En direct
Best of
Best of du 7 au 13 septembre
En direct
Flash-actu
Articles populaires
Période :
24 heures
7 jours
01.

L'Ifop révèle une enquête sur la population musulmane en France

02.

Brexit : petit rappel des prédictions apocalyptiques prédites au Royaume-Uni lorsqu’il choisit de garder la Livre sterling plutôt que d’adopter l’Euro

03.

Viol des hommes : cette indéniable réalité, encore trop peu considérée

04.

Ces 3 questions pièges de tout débat sur l’immigration en France

05.

Quelques bonnes raisons de promouvoir le travail post retraite

06.

Un CRS frappe violemment un Gilet Jaune

07.

Maladies cardio-vasculaires : l’étude scientifique qui a piégé une bonne partie de la presse

01.

Patrick Bruel : une deuxième masseuse l'accuse ; Adieu Sebastien Farran, bonjour Pascal, Laeticia Hallyday retrouve enfin l’amour ! ; Lily-Rose Depp & Timothée Chalamet squelettiques mais heureux, Céline Dion juste maigre...;

02.

Le chef de l’organisation météorologique mondiale s’en prend de manière virulente aux extrémistes du changement climatique

03.

Retraites : ces trois questions pièges souvent oubliées des grands discours

04.

Laeticia Hallyday aurait retrouvé l’amour

05.

Les gènes du gaucher ont été découverts et voilà pourquoi c’est une découverte aux conséquences pratiques importantes

06.

Les avantages et les bienfaits d'une éducation conservatrice pour nos enfants face à la faillite éducative contemporaine

01.

Patatras : l’étude phare qui niait l’existence de notre libre arbitre à son tour remise en question

02.

Selon le président la Conférence des Évêques de France, les citoyens "inquiets" du projet de loi bioéthique ont le "devoir" de manifester le 6 octobre

03.

Ces 3 questions pièges de tout débat sur l’immigration en France

04.

Pourquoi LREM pourra difficilement échapper à son destin de “parti bourgeois” quels que soient ses efforts

05.

PMA / GPA : la guerre idéologique est-elle perdue ?

06.

Le chef de l’organisation météorologique mondiale s’en prend de manière virulente aux extrémistes du changement climatique

ça vient d'être publié
pépites > Europe
Brexit
Il pourrait y avoir une alternative au "backstop" pour Boris Johnson
il y a 10 heures 16 min
décryptage > International
élections israéliennes

Ces noeuds gordiens que devra trancher le système politique israélien après l’échec de Benjamin Netanyahu

il y a 10 heures 51 min
light > Justice
Mystérieuse affaire
Ils abandonnent leur fille adoptive et déménagent au Canada
il y a 11 heures 20 min
décryptage > Justice
Enquête virage

Viol des hommes : cette indéniable réalité, encore trop peu considérée

il y a 12 heures 43 min
décryptage > Economie
projet d'innovation

Les banques et les assurances vont dégager 5 milliards d'euros d’investissement pour les start-up

il y a 14 heures 30 min
pépites > France
Une nouvelle grogne des Gilets jaunes ?
Un possible retour de la taxe carbone est envisagé
il y a 16 heures 29 min
décryptage > Société
Tribune

Quelques bonnes raisons de promouvoir le travail post retraite

il y a 18 heures 7 min
décryptage > Politique
unification des forces ?

Rencontre Macron-Conte en Italie : mais à quoi peuvent aboutir les discussions entre partis attrape-tout ?

il y a 18 heures 26 min
décryptage > Economie
un non-dit dans ses déclarations

Politique fiscale : ce que la France pourrait faire pour répondre aux appels du pays de Mario Draghi

il y a 18 heures 53 min
décryptage > High-tech
navigateur internet

Faut-il faire confiance aux promesses de protection accrue de la vie privée faites par Firefox ?

il y a 19 heures 19 min
pépite vidéo > Insolite
record
Une américaine traverse la Manche à la nage quatre fois d'affilée
il y a 10 heures 33 min
light > Santé
santé publique
L'Etat de New York interdit les cigarettes électroniques aromatisées
il y a 11 heures 1 min
pépites > Religion
sondage
L'Ifop révèle une enquête sur la population musulmane en France
il y a 12 heures 42 min
décryptage > Culture
Atlanti-Culture

