Traduit de Anglais vers Français - www.onlinedoctranslator.

com

Chapitre 2

Attaques de sécurité courantes sur les services en ligne

Mince Rekhis

slim.rekhis@supcom.tn

SERES – SUP'PTIC - 2023

 Contenu

◼ Attaques sur le service DHCP

◼ Attaques sur le service DNS

◼ Attaques Dos et DDoS

◼ Attaques sans fil

◼ Attaques de phishing
 Attaques DHCP

◼ Attaque d'usurpation DHCP :Un attaquant configure un faux serveur DHCP

pour envoyer de faux paramètres de configuration IP aux clients légitimes
◼ Mauvaise passerelle par défaut :permet de créer une attaque man-in-the-middle. Cela peut
passer entièrement inaperçu lorsque l'intrus intercepte le flux de données sur le réseau.

◼ Mauvais serveur DNS :Le serveur DNS escroc dirigera l'utilisateur vers un site Web malveillant.

◼ Mauvaise adresse IP:permet de créer une attaque DoS sur le client DHCP.

◼ Attaque de famine DHCP :Un attaquant inonde le serveur DHCP de

fausses requêtes DHCP pour louer toutes les adresses IP disponibles.
◼ Cela crée une attaque par déni de service (DoS), car les nouveaux clients ne peuvent pas obtenir d'adresse IP.

3
 Défense contre l'usurpation de serveur DHCP

◼ L'idée de cette fonctionnalité est de différencier deux types de ports dans un

environnement commuté : les ports fiables (connectant les serveurs DHCP) et les ports non
approuvés (connectant les clients).

Protocole DHCP
4
 Rejouer l'attaque

◼ Alice s'authentifie auprès de Bob

◼ Le protocole est vulnérable à l'attaque par rejeu (le 3ème message peut être
réinjecté par un intrus d'une ancienne session)

"Je suis Alice"

Prouve le

h(mot de passe d'Alice)

Alice Bob

◼ Pour empêcher la relecture,nombres aléatoires (nonces) et/ou horodatages

pourrait être attaché aux messages 5
 Défi-Réponseprotection basée contre la relecture

"Je suis Alice"

Nonce

h(mot de passe d'Alice, Nonce)

Alice Bob

◼ Nonceest ledéfi
◼ Nonce est un nombre aléatoire imprévisible pour l'adversaire
◼ Un Nonce empêche la relecture et garantit la fraîcheur

◼ Lehacherest leréponse
◼ Le mot de passe doit être connu par Alice et Bob
6
 Adapter le protocole à l'authentification mutuelle

"Je suis Alice", RUN

RB, E(RUN,KUN B)

E(RB,KUN B)
Alice Bob

◼ Le nouveau protocole obtenu est-il sécurisé ?

◼ Les protocoles sont subtils.

◼ La chose "évidente" peut ne pas être sécurisée

◼ Si les hypothèses ou l'environnement changent, le protocole peut ne pas fonctionner

7
Attaque d'authentification mutuelle

1. "Je suis Alice", RUN

2.RB, E(RUN,KUN B)

Trudy Bob

3. "Je suis Alice",RB

4.RC,E(RB,KUN B)

Trudy Bob

8
 Authentification mutuelle par clé symétrique

"Je suis Alice", RUN

E("Bob" | RB| RUN, KUN B)

E("Alice" | RB, KUN B)

Alice Bob

◼ Ces modifications triviales rendent-elles le protocole plus sûr ?

◼ Oui!

9
 Attaques DNS

◼ Attaques de résolveur ouvert DNS

◼ Attaques furtives DNS

◼ Attaques de duplication de domaine DNS

◼ Attaques par tunnel DNS

dix
 Attaques de résolveur DNS Open

◼ Un résolveur DNS ouvert répond aux requêtes des clients en dehors de son domaine administratif.

◼ Les résolveurs ouverts DNS sont vulnérables à plusieurs activités malveillantes décrites dans le tableau.

Vulnérabilités du résolveur DNS Description

Les auteurs de menaces envoient des informations de ressource d'enregistrement (RR) falsifiées et usurpées à un résolveur
DNS pour rediriger les utilisateurs de sites légitimes vers des sites malveillants. Les attaques d'empoisonnement du cache
Attaques d'empoisonnement du cache DNS
DNS peuvent toutes être utilisées pour informer le résolveur DNS d'utiliser un serveur de noms malveillant qui fournit des
informations RR pour les activités malveillantes.

