Panorama des attaques cyber - Guardia Cybersecurity School
Boite à outils  / 27 Mai 2022

Panorama des attaques cyber

visuel pegasus
Contenu mis à jour le

Les attaques de type cyber profitent d’un environnement marqué par un progrès technologique constant et une digitalisation accrue des pratiques, dans la sphère privée comme dans la sphère professionnelle. Le déploiement de l’Internet des Objets, le recours massif au cloud et l’installation de nouvelles tendances comme le travail à distance ne font qu’accroître le risque cyber. Dans ce contexte, les attaques informatiques deviennent toujours plus nombreuses, plus variées et plus dangereuses. Selon l’ONU, une cyberattaque est lancée toutes les 39 secondes environ, quelque part sur le globe. Malgré l’apparition régulière de nouvelles formes de cyberattaques, souvent amenées à faire la une de l’actualité, on peut établir une cartographie des attaques les plus courantes. Alerter et se protéger contre ces atteintes aux données et aux systèmes informatiques constituent une des règles de base de la cybersécurité.

Sommaire :

Les différents types de cyberattaques

L’exploitation de failles humaines

Bien que toutes les cyberattaques reposent, par définition, sur une capacité de nuisance technique, un certain nombre d’attaques misent sur une défaillance de la vigilance humaine. Un particulier qui ouvre par mégarde un mail frauduleux, un employé qui télécharge sans le vouloir une pièce jointe infectée : en quelques secondes, un foyer ou une entreprise peut sombrer dans un piège cyber.

Le hameçonnage ou phishing

Le hameçonnage – phishing dans la terminologie anglaise – fait partie des cyberattaques les plus courantes dans le monde de l’entreprise et chez les particuliers. 73 % des entreprises victimes d’une cyberattaque en 2020 ont été confrontées à une tentative de phishing, selon le baromètre du CESIN (Club des experts de la sécurité de l’information et du numérique). Au total, les attaques de hameçonnage ont augmenté de 255 % sur la seule année 2020 !

L’attaque par hameçonnage correspond à l’envoi d’un e-mail contenant une pièce jointe ou un lien cliquable frauduleux. L’astuce consiste à donner à cet e-mail toutes les apparences d’un message fiable et authentique. La pièce jointe ou le lien ont pour but principal de collecter des données sensibles, d’inciter la personne réceptrice du message à télécharger un logiciel malveillant sur son ordinateur ou de la conduire à effectuer une autre action qui sera bénéfique aux cybercriminels.

Le harponnage ou spearphishing

Le hameçonnage peut souvent rimer avec envoi groupé et grossier. Lorsque les cyberattaquants mènent un travail de préparation plus poussé, dans le but est d’obtenir un e-mail plus difficile à identifier comme frauduleux, l’attaque prend le nom de harponnage ou spearphishing. Le message est davantage personnalisé et dissémine des références personnelles afin de tromper le destinataire : les chances de réussite de l’attaque sont plus grandes.

L’appropriation de compte

Dans ce cas de figure, le cyberattaquant réussit à accéder au compte utilisateur d’un individu en se faisant passer pour un contact proche, un collègue ou un client, par exemple. Dans la grande majorité des cas, la récupération des informations se fait par e-mail ou via des applications basées sur un proxy, proposant la vérification de l’identité en un clic. Pour maximiser l’intérêt de l’opération, le cyberattaquant tentera, à l’aide de bots, de trouver la correspondance entre les données utilisateur obtenues et différents sites web : services bancaires, plateformes de vente en ligne, … Cette attaque peut être décrite comme une « usurpation d’identité cyber ».

Le piratage de compte

C’est le degré inférieur de l’appropriation de compte. Les hackers se contentent ici de cracker le mot de passe d’un compte de messagerie, d’un accès à un compte bancaire ou du compte administrateur du site d’une entreprise : les répercussions possibles sont lourdes.

La fraude au président ou Faux Ordre de Virement (FOVI)

Visant exclusivement les grandes entreprises, la fraude au président consiste à se faire passer pour le président d’une société-mère auprès d’une société appartenant au même groupe, dans le but d’obtenir un virement bancaire auprès de cette dernière. Le lien peut aussi bien être établi par e-mail que par téléphone, en insistant sur la nécessité de procéder au virement sous les plus brefs délais et en maintenant l’opération confidentielle. Le Faux Ordre de Virement est toujours lié à un virement international. En 2020, l’arnaque au président – autre nom donné à la FOVI – a représenté 38 % des cyberattaques signalées par les entreprises françaises, selon le baromètre de l’ANSSI.