"LECTURES D'ETE": "Catamount, la Justice des Corbeaux" de Benjamin Blasco-Martinez

il y a 14 heures 19 min
chocs culturels
Une loi interdisant de manger des chiens est bloquée au Royaume-Uni
il y a 16 heures 10 min
pépite vidéo > Environnement
climat
Greta Thunberg rencontre Barack Obama
il y a 17 heures 5 min
décryptage > Style de vie
Wikiagri

Envie de vous calmer ? Après les bars à chat, la ferme aux chameaux

il y a 18 heures 19 min
décryptage > Société
immigration

Pourquoi LREM pourra difficilement échapper à son destin de “parti bourgeois” quels que soient ses efforts

il y a 18 heures 42 min
décryptage > Santé
mortalité

Maladies cardio-vasculaires : l’étude scientifique qui a piégé une bonne partie de la presse

il y a 19 heures 1 min
décryptage > Style de vie
C’est arrivé près de chez vous

Le pays champion du monde en termes de durabilité alimentaire est…

il y a 19 heures 40 min
© Reuters
Un récent rapport émis par la firme FireEye a établi les circonstances précises de l'attaque informatique subie par les réseaux d'ordinateurs de l'OTAN.
© Reuters
Un récent rapport émis par la firme FireEye a établi les circonstances précises de l'attaque informatique subie par les réseaux d'ordinateurs de l'OTAN.
Phishing

Épidémie de virus par mail : d’où ils viennent et comment s’en protéger

Publié le 05 novembre 2014
Un récent rapport émis par la firme FireEye a établi les circonstances précises de l'attaque informatique subie par les réseaux d'ordinateurs de l'OTAN. Il s'agissait d'un phishing (hameçonnage) avec une pièce jointe qui, une fois ouverte, infecte l'ordinateur et remplit la mission programmée. Des hackers sponsorisés par la Russie avaient ainsi pu accéder à des informations confidentielles.
Guillaume Tissier est directeur général de CEIS, une société de conseil en stratégie et en management des risques qui intervient notamment dans l'analyse des cyber risques (www.ceis.eu). CEIS est également l'un des organisateurs du Forum...
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jean-Paul Pinte est docteur en information scientifique et technique.Maître de conférences à l'Université Catholique de Lille, il est expert en cybercriminalité.
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Guillaume Tissier
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Guillaume Tissier est directeur général de CEIS, une société de conseil en stratégie et en management des risques qui intervient notamment dans l'analyse des cyber risques (www.ceis.eu). CEIS est également l'un des organisateurs du Forum...
Voir la bio
Jean-Paul Pinte
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jean-Paul Pinte est docteur en information scientifique et technique.Maître de conférences à l'Université Catholique de Lille, il est expert en cybercriminalité.
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Un récent rapport émis par la firme FireEye a établi les circonstances précises de l'attaque informatique subie par les réseaux d'ordinateurs de l'OTAN. Il s'agissait d'un phishing (hameçonnage) avec une pièce jointe qui, une fois ouverte, infecte l'ordinateur et remplit la mission programmée. Des hackers sponsorisés par la Russie avaient ainsi pu accéder à des informations confidentielles.

Atlantico : Qui aujourd'hui est le plus susceptible d'être confronté à ce type d'attaques, qui techniquement semble à la portée de tous ?

Guillaume Tissier : Tout le monde est malheureusement susceptible d’être confronté à ce type d’attaques. En 2011, c'est le ministère de l'Economie et des finances qui en avait fait les frais. On avait alors suspecté une opération d'espionnage concernant les positions de la France sur le G20. 150 postes sur les 170 000 du ministère avaient été infectés.

Dans une organisation, les maillons les plus vulnérables sont évidemment les personnes non sensibilisées, celles qui vont cliquer sur les liens internet contenus dans les mails ou ouvrir les pièces jointes piégées. Les sous-traitants constituent aussi des cibles de choix.

Jean-Paul Pinte : Chacun de nous est aujourd’hui susceptible de subir à son niveau ce type d’attaque. En effet celles-ci  ne datent  pas d’hier et de nombreux cas de ce genre se sont déjà produits ces dernières années.

Ces attaques touchent  de plus en plus les entreprises, les administrations comme les industries et leurs effets ne sont pas immédiats et peuvent parfois être découverts que plusieurs jours voire plusieurs semaines  après telles des bombes à retardement.

Un simple lien dissimulé dans un message, un caractère spécial dans un nom de fichier, une pièce jointe, un lien détourné peuvent être à l’origine de ces types d’attaque. L’ingénierie sociale y trouve aujourd’hui une place de choix car elle permet à ces personnes mal intentionnées d’obtenir par des moyens psychologiques voire de manipulation humaine l’infection d’un système ou tout simplement sa destruction progressive.

