Cyber-attaques

2 Apr 2020

Nous détaillons quelques types de cyber-attaques et des exemples (réussis). Si vous tapez dans votre moteur de recherche “cyberattaque” vous serez consterné par la quantité impressionante d’attaque cybernétique réussie au quotidien et surtout de la quantité de données qui sont ainsi “volées” !

Ingénierie Sociale

Pourquoi s’embêter puisqu’on peut demander ?

D’après Wikipédia, l’ingénierie sociale peut se définir ainsi :

Une pratique de manipulation psychologique à des fins d’escroquerie [qui] exploite les faiblesses psychologiques, sociales et plus largement organisationnelles des individus ou organisations pour obtenir quelque chose frauduleusement (un bien, un service, un virement bancaire, un accès physique ou informatique, la divulgation d’informations confidentielles, etc.). En utilisant ses connaissances, son charisme, son sens de l’imposture ou son culot, l’attaquant cherche à abuser de la confiance, de l’ignorance et de la crédulité de sa cible pour obtenir ce qu’il souhaite.

Tout le monde a été la cible d’une telle attauque, les plus connues sont la Fraude 4-1-9 (aussi connue sous le nom d'“arnaque nigérianne”) et le phishing. Une autre forme courante, Business Email Compromised, vise notre vie professionnelle.

Contrairement à ce que l’on peut croire, l’ingénierie sociale fonctionne encore à plein régime, par exemple, le FBI estime que le “Business Email Compromised” a amené à 5 Milliards de dollars de perte sur la période 2013 à 2017, tandis que les “Yahoo Boys”, surnom donnés aux arnaqueurs à la fraude 4-1-9, seraient encore 5 Millions en activité (2018) avec des conséquences pouvant aller jusqu’au décès (au moins 4 recensés).

Attaquer le service (tiers)

Obtenir un mot de passe c’est bien. Obtenir tous les mots de passe, c’est mieux !

Plutôt que de perdre du temps à attaquer une unique personne dans le but de lui soutirer son login et mot de passe, la cible prioritaire des pirates semblent s’être tourné vers les services tiers, c’est à dire tous les sites et applications web disposant d’une base de données comportant des couples login/mot de passes mais aussi des données personnelles : banquaires, identités, adresses, …

Concernant les couples login/mdp (mot de passe), l’intérêt majeur est que la majorité des internautes utilisent les mêmes login/mdp sur tous les autres services (achat, banque, impots, …) !

Voici un tableau avec quelques attaques réussies. Il ne s’agit réellement que d’un aperçu ! À noter que pour Marriott, des données bancaires ont aussi été volées, pour Yahoo!, la gestion de la crise a clairement manqué de transparence (le chiffre final n’est connu que 4 ans après !), tandis qu’Uber avait tenté d’étouffer l’affaire…

Nom # Données Année Source
Dockerhub 190 000 2019 NextInpact, 29/04/2019
L’Express 700 000 2018 ZDNet, 01/03/2018
Uber 57 Millions 2017 Numerama, 22/11/2017
Facebook 87 Millions 2014 NextInpact, 05/04/2018
Marriott 500 Millions 2018 NextInpact, 03/12/2018
Yahoo! 3 Milliards 2013 NextInpact, 04/10/2017

Ce qu’il faut retenir :

  • Tous les services se feront pirater avec succès
  • Un bon service n’est pas un service qui ne se fait pas pirater (ça n’existe pas) mais un service qui communique sur ses attaques subies
  • Certains de vos identifiants ont certainement déjà été volés
  • Un vrai bon service ne stockera jamais vos mots de passe en clair…

(D)DoS : (Distributed) Deny of Service

Rendre un service indisponible par un afflux (trop) conséquent de requêtes

  • Conséquence : Service ou infrastructure inutilisable
  • Exemple : Attaque Massive contre l’Estonie en 2007 (du 26 avril au 18 mai) (source : NextInpact)
Illustration d'une attaque (D)DoS. Image Wikipédia
Illustration d’une attaque (D)DoS. Image Wikipédia