Les attaques par logiciel malveillant

Ils sont souvent indissociables de l’exploitation d’une faille humaine et sont au cœur d’attaques comme le hameçonnage : les logiciels malveillants peuvent se cacher dans une pièce jointe, sur la page d’un site web, derrière un programme ou un lien cliquable. Ils sont une arme de premier plan dans les opérations de cyberattaque.

Le rançongiciel

Il est, avec le hameçonnage, l’une des techniques les plus couramment rencontrées lorsqu’il est question de cybercriminalité : le rançongiciel ou ransomware. Les signalements par des entreprises françaises ont été multipliés par 4 sur la seule année 2020 et la montée en puissance de cette cyberattaque ne semble pas pouvoir être freinée de si tôt : en 2021, 35 nouveaux groupes de hackers spécialisés dans le rançongiciel ont été répertoriés.

Le principe du rançongiciel est simple. Les hackers s’introduisent dans un équipement informatique par le biais d’un simple e-mail contenant, le plus souvent, une pièce jointe infectée : on retrouve le piège du phishing. À l’échelle du particulier, c’est un ordinateur qui est visé ; à plus grande échelle, celle d’une entreprise, d’un hôpital ou d’une autre structure publique, c’est le serveur qui est mis en danger. Après téléchargement de la pièce jointe, l’ordinateur ayant servi de point d’entrée ne répond plus. Dans le cas d’une structure, l’ensemble du système informatique est soudainement bloqué : les cybercriminels récupèrent les droits administrateur. Dès lors, ils sont en mesure d’identifier les données sensibles pour les bloquer et les chiffrer. D’autres serveurs et d’autres comptes peuvent être paralysés par effet de ricochet.

Un message de demande de rançon tourne en boucle sur tous les ordinateurs : pour reprendre la main sur ses appareils et récupérer ses données, la victime est invitée à payer une rançon. En échange, les hackers promettent de livrer la clé de déchiffrage ou le mot de passe qui permettront de débloquer la situation. Dans les faits, de nombreuses rançons sont payées sans que les attaquants tiennent parole. Le paiement de la rançon a, de fait, tendance à encourager les hackers et à faire de la technique du ransomware une cyberattaque fructueuse, donc dangereuse.

La désactivation des outils de sécurité via un Cheval de Troie

Le Cheval de Troie est un programme malveillant caché dans un programme d’apparence inoffensive, qui fait partie de l’outillage informatique choisi par l’utilisateur lui-même. Ce sont précisément les outils de sécurité qui sont, la plupart du temps, choisis pour dissimuler un Cheval de Troie. En 2019, des hackers ont mené une attaque de ce genre contre les fonctionnalités de protection en temps réel de Windows Defender. Le Cheval de Troie, baptisé Novter, procédait de manière classique en téléchargeant de logiciels malveillants supplémentaires sur le système déjà infecté.

Dans certains cas, les attaquants se contentent d’empêcher l’exécution de programmes spécifiques en ajoutant des certificats, dont le rôle est d’inscrire les programmes de sécurité sur une blacklist pour empêcher le bon fonctionnement de ces outils de protection. Dans d’autres cas, un port à numéro élevé peut être visé, afin de pouvoir écouter des conversations. De manière générale, le Cheval de Troie sert – comme son nom l’indique parfaitement – à ouvrir des portes d’accès qui permettront aux criminels de nuire.

Les macro-virus, relais d’infection

Autre variante placée au cœur des opérations de hameçonnage, les macro-virus ne doivent pas être sous-estimés. La plupart du temps, ils infectent des outils bureautiques très classiques, comme Outlook, Microsoft Word ou Excel. Leurs dommages concernent uniquement des applications, et non le systèmes d’exploitation. Lorsque le virus est libéré, il a accès à tous les documents du poste de la victime pour les infecter : le mal se propage chaque fois que l’utilisateur ouvre ou ferme un document infecté.

