Cyberattaques: des modes opératoires multiples

De l'hameçonnage aux intrusions via un support externe comme une clé USB, les modes opératoires pour pénétrer frauduleusement dans un système d'informations sont multiples et les cibles variées, comme le montrent le vol de données au sein de Yahoo! et le piratage de l'entourage d'Hillary Clinton.

Le pirate se donne pour mission d'entrer dans un système d'information afin d'en prendre le contrôle, d'espionner les pratiques ou encore de s'emparer de données.

«Le schéma le plus classique, historique, c'était de cibler les serveurs, mais comme ils sont très surveillés aujourd'hui, la menace s'est déplacée sur les postes de travail», explique Thierry Karsenti, directeur technique pour l'Europe de l'éditeur israélien de logiciels Check Point.

Une fois dans un ordinateur, l'attaquant va se déplacer de poste en poste à l'intérieur du système d'information pour accéder au serveur et aux informations qu'il convoite.

Le pirater peut s'appuyer sur différents modes opératoires pour trouver une première porte d'entrée, parmi lesquels:

- mettre en place une campagne d'hameçonnage: le «phishing» est l'une des méthodes les plus courantes, qui s'appuie sur l'action de l'utilisateur. Il s'agit de l'envoi d'un courriel avec un lien ou une pièce jointe portant un logiciel espion. Dans certains cas, «les pirates vont être très créatifs, ils vont envoyer un courriel qui met en confiance l'utilisateur pour le pousser à ouvrir la pièce jointe ou à cliquer sur lien», précise Tanguy de Coatpont, directeur général de Kaspersky France.

Ce système a donné naissance au «ransomware», phénomène qui a explosé cette année. Ces virus cachés empêchent l'utilisateur d'avoir accès à ses fichiers tant qu'il ne paye pas une rançon.

- exploiter une faille «zéro-day»: les pirates cherchent à exploiter ces failles de sécurité qui ne sont pas encore connues par les éditeurs de logiciel ou de système d'exploitation. Après en avoir découvert une ou acheté les informations en concernant une, ils développent un logiciel malveillant qui va profiter de cette faille pour entrer dans un système au moment où le programme est utilisé. Par exemple, un utilisateur peut être infecté via son navigateur lorsqu'il se rend sur internet.

- bénéficier d'une complicité interne: «une personne va expliquer aux pirates comment le réseau est construit, quel type de logiciel de chiffrement est utilisé, quels certificats», décrit M. de Coatpont.

L'aide peut être volontaire ou contrainte: après un profilage, les pirates vont déterminer qui est susceptible d'accepter de participer à l'attaque ou d'être forcé à le faire. Ces informations vont aider les pirates à entrer de façon très discrète dans le système. Ils pourront notamment s'authentifier à l'aide des données fournies par le complice ou créer des comptes autorisés à accéder à des parties sensibles du réseau.

- transmettre une infection par un support externe: les supports tels que les clés USB ou les disques durs externes peuvent être des vecteurs d'infection. Ils permettent d'attaquer en particulier des systèmes informatiques qui ne sont pas reliés à internet, en exécutant un programme malveillant au moment où ils sont branchés sur un ordinateur du système ciblé.