Les attaques réseaux

1
La chaîne cybercriminelle

2
 La chaîne cybercriminelle
▪ Reconnaissance : Le cybercriminel recherche les indications susceptibles de révéler les
vulnérabilités et les points faibles du système, du réseau et des applications. L’objectif c’est
trouver des points d’entrée et des vulnérabilités à exploiter

▪ Intrusion : Après avoir obtenu les renseignements, l’intrusion constitue le point d’entrée
d’une attaque, le moment où les agresseurs pénètrent dans la place

▪ Exploitation : La phase d’exploitation d’une attaque profite des failles du système. Les
cybercriminels peuvent désormais entrer dans le système, installer des outils supplémentaires,
modifier les certificats de sécurité et créer de nouveaux scripts à des fins nuisibles.

▪ Escalade de privilèges : Les cybercriminels utilisent l’escalade de privilèges pour obtenir des
autorisations élevées d’accès aux ressources. Ils modifient les paramètres de sécurité, les
fichiers de configuration et essaient d’extraire des informations d’identification. 3
 La chaîne cybercriminelle
▪ Mouvement latéral. Les cybercriminels se déplacent de système en système, de manière latérale,
afin d’obtenir d’autres accès et de trouver plus de ressources et se positionnent de manière à causer le
plus de dégâts possible.

▪ Camouflage. Les cyberattaquants masquent leur présence et leur activité pour éviter toute détection
et déjouer les investigations. Cela peut prendre la forme de fichiers et de métadonnées effacés, de
données écrasées au moyen de fausses valeurs d’horodatage et d’informations trompeuses, ou encore
d’informations critiques modifiées pour que les données semblent ne jamais avoir été touchées.

▪ Déni de service : les cybercriminels ciblent le réseau et l’infrastructure de données pour que les
utilisateurs légitimes ne puissent obtenir ce dont ils ont besoin. L’attaque par déni de service (DoS)
perturbe et interrompt les accès.

▪ Exfiltration : les cybercriminels obtiennent les données. Ils copient, transfèrent ou déplacent les
données sensibles vers un emplacement sous leur contrôle où ils pourront les vendre contre une
rançon par exemple
4
 Attaques de déni de service (DoS)
▪ Visent à rendre un service, un réseau ou une ressource indisponible en
submergeant la cible de demandes ou de trafic excessif.

▪ Epuisent les ressources disponibles, telles que la bande passante, la puissance de

calcul ou la mémoire, empêchant ainsi les utilisateurs légitimes d'accéder au
service ou au réseau.

▪ Exemple : Une attaque DoS peut consister à inonder un serveur web avec un
grand nombre de requêtes simultanées, le surchargeant et le rendant incapable
de répondre aux demandes légitimes des utilisateurs.

5
 Attaques de déni de service (DoS)
▪ Flood UDP : consiste à envoyer un grand nombre de paquets UDP vers des ports
aléatoire de la machine cible. Cette dernière indique alors avec un message ICMP
qu’aucune application ne répond sur ce port :

6
 Attaques de déni de service distribué (DDoS)
▪ sont similaires aux attaques DoS, mais elles impliquent plusieurs sources
d'attaque distribuées, souvent des botnets (réseaux d'ordinateurs compromis
contrôlés à distance par un attaquant)

▪ Ces attaques sont encore plus difficiles à contrer, car elles utilisent un grand
nombre d'ordinateurs pour saturer la cible

▪ Exemple : Une attaque DDoS pourrait impliquer des milliers d'ordinateurs

infectés par un malware, tous envoyant simultanément des requêtes à une cible
spécifique, provoquant un engorgement du système et rendant les services
indisponibles.
7
Attaques de déni de service distribué (DDoS)

8
Attaques de déni de service distribué (DDoS)

9
 Attaques de déni de service distribué (DDoS)
▪ Utilisez des pare-feu et des dispositifs de détection d'intrusion (IDS/IPS) pour filtrer le trafic
réseau indésirable et détecter les schémas d'attaque.

▪ Mettez en œuvre un équilibrage de charge et une répartition de trafic pour répartir la charge
sur plusieurs serveurs, ce qui rendra plus difficile pour les attaquants de submerger une seule
ressource.

▪ Utilisez des services de protection contre les attaques DDoS fournis par des fournisseurs
spécialisés. Ces services peuvent détecter et atténuer les attaques en redirigeant le trafic
malveillant loin de votre infrastructure.