Les assauts et bombardements techniques

Parmi les cyberattaques les plus fréquentes, nombreuses sont celles à reposer sur la pure compétence technique. En contournant les aléas du facteur humain et en ne misant pas sur une possible défaillance de vigilance, du côté de l’utilisateur, les cybercriminels maximisent leurs chances de succès. Tout l’enjeu pour eux consiste à rendre l’attaque aussi difficile à détecter que possible.

Le déni de service

Le déni de service, également connu sous le terme de DdoS Attack (Distributed Denial of Service Attack) rejoint le palmarès des cyberattaques les plus couramment utilisées contre les entreprises et les services publics. Dans le cas présent, il s’agit de gêner le bon fonctionnement d’un réseau informatique en bloquant le serveur web, le serveur de fichiers ou les services de messagerie. Toute l’opération consiste à saturer le système ciblé. Pour cela, les hackers s’appuient sur un grand nombre de bots et de robots de relais.

L’attaque par Drive by Download

Intégrer un script malveillant dans le code HTTP ou PHP d’une page, sur un site web non sécurisé : tel est le point de départ de l’attaque par Drive by Download. Le script en question servira à rediriger n’importe quel visiteur du site vers un autre portail détenu par les hackers. Dans un autre cas de figure, le script peut servir à installer directement des logiciels malveillants sur l’équipement informatique de l’utilisateur. Cette attaque a fait partie du top 5 des cyberattaques les plus fréquentes en 2021.

L’attaque de l’homme au milieu (MitM)

L’attaque dite de l’homme du milieu, plus connue sous l’appellation Man-in-the-middle Attack ou sous l’abréviation MitM, consiste à détourner une session de connexion ou usurper une adresse IP en jouant la carte de l’interception. Concrètement, un hacker ou un serveur est positionné entre deux points communicants : un client et un serveur, par exemple.

Différentes méthodes existent pour réussir à se greffer de la sorte sur un chemin de communication. Les hackers peuvent prendre place au sein d’un service de Wifi public afin de procéder à une écoute du trafic et de collecter des données. Il est également possible de créer un faux réseau Wifi, destiné à tromper les utilisateurs et à faire en sorte qu’ils s’y connectent. Enfin, l’attaquant peut usurper le protocole de résolution d’une adresse. C’est la méthode de l’ARP spoofing. Dans ce cas précis, les individus pensent se connecter à leur réseau habituel, alors qu’ils se connectent au réseau de l’attaquant et mettent en danger leurs données.

Dans une configuration plus artisanale, exploitant la faille humaine, le cybercriminel peut choisir de récupérer et d’utiliser de vieux e-mails dans le but d’entrer en contact avec un utilisateur et de le tromper sur son identité réelle. L’objectif est de le conduire à transmettre ses accès. C’est la tactique dite du rejeu ou de la relecture.

Le top des attaques cyber

Les 10 types d’attaques les plus courantes

Les études des experts en cybersécurité et des agences de cybersurveillance (ANSSI, Cybermalveillance.gouv.fr, …) permettent d’établir le classement suivant des attaques cyber les plus courantes pour la période 2019-2021 :

  1. Le hameçonnage ou phishing
  2. Le piratage de compte
  3. L’attaque par ransomware ou rançongiciel
  4. L’attaque par déni de service (DdoS)
  5. L’attaque par Drive by Download
  6. L’attaque de l’homme au milieu
  7. La Fraude au président
  8. L’attaque par logiciel malveillant
  9. L’attaque par macro-virus
  10. L’appropriation de compte

Les attaques les plus connues

Les 3 cyberattaques les plus connues, c’est-à-dire les attaques les plus fréquemment exposées dans les médias et faisant l’objet d’une vigilance accrue de la part des entreprises et des structures publiques, sont les suivantes :

  1. Le ransomware : ce malware ou logiciel malveillant prend en otage les données d’une entreprise, qui se trouvent cryptées et bloquées. Les hackers promettent la remise d’une clé de déchiffrage ou d’un mot de passe permettant de débloquer le système informatique infecté en échange du paiement d’une rançon.
  2. Le phishing : cette technique largement répandue du « hameçonnage » vise en règle générale à récupérer des informations personnelles auprès d’une personne donnée. Cela permettra une usurpation d’identité sur un ou plusieurs outils informatiques avec, à la clé, la possibilité de récupération d’autres données sensibles ou de ressources financières.
  3. Le piratage de compte : Un individu mal intentionné prend le contrôle d’un compte de messagerie, d’un compte bancaire ou d’une page sur un réseau social, par exemple, à l’insu de l’utilisateur légitime. Une fois de plus, cette manipulation peut se traduire par une usurpation d’identité dans le but de capter des données sensibles ou, de manière plus directe, des ressources financières.

