Partie 3 : Types de cyberattaques les plus courantes contre les entreprises et comment s'en protéger

Partie 3 : Types de cyberattaques les plus courantes contre les entreprises et comment s'en protéger

Lorsque les pirates tentent de voler les entreprises, ils n'utilisent pas seulement le phishing, le MITM et les logiciels malveillants, mais aussi des cyberattaques spécialisées contre celles-ci.

Dans les deux derniers articles, nous avons parlé des types de cyberattaques qui visent les utilisateurs ordinaires afin de voler leurs informations personnelles, leurs données de compte et leurs comptes bancaires.

Dans ce nouvel article, nous vous expliquons quels types d'attaques les pirates utilisent pour voler de l'argent ou des informations sensibles aux entreprises.

Attaque due à une fuite de données au sein de l'entreprise

Également connue sous le nom de menace interne. Ce type de cyberattaque n'est pas possible sans les actions des employés de l'entreprise. Il fonctionne de la manière suivante : un employé d'une entreprise accède à des fichiers importants et les vole, les vend sous forme de base de données sur Internet ou fait chanter la direction de l'entreprise.

Ce type de fraude se produit souvent dans les petites entreprises, car leurs employés ont accès à plusieurs comptes de données à la fois. Et ils peuvent facilement ouvrir un fichier important et le voler.

En 2019, un ancien ingénieur logiciel de Capital One a piraté sa propre entreprise et a volé 150 millions de dollars.Le pirate a découvert un pare-feu d'application web mal configuré et l'a utilisé pour accéder aux comptes et aux applications de cartes de crédit de plus de 100 millions de clients de Capital One.

Comment se protéger des attaques internes

Pour ce faire, une entreprise doit d'abord disposer d'un système de sécurité bien développé. Il faut également mettre en place différents niveaux d'accès pour les employés en fonction de leurs responsabilités professionnelles.

Les entreprises doivent également former leurs employés à reconnaître les menaces internes et à comprendre quand un pirate tente de les manipuler.

Attaque sur les serveurs DNS

Les attaques contre les vulnérabilités des serveurs DNS peuvent être classées en deux catégories de danger :

• Remplacement d'un site réel par un faux site. Dans les serveurs DNS, l'adresse système d'une ressource réelle sera remplacée par une fausse, et lorsque vous entrez l'adresse, le DNS attaqué redirigera la requête vers de fausses pages.

• Compromission d'informations. La transmission d'une fausse adresse IP peut amener l'attaquant à compromettre les informations personnelles de l'utilisateur. Ce dernier ne se rendra même pas compte que ses informations ont été compromises.

L'attaque fonctionne de la manière suivante : le pirate remplace la véritable adresse IP du site web par une fausse. Lorsqu'une personne visitera la fausse ressource, elle trouvera la fausse adresse et ne remarquera même pas la différence, car l'adresse de la fausse ressource ne sera pas différente de l'originale. 

Par exemple, si vous remplacez le DNS de site.com par une copie, tous les liens sur Internet mèneront à une fausse ressource. Et pour qu'une personne ne remarque pas la différence, le pirate copiera le design de l'original, afin que le faux ne se trahisse en aucune façon.

Cela affectera gravement les revenus et la réputation de l'entreprise. Après tout, elle perdra des clients et de l'argent. Les utilisateurs trompés peuvent cesser d'utiliser les services de la compagnie et diffuser des avis négatifs en ligne.

Il existe d'autres méthodes de fraude DNS, mais elles sont plus compliquées que le simple changement de l'adresse IP d'un site et leur explication nécessiterait un article séparé. Mais l'essence reste la même : le serveur de l'utilisateur commencera à traiter le faux DNS comme un vrai.

Attaque par déni de service

L'attaque DDoS est un autre nom pour ce type d'attaque. Dans ce cas, les arnaqueurs envoient une énorme quantité de trafic et de demandes à un site particulier afin d'épuiser ses ressources et sa bande passante → mettre hors ligne le serveur de la ressource. 

Un grand volume de trafic est généré par les botnets : un réseau informatique qui gère simultanément des dizaines d'ordinateurs. Cependant, les ordinateurs de ce réseau sont des utilisateurs ordinaires qui ont infecté leurs appareils avec des logiciels malveillants spécialisés.