▪ Configurez des limites de bande passante et des seuils de connexion pour réduire l'impact des
attaques volumétriques.

▪ Effectuez régulièrement des tests de résistance et des audits de sécurité pour identifier les
vulnérabilités et les points faibles de votre infrastructure. 10
 Attaques de déni de service distribué (DDoS)
▪ Utilisez des systèmes de détection d'anomalies pour surveiller le trafic réseau et
détecter les schémas de comportement suspects.

▪ Éduquez vos utilisateurs sur les bonnes pratiques de sécurité, tels que l'identification
des emails de phishing et la sensibilisation aux techniques d'ingénierie sociale.

▪ Maintenez vos systèmes à jour en appliquant régulièrement les correctifs de sécurité et

les mises à jour logicielles.

▪ Utilisez des services de mitigation DNS pour protéger votre infrastructure DNS contre
les attaques DDoS ciblant les serveurs DNS.

▪ Élaborez et mettez en œuvre un plan d'intervention en cas d'attaque DDoS afin de

pouvoir réagir rapidement et efficacement en cas d'incident.
11
 Attaques d'usurpation d'identité
▪ Attaques de l'homme du milieu (Man-in-the-Middle) :

• Visent à intercepter et à altérer les communications entre deux parties

légitimes sans que celles-ci ne s'en rendent compte. L'attaquant se
positionne entre la victime et la destination légitime, intercepte les
données en transit, les modifie ou les surveille.

• Exemple : Un attaquant peut utiliser un point d'accès Wi-Fi malveillant

pour se positionner entre un utilisateur et un site web qu'il visite.
L'attaquant intercepte alors les communications, peut voler des
informations sensibles (mots de passe, informations bancaires, etc.) ou
modifier les données échangées.
12
 Attaques d'usurpation d'identité
▪ Attaques de l'homme du milieu (Man-in-the-Middle) :

13
 Attaques d'usurpation d'identité
▪ Attaques par interception de paquets (Packet Sniffing) :

• Consistent à capturer et à analyser le trafic réseau afin d'obtenir des

informations sensibles, telles que des identifiants de connexion, des
données confidentielles ou des mots de passe. Ces attaques peuvent se
produire sur des réseaux câblés ou sans fil.

• Exemple : Un attaquant utilise un logiciel de capture de paquets pour

surveiller le trafic réseau sur un réseau Wi-Fi public non sécurisé. En
analysant les paquets capturés, l'attaquant peut extraire des informations
personnelles, telles que des identifiants de connexion, des numéros de
carte de crédit, etc.
14
 Attaques d'usurpation d'identité
▪ Attaques par interception de paquets (Packet Sniffing) :

15
 Attaques d'usurpation d'identité
▪ Utilisez des connexions sécurisées :

• Utilisez des protocoles de communication sécurisés tels que HTTPS pour chiffrer les
communications entre votre système et les serveurs distants

• Évitez de vous connecter à des réseaux Wi-Fi publics non sécurisés, car ils peuvent être
vulnérables aux attaques de l'homme du milieu

▪ Mettez en œuvre des solutions de chiffrement :

• Utilisez le chiffrement de bout en bout pour protéger les communications sensibles et

empêcher les attaquants d'intercepter ou de modifier les données en transit

• Utilisez des certificats numériques pour vérifier l'authenticité des sites web et des serveurs
auxquels vous vous connectez. Assurez-vous que les certificats numériques utilisés par ces sites
sont valides et émis par une autorité de confiance. Vérifiez les détails du certificat pour vous
assurer de l'authenticité du site.
16
 Attaques d'usurpation d'identité
▪ Utilisez des outils de détection d'attaques :

• Utilisez des outils de détection d'attaques, tels que des systèmes de détection
d'intrusion (IDS) et des systèmes de prévention d'intrusion (IPS), pour surveiller les
activités suspectes sur votre réseau.

▪ Appliquez les meilleures pratiques de sécurité :

• Renforcez la sécurité de votre réseau en utilisant des pare-feu, des antivirus et des
antimalwares, et en maintenant vos systèmes à jour avec les derniers correctifs de
sécurité.

17
 Attaques d'usurpation d'identité
▪ Sensibilisez les utilisateurs :

• Formez vos utilisateurs sur les bonnes pratiques de sécurité, tels que l'identification des
sites web sécurisés, la vérification des certificats et la protection des informations
sensibles.