Dans la grande Histoire des cyberattaques, quelques cas ont marqué les mémoires :

  1. En 2017, NOTPETYA innove en combinant un ransomware et un worm (ver), donnant lieu au paiement d’une quarantaine de rançons d’un montant de 300 dollars chacune, payées en bitcoins.
  2. Le ransomware WannaCry, encore considéré à l’heure actuelle comme le rançongiciel le plus dévastateur, a fait son apparition en mai 2017, touchant à l’époque quelque 300 000 ordinateurs dans 150 pays.
  3. Environ 3000 bases de données publiques non sécurisées ont été victimes, en 2020, du virus MEOW : après effacement de leurs données, les structures sont averties de l’attaque par un message reproduisant un chat qui miaule.

Les attaques cyber de 2021

Cybermalveillance.gouv.fr, référence de la lutte contre les actes de cybercriminalité, établit que les attaques cyber les plus fréquentes en 2021 ont été :

  1. Le hameçonnage : En se faisant passer pour un tiers de confiance, souvent un référent public comme la direction des impôts ou les services d’assurance maladie, les cybercriminels réussissent à obtenir de la part de la victime la transmission d’informations personnelles, notamment de nature bancaire.
  2. Le piratage de compte : avec une augmentation de 139 % par rapport à 2021, cette attaque vise de plus en plus souvent les comptes de messagerie. Y sont stockées de nombreuses informations utiles, comme des fiches de paie, des données fiscales, des données de sécurité sociale ou des données d’identité, par exemple, pouvant servir aux hackers pour contracter un crédit en ligne.
  3. L’attaque par rançongiciel : les ransomwares ont enregistré une hausse de 95 % en France par rapport à l’année précédente. Cette technique de blocage des systèmes informatiques et de prise en otage des données vise principalement les entreprises, plus disposées à payer la rançon demandée afin de limiter l’impact de l’attaque sur leurs activités.

Parmi les grands cas de cyberattaques ayant marqué l’année 2021, on retiendra :

  1. L’exploitation d’une faille dans tous les logiciels de messagerie de Microsoft : cette vulnérabilité a mis en danger plus de 30 000 structures américaines au mois de mars 2021, en exposant un nombre considérable de données sensibles.
  2. Le ransomware lancé par le groupe de hackers Avaddon contre AXA Partners : de nombreuses données sensibles concernant des pièces d’identité, des comptes bancaires et des contrats ont été captées. AXA a fait le choix de payer la rançon pour limiter la fuite et son impact.
  3. L’attaque par ransomware du géant des hydrocarbures américain Colonial Pipeline : il s’agit de l’une des plus importantes attaques par rançongiciel rendues publiques à ce jour. Suite à la collecte de 100 gigaoctets de données dans les systèmes de Colonial Pipeline, les pirates informatiques ont fait peser la menace d’une mise à disposition de tous les fichiers au grand public. L’entreprise a décidé de payer la rançon, après un arrêt des activités ayant généré des pénuries d’hydrocarburant dans tout l’Est des États-Unis.

Les attaques cyber de 2022

Les premiers relevés de cyberattaques par Cybermalveillance.gouv.fr et l’analyse des tendances laisse prévoir que les cyberattaques les plus présentes en 2022 seront :

  1. Le ransomware : le nombre d’entreprises victimes d’attaques par ransomware devrait doubler en 2022 par rapport à l’année précédente. Cela s’explique une exploitation de plus en plus intense du procédé d’attaques « par rebond ». Les hackers mènent une attaque par ransomware auprès d’une première entreprise. En analysant les données sensibles récupérées, ils identifient de nouvelles cibles potentielles, sur lesquelles sont lancées de nouvelles attaques par rançongiciel. C’est le rebond.
  2. L’appropriation de compte : Les progrès en Intelligence Artificielle permettent le développement de nouveaux bots couplant plus facilement des données utilisateur usurpées et des sites web, liées à des activités commerciales, juridiques ou bancaires le plus souvent. L’usurpation d’identité devrait jouer à plein.
  3. Le hameçonnage : Cette technique très répandue ne devrait pas connaître de baisse significative en 2022.

