Académique Documents
Professionnel Documents
Culture Documents
1
La chaîne cybercriminelle
2
La chaîne cybercriminelle
▪ Reconnaissance : Le cybercriminel recherche les indications susceptibles de révéler les
vulnérabilités et les points faibles du système, du réseau et des applications. L’objectif c’est
trouver des points d’entrée et des vulnérabilités à exploiter
▪ Intrusion : Après avoir obtenu les renseignements, l’intrusion constitue le point d’entrée
d’une attaque, le moment où les agresseurs pénètrent dans la place
▪ Exploitation : La phase d’exploitation d’une attaque profite des failles du système. Les
cybercriminels peuvent désormais entrer dans le système, installer des outils supplémentaires,
modifier les certificats de sécurité et créer de nouveaux scripts à des fins nuisibles.
▪ Escalade de privilèges : Les cybercriminels utilisent l’escalade de privilèges pour obtenir des
autorisations élevées d’accès aux ressources. Ils modifient les paramètres de sécurité, les
fichiers de configuration et essaient d’extraire des informations d’identification. 3
La chaîne cybercriminelle
▪ Mouvement latéral. Les cybercriminels se déplacent de système en système, de manière latérale,
afin d’obtenir d’autres accès et de trouver plus de ressources et se positionnent de manière à causer le
plus de dégâts possible.
▪ Camouflage. Les cyberattaquants masquent leur présence et leur activité pour éviter toute détection
et déjouer les investigations. Cela peut prendre la forme de fichiers et de métadonnées effacés, de
données écrasées au moyen de fausses valeurs d’horodatage et d’informations trompeuses, ou encore
d’informations critiques modifiées pour que les données semblent ne jamais avoir été touchées.
▪ Déni de service : les cybercriminels ciblent le réseau et l’infrastructure de données pour que les
utilisateurs légitimes ne puissent obtenir ce dont ils ont besoin. L’attaque par déni de service (DoS)
perturbe et interrompt les accès.
▪ Exfiltration : les cybercriminels obtiennent les données. Ils copient, transfèrent ou déplacent les
données sensibles vers un emplacement sous leur contrôle où ils pourront les vendre contre une
rançon par exemple
4
Attaques de déni de service (DoS)
▪ Visent à rendre un service, un réseau ou une ressource indisponible en
submergeant la cible de demandes ou de trafic excessif.
▪ Exemple : Une attaque DoS peut consister à inonder un serveur web avec un
grand nombre de requêtes simultanées, le surchargeant et le rendant incapable
de répondre aux demandes légitimes des utilisateurs.
5
Attaques de déni de service (DoS)
▪ Flood UDP : consiste à envoyer un grand nombre de paquets UDP vers des ports
aléatoire de la machine cible. Cette dernière indique alors avec un message ICMP
qu’aucune application ne répond sur ce port :
6
Attaques de déni de service distribué (DDoS)
▪ sont similaires aux attaques DoS, mais elles impliquent plusieurs sources
d'attaque distribuées, souvent des botnets (réseaux d'ordinateurs compromis
contrôlés à distance par un attaquant)
▪ Ces attaques sont encore plus difficiles à contrer, car elles utilisent un grand
nombre d'ordinateurs pour saturer la cible
8
Attaques de déni de service distribué (DDoS)
9
Attaques de déni de service distribué (DDoS)
▪ Utilisez des pare-feu et des dispositifs de détection d'intrusion (IDS/IPS) pour filtrer le trafic
réseau indésirable et détecter les schémas d'attaque.
▪ Mettez en œuvre un équilibrage de charge et une répartition de trafic pour répartir la charge
sur plusieurs serveurs, ce qui rendra plus difficile pour les attaquants de submerger une seule
ressource.
▪ Utilisez des services de protection contre les attaques DDoS fournis par des fournisseurs
spécialisés. Ces services peuvent détecter et atténuer les attaques en redirigeant le trafic
malveillant loin de votre infrastructure.
▪ Configurez des limites de bande passante et des seuils de connexion pour réduire l'impact des
attaques volumétriques.
