Atlantico, c'est qui? c'est quoi ?
Samedi 01 Octobre 2016 | Créer un compte | Connexion
Extra

Épidémie de virus par mail : d’où ils viennent et comment s’en protéger

Un récent rapport émis par la firme FireEye a établi les circonstances précises de l'attaque informatique subie par les réseaux d'ordinateurs de l'OTAN. Il s'agissait d'un phishing (hameçonnage) avec une pièce jointe qui, une fois ouverte, infecte l'ordinateur et remplit la mission programmée. Des hackers sponsorisés par la Russie avaient ainsi pu accéder à des informations confidentielles.

Phishing

Publié le
Épidémie de virus par mail : d’où ils viennent et comment s’en protéger

Un récent rapport émis par la firme FireEye a établi les circonstances précises de l'attaque informatique subie par les réseaux d'ordinateurs de l'OTAN. Crédit Reuters

Atlantico : Qui aujourd'hui est le plus susceptible d'être confronté à ce type d'attaques, qui techniquement semble à la portée de tous ?

Guillaume Tissier : Tout le monde est malheureusement susceptible d’être confronté à ce type d’attaques. En 2011, c'est le ministère de l'Economie et des finances qui en avait fait les frais. On avait alors suspecté une opération d'espionnage concernant les positions de la France sur le G20. 150 postes sur les 170 000 du ministère avaient été infectés.

Dans une organisation, les maillons les plus vulnérables sont évidemment les personnes non sensibilisées, celles qui vont cliquer sur les liens internet contenus dans les mails ou ouvrir les pièces jointes piégées. Les sous-traitants constituent aussi des cibles de choix.

Jean-Paul Pinte : Chacun de nous est aujourd’hui susceptible de subir à son niveau ce type d’attaque. En effet celles-ci  ne datent  pas d’hier et de nombreux cas de ce genre se sont déjà produits ces dernières années.

Ces attaques touchent  de plus en plus les entreprises, les administrations comme les industries et leurs effets ne sont pas immédiats et peuvent parfois être découverts que plusieurs jours voire plusieurs semaines  après telles des bombes à retardement.

Un simple lien dissimulé dans un message, un caractère spécial dans un nom de fichier, une pièce jointe, un lien détourné peuvent être à l’origine de ces types d’attaque. L’ingénierie sociale y trouve aujourd’hui une place de choix car elle permet à ces personnes mal intentionnées d’obtenir par des moyens psychologiques voire de manipulation humaine l’infection d’un système ou tout simplement sa destruction progressive.

Une technique en quelque sorte où les cybers attaquants tentent de vous tromper afin que vous réalisiez une action précise. Les virus comme les chevaux de Troie sont encore des moyens largement utilisés par les hackers et l’humain est souvent le maillon faible dans la plupart des cas.

Quel est le mode d'action de ces hackers ?

Guillaume Tissier : On pourrait qualifier ces attaques de semi-opportunistes : elles visent d'abord une entreprise ou une administration puis cherchent à tester ensuite le maximum de cibles en interne pour avoir une chance de pénétrer les systèmes d'information de l'organisation.

Leur objectif est clairement le vol d'information, soit dans le cadre d'une escroquerie à grande échelle (extorsion de fonds par exemple), soit dans le cadre d'une opération d'espionnage économique ou politique. On parle aussi souvent d'attaque APT ou Advanced Persistent Threat, c'est à dire d'attaques sophistiquées permettant aux attaquants de se maintenir durablement chez leurs cibles. De fait, les intrusions sont souvent détectées avec plusieurs mois de retard (lorsqu'elles sont détectées).

Les attaques se déroulent toujours en plusieurs étapes :

1. La reconnaissance : l'objectif est de reconnaître la cible, de constituer un fichier d'adresses mail à cibler et de créer un message contenant les arguments qui pousseront les cibles à ouvrir le document piégé ou cliquer sur un lien internet. Pour  piéger l'internaute, plusieurs techniques de persuasion sont possibles : l'argument d'autorité, qui consiste par exemple à se référer à une autorité qui accrédite l'information contenue dans le message, l'argument de proximité (l'attaquant joue la carte de l'appartenance à une même communauté, donne des éléments de contexte dans lesquels se reconnaît la cible, voire usurpe l'identité d'une personne connue de la victime), l'argument d'urgence, qui pousse la cible à abandonner tout réflexe logique et à ne pas procéder à des vérifications.

2. La création d’un document infecté. Les hackers développent des malwares « sur-mesure » pour les environnements matériels et logiciels de leurs victimes.

