zéro Trust » : Pour maintenir ces bonnes pratiques, la Direction des Systèmes d’Information (DSI) doit adopter une approche « zéro trust ». Cela signifie considérer chaque appareil comme une menace potentielle, même s’il est déjà identifié sur le réseau. Chaque demande d’accès est vérifiée indépendamment, mettant en avant le principe de « moindre privilège » où chaque utilisateur ou appareil ne dispose que des privilèges minimaux nécessaires pour accomplir ses tâches.

Audit de Sécurité : Les entreprises sont confrontées à des risques cyber variés et complexes. Pour évaluer les besoins spécifiques et adapter les mesures de sécurité, un audit de sécurité peut s’avérer essentiel. N’hésitez pas à solliciter nos équipes pour cette démarche.