Les différents types de cyberattaques
Les attaques par ingénierie sociale (la faille humaine)
Bien que toutes les cyberattaques reposent, par définition, sur une capacité de nuisance technique, un certain nombre d’attaques misent sur une défaillance de la vigilance humaine. Un particulier qui ouvre par mégarde un mail frauduleux, un employé qui télécharge sans le vouloir une pièce jointe infectée : en quelques secondes, un foyer ou une entreprise peut être compromis.
Le hameçonnage ou phishing
Le phishing reste encore l’un des vecteurs initiaux les plus courants dans les cyberattaques, que ce soit dans le monde de l’entreprise ou auprès des particuliers. En 2020, le phishing constituait le vecteur d’attaque initial dans 73 % des cas pour les entreprises ayant été victimes de cyberattaques, selon le baromètre du CESIN (Club des experts de la sécurité de l’information et du numérique). Au total, ce type d’attaque a augmenté de 255 % sur la seule année 2020 !
L’attaque par hameçonnage correspond à l’envoi d’un e-mail contenant une pièce jointe ou un lien cliquable frauduleux. L’astuce consiste à donner à cet e-mail toutes les apparences d’un message fiable et authentique. La pièce jointe ou le lien ont pour but principal de collecter des données sensibles, d’inciter la personne réceptrice du message à télécharger un logiciel malveillant sur son ordinateur ou de la conduire à effectuer une autre action qui sera bénéfique aux cybercriminels.
Le spearphishing
Le hameçonnage peut souvent rimer avec un envoi groupé et grossier. Lorsque les cyberattaquants mènent un travail de préparation plus poussé, dont le but est d’obtenir un e-mail plus difficile à identifier comme frauduleux, l’attaque prend le nom de spearphishing. Le message est davantage personnalisé et dissémine des références personnelles afin de tromper le destinataire : les chances de réussite de l’attaque sont plus grandes.
L’usurpation de compte
Un attaquant a pu accéder au compte d’un utilisateur cible après avoir préalablement obtenu ses identifiants. La récupération de ses identifiants a pu se faire en amont par du phishing, du bruteforce de compte, du social engineering (en se faisant par exemple passer pour l’un de ses proches) ou encore, ils ont pu être achetés directement sur des forums spécialisés sur le darkweb (dataleaks contenant des credentials obtenus par des dumps de bases de données ou des “infostealers”).
Le piratage de compte
C’est le degré inférieur de l’appropriation de compte. Les hackers se contentent ici de cracker le mot de passe d’un compte de messagerie, d’un accès à un compte bancaire ou du compte administrateur du site d’une entreprise. Les répercussions sont potentiellement lourdes.
La fraude au président ou Faux Ordre de Virement (FOVI)
La fraude au président consiste à se faire passer pour le président d’une société, dans le but d’obtenir un virement bancaire auprès de cette dernière ou d’autres informations. Le lien peut aussi bien être établi par e-mail que par téléphone, en insistant sur la nécessité de procéder au virement sous les plus brefs délais et en maintenant l’opération confidentielle. Le Faux Ordre de Virement est toujours lié à un virement international. Attaque de social engineering par excellence, elle a été démocratisée par Gilbert Chikli en 200. En 2020, l’arnaque au président – autre nom donné à la FOVI – a représenté 38 % des cyberattaques signalées par les entreprises françaises, selon le baromètre de l’ANSSI. L’IA accentue ce risque, notamment via les deepfake (voir l’article de BFM à ce sujet).
Les attaques par logiciel malveillant
Ils sont souvent indissociables de l’exploitation d’une faille humaine et sont au cœur d’attaques comme le hameçonnage : les logiciels malveillants peuvent se cacher dans une pièce jointe, sur la page d’un site web, derrière un programme ou un lien cliquable. Ils sont une arme de premier plan dans les opérations de cyberattaque.
Le rançongiciel
Il est, avec le hameçonnage, l’une des techniques les plus couramment rencontrées lorsqu’il est question de cybercriminalité : le rançongiciel ou ransomware. Les signalements par des entreprises françaises ont été multipliés par 4 sur la seule année 2020 et la montée en puissance de cette cyberattaque ne semble pas pouvoir être freinée de si tôt : en 2021, 35 nouveaux groupes de cybcerciminels spécialisés dans le rançongiciel ont été répertoriés.
