Cyber sécurité: Les différentes étapes d'une attaque informatique

Cyber sécurité: Les différentes étapes d'une attaque informatique

Selon les experts en cyber sécurité, les pertes financières engendrées par les attaques informatiques atteindront plus de 6 milliards de dollars en 2021. Nos entreprises sont-elles préparées à faire face à cette menace ?

Au vu de sa criticité, et de la multiplication des incidents y relatifs, en tant que contrôleur interne, nous avons entrepris de suivre une formation en cyber sécurité et partager progressivement notre évolution afin que les uns et les autres puissent se faire une idée sur le sujet.

Aujourd’hui, nous allons commencer par présenter les différentes étapes d’un cyber attaque.

Une attaque informatique se déroule généralement en cinq étapes :

  •  Récolte des informations sur la cible ;
  • Identification des vulnérabilités / failles et probabilité de réussite de l’attaque ;
  • Exploitation des failles pour s’introduire dans le système concerné ou pour récolter les informations ;
  • Maintien de l’intrusion (mise en place d’un moyen facile pour se reconnecter au système) ;
  • Effacement des traces laissés par le pirate sur le système pour qu’on ne remonte jamais à lui.

1.  Récolte des informations sur la cible :

Les informations peuvent être techniques ou sociales :

  •  Informations techniques : adresses IP des serveurs accessibles de l’extérieur (serveur web, serveur mail), identifier les services disponibles sur ces serveurs pour à la fin dresser une cartographie dd système d’informations ;
  •  Informations sociales (ingénierie sociale) : cartographier les employés de la société, prestataires, services… pour une ingénierie sociale efficace.

Il faut noter qu’il est également possible d’obtenir les informations techniques à partir du social engineering ou ingénierie sociale.

La Récolte d’Informations peut être active ou passive :

Passive => C’est à dire sans interroger directement le système ciblé. Cette méthode est très discrète. Exemple : moteurs de recherche, bases de données, réseaux sociaux (informations personnelles des employés), noms de domaines…

 Active  => il est nécessaire au pirate ici de lancer les outils spécifiques directement sur la cible ou le système visé. Mais c’est moins discret et l’attaque peut déjà être détectée à ce stade. Exemple : Malwares

Une fois le maximum d’informations collectées sur l’infrastructure ciblée, le pirate va essayer de les étudier pour identifier les vulnérabilités éventuelles et la probabilité de réussite éventuelle de l’attaque.

2.  Identification des vulnérabilités / failles et probabilité de réussite de l’attaque ;

Cette phase est essentielle pour la DSI dans le cadre d’une étude des risques à effectuer en amont pour être protégé.

Une Vulnérabilité est une faille, une faiblesse dans un système qui si exploitée, peut amener à compromettre le système en terme de confidentialité, d’intégrité et de disponibilité. La vulnérabilité / faille peut être technique ou non technique.

Par exemple une vulnérabilité / faille peut être :

  • Une mauvaise configuration de serveur (technique) ;
  • Des droits d’utilisateur trop permissifs ;
  • Des mots de passes faibles (non technique).
  • Une faille peut être Inhérente à un système d’exploitation : des Système qui ne sont plus supporté et non mis à jour. Exple: Windows XP, Windows seven ;
  • OS supporté mais non mis à jour par l’administrateur ou l’utilisateur ;

Une faille peut également être Inhérente à l’application ou son service support :

La faille peut ici être contenue dans l’application ou le service qui permet de faire fonctionner l’application. Par exemple une application web peut contenir une faille qui permet de contourner l’authentification. Dès lors c’est la responsabilité du développeur qui est directement engagée.

La faille peut se trouver sur le service lui-même ou le protocole réseau supportant l’application. Par exemple le service https où l’utilisation du protocole de chiffrement repose sur un algorithme qui peut être craqué ou qui peut être réputé non fiable. Les données sont cryptées mais pas suffisamment pour qu’on ne puisse pas les décrypter si on les intercepte.