▪ Lorsque vous vous connectez à des réseaux non sécurisés, utilisez un VPN (réseau privé virtuel)
pour établir une connexion chiffrée entre votre appareil et le réseau distant, rendant ainsi plus
difficile l'interception de vos communications.

18
 Attaques d'usurpation d'identité
▪ Utilisez des outils de sécurité :

• Utilisez des outils de sécurité tels que des pare-feu, des antivirus et des antimalwares
pour détecter et bloquer les logiciels malveillants qui pourraient permettre à un
attaquant d'intercepter vos communications

▪ Méfiez-vous des emails et des liens suspects :

• Soyez vigilant face aux emails non sollicités, aux liens suspects et aux pièces jointes
provenant d'expéditeurs inconnus. Évitez de cliquer sur des liens ou de télécharger des
fichiers à moins d'être sûr d leur provenance et de leur légitimité

19
 Attaques d'usurpation d'identité
▪ Restez à jour avec les correctifs de sécurité :

• Assurez-vous de maintenir votre système d'exploitation, vos applications et vos appareils à

jour avec les derniers correctifs de sécurité. Ces correctifs corrigent souvent des
vulnérabilités connues qui pourraient être exploitées lors d'attaques d'usurpation
d'identité.

▪ Utilisez des mots de passe forts et uniques :

• Utilisez des mots de passe forts pour tous vos comptes en ligne, et n'utilisez jamais le
même mot de passe pour plusieurs comptes. Cela limite les risques en cas de
compromission d'un seul compte.

20
 Attaques d'infiltration et de vol d'informations
▪ Attaques de phishing :

• Sont des tentatives de tromperie visant à obtenir des informations confidentielles,

telles que des identifiants de connexion, des numéros de carte de crédit ou d'autres
données sensibles, en se faisant passer pour une entité légitime.

• Les attaquants envoient généralement des e-mails ou des messages prétendant

provenir de banques, d'entreprises ou de services réputés pour inciter les utilisateurs à
divulguer leurs informations

• Exemple : Un utilisateur reçoit un e-mail prétendant provenir de sa banque, l'informant

d'une activité suspecte sur son compte et lui demandant de cliquer sur un lien pour se
connecter et vérifier les détails. Le lien mène en réalité à un site web frauduleux conçu
pour voler les informations d'identification.
21
 Attaques d'infiltration et de vol d'informations
▪ Attaques de phishing :

22
 Attaques d'infiltration et de vol d'informations
▪ Attaques par hameçonnage :

• Les attaques par hameçonnage sont similaires aux attaques de phishing, mais elles impliquent
généralement la création de sites web ou de pages de connexion frauduleuses qui imitent
parfaitement des sites web légitimes. Les utilisateurs sont trompés pour saisir leurs
informations d'identification sur ces faux sites, ce qui permet aux attaquants de les récupérer.

• L'hameçonnage est une forme ciblée de phishing qui se concentre sur la manipulation de
l'utilisateur pour obtenir ses informations d'identification. Il s'agit d'une attaque spécifique qui
exploite la confiance de l'utilisateur envers les institutions ou les services légitimes.

• Exemple : Un utilisateur clique sur un lien dans un e-mail prétendant provenir de son
fournisseur de services de messagerie. Le lien mène à une page de connexion qui semble
identique à celle du fournisseur de services, mais en réalité, il s'agit d'un site web frauduleux.
L'utilisateur saisit ses identifiants, qui sont ensuite récupérés par l'attaquant.
23
 Attaques d'infiltration et de vol d'informations
▪ Attaques par injection SQL :

• Exploitent les vulnérabilités des applications web pour injecter du code SQL malveillant
dans les requêtes SQL en cours d'exécution. Cela permet aux attaquants de manipuler
les bases de données, d'accéder à des informations sensibles ou même de prendre le
contrôle de l'application

• Exemple : Un attaquant exploite une vulnérabilité dans un formulaire de recherche sur

un site web pour injecter une commande SQL malveillante. Cela lui permet de
récupérer des informations confidentielles stockées dans la base de données du site
web

24
 Attaques d'infiltration et de vol d'informations
▪ Attaques par injection SQL :

25
 Attaques d'infiltration et de vol d'informations
▪ Attaques par ransomware :

• Impliquent l'infection d'un système avec un logiciel malveillant qui chiffre

les fichiers et demande une rançon en échange de leur déchiffrement. Les
attaquants ciblent souvent les entreprises, les organismes
gouvernementaux ou les utilisateurs individuels pour extorquer de l'argent.