▪ Effectuez régulièrement des tests de résistance et des audits de sécurité pour identifier les
vulnérabilités et les points faibles de votre infrastructure. 10
Attaques de déni de service distribué (DDoS)
▪ Utilisez des systèmes de détection d'anomalies pour surveiller le trafic réseau et
détecter les schémas de comportement suspects.
▪ Éduquez vos utilisateurs sur les bonnes pratiques de sécurité, tels que l'identification
des emails de phishing et la sensibilisation aux techniques d'ingénierie sociale.
▪ Utilisez des services de mitigation DNS pour protéger votre infrastructure DNS contre
les attaques DDoS ciblant les serveurs DNS.
13
Attaques d'usurpation d'identité
▪ Attaques par interception de paquets (Packet Sniffing) :
15
Attaques d'usurpation d'identité
▪ Utilisez des connexions sécurisées :
• Utilisez des protocoles de communication sécurisés tels que HTTPS pour chiffrer les
communications entre votre système et les serveurs distants
• Évitez de vous connecter à des réseaux Wi-Fi publics non sécurisés, car ils peuvent être
vulnérables aux attaques de l'homme du milieu
• Utilisez des certificats numériques pour vérifier l'authenticité des sites web et des serveurs
auxquels vous vous connectez. Assurez-vous que les certificats numériques utilisés par ces sites
sont valides et émis par une autorité de confiance. Vérifiez les détails du certificat pour vous
assurer de l'authenticité du site.
16
Attaques d'usurpation d'identité
▪ Utilisez des outils de détection d'attaques :
• Utilisez des outils de détection d'attaques, tels que des systèmes de détection
d'intrusion (IDS) et des systèmes de prévention d'intrusion (IPS), pour surveiller les
activités suspectes sur votre réseau.
• Renforcez la sécurité de votre réseau en utilisant des pare-feu, des antivirus et des
antimalwares, et en maintenant vos systèmes à jour avec les derniers correctifs de
sécurité.
17
Attaques d'usurpation d'identité
▪ Sensibilisez les utilisateurs :
• Formez vos utilisateurs sur les bonnes pratiques de sécurité, tels que l'identification des
sites web sécurisés, la vérification des certificats et la protection des informations
sensibles.
▪ Lorsque vous vous connectez à des réseaux non sécurisés, utilisez un VPN (réseau privé virtuel)
pour établir une connexion chiffrée entre votre appareil et le réseau distant, rendant ainsi plus
difficile l'interception de vos communications.
18
Attaques d'usurpation d'identité
▪ Utilisez des outils de sécurité :
• Utilisez des outils de sécurité tels que des pare-feu, des antivirus et des antimalwares
pour détecter et bloquer les logiciels malveillants qui pourraient permettre à un
attaquant d'intercepter vos communications
• Soyez vigilant face aux emails non sollicités, aux liens suspects et aux pièces jointes
provenant d'expéditeurs inconnus. Évitez de cliquer sur des liens ou de télécharger des
fichiers à moins d'être sûr d leur provenance et de leur légitimité
19
Attaques d'usurpation d'identité
▪ Restez à jour avec les correctifs de sécurité :
• Utilisez des mots de passe forts pour tous vos comptes en ligne, et n'utilisez jamais le
même mot de passe pour plusieurs comptes. Cela limite les risques en cas de
compromission d'un seul compte.
20
Attaques d'infiltration et de vol d'informations
▪ Attaques de phishing :
22
Attaques d'infiltration et de vol d'informations
▪ Attaques par hameçonnage :
• Les attaques par hameçonnage sont similaires aux attaques de phishing, mais elles impliquent
généralement la création de sites web ou de pages de connexion frauduleuses qui imitent
parfaitement des sites web légitimes. Les utilisateurs sont trompés pour saisir leurs
informations d'identification sur ces faux sites, ce qui permet aux attaquants de les récupérer.
• L'hameçonnage est une forme ciblée de phishing qui se concentre sur la manipulation de
l'utilisateur pour obtenir ses informations d'identification. Il s'agit d'une attaque spécifique qui
exploite la confiance de l'utilisateur envers les institutions ou les services légitimes.