Une technique en quelque sorte où les cybers attaquants tentent de vous tromper afin que vous réalisiez une action précise. Les virus comme les chevaux de Troie sont encore des moyens largement utilisés par les hackers et l’humain est souvent le maillon faible dans la plupart des cas.

Quel est le mode d'action de ces hackers ?

Guillaume Tissier : On pourrait qualifier ces attaques de semi-opportunistes : elles visent d'abord une entreprise ou une administration puis cherchent à tester ensuite le maximum de cibles en interne pour avoir une chance de pénétrer les systèmes d'information de l'organisation.

Leur objectif est clairement le vol d'information, soit dans le cadre d'une escroquerie à grande échelle (extorsion de fonds par exemple), soit dans le cadre d'une opération d'espionnage économique ou politique. On parle aussi souvent d'attaque APT ou Advanced Persistent Threat, c'est à dire d'attaques sophistiquées permettant aux attaquants de se maintenir durablement chez leurs cibles. De fait, les intrusions sont souvent détectées avec plusieurs mois de retard (lorsqu'elles sont détectées).

Les attaques se déroulent toujours en plusieurs étapes :

1. La reconnaissance : l'objectif est de reconnaître la cible, de constituer un fichier d'adresses mail à cibler et de créer un message contenant les arguments qui pousseront les cibles à ouvrir le document piégé ou cliquer sur un lien internet. Pour  piéger l'internaute, plusieurs techniques de persuasion sont possibles : l'argument d'autorité, qui consiste par exemple à se référer à une autorité qui accrédite l'information contenue dans le message, l'argument de proximité (l'attaquant joue la carte de l'appartenance à une même communauté, donne des éléments de contexte dans lesquels se reconnaît la cible, voire usurpe l'identité d'une personne connue de la victime), l'argument d'urgence, qui pousse la cible à abandonner tout réflexe logique et à ne pas procéder à des vérifications.

2. La création d’un document infecté. Les hackers développent des malwares « sur-mesure » pour les environnements matériels et logiciels de leurs victimes.

3. L'envoi des mails piégés. Le code s'exécute lorsque l'une des cibles lance le fichier attaché.

4. Le code malveillant se connecte au serveur de contrôle et télécharge l’intégralité du malware.

5. Le malware se déploie dans sa forme complète. Il est alors en mesure d'exfiltrer des données.

A noter que le malware peut également se répandre via des clés USB. Il est donc susceptible d'atteindre des réseaux non connectés à Internet. C'est ce mode de propagation qui avait permis à Stuxnet d'atteindre les centrifugeuses iraniennes.

Jean-Paul Pinte : Dans les cas de "phishing", les cybercriminels se cachent derrière des courriels prétendument envoyés par des sites reconnus pour s'emparer des données personnelles des victimes, comme les codes d'accès aux comptes bancaires en ligne. Ces données leur permettent ensuite de piller des comptes. Ce type d'arnaque se fait aussi de plus en plus par téléphone, constatent les experts. Les escrocs se font passer pour les employés d'un support-client d'une banque. Il m’est de rappeler qu'aucun institut financier ne demande jamais de telles données à ses clients par courriel ou par téléphone.

Puisque tant de gens à travers le monde dépendent de l’email, les attaques via ce support sont devenues l’une des principales méthodes d’attaque utilisée par les cyberdélinquants. Le Spear Phishing reste la technique préférée des attaques ciblées et est à l’origine de 91% des attaques ciblées (APT : Advanced Persistent Threats). Ils rusent d’ingéniosité pour que les personnes ciblées ne se doutent de rien et ouvrent des pièces jointes comme «Bonne année 2015 !.doc » de l’email envoyé par un ancien collègue de travail (Qui n’est pas celui que l’on pense… mais le pirate lui-même !). Le fichier est ouvert… il s’agit d’une carte de vœux des plus classiques… un peu déçu, l’utilisateur ferme son document… Malheureusement le mal est fait… le document (doc, xls, pdf…) contient un exploit de vulnérabilité et dépose un exécutable d’accès à distance « FUD » (Fully UnDetectable). Le trojan est installé, le pirate à un accès quasi-total sur la machine. Contrairement au Mass Phishing, le Spear Phishing est envoyé à une ou quelques personnes d’un service important de l’entreprise. Bien souvent, les VIPs, et leurs assistants, sont des cibles de choix car ils ont des accès élargis et des droits « administrateurs » sur leur poste. En dehors de ce mode d’attaque, quatre autres types d’attaques par Phishing peuvent être signalés. La collecte d’informations L’infection de votre ordinateur via des liens malveillants. L’infection de votre ordinateur via des pièces jointes malveillantes. Arnaques à la loterie, organismes de bienfaisance. On voit aussi apparaître de plus en plus des attaques provoquées par des clés USB envoyées comme des gadgets publicitaires et qui, une fois  la malveillance du personnel obtenue infecteront le serveur d’une société par exemple. De même les réseaux sociaux deviennent un terrain fertile pour ces attaques.