• Exemple : Un utilisateur télécharge un fichier infecté à partir d'un site web

compromis. Une fois exécuté, le ransomware chiffre les fichiers sur le
système de l'utilisateur et affiche une demande de rançon pour obtenir la
clé de déchiffrement

26
 Attaques d'infiltration et de vol d'informations
▪ Attaques par ransomware :

27
 Attaques d'infiltration et de vol d'informations
▪ Soyez vigilant face aux e-mails et aux messages suspects :

• Méfiez-vous des e-mails ou des messages provenant d'expéditeurs inconnus ou non sollicités.
Ne cliquez pas sur les liens ou les pièces jointes suspects

• Vérifiez l'exactitude des adresses e-mail et des URL des sites web en inspectant attentivement
les détails. Évitez de fournir des informations sensibles en réponse à des demandes douteuses

▪ Éduquez-vous et sensibilisez les utilisateurs :

• Apprenez à reconnaître les signes d'attaques de phishing ou d'hameçonnage, et partagez ces

connaissances avec vos collègues, vos amis et votre famille

• Sensibilisez les utilisateurs aux meilleures pratiques de sécurité, notamment la prudence lors de
l'ouverture d'e-mails et de la navigation sur des sites web.
28
 Attaques d'infiltration et de vol d'informations
▪ Vérifiez les certificats de sécurité :

• Lorsque vous saisissez des informations sensibles sur des sites web, assurez-vous que la
connexion est sécurisée en vérifiant la présence d'un cadenas dans la barre d'adresse
du navigateur et en s'assurant que l'URL commence par "https://"

▪ Utilisez des solutions de sécurité :

• Utilisez des logiciels antivirus et des pare-feu pour détecter et bloquer les menaces
potentielles. Assurez-vous que ces logiciels sont régulièrement mis à jour pour
bénéficier des dernières définitions de sécurité

▪ Gardez votre logiciel à jour :

• Maintenez votre système d'exploitation, vos applications et vos plugins à jour en

installant les dernières mises à jour et correctifs de sécurité. Les vulnérabilités connues
sont souvent corrigées dans ces mises à jour 29
 Attaques d'infiltration et de vol d'informations
▪ Sauvegardez régulièrement vos données :

• Effectuez des sauvegardes régulières de vos données importantes sur des supports de
stockage externes ou dans le cloud. Ainsi, même en cas de ransomware, vous pouvez
restaurer vos fichiers sans payer la rançon.

▪ Utilisez des mots de passe forts :

• Utilisez des mots de passe uniques et robustes pour vos comptes en ligne. Évitez
d'utiliser des informations personnelles évidentes et utilisez une combinaison de
lettres, de chiffres et de caractères spéciaux.

▪ Utilisez des outils de détection des attaques :

• Utilisez des outils de sécurité tels que des logiciels anti-phishing et des systèmes de
détection d'intrusion pour détecter les attaques potentielles et les comportements
suspects sur votre réseau. 30
 Les attaques d'exploration et de reconnaissance
▪ Les attaques d'exploration et de reconnaissance sont des actions entreprises par
des attaquants pour collecter des informations sur un système cible ou un
réseau, afin de préparer des attaques ultérieures. Voici quelques explications sur
cette famille d'attaques, accompagnées d'exemples

31
 Les attaques d'exploration et de reconnaissance
▪ Balayage de ports (Port Scanning) :

• L'attaquant utilise des outils automatisés pour scanner les ports d'un système ou d'un
réseau afin de détecter les services ou les applications en cours d'exécution. Cela
permet à l'attaquant de comprendre la topologie du réseau, d'identifier les
vulnérabilités potentielles et de planifier des attaques spécifiques

• Exemple : Un attaquant utilise un logiciel de balayage de ports pour identifier les ports
ouverts sur un serveur cible. En fonction des ports découverts, il peut déduire les
services qui s'exécutent sur le serveur et les vulnérabilités éventuelles associées à ces
services

32
 Les attaques d'exploration et de reconnaissance
▪ Balayage de ports (Port Scanning) :

33
 Les attaques d'exploration et de reconnaissance
▪ Balayage de ports (Port Scanning) :

34
 Les attaques d'exploration et de reconnaissance
▪ Enumération :

• L'attaquant utilise des techniques d'exploration pour collecter des informations sur les
utilisateurs, les comptes, les partages de fichiers, les noms d'hôtes, les groupes, les
politiques de sécurité, etc. Cette collecte d'informations permet à l'attaquant de mieux
comprendre la structure et les vulnérabilités potentielles du système.