Les acteurs de la menace utilisent des attaques DoS ou DDoS sur les résolveurs ouverts DNS pour augmenter le
Amplification DNS et volume des attaques et masquer la véritable source d'une attaque. Les pirates envoient des messages DNS aux
attaques par réflexion résolveurs ouverts en utilisant l'adresse IP d'un hôte cible. Ces attaques sont possibles car le résolveur ouvert
répondra aux requêtes de toute personne posant une question.

Une attaque DoS qui consomme les ressources des résolveurs DNS ouverts. Cette attaque DoS
Attaques d'utilisation des consomme toutes les ressources disponibles pour affecter négativement les opérations du
ressources DNS résolveur DNS ouvert. L'impact de cette attaque DoS peut nécessiter le redémarrage du résolveur
DNS ouvert ou l'arrêt et le redémarrage des services.

11
 Attaques par amplification et réflexion DNS

◼ Les serveurs intermédiaires ne sont pas nécessairement des bots (précédemment compromis et sous le
contrôle de l'attaquant)

◼ Ils reflètent tous la demande usurpée en

envoyant une réponse à la victime
Serveur dns

demande répondre

demande

Serveur dns répondre

demande
attaquant

répondre

Serveur dns victime

demande

répondre

IP source = IP victime

Serveur dns 12
 Attaques d'empoisonnement du cache DNS

faisant autorité
DNS pour domaine.edu

2. itératif
Requêtes DNS

1. Requête DNS
domaine.edu=? DNS local

3. Réponse DNS
domaine.edu=
Attaquant
17.32.8.9
20.30.40.50

◼ Objectif : mettre un faux enregistrement (pointant vers le nœud de l'attaquant) pour le domaine.edu dans les caches du serveur DNS local

◼ L'attaquant interroge le serveur DNS local

◼ Le DNS local effectue des requêtes itératives

◼ L'attaquant attend un certain temps ; envoie une fausse réponse, usurpant le serveur faisant autorité pour le domaine.edu

◼ Les réponses non sollicitées ne sont pas acceptées sur un serveur de noms car les ID sont utilisés dans les messages DNS pour faire
correspondre les réponses aux requêtes 13
 Attaques furtives DNS

◼ Pour cacher leur identité, les attaquants pourraient utiliser les techniques de furtivité DNS suivantes

DNS furtif
Description
Techniques

Les pirates utilisent cette technique pour dissimuler leurs sites de phishing et de diffusion de logiciels
malveillants derrière un réseau d'hôtes DNS compromis qui évolue rapidement. Les adresses IP DNS sont
flux rapide
continuellement modifiées en quelques minutes. Les botnets utilisent souvent des techniques Fast Flux pour
empêcher efficacement la détection des serveurs malveillants.

Les pirates utilisent cette technique pour changer rapidement le nom d'hôte en mappages d'adresses IP
Flux IP double et pour changer également le serveur de noms faisant autorité. Cela augmente la difficulté
d'identifier la source de l'attaque.

Domaine
Les acteurs de la menace utilisent cette technique dans les logiciels malveillants pour générer de manière aléatoire des noms de
Génération
domaine qui peuvent ensuite être utilisés comme points de rendez-vous vers leurs serveurs de commande et de contrôle (C&C).
Algorithmes

14
Réseau Simple Flux (1)

15
 Réseau Simple Flux (2)
◼ L'attaquant gère un serveur de noms faisant autorité pour la résolution de nom du nom de domaine
malveillant

◼ Il met à jour dynamiquement l'enregistrement DNS A avec les adresses IP des agents fast-flux avec une
valeur TTL très courte

◼ À l'expiration de la durée de vie, les nouvelles adresses IP remplacent les anciennes pour ces enregistrements DNS A dans le
fichier de zone DNS

◼ Lorsqu'un client victime veut résoudre un nom de domaine malveillant, il envoie la requête DNS
au serveur DNS récursif

◼ Les adresses IP résolues sont les adresses IP des agents fast-flux qui fonctionnent comme un serveur proxy
inverse vers le serveur C&C

◼ L'agent fast-flux à cette adresse transmet la demande du client au serveur C&C et

renvoie le contenu reçu du serveur C&C au client.
◼ Le client victime communique directement avec le serveur C&C ; à la place, il communique avec le serveur C&C
via des agents fast-flux
16
Réseau Double Flux (1)

17
 Réseau Double Flux (2)
◼ Lorsqu'un client veut résoudre un nom de domaine malveillant, il envoie la requête DNS au
serveur DNS récursif

◼ L'attaquant a configuré l'enregistrement DNS NS pointant vers l'adresse IP de l'agent fast-flux sur le fichier de zone
DNS du serveur .COM