Ransomware

Virus Cyber-Braqueur : Chiffrement du disque dur + Demande de ranson

Ce type d’attaque est probablement une des pire : après avoir téléchargé un fichier vérolé, le disque dur de la victime est entièrement chiffré. Une demande de rançon, souvent de l’ordre d’une centaine d’euros, de la part du pirate est pour pouvoir déchiffrer le disque dur. Il n’y a aucun moyen de déchiffrer le disque dur sans cette clé, autrement dit : tout est perdu ! La seule manière de s’en prémunir est la prévention : sauvegarder les données sur un disque séparé de l’ordinateur vérolé.

Ce qu’il faut également bien prendre en compte, c’est que n’importe qui, n’importe quel script kiddie, peut lancer une telle attaque : les outils de piratage sont disponibles pour un prix très faible sur le marché noir d’internet et sont très faciles d’utilisation !

Voici quelques exemples d’attaques par ransomware qui ont été un “succès”. En France, on considère qu’une PME sur deux en a fait les frais à un moment ou un autre. Sarrebourg s’en est plutôt bien tirée car elle avait pris les devants (sauvegarde).

Nom Victime (ex) Perte / Dégât Source
Phobos Sarrebourg Paralysie BFM, 14/06/2019
RobinHood Baltimore 18M$ (ville paralysée 1 mois) Ars Technica, 06/05/2019
Wannacry 300k ordi 150 Pays (Vraiment) Beaucoup Wikipédia
NotPetya Maersk >200M$ (cf video)

Lors du World Economic Forum en 2017, le PDG de Maersk a discuté ouvertement de cette attaque massive qu’a subit l’entreprise :

It’s time to stop being naive when it comes to cybersecurity. I think many companies will be caught if they are naive. Even size does not help you.

Qui sont les “Pirates” ?

Ils peuvent prendre plusieurs formes, mais ce qu’il faut retenir, est que n’importe qui peut se transformer en “méchant pirate”, comme en témoigne l’attaque réussie sur des politiques et journalistes en Allemagne, dont l’auteur était en fait un homme de 20 ans, seul).

  • Un Individu : Expert, Script Kiddie, …
  • Groupe / Mafia : Anonymous, Shadow Brokers, …
  • Un État (cyber-guerre) : Stuxnet (US + Israël vs. Iran) (Numérama, 07/12/2018), …

Nous pourrions aussi rajouter dans le 3e point, la cyber-guerre de la désinformation.

Pourquoi moi ?

Je ne pas une personnalité publique, qui cela intéresserait d’avoir mes données personnelles ?

Quelqu’un qui veut commettre un délis (et se cacher derrière vous)

Que peut faire un méchant avec mes données personnelles ?

Au hasard, usurpation d’identité :

  • Demande de crédit (et ne pas le rembourser)
  • Nuire à votre réputation ou à celle de votre employeur
  • Inversement de la charge : à vous de prouver que ce n’est pas vous

Que vaut mon identité numérique sur le marché noir ? (spoiler : pas grand chose)

  • Identifiant/Mdp : quelques dollars
  • Données de santé : ~50$
  • Passeport US : ~70$

Conclusion

  • Les cyberattaques sont:
    • Quotidiennes et Massives (≃3000 à 18000 / jour)
    • Tous les services sont attaquées, souvent avec succès
    • Quantité de données ≃ Millions voire Milliards
  • Corollaire : Mes Données…
    • …ont été attaquées (directement ou indirectement)…
    • …sont probablement déjà fuitées…
    • …et/ou le seront bientôt (Have I been pwned?)
  • Les risques pour moi sont :
    • Usurpation d’identité : Crédit / Emprunt, Atteinte à la réputation, …
    • Pertes de données : Ransomware, …
    • Dévoiler des informations privées sensibles

Un brin d’humour …

Voici à quoi ne ressemble pas une cyber-attaque :

Edit this page