Cyberattaques : les vecteurs d’attaques informatiques

novembre 30, 2023

Qu’est-ce qu’un vecteur d’attaque ?

Un vecteur d’attaque, aussi connu sous le nom de vecteur de menace, désigne un moyen utilisé par des attaquants pour infiltrer un réseau ou un système. Il est essentiel de se prémunir contre ces vecteurs d’attaque pour assurer la Confidentialité, l’Intégrité et la Disponibilité[1] des données de l’organisation, et éviter d’importantes pertes financières et relationnelles.

Quels sont les vecteurs de compromission les plus récurrents ?

Phishing et ingénierie sociale

Le phishing est une technique d’attaque informatique qui vise à tromper les utilisateurs en se faisant passer pour des entités légitimes, telles que des entreprises ou des institutions financières, afin de leur soutirer des informations sensibles. Les attaquants utilisent des méthodes telles que les courriels, les messages instantanés ou les faux sites web pour inciter les utilisateurs à divulguer leurs informations ou à cliquer sur des liens malveillants. Ces attaques, dites d’ingénierie sociale, exploitent la confiance des utilisateurs et leur manque de méfiance. Pour se protéger, il est essentiel de vérifier l’authenticité des communications, d’éviter les liens suspects et de ne jamais fournir d’informations personnelles sans être certain de la légitimité de l’expéditeur.

Typologies d’attaques associées : Phishing par e-mail, phishing par SMS (Smishing), phishing par téléphone (Vishing), phishing sur les réseaux sociaux, phishing ciblé (Spear Phishing).

Nous pouvons citer l’attaque contre la société Equifax en 2017, où les attaquants ont envoyé des courriels de phishing aux employés, les incitant à cliquer sur des liens malveillants. Cela a conduit à la compromission de données sensibles, notamment les informations personnelles de plus de 143 millions de personnes[2], entraînant des conséquences financières et une violation de la confidentialité des victimes.

La supply chain

La supply chain, ou chaîne d’approvisionnement est devenue une cible privilégiée pour les attaquants cherchant à compromettre les systèmes informatiques d’une organisation. Les cybercriminels peuvent infiltrer les fournisseurs, les partenaires commerciaux ou les sous-traitants d’une entreprise afin de compromettre leurs produits ou services. Ces attaques peuvent prendre différentes formes, tel que l’injection de code malveillant dans les logiciels ou le matériel avant qu’ils ne parviennent à l’entreprise cible.

Typologies d’attaques associées : Attaques de chaîne logicielle (Software Supply Chain Attacks), attaques de chaîne matérielle (Hardware Supply Chain Attacks), attaques de chaîne d’approvisionnement physique.

En décembre 2020, une attaque cyber par la chaîne d’approvisionnement a été perpétrée contre SolarWinds, une entreprise américaine qui développe des logiciels. Des acteurs étatiques avaient réussi à compromettre leur logiciel de gestion des réseaux. Cette intrusion a permis aux attaquants d’infiltrer les systèmes de nombreuses organisations clientes, y compris des agences gouvernementales, causant une violation majeure de la sécurité, une exposition de données sensibles et des implications potentiellement graves pour la sécurité nationale des États-Unis.

Les Identifiants compromis

L’acquisition d’identifiants volés est une méthode couramment utilisée pour compromettre des comptes d’utilisateurs. Les attaquants peuvent obtenir des identifiants en exploitant d’autres vecteurs de compromission, tels que le phishing ou les exploits, ou en les achetant sur le marché noir. Une fois en possession des identifiants, les attaquants tentent de les utiliser pour accéder aux systèmes ou aux services de l’utilisateur ciblé. À ce titre, il existe même une catégorie de cybercriminels spécialisés dans le recel de données volées. Appelés « Access brokers », ils agissent en tant qu’intermédiaires dans le monde numérique, utilisant des logiciels malveillants ou exploitant des failles de sécurité. Cela permet à d’autres acteurs criminels, comme les groupes de ransomwares, d’accéder aux réseaux d’entreprise, de chiffrer les données et d’exiger une rançon élevée, voire de menacer de divulguer les données pour exercer une pression supplémentaire.

Typologies d’attaques associées : Attaques par force brute, attaques d’injection de session, attaques de compte compromis, utilisation de fuites de données.

La compromission des identifiants de connexion chez Cdiscount en juin 2019, où plus de 4 millions de clients ont été affectés, constitue une illustration notable d’une cyberattaque par vol d’identifiants en France. Cette violation a entraîné un accès non autorisé aux comptes des utilisateurs, exposant leurs données personnelles et suscitant des inquiétudes quant aux risques potentiels de fraudes et d’usurpations d’identité.