Le principe du rançongiciel est simple. Les hackers s’introduisent dans un équipement informatique par le biais d’un simple e-mail contenant, le plus souvent, une pièce jointe infectée : on retrouve le piège du phishing. Après téléchargement de la pièce jointe, l’ordinateur ayant servi de point d’entrée ne répond plus.
Un message de demande de rançon tourne en boucle sur tous les ordinateurs : pour reprendre la main sur ses appareils et récupérer ses données, la victime est invitée à payer une rançon. En échange, les hackers promettent de livrer la clé de déchiffrement ou le mot de passe qui permettront de débloquer les machines infectées. Dans les faits, de nombreuses rançons sont payées. Le paiement de la rançon a, de fait, tendance à encourager les hackers et à faire de la technique du ransomware une cyberattaque fructueuse, donc dangereuse.
La désactivation des outils de sécurité via un Cheval de Troie
Le Cheval de Troie est un programme malveillant caché dans un programme d’apparence inoffensive, qui fait partie de l’outillage informatique choisi par l’utilisateur lui-même. Ce sont précisément les outils de sécurité qui sont, la plupart du temps, choisis pour dissimuler un Cheval de Troie. En 2019, des hackers ont mené une attaque de ce genre contre les fonctionnalités de protection en temps réel de Windows Defender. Le Cheval de Troie, baptisé Novter, procédait de manière classique en téléchargeant de logiciels malveillants supplémentaires sur le système déjà infecté.
Dans certains cas, les attaquants se contentent d’empêcher l’exécution de programmes spécifiques en ajoutant des certificats, dont le rôle est d’inscrire les programmes de sécurité sur une blacklist pour empêcher le bon fonctionnement de ces outils de protection. Parfois, un port à numéro élevé peut être visé, afin de pouvoir écouter des conversations. De manière générale, le Cheval de Troie sert – comme son nom l’indique parfaitement – à ouvrir des portes d’accès qui permettront aux criminels de nuire.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Les attaques réseau
Elles reposent sur des compétences techniques.
Le déni de service
Le déni de service, également connu sous le terme de DdoS Attack (Distributed Denial of Service Attack) rejoint le palmarès des cyberattaques les plus couramment utilisées contre les entreprises et les services publics. Il s’agit de gêner le bon fonctionnement d’un réseau informatique en bloquant le serveur web, le serveur de fichiers ou les services de messagerie. Toute l’opération consiste à saturer le système ciblé. Pour cela, les hackers s’appuient sur un grand nombre de bots et de robots de relais.
L’attaque par Drive by Download
Il s’agit d’un téléchargement non désiré, réalisé à l’insu de l’utilisateur, il peut se produire lors de la visite d’un site Web, de l’ouverture d’une pièce jointe dans un mail, ou lors d’un clic sur une pop-up sur un site malveillant.
L’attaque de l’homme du milieu (MitM)
L’attaque dite de l’homme du milieu, plus connue sous l’appellation Man-in-the-middle Attack ou sous l’abréviation MitM, consiste à se placer en position d’interception sur le réseau, par exemple un attaquant qui usurperait l’adresse MAC du routeur afin de récupérer les communications. Concrètement, un hacker ou un serveur est positionné entre deux points communicants : un client et un serveur, par exemple.
Différentes méthodes existent pour réussir à se greffer de la sorte sur un chemin de communication. Un attaquant peut ainsi se mettre en écoute sur un service de Wifi public pour collecter des données. Il est également possible de créer un faux réseau Wifi (rogue AP), destiné à tromper les utilisateurs et à faire en sorte qu’ils s’y connectent. Si le Rogue AP se fait passer pour un point d’accès légitime en utilisant un nom et une configuration similaire, on parle alors de “Evil Twin” et dans ce cas précis, les individus pensent se connecter à leur réseau habituel, alors qu’ils se connectent en réalité au réseau de l’attaquant et mettent en danger leurs données.” Enfin, l’attaquant peut usurper le protocole de résolution d’une adresse (ARP spoofing) sur un réseau local pour récupérer les trames réseaux qui transitent alors par lui.
Dans une configuration plus artisanale, exploitant la faille humaine, le cybercriminel peut choisir de récupérer et d’utiliser de vieux e-mails dans le but d’entrer en contact avec un utilisateur et de le tromper sur son identité réelle. L’objectif est de le conduire à transmettre ses accès. C’est la tactique dite du rejeu ou de la relecture.
