Cybersécurité Sécuriser les communications Les différents types d’attaques en ligne

III.

Les différents types d’attaques en ligne

Vous pouvez perdre des données en ligne de bien des façons. Nous allons vous décrire certains types d’attaques dans cette partie.

Le social engineering ou ingénierie sociale

Si vous avez vu le film Arrête-moi si tu peux, vous savez ce qu’est l’ingénierie sociale (ou social engineering en anglais). Ce film raconte comment un personnage, joué par Leonardo DiCaprio, utilise des techniques de manipulation pour exploiter les autres dans son propre intérêt. Les attaques d’ingénierie sociale sont parfois très spontanées, mais elles reposent parfois sur des mois de collecte d’informations sur une cible précise avant que l’exploit (l’élément permettant d’exploiter la faille) ne soit exécuté avec succès. Les mêmes méthodes peuvent être employées lors d’une conversation téléphonique ou d’un échange de courriels, si bien qu’une attaque est parfois terminée avant que vous l’ayez détectée.

Les attaques d’ingénierie sociale s’appuient sur :

  • Vos émotions : elles exploitent vos peurs ou votre enthousiasme pour vous inciter à prendre des décisions que vous ne prendriez pas en temps normal. Toutes vos émotions peuvent être exploitées en fonction des objectifs des attaquants.

  • L’urgence : vous êtes incité(e) à penser qu’il faut agir rapidement sans tenir compte de vos doutes.

  • La confiance : la plupart de ces attaquants savent comment gagner votre confiance. Tout le monde part du principe que l’on peut faire confiance à ses collègues, par exemple. Une attaque d’ingénierie sociale peut venir de quelqu’un que vous pensez connaître ou devoir connaître. Ouvririez-vous votre porte à un collègue (potentiel) qui porte une boîte pleine de papiers ? Suspecteriez-vous un travailleur qui porte une boîte à outils et un gilet fluorescent ?

Ces astuces et tactiques sont régulièrement utilisées d’une multitude de façons différentes et pour tous types d’attaques – pas seulement les attaques d’ingénierie sociale.

Le phishing ou hameçonnage

Quand des attaquants gagnent la confiance d’une victime afin de lui soutirer les informations dont ils ont besoin, on parle de techniques d’hameçonnage (ou phishing en anglais). L’attaque peut prendre des formes variées. La plupart du temps, les attaques par hameçonnage sont menées par courriel. Ces contacts directs (courriels, appels téléphoniques, SMS...) permettent aussi parfois de recueillir des informations en vue de préparer des attaques ultérieures.

Toutes les informations que vous fournissez seront utiles aux attaquants. Ils utiliseront le moindre fragment d’information, en combinaison avec d’autres sources. À partir de ces données, ils peuvent ensuite, par exemple, usurper des identités, commettre une fraude, emprunter des fonds, convaincre vos collègues ou vos proches de leur confier des informations plus exploitables.

Le harponnage (spear phishing en anglais) est une forme d’hameçonnage plus ciblée. Le harponnage est souvent précédé d’une collecte d’informations. Ces techniques préalables sont souvent mises en œuvre à partir des mêmes méthodes d’hameçonnage.

Quelques méthodes courantes d’hameçonnage visant à provoquer une réaction de votre part :

  • Le message est trop beau pour être vrai. Vous avez gagné – ou vous avez une bonne chance de gagner – quelque chose. L’énoncé du courriel laisse penser que cette occasion unique vous est spécialement destinée !

  • La nécessité de réagir rapidement. Différentes tactiques peuvent être mises en place pour que vous agissiez rapidement et donc sans réfléchir. Par exemple, une offre à durée limitée ou une offre spéciale destinée aux cinq premières personnes qui réagiront au message. Ces méthodes jouent parfois sur la peur : l’attaquant(e) tente de vous faire croire que vous allez perdre des informations financières confidentielles si vous n’agissez pas rapidement en utilisant des formulations du type « votre compte a été piraté, réagissez rapidement pour le sécuriser ! ».