Les exploits

Les exploits font référence à l’utilisation de vulnérabilités logicielles connues pour accéder à un système ou à une application. Les attaquants recherchent constamment des failles de sécurité dans les logiciels populaires, tels que les systèmes d’exploitation ou les navigateurs web, pour exploiter ces vulnérabilités et compromettre les systèmes cibles.

Typologies d’attaques associées : Exploits de logiciels, exécution de code à distance (Remote Code Execution), élévation de privilèges, attaques de dépassement de tampon (Buffer Overflow Attacks).

En mars 2021, des attaquants ont exploité une vulnérabilité du logiciel de messagerie Microsoft Exchange connue sous le nom de “ProxyLogon” pour accéder aux systèmes des organisations et voler des données sensibles. Cette attaque a compromis des milliers de serveurs dans le monde, entraînant des fuites de données, des perturbations des opérations commerciales et des risques de compromission des informations confidentielles des utilisateurs.

La Compromission interne

La compromission interne désigne les attaques réalisées par des personnes qui ont déjà des privilèges d’accès aux systèmes d’une organisation, que ce soient des employés malveillants, des sous-traitants ou des individus ayant obtenu un accès illégitime. Ces attaquants exploitent leur position de confiance pour accéder à des informations sensibles, voler des données ou causer des dommages aux systèmes par des actions de sabotage.

Typologies d’attaques associées : Vol de données internes, sabotage des systèmes, exploitation des privilèges élevés ou encore l’usurpation d’identité.

Un exemple de compromission interne est le cas de Chelsea Manning, ancienne analyste du renseignement dans l’armée américaine. En 2010, Manning a divulgué des documents militaires et diplomatiques classifiés à WikiLeaks, exposant des informations sensibles sur les opérations militaires et les relations diplomatiques des États-Unis. Cette fuite a eu d’importantes répercussions, provoquant des tensions diplomatiques, et suscitant des inquiétudes quant aux menaces internes au sein des organisations gouvernementales.

Quelles mesures de sécurité puis-je mettre en œuvre pour faire face à ces vecteurs d’attaques ?

• Sensibilisation à la sécurité : former les utilisateurs aux risques associés aux attaques et aux techniques de compromission, en mettant l’accent sur la vigilance, la méfiance envers les communications suspectes et la protection des informations sensibles.
• Authentification multifacteurs : implémenter une authentification multifacteurs pour renforcer la sécurité des comptes utilisateurs en combinant des éléments tels que des mots de passe solides et des codes de vérification.
• Mises à jour régulières : s’assurer que tous les logiciels, applications et systèmes utilisés sont régulièrement mis à jour avec les derniers correctifs de sécurité pour prévenir l’exploitation de vulnérabilités connues. Il est également important de régulièrement mettre à jour ses mots de passe, en pensant à le sauvegarder dans des outils dédiés (Keepass, Bitwarden…)
• Surveillance des activités suspectes : déployer des outils de surveillance et d’analyse des activités réseau pour détecter les comportements anormaux, les tentatives d’intrusion ou les accès non autorisés, permettant une réponse rapide en cas de compromission.
• Sécurité des emails : utiliser des solutions de filtrage des emails et des filtres antispam pour détecter et bloquer les courriels malveillants et les tentatives de phishing. Encourager également les employés à ne pas cliquer sur des liens ou à télécharger des pièces jointes provenant de sources inconnues.

En résumé, les cyberattaques sont diverses et complexes, nécessitant une adaptation constante des mesures de sécurité. Les utilisateurs doivent se tenir à jour face à l’évolution des attaques pour mieux se protéger. Bien qu’aucune organisation ne soit entièrement fiable, l’application de conseils tels que la sensibilisation, l’authentification multifacteurs et les mises à jour régulières peut contribuer à réduire les risques.

Vous souhaitez en savoir plus sur la protection de votre entreprise face à la cybercriminalité? Contactez les experts cyber de Hub One pour obtenir une réponse personnalisée. SysDream, la filiale cybersécurité de Hub One, vous accompagne dans la gestion du risque cyber pour protéger votre système informatique. Nous mettons à votre disposition (que vous soyez client ou non) une équipe d’experts spécialisés dans la réponse aux incidents et l’investigation numérique pour contenir un incident de sécurité informatique, y remédier et enquêter sur les sources de l’attaque.

N’ATTENDEZ PAS D’ÊTRE ATTAQUÉS ! Contactez-nous

CERT – Réponse aux Incidents de Sécurité

[1] https://www.fortinet.com/resources/cyberglossary/cia-triad#:~:text=The%20three%20letters%20in%20%22CIA,and%20methods%20for%20creating%20solutions.
[2] https://www.nextinpact.com/article/27170/105125-piratage-dequifax-jusqua-143-millions-victimes-donnees-tres-sensibles-derobees