Ces deux failles sont essentielles car elles conditionnent les politiques de sécurité ainsi que les mesure à mettre en place pour éviter ces intrusions.

3.  Exploitation des failles pour s’introduire dans le système concerné ;

A cette étape, le système identifié comme vulnérable est attaqué. L’attaque peut se faire par l’injection de code malveillant au sein de l’application ou du système d’exploitation et au final une contamination du système par un malware.

Le pirate peut aussi viser la disponibilité du système. On parlera alors d’attaque par déni de service (DDOS).

L’attaque peut aussi ne pas être caractérisée par une intrusion, mais plutôt un vol d’information récoltées par ingénierie sociale ou techniquement dans une base de donnée vulnérable ; on parle alors de « leak » ; ça peut être un vol de fichier par exemple.

 4.  Maintien de l’intrusion

 Une fois introduit, le pirate hacker va vouloir mettre en place des accès pour se reconnecter plus facilement plus tard lors d’une prochaine attaque. Généralement il le fait en trois étapes :

  • Mise en place d’une porte dérobée ;
  • Elévation des privilèges ;
  • Déplacement horizontal.

Il va mettre en place si possible ce qu’on appelle une porte dérobée ou backdoor…, C’est-à-dire un malware qui s’exécute automatiquement à chaque démarrage.

Cette porte doit être la plus discrète possible, et elle doit s’intégrer au maximum au cœur du noyau du système. On parle dans ce cas de « rootkit ». Le rootkit est même capable de se placer entre l’OS et le matériel.

Parallèlement, le pirate pourra avoir besoin d’élever ses privilèges sur le système introduit, et tentera de découvrir d’autres failles sur le système qui lui permettront d’avoir tous les droits, de ne plus être limité et faire ce qu’il veut.

Enfin, l’hacker pourra s’introduire sur d’autres systèmes du réseau sur lequel se trouve la machine piratée, à partir de celle-ci, en ayant beaucoup plus de facilité que dans la situation initiale où il se connecte obligatoirement à partir de l’extérieur

 5.  Effacement des traces

 L’effacement des traces est la dernière étape d’un piratage. Elle consiste à effacer toute trace de l’attaque ou de l’intrusion. Cela permettra au mieux que l’attaque passe complètement inaperçue et ne puisse jamais être découverte, et au pire qu’on ne puisse jamais remonter au hacker suite à une expertise du système piraté. Elle se fait généralement en trois étapes :

  • Effacement des fichiers journaux ;
  • Falsification des fichiers journaux ;
  • Anonymisation en amont.

Comment ?

L’hacker va s’intéresser particulièrement à ce qu’on appelle « logs », les journaux d’évènement du système attaqué. Il correspond à un fichier texte répertoriant et historisant tous les évènements qui ont lieu sur un système.

Il va pouvoir effacer s’il a accès, leur contenu ou aller un peu plus loin en falsifiant ces logs pour brouiller les pistes et orienter les experts techniques vers de fausses pistes.

Cela dit, avant d’agir, l’hacker aura sans doute pensé au moyen d’être le plus anonyme possible afin de ne pas se faire remonter au cas où il ne peut pas effacer ces traces-là.

 

6.   Conclusion :

Une cyberattaque ne se limite pas à l’intrusion mais ce qui se passe avant et après. Elle repose essentiellement sur la recherche de vulnérabilités.

Si vous êtes en charge de la sécurité de votre entreprise, La connaissance de ses forces et faiblesses et vulnérabilités est essentielle pour empêcher ses intrusions. Cela va passer par une analyse des risques et vulnérabilités au même titre que l’attaque effectuée par le pirate à l’intrusion.

Connaitre ses faiblesses permet de les corriger et empêcher les intrusions.

  Nous poursuivons notre formation et prochainement, nous verrons les différentes méthodes d’évaluation des vulnérabilités.

Identifiez-vous pour afficher ou ajouter un commentaire

Autres pages consultées

Explorer les sujets