Par qui sont-ils financés ?

Guillaume Tissier : D’après le rapport de FireEye, ces attaques ne sont pas de nature économique (vol de propriété intellectuelle), mais visent à collecter des informations stratégiques liées à des enjeux politiques et sécuritaires. Cela sous-entend donc le parrainage d’un gouvernement.

Il est cependant difficile de séparer les différentes menaces et types de motivation : le cybercriminel peut se mettre au service d’intérêts étatiques ou économiques.

Jean-Paul Pinte : Il y a fort à parier que les hackers n’agissent plus seuls aujourd’hui mais en groupe sous le chapeau de structures ayant pour objectif l’espionnage industriel par exemple ou la volonté de nuire à des structures vitales par exemple. Les compétences en ce domaine seront  donc de plus en plus financées par des groupes comme peuvent l’être aujourd’hui ceux de certains réseaux terroristes. Néanmoins, la majorité des menaces véhiculées par le Web sont aujourd’hui produites par des kits "clés en main" utilisables par tous, ou presque et peu voire pas onéreux. Ils se nomment BlackHole, ProPack, Nuclear, CritXPack, Cool, et peuvent tester en quelques secondes des dizaines de vulnérabilités, non seulement du système et du navigateur, mais aussi de l’écosystème logiciel comme Java, Adobe Reader, QuickTime, Flash, Office…

Bien que l'attention et la vigilance soient les meilleures barrières contre ce type d'attaques, quelles sont les autres précautions à prendre ? Sont-elles à la portée de tous ?

Guillaume Tissier : La première protection est et demeurera l'utilisateur qui ne doit pas ouvrir les pièces  jointes de personnes qu'il ne connaît pas et doit procéder à des vérifications basiques : orthographe des messages, identité de l'émetteur, destination des liens internet proposés.

Au delà de ces règles de vigilance, chaque utilisateur (ou administrateur système) doit aussi s’assurer que ses logiciels sont bien à jour et qu'il dispose bien d'un anti-virus également à jour : de nombreuses attaques utilisent des vulnérabilités connues qui ont déjà été corrigées par l’éditeur. Il est donc capital de maintenir son environnement logiciel à jour. 

Dans certains cas cependant, les attaques sont particulièrement sophistiquées et utilisent des vulnérabilités dites 0-day, c'est à dire non corrigées par les éditeurs. Les protections classiques se révèlent alors insuffisantes et seuls des systèmes de détection sophistiqués permettent de détecter quelque chose.

Jean-Paul Pinte : Il convient aujourd’hui de savoir lire les liens sur lesquels on navigue en prenant soin de vérifier qu’ils appartiennent  bien au site initial que l’on regardait car l’on peut assister à un « défacement de site » ou aiguillage vers une adresse qui ne serait plus la bonne au cours d’une navigation.

Ne pas cliquer dans un lien contenu dans un message sans l’analyser car il pourrait contenir un exécutable qui petit à petit infecterait votre machine ou réseau. Donc avant de cliquer sur un lien dans un e-mail, placez votre souris dessus pour vérifier qu'il dirige vers le bon site.

Se méfier aussi des liens fictifs que vous pourriez copier/coller à partir d’un message dont vous êtes le destinataire. Il pourrait bien se révéler une action désagréable par la suite sur votre machine.

Les demandes d’informations personnelles par mail sont aussi à bannir comme toute formulation exprimant l’urgence, des menaces et les promesses trop belles pour être vraies.

Gardez à l'esprit qu'un site comme LinkedIn ne vous demanderait jamais d'ouvrir une pièce jointe ou d'installer une mise à jour de logiciel.

Si vous recevez un e-mail qui vous semble suspect ou un e-mail en provenance d'une personne ou d'une entreprise inconnue, nous vous recommandons de ne pas ouvrir les pièces jointes et de ne cliquer sur aucun lien.