3. L'envoi des mails piégés. Le code s'exécute lorsque l'une des cibles lance le fichier attaché.

4. Le code malveillant se connecte au serveur de contrôle et télécharge l’intégralité du malware.

5. Le malware se déploie dans sa forme complète. Il est alors en mesure d'exfiltrer des données.

A noter que le malware peut également se répandre via des clés USB. Il est donc susceptible d'atteindre des réseaux non connectés à Internet. C'est ce mode de propagation qui avait permis à Stuxnet d'atteindre les centrifugeuses iraniennes.

Jean-Paul Pinte : Dans les cas de "phishing", les cybercriminels se cachent derrière des courriels prétendument envoyés par des sites reconnus pour s'emparer des données personnelles des victimes, comme les codes d'accès aux comptes bancaires en ligne. Ces données leur permettent ensuite de piller des comptes. Ce type d'arnaque se fait aussi de plus en plus par téléphone, constatent les experts. Les escrocs se font passer pour les employés d'un support-client d'une banque. Il m’est de rappeler qu'aucun institut financier ne demande jamais de telles données à ses clients par courriel ou par téléphone.

Puisque tant de gens à travers le monde dépendent de l’email, les attaques via ce support sont devenues l’une des principales méthodes d’attaque utilisée par les cyberdélinquants. Le Spear Phishing reste la technique préférée des attaques ciblées et est à l’origine de 91% des attaques ciblées (APT : Advanced Persistent Threats). Ils rusent d’ingéniosité pour que les personnes ciblées ne se doutent de rien et ouvrent des pièces jointes comme «Bonne année 2015 !.doc » de l’email envoyé par un ancien collègue de travail (Qui n’est pas celui que l’on pense… mais le pirate lui-même !). Le fichier est ouvert… il s’agit d’une carte de vœux des plus classiques… un peu déçu, l’utilisateur ferme son document… Malheureusement le mal est fait… le document (doc, xls, pdf…) contient un exploit de vulnérabilité et dépose un exécutable d’accès à distance « FUD » (Fully UnDetectable). Le trojan est installé, le pirate à un accès quasi-total sur la machine. Contrairement au Mass Phishing, le Spear Phishing est envoyé à une ou quelques personnes d’un service important de l’entreprise. Bien souvent, les VIPs, et leurs assistants, sont des cibles de choix car ils ont des accès élargis et des droits « administrateurs » sur leur poste. En dehors de ce mode d’attaque, quatre autres types d’attaques par Phishing peuvent être signalés. La collecte d’informations L’infection de votre ordinateur via des liens malveillants. L’infection de votre ordinateur via des pièces jointes malveillantes. Arnaques à la loterie, organismes de bienfaisance. On voit aussi apparaître de plus en plus des attaques provoquées par des clés USB envoyées comme des gadgets publicitaires et qui, une fois  la malveillance du personnel obtenue infecteront le serveur d’une société par exemple. De même les réseaux sociaux deviennent un terrain fertile pour ces attaques.

Par qui sont-ils financés ?

Guillaume Tissier : D’après le rapport de FireEye, ces attaques ne sont pas de nature économique (vol de propriété intellectuelle), mais visent à collecter des informations stratégiques liées à des enjeux politiques et sécuritaires. Cela sous-entend donc le parrainage d’un gouvernement.

Il est cependant difficile de séparer les différentes menaces et types de motivation : le cybercriminel peut se mettre au service d’intérêts étatiques ou économiques.

Jean-Paul Pinte : Il y a fort à parier que les hackers n’agissent plus seuls aujourd’hui mais en groupe sous le chapeau de structures ayant pour objectif l’espionnage industriel par exemple ou la volonté de nuire à des structures vitales par exemple. Les compétences en ce domaine seront  donc de plus en plus financées par des groupes comme peuvent l’être aujourd’hui ceux de certains réseaux terroristes. Néanmoins, la majorité des menaces véhiculées par le Web sont aujourd’hui produites par des kits "clés en main" utilisables par tous, ou presque et peu voire pas onéreux. Ils se nomment BlackHole, ProPack, Nuclear, CritXPack, Cool, et peuvent tester en quelques secondes des dizaines de vulnérabilités, non seulement du système et du navigateur, mais aussi de l’écosystème logiciel comme Java, Adobe Reader, QuickTime, Flash, Office…

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Guillaume Tissier

Guillaume Tissier est directeur général de CEIS, une société de conseil en stratégie et en management des risques qui intervient notamment dans l'analyse des cyber risques (www.ceis.eu). CEIS est également l'un des organisateurs du Forum International de la Cybersécurité (FIC) dont la 7ème édition, placée sous le haut patronage du Président de la République, aura lieu les 20 et 21 janvier 2015 à Lille (www.forum-fic.com).

Voir la bio en entier

Jean-Paul Pinte

Jean-Paul Pinte est docteur en information scientifique et technique.

Maître de conférences à l'Université Catholique de Lille, il est expert en cybercriminalité.

Voir la bio en entier

Je m'abonne
à partir de 4,90€