Prenons un exemple. Imaginez une autoroute à trois voies avec des centaines de voitures circulant sans embouteillages. La route a été construite en fonction du nombre de voitures qui l'emprunteront dans la journée.

Imaginez maintenant qu'au lieu de centaines de voitures, le contrôleur du trafic dirige des milliers de voitures sur la route en même temps. L'autoroute sera complètement encombrée de voitures, peu pourront rejoindre leur sortie à temps et arriver à destination à temps. En fait, c'est à cela que ressemble une attaque DDoS : un pirate envoie des centaines de requêtes à un serveur et celui-ci ne parvient pas à faire face à la charge.

Il y a beaucoup plus à dire sur les types d'attaques DDoS, mais cela nécessiterait un article séparé. Dans celui-ci, nous allons vous en parler brièvement.

Il existe plusieurs types de DDoS de base :

• Débordement de trafic : une tentative de surcharger les ressources possibles d'un site web et d'utiliser toute sa bande passante. Lorsque de nombreuses demandes arrivent en même temps sur un site web, le serveur est rapidement surchargé en raison, par exemple, de fréquentes mises à jour de pages. En conséquence, il génère des erreurs car il ne peut plus faire face à la charge de travail.

• Attaque en masse. Dans ce cas, les bots envoient des demandes au serveur et attendent une réponse. Si un trafic important est envoyé, la réponse du serveur mettra plus de temps à arriver et, à un moment donné, le serveur tombera en panne. 

• Attaque par protocole. Dans ce cas, les demandes sont envoyées à partir de différentes adresses IP et visent les points faibles du serveur.  Dans cette attaque, les pirates envoient des requêtes non valides à la ressource, ce qui provoque un plantage du serveur en essayant de les traiter. Un grand botnet n'est pas nécessaire dans ce cas.

En 2020, une attaque DDoS de grande ampleur a été menée sur Amazon. À son apogée, le trafic entrant était de 2,3 térabits par seconde (Tbps). Les serveurs ont géré la charge et ont continué à servir les clients. Et le bureau d'Amazon n'a jamais fait mention de ce qui était attaqué exactement.

Comment se protéger contre les attaques DNS et les dénis de service ?

Faites des sauvegardes. Sauvegardez vos ressources à intervalles réguliers et stockez des copies dans un espace crypté. Plus important encore, ayez toujours des copies à portée de main pour un déploiement rapide.

Créez un service d'intervention dans l'entreprise. Formez vos employés à la gestion des attaques DDoS et aux moyens de les prévenir.

Élaborez un plan d'alerte d'urgence. Préparez des lettres destinées aux clients, aux fournisseurs de services et aux employés en cas d'attaque DDoS.

Voici quelques autres principes de sécurité :

• Utilisez des certificats SSL ;

• Utilisez un service d'hébergement Web fiable ;

• Prévoyez une protection DDoS chez votre hébergeur.

Manipulation d'URL

Parfois, les hackers prennent les URL de sites réels et tentent d'accéder à des pages restreintes d'une ressource. Par exemple, ils peuvent aller sur « www.mysitename.com/admin » pour accéder au panneau d'administration ou saisir « www.yoursitename.com/.bak » pour accéder aux fichiers de sauvegarde.

Comment se protéger de la manipulation des URL

Protégez votre panneau d'administration. Vous devez contrôler qui a accès au panneau d'administration du site. Aussi, cachez autant que possible le panneau d'administration aux arnaqueurs en changeant l'adresse mysite.com/admin par une autre, non standard. Créez également un mot de passe complexe pour accéder au compte et mettez en place un filtrage des adresses IP. 

Pour contrôler efficacement le panneau d'administration, vous devez :

• Acheminer toutes les demandes par le biais du système de contrôle d'accès.

• Refuser l'accès par défaut. C'est-à-dire refuser la demande si elle n'est pas spécifiquement autorisée.

• Configurer des droits et privilèges minimums pour tous les utilisateurs, programmes ou processus.