Le rapport de FireEye mentionne également plusieurs sites internet spécialement créés pour crédibiliser les auteurs de ces mails. En quoi les cookies, ces programmes qui s'installent sur un navigateur peuvent-ils aider en quelque chose ces cyber-attaques ?

Guillaume Tissier : Les cookies peuvent être dangereux à partir du moment où l’attaquant y a accès et y trouve des informations qui peuvent lui servir pour monter son attaque. Les cookies peuvent donc être des moyens de collecte d'information. En revanche, ils ne constituent pas des vecteurs d'attaque puisqu'ils ne peuvent pas exécuter du code malicieux par eux-mêmes.

On peut ensuite distinguer deux types de cookie. Les cookies-navigateurs sont de simples fichiers texte, qui contiennent des informations de navigations de l’utilisateur sur un site donné, y compris les formulaires qui ont été remplis. C’est le site web qui détermine quelles informations sont stockées dans un cookie. En général, les mots de passe ne sont malgré tout pas sauvegardés tels quels dans le cookie, ou sont a minima chiffrés.

On n’est cependant jamais à l’abri d’un site très peu sécurisé... Les flash-cookies font quant à eux partie d’un système d’authentification plus poussé : ils sont cachés quelque part sur l’ordinateur de l’utilisateur et servent de jeton (ou token) de confirmation lorsque l'utilisateur se connecte sur le site de sa banque par exemple, après avoir entré son login/password. Cela permet de s’assurer que l’utilisateur se connecte bien depuis son ordinateur habituel, et si tel n’est pas le cas, il lui sera demandé des informations supplémentaires pour l’authentifier.

Jean-Paul Pinte : Les cookies contiennent des données personnalisées de votre compte, de votre ordinateur. Les cookies sont donc des données sensibles d'un point de vue de la sécurité. Il faut donc les considérer comme des données personnelles que personne ne doit obtenir. Ils sont donc les alliés des cybercriminels car ils relatent la traçabilité des internautes. Le but du hacker, est donc généralement de voler le cookie de sa victime pour en exploiter le contenu. Comme on doit le savoir, les cookies passent par les requêtes HTTP. Si l'attaquant peut intercepter les requêtes HTTP, soit à l'aide d'un sniffer, soit par attaque par le milieu, il peut donc récupérer tous les cookies sans aucun problème. A condition bien sûr que le flux HTTP ne soit pas chiffré (HTTPS, VPN...).

 

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

L'Ifop révèle une enquête sur la population musulmane en France

02.

Brexit : petit rappel des prédictions apocalyptiques prédites au Royaume-Uni lorsqu’il choisit de garder la Livre sterling plutôt que d’adopter l’Euro

03.

Viol des hommes : cette indéniable réalité, encore trop peu considérée

04.

Ces 3 questions pièges de tout débat sur l’immigration en France

05.

Quelques bonnes raisons de promouvoir le travail post retraite

06.

Un CRS frappe violemment un Gilet Jaune

07.

Maladies cardio-vasculaires : l’étude scientifique qui a piégé une bonne partie de la presse

01.

Patrick Bruel : une deuxième masseuse l'accuse ; Adieu Sebastien Farran, bonjour Pascal, Laeticia Hallyday retrouve enfin l’amour ! ; Lily-Rose Depp & Timothée Chalamet squelettiques mais heureux, Céline Dion juste maigre...;

02.

Le chef de l’organisation météorologique mondiale s’en prend de manière virulente aux extrémistes du changement climatique

03.

Retraites : ces trois questions pièges souvent oubliées des grands discours

04.

Laeticia Hallyday aurait retrouvé l’amour

05.

Les gènes du gaucher ont été découverts et voilà pourquoi c’est une découverte aux conséquences pratiques importantes

06.

Les avantages et les bienfaits d'une éducation conservatrice pour nos enfants face à la faillite éducative contemporaine

01.

Patatras : l’étude phare qui niait l’existence de notre libre arbitre à son tour remise en question

02.

Selon le président la Conférence des Évêques de France, les citoyens "inquiets" du projet de loi bioéthique ont le "devoir" de manifester le 6 octobre

03.

Ces 3 questions pièges de tout débat sur l’immigration en France

04.

Pourquoi LREM pourra difficilement échapper à son destin de “parti bourgeois” quels que soient ses efforts

05.

PMA / GPA : la guerre idéologique est-elle perdue ?

06.

Le chef de l’organisation météorologique mondiale s’en prend de manière virulente aux extrémistes du changement climatique

Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires