5 Phases d’une cyber attaque
Qu’arrive-t-il à chaque phase de la cyber attaque ?
La cyber sécurité commence par la compréhension des risques et des menaces. Vous devez comprendre vos adversaires, leurs objectifs et savoir comment ils mènent leurs attaques.
Phase 1 : Collecte d’informations (Reconnaissance)
Le premier objectif du pirate est d’identifier des cibles potentielles permettant d’accéder à des informations sensibles ou de porter atteinte à votre activité.
La reconnaissance a pour but récolter des informations brutes sur sa cible, que soit une société ou une personne. Pour ensuite constituer un inventaire de renseignements essentielles à la préparation de la cyber attaque.
Cette récolte d’informations peut être totalement passive, donc sans interroger directement le système ciblé. Pour cela, le pirate va s’appuyer sur des moteurs de recherches, des bases de données, des noms de domaine, des réseaux sociaux, pour collecter des informations personnelles, par exemple, sur les partenaires, les projets en cours et les employés de l’entreprise visée, leurs numéros de portable, leurs adresses mail, voir même leurs loisirs dans le but de mettre en place une ingénierie sociale efficace etc.
La reconnaissance peut être aussi active, elle sera dans ce cas moins discrète et un peu bruyante, car elle va employer des outils spécifiques directement sur le système qui peuvent déjà révéler ou alerter la présence d’une attaque à ce stade.
La reconnaissance active permet l’énumération des services, des adresses IP utilisés par les ordinateurs de la société, mais elle sert aussi à identifier et connaitre les systèmes d’exploitation, les applications, mais aussi la version des logiciels, tout cela permettra de mieux comprendre et cartographier le réseau du système d’information de la cible, cette phase est jugée cruciale pour la réussite de l’intrusion.
Phase 2 : Identification des vulnérabilités (Scanning)
Une Vulnérabilité est une faille, une faiblesse, dans un système qui, si elle est exploitée, peut mener à compromettre le système en termes de confidentialité, d’intégrité et de disponibilité.
Maintenant que l’infrastructure du système d’information de la cible cartographiée et un maximum de renseignements collectés, le pirate va essayer d’en analyser les vulnérabilités potentielles existantes, et la probabilité de réussite de l’attaque, en les exploitant.
La faille peut être technique, ou non-technique. Par exemple, cela peut être une mauvaise configuration d’un serveur, des droits d’utilisateur trop permissifs, ou des mots de passe trop faibles. Une faille peut être inhérente à un système d’exploitation, par exemple, un système qui ne serait plus supporté et donc plus mis à jour, c’est le cas, par exemple, de Windows XP, ou de Windows 7 à partir de 2020. Cela peut être aussi un OS supporté, mais sur lequel l’administrateur, ou l’utilisateur, ne procède pas aux mises à jour.
La faille peut aussi porter sur l’application ou le service qui permet de faire fonctionner cette application. Par exemple, une application web peut contenir une faille permettant de contourner une authentification, c’est ici, du coup, la responsabilité du développeur qui est engagée.
Mais la faille peut se trouver aussi directement sur le service en lui-même, ou le protocole réseau supportant l’application. On peut citer un exemple, celui du service HTTPS, où l’utilisation du protocole de chiffrement repose sur un algorithme qui peut être craqué, ou qui peut être réputé non fiable. Les données sont cryptées, mais pas suffisamment pour qu’on ne puisse pas les décrypter, si on les intercepte.
Phase 3 : Intrusion (Exploitation)
Lors de la seconde phase d’attaque, le pirate cherche à s’introduire dans le périmètre informatique de votre entreprise et à s’établir durablement sur le réseau.
Maintenant que le pirate a identifié les failles sur le système, il passera à l’exploitation, c’est-à-dire l’intrusion à proprement parler.
L’exploitation de la faille va permettre l’intrusion à l’intérieur du système identifié comme vulnérable.
Le mode opératoire employé peut être par injection de code malveillant au sein d’une application ou d’un système d’exploitation. Le mode opératoire n’est pas forcément technique mais peut être mener par ingénierie sociale en passant par le vecteur humain. Il aura peut-être recours au phishing pour obtenir des identifiants permettant d’accéder à l’infrastructure de l’entreprise. Sa présence sera alors intraçable.
Phase 4 : Maintien de l’intrusion
Renforcement des accès et mouvements latéraux
Une fois la phase d’intrusion achevée avec succès, le pirate essayera de maintenir l’intrusion par le renforcement des accès au système:
- Mise en place d’une porte dérobée « Backdoor »
- Elévation des privilèges
- Mouvement latéral
Le pirate va donc établir une connexion permanente au réseau interne en installant une porte dérobée « Backdoor ».
Le pirate cherche aussi à identifier et à obtenir le niveau de privilège administrateur nécessaire à l’accomplissement de ses objectifs. Il dispose des canaux d’accès et identifiants acquis durant les phases précédentes.
Il cherche aussi à rebondir en mouvement latéral d’un système à un autre pour infecter davantage de systèmes, davantage de comptes utilisateurs. Son but est de s’ancrer davantage et d’identifier les systèmes hébergeant les données convoitées.
Phase 5 : Exfiltration de données
L’exfiltration de données compte de nombreuses appellations, telles que « fuite de données », « perte de données » ou encore « vol de données »
Maintenant que le pirate a trouvé les données recherchées (accès bancaires, secret industriel, plan, projet, données clients, sauvegarde disque dur, …), il va procéder à l’opération d’exfiltration.
L’objectif d’une cyberattaque n’est pas toujours forcément le vol de données, cela peut être pour la simple raison de vous nuire par :
- Le chantage : prendre vos données en otage ;
- La vente de vos données au marché noir ou à vos concurrents ;
- Détruire votre réputation et votre image de marque ;
- Le sabotage de tous vos données pour vous mettre à la pension en déclarant faillite.
Vocabulaire :
Une vulnérabilité : correspond dans le logiciel ou la configuration du système à une faiblesse que nous pouvons exploiter. Elles sont souvent liées à des correctifs non appliqués (patchs).
Un Exploit: le moyen par lequel un attaquant profite d’un défaut dans un système, une application ou un service (buffer overflow, injection SQL, les erreurs de configuration)
L’exploitation : consiste à obtenir un contrôle sur un système. L’objectif sera toujours le même, disposer d’un accès de niveau administrateur.
Payload : un code exécuté par le système cible (victime)
Shellcode : une suite d’instructions programmées dans un Payload
Un Shell distant : permet au hacker d’obtenir un contrôle total de l’ordinateur distant comme s’il était assis devant lui. Cela lui permet de copier, modifier et de supprimer des documents et fichiers, d’installer de nouveaux logiciels, de modifier ou de désactiver des logiciels de protection, comme l’IDS (système de détection d’intrusion) et l’antivirus, d’installer des enregistreurs de frappe (Keyloggers) ou de portes dérobées (Backdoors), et d’utiliser l’ordinateur compromis pour attaquer d’autres machines (Pivot).