5 Phases d’une cyber attaque
Que se passe-t-il à chaque phase d’une cyberattaque ?
La cybersécurité commence par la compréhension des risques et des menaces. Il est essentiel de connaître vos adversaires, leurs objectifs, et leurs méthodes d’attaque pour mieux vous protéger.
Phase 1 : Collecte d’informations (Reconnaissance)
L’objectif principal du pirate est d’identifier des cibles potentielles qui lui permettront d’accéder à des informations sensibles ou de nuire à votre activité.
La phase de reconnaissance vise à recueillir des informations brutes sur une cible, qu’il s’agisse d’une entreprise ou d’une personne, pour constituer un inventaire essentiel à la préparation d’une cyberattaque.
La collecte passive ne sollicite pas directement le système cible et s’appuie sur des moteurs de recherche, des bases de données, des réseaux sociaux, pour obtenir des informations sur les partenaires, projets en cours, employés, etc. En revanche, la reconnaissance active, plus intrusive, utilise des outils spécifiques pour identifier les services, adresses IP, systèmes d’exploitation, et versions logicielles. Cette étape cruciale permet de cartographier le réseau du système d’information et de maximiser les chances de réussite de l’intrusion.
Phase 2 : Identification des vulnérabilités (Scanning)
Une vulnérabilité est une faille ou une faiblesse dans un système qui, si elle est exploitée, peut compromettre la confidentialité, l’intégrité ou la disponibilité des données. Ces failles offrent aux attaquants une porte d’entrée pour accéder à des informations sensibles ou perturber le fonctionnement du système.
Une fois l’infrastructure du système d’information cartographiée et un maximum de renseignements recueillis, le pirate va analyser les vulnérabilités existantes pour évaluer la probabilité de réussite de son attaque. Les failles peuvent être techniques ou non. Par exemple, une mauvaise configuration d’un serveur, des droits d’utilisateur trop permissifs, ou des mots de passe faibles. Certaines failles proviennent de systèmes d’exploitation obsolètes, comme Windows XP ou Windows 7 après 2020, ou encore des systèmes non mis à jour par les administrateurs ou utilisateurs.
Les vulnérabilités peuvent aussi affecter les applications ou services qui les supportent. Par exemple, une application web pourrait contenir une faille permettant de contourner l’authentification, engageant ainsi la responsabilité du développeur. De plus, la faille peut résider dans le service ou le protocole réseau utilisé. Par exemple, dans le cas du HTTPS, si l’algorithme de chiffrement est faible ou obsolète, les données cryptées peuvent être interceptées et décryptées.
Phase 3 : Intrusion (Exploitation)
Dans la deuxième phase d’une attaque, le pirate cherche à pénétrer le réseau de l’entreprise et à s’y implanter durablement. Une fois les failles identifiées, il passe à l’exploitation, c’est-à-dire l’intrusion proprement dite.
Cette intrusion peut se faire via l’injection de code malveillant dans une application ou un système, mais aussi par l’ingénierie sociale, en exploitant le facteur humain, par exemple via du phishing pour obtenir des identifiants. Cela lui permet de rester indétectable tout en poursuivant ses actions malveillantes.
Phase 4 : Maintien de l’intrusion
Renforcement des accès et mouvements latéraux
Une fois la phase d’intrusion réussie, le pirate va chercher à renforcer son accès au système pour maintenir son contrôle. Cela passe par plusieurs étapes :
- Mise en place d’une backdoor : Le pirate installe une porte dérobée qui lui permet d’établir une connexion permanente et discrète au réseau interne de l’entreprise.
- Élévation des privilèges : Il va ensuite tenter d’obtenir les droits administratifs nécessaires pour élargir ses capacités d’action. Grâce aux canaux d’accès et aux identifiants obtenus lors des phases précédentes, il pourra déverrouiller des niveaux de contrôle plus élevés.
- Mouvement latéral : Une fois bien implanté, le pirate va commencer à se déplacer d’un système à un autre au sein du réseau. Ce mouvement latéral lui permet d’infecter plus de systèmes et de comptes utilisateurs. En infectant progressivement d’autres machines, il s’ancre davantage dans l’infrastructure, et il peut cibler spécifiquement les systèmes qui hébergent les données les plus sensibles et les plus précieuses pour ses objectifs.
Ainsi, en renforçant continuellement son accès, le pirate devient capable de maintenir une présence indétectée tout en préparant des actions plus destructrices ou en volant des informations critiques.
Phase 5 : Exfiltration de données
L’exfiltration de données, également appelée ‘fuite de données’, ‘perte de données’ ou encore ‘vol de données’, fait référence à la sortie non autorisée d’informations sensibles d’une organisation.
Ce processus peut être intentionnel, dans le cadre d’une cyberattaque, ou accidentel, suite à une mauvaise manipulation ou une faille de sécurité. Quel que soit le terme utilisé, l’exfiltration compromet la confidentialité et l’intégrité des données, et peut entraîner des pertes importantes pour l’entreprise.
Une fois que le pirate a localisé les données recherchées (accès bancaires, secrets industriels, projets, données clients, sauvegardes, etc.), il entame l’exfiltration. L’objectif d’une cyberattaque ne se limite pas toujours au vol de données ; elle peut viser à vous nuire de différentes manières :
- Chantage : prendre vos données en otage.
- Vente : revendre vos données sur le marché noir ou à vos concurrents.
- Destruction de réputation : ternir votre image de marque.
- Sabotage : effacer vos données, vous poussant à la faillite.
Vocabulaire :
Une vulnérabilité est une faiblesse dans un logiciel ou la configuration d’un système, souvent causée par des patchs non appliqués.
Un Exploit est le moyen par lequel un attaquant tire parti d’une faille dans un système, une application ou un service (ex. : buffer overflow, injection SQL, erreurs de configuration).
L’exploitation vise à obtenir le contrôle du système, souvent avec des privilèges administrateur.
Payload est un code exécuté par la machine cible.
Shellcode est une série d’instructions dans le payload.
Un Shell distant permet au hacker de prendre le contrôle à distance de l’ordinateur compromis, de modifier des fichiers, d’installer des logiciels malveillants, et d’utiliser la machine pour lancer des attaques contre d’autres systèmes.