• Exemple : Un utilisateur clique sur un lien dans un e-mail prétendant provenir de son
fournisseur de services de messagerie. Le lien mène à une page de connexion qui semble
identique à celle du fournisseur de services, mais en réalité, il s'agit d'un site web frauduleux.
L'utilisateur saisit ses identifiants, qui sont ensuite récupérés par l'attaquant.
23
Attaques d'infiltration et de vol d'informations
▪ Attaques par injection SQL :
• Exploitent les vulnérabilités des applications web pour injecter du code SQL malveillant
dans les requêtes SQL en cours d'exécution. Cela permet aux attaquants de manipuler
les bases de données, d'accéder à des informations sensibles ou même de prendre le
contrôle de l'application
24
Attaques d'infiltration et de vol d'informations
▪ Attaques par injection SQL :
25
Attaques d'infiltration et de vol d'informations
▪ Attaques par ransomware :
26
Attaques d'infiltration et de vol d'informations
▪ Attaques par ransomware :
27
Attaques d'infiltration et de vol d'informations
▪ Soyez vigilant face aux e-mails et aux messages suspects :
• Méfiez-vous des e-mails ou des messages provenant d'expéditeurs inconnus ou non sollicités.
Ne cliquez pas sur les liens ou les pièces jointes suspects
• Vérifiez l'exactitude des adresses e-mail et des URL des sites web en inspectant attentivement
les détails. Évitez de fournir des informations sensibles en réponse à des demandes douteuses
• Sensibilisez les utilisateurs aux meilleures pratiques de sécurité, notamment la prudence lors de
l'ouverture d'e-mails et de la navigation sur des sites web.
28
Attaques d'infiltration et de vol d'informations
▪ Vérifiez les certificats de sécurité :
• Lorsque vous saisissez des informations sensibles sur des sites web, assurez-vous que la
connexion est sécurisée en vérifiant la présence d'un cadenas dans la barre d'adresse
du navigateur et en s'assurant que l'URL commence par "https://"
• Utilisez des logiciels antivirus et des pare-feu pour détecter et bloquer les menaces
potentielles. Assurez-vous que ces logiciels sont régulièrement mis à jour pour
bénéficier des dernières définitions de sécurité
• Effectuez des sauvegardes régulières de vos données importantes sur des supports de
stockage externes ou dans le cloud. Ainsi, même en cas de ransomware, vous pouvez
restaurer vos fichiers sans payer la rançon.
• Utilisez des mots de passe uniques et robustes pour vos comptes en ligne. Évitez
d'utiliser des informations personnelles évidentes et utilisez une combinaison de
lettres, de chiffres et de caractères spéciaux.
• Utilisez des outils de sécurité tels que des logiciels anti-phishing et des systèmes de
détection d'intrusion pour détecter les attaques potentielles et les comportements
suspects sur votre réseau. 30
Les attaques d'exploration et de reconnaissance
▪ Les attaques d'exploration et de reconnaissance sont des actions entreprises par
des attaquants pour collecter des informations sur un système cible ou un
réseau, afin de préparer des attaques ultérieures. Voici quelques explications sur
cette famille d'attaques, accompagnées d'exemples
31
Les attaques d'exploration et de reconnaissance
▪ Balayage de ports (Port Scanning) :
• L'attaquant utilise des outils automatisés pour scanner les ports d'un système ou d'un
réseau afin de détecter les services ou les applications en cours d'exécution. Cela
permet à l'attaquant de comprendre la topologie du réseau, d'identifier les
vulnérabilités potentielles et de planifier des attaques spécifiques
• Exemple : Un attaquant utilise un logiciel de balayage de ports pour identifier les ports
ouverts sur un serveur cible. En fonction des ports découverts, il peut déduire les
services qui s'exécutent sur le serveur et les vulnérabilités éventuelles associées à ces
services
32
Les attaques d'exploration et de reconnaissance
▪ Balayage de ports (Port Scanning) :
33
Les attaques d'exploration et de reconnaissance
▪ Balayage de ports (Port Scanning) :
34
Les attaques d'exploration et de reconnaissance
▪ Enumération :
• L'attaquant utilise des techniques d'exploration pour collecter des informations sur les
utilisateurs, les comptes, les partages de fichiers, les noms d'hôtes, les groupes, les
politiques de sécurité, etc. Cette collecte d'informations permet à l'attaquant de mieux
comprendre la structure et les vulnérabilités potentielles du système.