• Exemple : Un attaquant utilise des outils d'enumeration pour extraire des informations
sur les utilisateurs et les groupes d'un système cible. Ces informations peuvent ensuite
être utilisées pour planifier des attaques telles que le brute-forcing de mots de passe ou
la recherche de vulnérabilités spécifiques.

35
 Les attaques d'exploration et de reconnaissance
▪ Fingerprinting :

• L'attaquant utilise des techniques pour recueillir des informations sur le système
d'exploitation, les services et les applications spécifiques utilisés sur le système cible.
Cela permet à l'attaquant de comprendre les versions logicielles, les correctifs appliqués
et les vulnérabilités connues, facilitant ainsi le choix des attaques les plus efficaces

• Exemple : Un attaquant analyse les réponses des services réseau pour identifier les
signatures spécifiques du système d'exploitation et des versions logicielles. Ces
informations peuvent aider l'attaquant à choisir les exploits les mieux adaptés aux
vulnérabilités connues de ces versions

36
 Les attaques d'exploration et de reconnaissance
▪ Sniffing :

• L'attaquant utilise des outils pour intercepter et analyser le trafic réseau dans le but de
collecter des informations sensibles telles que des identifiants de connexion, des
données non chiffrées ou des informations de configuration réseau. Le sniffing peut
être utilisé pour repérer les faiblesses du réseau et préparer des attaques ultérieures.

• Exemple : Un attaquant utilise un outil de sniffing pour intercepter le trafic Wi-Fi d'un
réseau d'entreprise. En analysant le trafic, l'attaquant peut extraire des identifiants de
connexion non chiffrés et obtenir un accès non autorisé à des comptes sensibles.

37
 Les attaques d'exploration et de reconnaissance
▪ Utilisez un pare-feu : Configurez et utilisez un pare-feu pour filtrer le trafic entrant et sortant de
votre réseau. Bloquez les ports non nécessaires et autorisez uniquement les connexions
légitimes.

▪ Mises à jour et correctifs : Maintenez vos systèmes et logiciels à jour en installant

régulièrement les correctifs de sécurité. Les vulnérabilités connues sont souvent corrigées par
les mises à jour, ce qui rend plus difficile l'exploitation de votre réseau.

▪ Surveillance du réseau : Mettez en place des outils de surveillance du réseau pour détecter les
activités suspectes, comme les scans de ports ou les tentatives d'enumeration. Utilisez des
systèmes de détection d'intrusion (IDS) ou des systèmes de prévention d'intrusion (IPS) pour
surveiller le trafic et détecter les comportements anormaux.

38
 Les attaques d'exploration et de reconnaissance
▪ Sécurité des mots de passe : Utilisez des mots de passe forts pour tous vos comptes et
changez-les régulièrement. Évitez d'utiliser les mêmes mots de passe pour plusieurs comptes.
L'utilisation d'une authentification à deux facteurs (2FA) peut également renforcer la sécurité
de vos comptes.

▪ Éducation des utilisateurs : Sensibilisez les utilisateurs aux risques liés aux attaques
d'exploration et de reconnaissance. Apprenez-leur à reconnaître les signes d'activités
suspectes, à éviter de divulguer des informations sensibles et à signaler toute activité suspecte
à l'équipe de sécurité.

▪ Réduire la surface d'attaque : Désactivez ou supprimez les services, les protocoles ou les
fonctionnalités inutilisés sur vos systèmes. Moins vous avez d'exposition, moins vous êtes
vulnérable aux attaques.

39
 Les attaques d'exploration et de reconnaissance
▪ Surveillance des journaux : Surveillez régulièrement les journaux de votre système pour
détecter les activités suspectes ou les tentatives d'exploration. Analysez les événements de
journalisation pour identifier les schémas ou les signaux d'alarme.

▪ Utilisez des outils de détection d'intrusion : Mettez en place des outils de détection d'intrusion
(IDS) ou des systèmes de prévention d'intrusion (IPS) pour détecter et bloquer les activités
malveillantes. Ces outils peuvent aider à repérer les scans de ports, les tentatives
d'enumeration et d'autres activités de reconnaissance.

▪ Établissez des politiques de sécurité : Développez et mettez en œuvre des politiques de

sécurité claires pour votre réseau. Cela peut inclure des politiques de gestion des mots de
passe, des politiques de sécurité des appareils et des politiques de sécurité du réseau.

40