  • Les liens. Les liens dans ces courriels sont trompeurs. Des méthodes de masquage des URL sont utilisées. Dans les courriels en HTML, le texte du lien indique parfois une chose, mais le lien mène à quelque chose de bien différent. Des caractères peuvent être remplacés. Les intitulés sont semblables, mais mènent à des sites différents. Il est toujours préférable de saisir soi-même les adresses des sites Web, plutôt que de cliquer sur des liens reçus.

  • Les pièces jointes. Les pièces jointes contiennent parfois des logiciels malveillants qui permettront aux attaquants d’accéder à votre ordinateur. C’est d’ailleurs ainsi que se propagent généralement les logiciels malveillants. Si vous ne vous attendez pas à recevoir une pièce jointe, ne l’ouvrez pas. Mettez à jour vos antivirus pour lutter contre les virus les plus récents.

  • L’émetteur est suspect. Si le courriel vient d’un expéditeur connu, mais que le contenu est surprenant, prenez garde : c’est peut-être une attaque par hameçonnage ou un courrier indésirable. Vérifiez bien que l’adresse électronique correspond au nom de l’expéditeur. Le nom semble parfois familier, mais l’adresse est aléatoire. Si le message vient d’un expéditeur que vous ne connaissez pas, soyez encore plus prudent(e).

On reçoit encore parfois des messages typiques d’arnaque par hameçonnage, venant de princes étrangers vous promettant des fortunes en échange de vos données bancaires. Les arnaqueurs sont toutefois devenus bien plus sophistiqués. Ils s’appuient sur des informations bien plus précises qu’ils obtiennent plus facilement en raison de la croissance de notre présence en ligne.

Note

Prenons un exemple d’hameçonnage sur plusieurs plateformes en ligne qui, à première vue, semble n’être qu’une situation d’interactions sociales tout ce qu’il y a de plus normal.

Vous souhaitiez absolument assister à un concert, mais il est complet avant que vous ayez pu acheter vos billets. Vous consultez la page Facebook de l’événement pour voir si quelqu’un propose des billets à la revente. C’est votre jour de chance ! Une femme propose deux places. Son compte Facebook indique qu’elle vit dans votre région. Vous amorcez une conversation par messages privés. Elle vous propose une transaction sur PayPal. Elle vous enverra les billets au format PDF par courriel quand elle aura reçu l’argent. Elle vous donne même son nom et son adresse électronique. Elle vous envoie aussi une photo des billets (le code-barres et le numéro de place sont masqués). PayPal est, en règle générale, une méthode de transaction sécurisée qui offre une protection contre la fraude à ses utilisateurs. Cette personne vous incite toutefois à opter pour la fonction qui vous permet d’envoyer de l’argent à des amis ou des membres de votre famille. Elle pourra ainsi éviter des frais additionnels – d’ailleurs, elle vous transférera la somme économisée. Vous hésitez, car vous ne connaissez pas cette femme. Mais elle vous fait comprendre que d’autres personnes souhaitent également acheter les billets : si vous n’acceptez pas, elle les vendra à quelqu’un d’autre. Vous envoyez la somme. Son compte Facebook est soudainement désactivé. Elle disparaît avec votre argent.

Des virus informatiques sortant d’un cheval de Troie pour enfant
Des virus informatiques sortant d’un cheval de Troie pour enfant

Les malwares ou logiciels malveillants

Les logiciels malveillants, « maliciels » ou « pourriciels » (malware en anglais, mot valise pour malicious software) regroupent différents types de logiciels. Les logiciels malveillants les plus célèbres sont les virus. Voilà différents types de logiciels malveillants :

  • Les virus se propagent généralement par l’intermédiaire de fichiers exécutables (programmes) ou de fichiers Microsoft Office qui emploient des macros. Ils tentent de se propager par différents moyens, généralement en utilisant vos contacts, mais peuvent également se servir de failles connues des systèmes d’exploitation. Pour être exécutés, les virus requièrent généralement une activation manuelle.

  • Les « rançongiciels » (ransomware en anglais) emploient différentes méthodes pour se propager. Une fois activés, ils chiffrent certains de vos fichiers et réclament une rançon en échange de la clé de déchiffrement qui vous permettra d’accéder de nouveau à ces fichiers.