Attaque zero-day

Une attaque de type  « zero day » est un type d'escroquerie dans lequel les pirates trouvent des failles dans la sécurité d'une ressource et les exploitent pour voler des informations. L'expression « jour zéro »indique que le propriétaire de la ressource vient d'apprendre l'existence de la vulnérabilité et dispose de « zéro jour » pour la corriger.

En général, personne n'est au courant de la vulnérabilité avant les attaquants, donc jusqu'à ce qu'elle soit corrigée, les arnaqueurs essaient d'écrire du code malveillant et de l'injecter dans le logiciel. Un tel code est également appelé code d'exploitation.

En 2020, des hackers ont mené une attaque de type « zero day » sur la plateforme de vidéocommunication Zoom. Les fraudeurs ont trouvé des vulnérabilités dans le client Zoom pour les anciennes versions de Windows et les ont utilisées pour accéder à distance aux ordinateurs des utilisateurs. Ils ont ainsi pu s'introduire dans l'ordinateur d'une autre personne et accéder à tous les fichiers qui y étaient stockés.

Comment se protéger contre une attaque zero-day ?

Pour se protéger des attaques zero-day, les utilisateurs ordinaires et les entreprises doivent :

Maintenir les logiciels et les systèmes d'exploitation à jour. Les éditeurs de logiciels recueillent toujours des informations sur les problèmes de sécurité et publient de nouvelles versions qui présentent moins de vulnérabilités, voire aucune.

Utiliser uniquement les applications dont ils ont besoin. Plus il y a d'applications installées sur votre PC, plus il y a de chances que l'une d'entre elles soit vulnérable et exploitée par des pirates. 

Utiliser un pare-feu. Un pare-feu est un bouclier entre votre appareil et Internet. Il bloque les ressources suspectes et d'hameçonnage qui se trouvent dans la base de services. En fait, il s'agit d'un filtre qui laisse passer le trafic sûr et bloque le trafic suspect.

Former les employés de l'entreprise. Parfois, une attaque zero-day se produit à cause de la négligence d'un employé. Par exemple, il installe une application présentant une vulnérabilité par ignorance et met l'entreprise en danger. La sensibilisation des employés aux règles de base de la sécurité sur Internet permettra d'améliorer la sécurité des données de l'entreprise.

Utiliser des logiciels antivirus. Ces logiciels détecteront les menaces éventuelles et les bloqueront.

Injection SQL

L'injection SQL est une technique de piratage qui permet aux hackers d'accéder aux bases de données d'un site web. Ils peuvent modifier les informations relatives aux utilisateurs dans les bases de données ou voler des informations. L'injection SQL est réalisée en utilisant un code JavaScript malveillant dans une page web. Nous avons décrit dans un autre article comment les pirates utilisent JavaSrcipt pour traquer l'internet et voler des informations.

En 2019, un pirate a volé des centaines de milliers de données de cartes bancaires en utilisant des injections SQL. Il a volé des informations sur les cartes de paiement dans les bases de données de sites web, puis les a vendues sur des marchés en ligne illégaux.

Attaques de script intersite (XSS)

C'est ce qu'on appelle le cross-site scripting (XSS). Les pirates intègrent du code JavaScript, ActiveX, Java, VBScript, Flash et même HTML malveillant dans un site web. Et lorsqu'un utilisateur visite ce dernier comportant un tel code malveillant : ils exécutent d'autres commandes spéciales pour traiter et enregistrer les informations confidentielles de l'utilisateur.

Par exemple, un tel code sur un site Web de banque en ligne peut se souvenir des détails de connexion à un compte bancaire ou d'autres informations sur l'utilisateur.

En 2018, des fraudeurs ont attaqué British Airways et volé environ 380 000 données de cartes bancaires.Les attaquants ont modifié un script pour envoyer les données des clients à un serveur malveillant dont le nom de domaine était similaire à celui de British Airways. Le faux serveur disposait d'un certificat SSL, de sorte que les clients pensaient acheter des billets sur un site sécurisé. Les pirates ont fini par obtenir les détails de 380 000 cartes bancaires.

Attaques CSRF (Cross-Site Request Forgery)

CSRF est une attaque contre un site web à l'aide d'un autre ou d'un script malveillant. Elle force le navigateur d'un utilisateur à effectuer une action non désirée sur une ressource où l'utilisateur est connecté. Pour que l'attaque fonctionne, ce dernier doit cliquer sur le lien piraté.