Le top des attaques cyber
Les 10 types d’attaques les plus courantes
Les études des experts en cybersécurité et des agences de cybersurveillance (ANSSI, Cybermalveillance.gouv.fr, …) permettent d’établir le classement suivant des attaques cyber les plus courantes (période 2019-2021) :
- Le hameçonnage ou phishing
- Le piratage de compte
- L’attaque par ransomware ou rançongiciel
- L’attaque par déni de service (DdoS)
- L’attaque par Drive by Download
- L’attaque de l’homme du milieu
- La fraude au président
- L’attaque par logiciel malveillant
- L’attaque par macro-virus
- L’appropriation de compte
Les attaques les plus connues
Les 3 cyberattaques les plus connues, c’est-à-dire les attaques les plus fréquemment exposées dans les médias et faisant l’objet d’une vigilance accrue de la part des entreprises et des structures publiques sont les suivantes :
- Le ransomware : ce malware ou logiciel malveillant prend en otage les données d’une entreprise, qui se trouvent chiffrées et bloquées. Les hackers promettent la remise d’une clé de déchiffrement ou d’un mot de passe permettant de débloquer le système informatique infecté en échange du paiement d’une rançon.
- Le phishing : cette technique largement répandue du « hameçonnage » vise en règle générale à récupérer des informations personnelles auprès d’une personne donnée. Cela permettra une usurpation d’identité sur un ou plusieurs outils informatiques avec, à la clé, la possibilité de récupération d’autres données sensibles ou de ressources financières.
- Le piratage de compte : Un individu mal intentionné prend le contrôle d’un compte de messagerie, d’un compte bancaire ou d’une page sur un réseau social, par exemple, à l’insu de l’utilisateur légitime. Une fois de plus, cette manipulation peut se traduire par une usurpation d’identité dans le but de capter des données sensibles ou, de manière plus directe, des ressources financières.
Dans la grande Histoire des cyberattaques, quelques cas ont marqué les mémoires :
- En 2017, NOTPETYA innove en combinant un ransomware et un worm (ver), donnant lieu au paiement d’une quarantaine de rançons d’un montant de 300 dollars chacune, payées en bitcoins.
- Le ransomware WannaCry, encore considéré à l’heure actuelle comme le rançongiciel le plus dévastateur, a fait son apparition en mai 2017, touchant à l’époque quelque 300 000 ordinateurs dans 150 pays.
- Environ 3 000 bases de données publiques non sécurisées ont été victimes, en 2020, du virus MEOW : après effacement de leurs données, les structures sont averties de l’attaque par un message reproduisant un chat qui miaule.
Les attaques cyber de 2023
Cybermalveillance.gouv.fr, référence de la lutte contre les actes de cybercriminalité, établit que les attaques cyber les plus fréquentes en 2023 ont été :
- Le piratage de compte (23,5 % des attaques)
- Le hameçonage (21,2 %)
- Le rançongiciel (16,6 %)
Au cours de l’année 2023, les principales menaces qui ont augmenté sur un an sont :
- Les faux ordre de virement (+63 %) ;
- La défiguration du site internet (+61 %)
- Le déni de service (+41 %)
Parmi les grands cas de cyberattaques ayant marqué l’année 2023, on retiendra :
- Le vol de données en septembre 2023 de DarkBeam. L’entreprise américaine a déclaré qu’un piratage informatique avait exposé les données personnelles de plus de 3,8 milliards de personnes..
- En août 2023, Pôle emploi a annoncé avoir été victime d’une cyberattaque. L’attaque a touché un prestataire informatique de l’agence nationale pour l’emploi. Sont concernées : les données de 9,6 millions demandeurs d’emploi inscrits en février 2022.
- En août 2023, la Commission électorale britannique a subi un piratage. Les attaquants ont eu accès aux données de 40 millions de citoyens britanniques.
Les attaques cyber de 2022
Les premiers relevés de cyberattaques par Cybermalveillance.gouv.fr et l’analyse des tendances laisse prévoir que les cyberattaques les plus présentes en 2024 seront :
- Le ransomware : le nombre d’entreprises victimes d’attaques par ransomware se développer. Cela s’explique une exploitation de plus en plus intense du procédé d’attaques « par rebond ». Les hackers mènent une attaque par ransomware auprès d’une première entreprise. En analysant les données sensibles récupérées, ils identifient de nouvelles cibles potentielles, sur lesquelles sont lancées de nouvelles attaques par rançongiciel. C’est le rebond ou supply chain attack” via un partenaire compromis.