  • Les vers informatiques se dupliquent et se propagent de manière autonome sans action des utilisateurs. Les vers créent toutes sortes de problèmes sur vos systèmes.

  • Des bots individuels (des logiciels autonomes qui interagissent avec des serveurs informatiques) forment des botnets (des réseaux de bots) qui peuvent rester en sommeil jusqu’à ce qu’un(e) attaquant(e) décide de les utiliser, notamment dans le cadre d’attaques DDoS (acronyme anglais de Denial-of-service attack, « attaque par déni de service » en français). Une attaque DDoS inonde un système ciblé de trafic pour empêcher son utilisation normale.

  • Les chevaux de Troie sont des programmes malveillants déguisés en programmes authentiques. Une fois exécutés, ils peuvent également causer tous types de problèmes.

  • Les « publiciels » ou « logiciels publicitaires » (adware en anglais) opèrent dans une zone grise. Ils vous montrent des publicités en l’échange d’un service quelconque. La plupart du temps, ces logiciels publicitaires opèrent sans permission. Il est parfois très difficile de s’en débarrasser et généralement ils ralentissent votre ordinateur. Certaines publicités sont également susceptibles d’être la source d’autres exploits sur votre ordinateur.

  • Les « espiogiciels » ou « logiciels espions » (spyware en anglais) espionnent l’utilisation de votre ordinateur. Ils peuvent enregistrer votre numéro de carte bancaire, des noms d’utilisateur et des mots de passe quand vous les saisissez.

Tous les types de logiciels malveillants se propagent de la même manière. Ils opèrent et changent de types d’attaque en utilisant différentes méthodes. La plupart de ces logiciels malveillants sont employés par les attaquants pour accéder directement à votre ordinateur.

Les acteurs étatiques et les groupes d’APT

Les acteurs étatiques et les groupes d’APT (acronyme anglais d’advanced persistent threat, littéralement « menace persistante avancée » en français) ont un « permis de hacker ». On estime qu’ils sont soutenus par les nations qu’ils servent. Certains « hackent » pour le compte d’un État. D’autres sont des organisations criminelles subventionnées par un État. Il est généralement impossible de poursuivre ces groupes, car ils sont difficiles à pister et protégés par les nations qui les emploient.

Ces groupes utilisent des méthodes inédites pour accéder à leurs cibles. Ils sont parfois présents dans des systèmes pendant des mois ou des années avant d’être détectés. Ils ne s’intéressent pas aux profits immédiats. Ils sont plutôt intéressés par les renseignements secrets.

De nombreux pays possèdent ou financent ce type de groupes. La plupart de ceux qui ont été identifiés viennent de Russie, de Chine et de Corée du Nord, mais les pays occidentaux possèdent leurs propres groupes et collectent aussi des renseignements sur leurs adversaires.

Part summary

À l’issue du chapitre 3, vous devriez être en mesure :

  • De comprendre l’importance de garder vos communications confidentielles.

  • De présenter des méthodes pour assurer la confidentialité de différents types de communications.

  • D’expliquer ce qu’est le chiffrement et de savoir comment vérifier si une communication est bien chiffrée.

You reached the end of Chapter 3

Correct answers

0%

Exercises completed

0/0

Next Chapter
4. Les réseaux et le matériel informatique

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Ce cours a été créé avec le projet Digital SkillUp, nom sous lequel sont désignées les productions conçues dans le cadre du projet European Digital Academy financé par la Commission européenne et soutenu par le Parlement européen. Le projet consiste à rendre disponibles et accessibles des connaissances de base sur les nouvelles technologies à tous les citoyens et toutes les PME d’Europe. Il vise à créer un espace de formation en ligne offrant à tous des ressources et des offres d’apprentissage sur des sujets comme l’IA, les chaînes de blocs (ou blockchain), la robotique, la cybersécurité et l’IdO.

Ce projet est financé par l’Union européenne. Le contenu reflète uniquement les points de vue de ses auteurs. Il ne reflète pas nécessairement l’opinion de la Commission qui décline toute responsabilité de l’usage qui pourrait être fait des informations s’y trouvant.