Les experts prévoient également la multiplication d’attaques inédites. En période de Covid, 35 % des cyberattaques n’avaient jamais été repérées auparavant et le développement technologique exponentiel devrait encore amplifier ce phénomène.

Parmi les attaques de grande ampleur ayant déjà marqué 2022, on peut citer :

  1. La récupération de données industrielles de Samsung grâce à l’exploitation d’une faille de sécurité: cette opération, menée par le groupe Lapsus$, a vu fuiter pas moins de 190 gigaoctets de données sensibles.
  2. L’attaque ayant entraîné la panne du CHU de Tours: cette tentative d’incursion menée en janvier a mis à l’arrêt les systèmes informatiques du centre hospitalier et a entraîné la suspension du service des urgences pendant une nuit complète.
  3. En mars, 9 000 personnes ont été privées d’Internet suite à l’attaque du réseau satellitaire Ka-Sat par des pirates russes, peu de temps après l’invasion de l’Ukraine.

FAQ

Quelle relation entre le rançongiciel et les botnets ?

Les botnets sont régulièrement utilisés dans les attaques par ransomware : ils permettent aux cybercriminels de prendre le contrôle sur un nombre important d’équipements de manière simultanée afin de lancer des attaques de très grande ampleur. L’utilisation des botnets est aussi très répandue pour conduire des attaques de type DDoS (déni de service).

Qu’est-ce que le « crypto ransomware » ?

On fait la distinction entre deux grandes catégories de rançongiciels. On parle de « ransomware de verrouillage » ou de « computer locker » lorsque l’attaque vise à empêcher l’utilisateur d’utiliser son système. Le message de l’attaquant est alors tout ce qu’il voit apparaître à l’écran. Le cas le plus fréquemment rencontré est cependant celui du « crypto ransomware », qui correspond à un chiffrage et un blocage des données. L’utilisateur voit toujours ses fichiers apparaître à l’écran, mais il n’a plus aucune possibilité d’y accéder. Les fonctions de base du système informatique ne sont pas infectées.

Quel est l’impact financier des cyberattaques ?

Les pertes financières liées aux cyberattaques ont dépassé les 1000 milliards de dollars en 2020, à l’échelle mondiale. Cela correspond à plus de 1 % du PIB mondial à cette date et à une augmentation de 50 % en comparaison à l’année 2018.

Quel est le poids du ransomware dans les cas de cyberattaques en France ?

À l’échelle du globe, la France a été le 3e pays le plus touché par des attaques par rançongiciel en 2021. Les États-Unis occupaient la première place du classement, suivis par le Royaume-Uni. La période de Covid-19 et la généralisation du travail à distance ont conduit à une explosion des cas d’attaque par rançongiciel : sur la seule année 2020, celles-ci ont augmenté de 255 %, selon les données de l’ANSSI (l’Agence nationale de la sécurité des systèmes d'information).

Quelle est l'attaque cyber la plus connue ?

Le ransomware ou rançongiciel est la cyberattaque la plus couramment mentionnée dans les médias depuis 2020. La période de pandémie liée à la Covid a vu une explosion des attaques par ransomware, en France et à travers le monde. Mais l’attaque la plus visible n’est pas forcément la plus répandue : sur 1082 attaques de cybercriminalité enregistrées en France par l’ANSSI en 2021, seules 203 étaient de fait liées à un rançongiciel.

Quel est le type d'attaque cyber le plus répandu ?

L’attaque par déni de service (DdoS) figure souvent en tête des palmarès des attaques cyber les plus répandues. Visant essentiellement les entreprises, de préférence dans le secteur du e-commerce, elle est l’une des attaques les plus rentables aux yeux des cybercriminels. Au premier semestre 2021, le nombre de ce type d’attaques a atteint près de 5,4 millions, ce qui correspond à une augmentation de 11 % par rapport au premier semestre 2020. Il faut rappeler que de nombreuses cyberattaques passent inaperçu : le classement des attaques cyber les plus répandues tient uniquement compte des tentatives abouties ou détectées.

Actualités récentes