Cyril Bras, directeur de la Cybersécurité au sein de Whaller, nous présente comment détecter et se protéger des menaces informatiques.
Qu’est-ce qu’une menace informatique ?
Une menace est tout ce qui gravite autour de notre environnement numérique. Cela peut être des pirates informatiques, des virus, mais aussi dans le cadre de l’entreprise, des collaborateurs mal intentionnés. À cela, il faut ajouter ce qu’on appelle la vulnérabilité. C’est une faiblesse qui est présente dans le système d’information par exemple, le fait de n’avoir pas appliqué un correctif de sécurité ou bien parce qu’il y a une erreur dans le code. Remarquons, cependant, que la vulnérabilité ne présente pas en elle-même de risques. C’est la combinaison de la menace et de la vulnérabilité qui va favoriser l’émergence d’une attaque. C’est-à-dire qu’une menace informatique va exploiter une vulnérabilité sur le système pour conduire son attaque.
Où ont lieu les attaques informatiques ?
Rappelons-nous que le cyberespace est constitué de trois couches :
- La couche matérielle : ordinateur, box Internet, etc
- La couche logicielle : système d’exploitation, navigateur, etc
- La couche sémantique : celle où l’humain interagit directement.
Les deux premières couches sont couvertes par la sécurité informatique. La troisième nous permet d’aller plus loin et de faire réellement de la cyber sécurité. Aujourd’hui les menaces informatiques ont lieu sur ses trois couches, notamment la dernière où il s’agit d’embrouiller l’utilisateur en lui communiquant, par exemple, des fausses informations comme ouvrir une pièce jointe ou cliquer sur un lien pour prendre le contrôle de sa machine.
Comment limiter les attaques informatiques ?
En empêchant de lui donner des opportunités d’agir. Pour ça, il faut, en amont, connaître le processus et les facteurs clés de sucés d’une menace informatique, et en aval, savoir appliquer des correctifs de sécurité sur son système d’information. Pour qu’un attaquant informatique réussisse son opération, il doit réussir à enchaîner quatre étapes de la « chaîne tueuse » (HackingIT Chain). La première consiste à collecter de l’information sur sa cible afin de préparer son attaque. La deuxième est de réussir à s’introduire dans le système d’information cible en exploitant les vulnérabilités identifiées. C’est à cette étape que la menace informatique est créée. Une fois l’attaquant installé dans la machine, troisième étape, il va alors essayer d’augmenter ses privilèges en devenant le maître des lieux, c’est-à-dire en contrôlant la machine en étant son administrateur. S’il y parvient, il va essayer de se propager en trouvant d’autres vulnérabilités dans le système ou des systèmes périphériques. Ainsi, pour arriver à ses fins, il peut télécharger des outils complémentaires pour augmenter le contrôle de la machine ou de son environnement – en se propageant sur des serveurs ou des machines auxquelles vous avez accès. Quatrième étape, il fait ce qu’il a à faire, soit exfiltrer de l’information, soit en détruire, soit se positionner dans l’attente d’une action ultérieure. Notons que ce qui conditionnera le succès de l’attaque, sera la capacité de la part de l’attaquant à effacer les traces de son action d’hacking. En ayant la connaissance de cette « chaîne tueuse », nous voyons qu’il faut limiter l’information disponible sur Internet (première étape de la HackingIT Chain), appliquer des correctifs de sécurité, mettre en place des dispositifs d’alerte en cas de menace informatique dans le système d’information, etc. La parade ultime sera d’avoir des sauvegardes qui fonctionnent correctement.
Quels sont les différents types de menace informatique ?
- L’hameçonnage
L’hameçonnage – ou le phishing – est un mail malveillant. Il va vous donner envie de cliquer dessus pour bénéficier d’une promotion ou débloquer une carte bancaire. À chaque fois, il y a un motif et une pression pour vous inciter à cliquer. Face à cette menace informatique, il faut bien regarder le mail : qui est son expéditeur, le connaissez-vous, son adresse mail est-elle la bonne, quel est l’objet du message (il y a-t-il bien un lien avec l’expéditeur ?), enfin la date et l’heure d’expédition (un envoi un dimanche après-midi est suspect). Ensuite, il faut s’intéresser au contenu du message. Est-ce qu’on me met de la pression en m’ordonnant de cliquer sur un lien par exemple ou d’ouvrir une pièce jointe avant une date butoir. Si c’est le cas, il y a 99 % de chance pour que le message soit malveillant.
- Browser-in-the-browser (BiTB)
Une autre forme de menace informatique est le BiTB (« browser-in-the-browser« ). Elle consiste à faire apparaître une fausse fenêtre d’authentification en reprenant le graphisme du vrai site web ainsi que l’adresse url qui est la même. Le seul moyen de déjouer cette attaque est de fermer son navigateur.
- Le mail piégé
Plus subtil, parce qu’il provient d’une personne que vous connaissez, son contenu reprend un échange existant entre vous et votre correspondant. Ce qui peut vous alerter et que l’on va vous demander d’ouvrir une pièce jointe ou de cliquer sur un lien alors même qu’il n’y a pas de raison à cela. Pour lever le doute dans ce cas, il faut contacter son interlocuteur par un autre moyen que le mail, par téléphone par exemple, pour s’assurer qu’il vous a bien adressé ce mail. Vous pourrez alors lever le doute. Si malheureusement, vous avez ouvert la pièce jointe ou cliqué sur le lien, il ne vous restera plus qu’à réinstaller votre navigateur, l’attaquant ayant pris le contrôle de votre ordinateur.
- Le support informatique
Les attaquants débordant d’imagination, ils utilisent également la technique de se faire passer pour un support informatique. Naviguant sur Internet, votre ordinateur devient tout bleu ou tout rouge ; un message s’affiche qui vous prévient que vous êtes attaqué ; il vous invite à contacter immédiatement un numéro de téléphone. Expliquant à votre interlocuteur la situation, il vous proposera d’installer un programme qui donnera la main à ce dernier et fera soit rien, soit installera un virus. Mais, in fine, il vous demandera de payer. Confronté à cette escroquerie, il faut fermer son navigateur et si ce n’est pas possible, il faut alors éteindre son ordinateur.
- Les faux profils
Il existe de faux profils avec de fausses identités et de fausses images de personnes qui n’existent pas. C’est l’objet du site internet thispersondoesnotexist.com, qui génère des faux profils. Ces derniers vont chercher à avoir de faux-amis avec lesquels il sera possible de réaliser de l’hameçonnage ou bien les autres attaques décrites ci-dessus. Pour ne pas tomber dans cette menace informatique, il faut être vigilant et n’accepter pour ami que les personnes dont vous êtes sûrs. Les attaques de cybercriminalités sont de plus en plus nombreuses et difficiles à détecter. Si vous êtes victimes de cyberattaque ou d’une menace informatique, vous pouvez demander une assistance sur le site cybermalveillance.gouv.fr. Vous pouvez également vous rapprocher des services de police ou de gendarmerie qui pourront vous accompagner dans le dépôt de votre plainte.
Bonne vidéo, clair et complet.