• Exemple : Un attaquant utilise des outils d'enumeration pour extraire des informations
sur les utilisateurs et les groupes d'un système cible. Ces informations peuvent ensuite
être utilisées pour planifier des attaques telles que le brute-forcing de mots de passe ou
la recherche de vulnérabilités spécifiques.
35
Les attaques d'exploration et de reconnaissance
▪ Fingerprinting :
• L'attaquant utilise des techniques pour recueillir des informations sur le système
d'exploitation, les services et les applications spécifiques utilisés sur le système cible.
Cela permet à l'attaquant de comprendre les versions logicielles, les correctifs appliqués
et les vulnérabilités connues, facilitant ainsi le choix des attaques les plus efficaces
• Exemple : Un attaquant analyse les réponses des services réseau pour identifier les
signatures spécifiques du système d'exploitation et des versions logicielles. Ces
informations peuvent aider l'attaquant à choisir les exploits les mieux adaptés aux
vulnérabilités connues de ces versions
36
Les attaques d'exploration et de reconnaissance
▪ Sniffing :
• L'attaquant utilise des outils pour intercepter et analyser le trafic réseau dans le but de
collecter des informations sensibles telles que des identifiants de connexion, des
données non chiffrées ou des informations de configuration réseau. Le sniffing peut
être utilisé pour repérer les faiblesses du réseau et préparer des attaques ultérieures.
• Exemple : Un attaquant utilise un outil de sniffing pour intercepter le trafic Wi-Fi d'un
réseau d'entreprise. En analysant le trafic, l'attaquant peut extraire des identifiants de
connexion non chiffrés et obtenir un accès non autorisé à des comptes sensibles.
37
Les attaques d'exploration et de reconnaissance
▪ Utilisez un pare-feu : Configurez et utilisez un pare-feu pour filtrer le trafic entrant et sortant de
votre réseau. Bloquez les ports non nécessaires et autorisez uniquement les connexions
légitimes.
▪ Surveillance du réseau : Mettez en place des outils de surveillance du réseau pour détecter les
activités suspectes, comme les scans de ports ou les tentatives d'enumeration. Utilisez des
systèmes de détection d'intrusion (IDS) ou des systèmes de prévention d'intrusion (IPS) pour
surveiller le trafic et détecter les comportements anormaux.
38
Les attaques d'exploration et de reconnaissance
▪ Sécurité des mots de passe : Utilisez des mots de passe forts pour tous vos comptes et
changez-les régulièrement. Évitez d'utiliser les mêmes mots de passe pour plusieurs comptes.
L'utilisation d'une authentification à deux facteurs (2FA) peut également renforcer la sécurité
de vos comptes.
▪ Éducation des utilisateurs : Sensibilisez les utilisateurs aux risques liés aux attaques
d'exploration et de reconnaissance. Apprenez-leur à reconnaître les signes d'activités
suspectes, à éviter de divulguer des informations sensibles et à signaler toute activité suspecte
à l'équipe de sécurité.
▪ Réduire la surface d'attaque : Désactivez ou supprimez les services, les protocoles ou les
fonctionnalités inutilisés sur vos systèmes. Moins vous avez d'exposition, moins vous êtes
vulnérable aux attaques.
39
Les attaques d'exploration et de reconnaissance
▪ Surveillance des journaux : Surveillez régulièrement les journaux de votre système pour
détecter les activités suspectes ou les tentatives d'exploration. Analysez les événements de
journalisation pour identifier les schémas ou les signaux d'alarme.
▪ Utilisez des outils de détection d'intrusion : Mettez en place des outils de détection d'intrusion
(IDS) ou des systèmes de prévention d'intrusion (IPS) pour détecter et bloquer les activités
malveillantes. Ces outils peuvent aider à repérer les scans de ports, les tentatives
d'enumeration et d'autres activités de reconnaissance.
40