Par exemple, une personne s'est connectée au site web d'une banque et ouvre accidentellement un lien frauduleux demandant de transférer de l'argent sur le compte du voleur. La banque traitera la transaction à l'insu du client, puisqu'il est autorisé dans son compte personnel.

Comment se protéger contre l'injection SQL, le cross-site scripting et le cross-site request forgery ?

Maintenez le code du site propre et sécurisé, et suivez quelques autres règles (pour vous protéger contre le SQL). Ce qu'il faut écrire dans le code du site, la façon de travailler avec les caractères de substitution et les variables peuvent être mieux expliqués par les programmeurs, les informations pertinentes peuvent être trouvées sur StackOverflow ou CodeProject. 

Notre conseil personnel :

• Désactivez la sortie d'erreur. La sortie d'erreur est une fonction pratique au stade du développement du site pour corriger tous les bugs. Mais si le site est déjà affiché sur le web et fonctionne : il est préférable de désactiver l'affichage des erreurs, sinon les pirates peuvent voir les problèmes du site et utiliser ces vulnérabilités à leur avantage.

• Ne mettez pas le code du site sur les forums. Si vous avez besoin d'aide avec le site, ne postez jamais le code sur des forums spécialisés comme StackOverflow.

Ne leur dites pas de quoi traite votre site, quelle est son adresse, sur quel hébergement il fonctionne, car plus un escroc découvre d'informations, plus le risque de piratage est élevé. Plus l'arnaqueur connaît d'informations sur la ressource, plus le risque de se faire pirater est élevé.

• Installez la dernière version de la langue. Les anciennes versions du langage comportent toujours plus de bogues que les arnaqueurs connaissent. Ils peuvent exploiter les vulnérabilités connues pour prendre le contrôle d'une ressource et y installer un code malveillant.

Les nouvelles versions du langage corrigent toujours ces vulnérabilités et il est peu probable qu'elles soient exploitées.

Outils de désinfection (pour se protéger contre les XSS). La désinfection consiste à nettoyer le code des éléments malveillants et suspects. En fait, une bibliothèque spéciale d'assainissement, telle que DOM Purify, est intégrée au code du site. Elle peut filtrer le code qu'elle juge dangereux.

Confirmation des actions de l'utilisateur (pour se protéger de CSRF). Pour que quelque chose soit modifié sur une ressource, par exemple, un paiement d'un utilisateur, vous pouvez demander des actions de confirmation supplémentaires. À titre d’exemple, vous pouvez demander à l'utilisateur de saisir un captcha. Le script ne sera pas en mesure de contourner une telle protection.

Quelques règles supplémentaires pour protéger une entreprise contre les pirates informatiques

Il s'agit notamment de:

• kit WAF ;

• pare-feu (FW) ;

• DLP ;

• protection du courrier électronique.

Utilisez le kit WAF 

Il s'agit d'un pare-feu pour applications Web qui détecte et bloque les attaques. Le complexe WAF permet d'identifier le trafic malveillant et de déterminer quelles attaques visent les systèmes critiques pour l'entreprise. Par conséquent, les complexes WAF aident une compagnie à se défendre contre les attaques visant la logique commerciale des applications.

Pare-feu (FW)

Il s'agit en fait d'une barrière autour de l'infrastructure informatique d'une société qui protège le réseau et empêche les accès non autorisés. Les pare-feu filtrent le trafic entrant et sortant, éliminant les connexions réseau indésirables sans bloquer les demandes sécurisées.

Système DLP

Les systèmes DLP sont utilisés dans les réseaux d'entreprise pour surveiller et protéger tout le trafic de la compagnie. DLP détecte les accès non autorisés aux informations par des utilisateurs non autorisés, bloque les tentatives de transfert de données d'entreprise sensibles et applique les politiques de confidentialité.

Protection du courrier électronique

Une passerelle de messagerie est configurée pour filtrer tous les messages et bloquer les messages malveillants. Par exemple, ceux qui contiennent des liens ou des pièces jointes malveillants.