- L’appropriation de compte : Les progrès en Intelligence Artificielle permettent le développement de nouveaux bots couplant plus facilement des données utilisateur usurpées et des sites web, liées à des activités commerciales, juridiques ou bancaires le plus souvent. L’usurpation d’identité devrait jouer à plein.
- Le hameçonnage : Cette technique très répandue ne devrait pas connaître de baisse significative.
Les experts prévoient également la multiplication d’attaques inédites. En période de Covid, 35 % des cyberattaques n’avaient jamais été repérées auparavant et le développement technologique exponentiel devrait encore amplifier ce phénomène.
Parmi les attaques de grande ampleur qui avait par exemple marquées l’année 2022, on peut citer :
- La récupération de données industrielles de Samsung grâce à l’exploitation d’une faille de sécurité: cette opération, menée par le groupe Lapsus$, a vu fuiter pas moins de 190 gigaoctets de données sensibles.
- L’attaque ayant entraîné la panne du CHU de Tours: cette tentative d’incursion menée en janvier a mis à l’arrêt les systèmes informatiques du centre hospitalier et a entraîné la suspension du service des urgences pendant une nuit complète.
- En mars, 9 000 personnes ont été privées d’Internet suite à l’attaque du réseau satellitaire Ka-Sat par des pirates russes, peu de temps après l’invasion de l’Ukraine.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
FAQ
Les botnets sont régulièrement utilisés dans les attaques par ransomware : ils permettent aux cybercriminels de prendre le contrôle sur un nombre important d’équipements de manière simultanée afin de lancer des attaques de très grande ampleur. L’utilisation des botnets est aussi très répandue pour conduire des attaques de type DDoS (déni de service).
On fait la distinction entre deux grandes catégories de rançongiciels. On parle de « ransomware de verrouillage » ou de « computer locker » lorsque l’attaque vise à empêcher l’utilisateur d’utiliser son système. Le message de l’attaquant est alors tout ce qu’il voit apparaître à l’écran. Le cas le plus fréquemment rencontré est cependant celui du « crypto ransomware », qui correspond à un chiffrage et un blocage des données. L’utilisateur voit toujours ses fichiers apparaître à l’écran, mais il n’a plus aucune possibilité d’y accéder. Les fonctions de base du système informatique ne sont pas infectées.
Les pertes financières liées aux cyberattaques ont dépassé les 1000 milliards de dollars en 2020, à l’échelle mondiale. Cela correspond à plus de 1 % du PIB mondial à cette date et à une augmentation de 50 % en comparaison à l’année 2018.
À l’échelle du globe, la France a été le 3e pays le plus touché par des attaques par rançongiciel en 2021. Les États-Unis occupaient la première place du classement, suivis par le Royaume-Uni. La période de Covid-19 et la généralisation du travail à distance ont conduit à une explosion des cas d’attaque par rançongiciel : sur la seule année 2020, celles-ci ont augmenté de 255 %, selon les données de l’ANSSI (l’Agence nationale de la sécurité des systèmes d'information).
Le ransomware ou rançongiciel est la cyberattaque la plus couramment mentionnée dans les médias depuis 2020. La période de pandémie liée à la Covid a vu une explosion des attaques par ransomware, en France et à travers le monde. Mais l’attaque la plus visible n’est pas forcément la plus répandue : sur 1082 attaques de cybercriminalité enregistrées en France par l’ANSSI en 2021, seules 203 étaient de fait liées à un rançongiciel.
L’attaque par déni de service (DdoS) figure souvent en tête des palmarès des attaques cyber les plus répandues. Visant essentiellement les entreprises, de préférence dans le secteur du e-commerce, elle est l’une des attaques les plus rentables aux yeux des cybercriminels. Au premier semestre 2021, le nombre de ce type d’attaques a atteint près de 5,4 millions, ce qui correspond à une augmentation de 11 % par rapport au premier semestre 2020. Il faut rappeler que de nombreuses cyberattaques passent inaperçu : le classement des attaques cyber les plus répandues tient uniquement compte des tentatives abouties ou détectées.