◼ Le serveur .COM répond avec l'adresse IP d'un agent fast-flux en tant que serveur de noms faisant
autorité du nom de domaine malveillant interrogé

◼ Maintenant, le serveur DNS récursif envoie une requête DNS au serveur de noms faisant autorité (agent fast-flux)
pour résoudre l'adresse IP du nom de domaine malveillant

◼ L'agent fast-flux n'effectue aucune résolution de nom du domaine malveillant. Il transmet cette
requête DNS au serveur DNS malveillant contrôlé par l'attaquant (serveur C&C)

◼ Le serveur DNS malveillant répond à la requête DNS de cet agent fast-flux, puis l'agent fast-flux
renvoie cette réponse au serveur DNS récursif, qui à son tour envoie les adresses IP résolues du
domaine malveillant au client réel.
18
 Masquage de domaine DNS

◼ Si un attaquant utilise un serveur pour diffuser des

logiciels malveillants, son adresse IP sera mise sur

liste noire

◼ Dans l'observation de domaine DNS, l'attaquant

compromet les informations d'identification du compte

de domaine, crée silencieusement plusieurs sous-

domaines et génère de manière aléatoire des chaînes

pour pointer vers des serveurs malveillants.

◼ Ces sous-domaines ne contiennent pas de logiciels

malveillants, mais pointent généralement vers des

serveurs malveillants qui propageront des logiciels

malveillants 19
 Tunnellisation DNS

◼ Objectif : placer le trafic non DNS dans le trafic DNS

◼ Utilisé pour contourner les solutions de sécurité lorsqu'un attaquant souhaite communiquer avec des robots à l'intérieur
d'un réseau protégé ou exfiltrer des données de l'organisation

◼ Une machine bot divise une donnée de commande en plusieurs morceaux codés, placés dans une étiquette de nom de
domaine de niveau inférieur de la requête DNS

◼ Comme il n'y a pas de réponse du DNS local ou en réseau pour la requête, la requête est envoyée aux
serveurs DNS récursifs du FAI

◼ Le service DNS récursif transmettra la requête au serveur de noms faisant autorité de l'attaquant

◼ Le processus est répété jusqu'à ce que toutes les requêtes contenant les morceaux soient envoyées

◼ Lorsque le serveur de noms faisant autorité de l'attaquant reçoit les requêtes DNS des appareils infectés, il envoie
des réponses pour chaque requête DNS (qui contiennent les commandes CnC encapsulées et codées)

◼ Le logiciel malveillant sur l'hôte compromis recombine les morceaux et exécute la commande cachée

◼ Contre-mesure : (a) inspecte le trafic DNS ; (b) Faites attention aux requêtes DNS qui sont plus longues que la
moyenne, ou celles qui ont un nom de domaine suspect
20
 Exemple de tunnel DNS
◼ La machine attaquante continuera à envoyer des requêtes DNS avec des morceaux de

données encodées du fichier (à exfiltrer) dans le segment de données du sous-

domaine jusqu'à ce que toutes les données aient été transmises.

◼ Le serveur C&C répond aux requêtes de transfert de données avec les adresses
IPv4 dont le quatrième octet est incrémenté de trois pour obtenir le bloc de
données suivant.

21
 Vulnérabilité des applications Web

Exemple : vulnérabilité IIS/PWS Extended Unicode Directory Traversal

◼ Normalement, IIS vérifie les chaînes d'URL pour s'assurer que certaines constructions ne se produisent pas.

◼ par exemple, un demandeur tente d'accéder à un parent du répertoire "/scripts"

◼ http://www.example.com/scripts/..\../winnt/system32/cmd.exe?/c+dir

◼ IIS l'attrape et renvoie une réponse HTTP 404 - Fichier introuvable.

◼ Lorsque la même requête est faite sous la forme suivante en encodant certains caractères en
unicode
◼ http://www.example.com/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir

◼ La réponse est :
Répertoire de c:\inetpub\scripts
10/01/2001 15h46 <REP> .
10/01/2001 15h46 <REP> ..
0 Fichier(s) 0 octets 2 Répertoire(s) 2 527 547 392 octets libres

22
 Déni de service (DoS)
◼ Objectif : Empêcher l'accès par des utilisateurs légitimes ou arrêter les processus système critiques

◼ DoS basé sur la vulnérabilité d'implémentation :

◼ L'attaquant envoie quelques messages spécialement conçus à l'application cible qui présente une vulnérabilité

◼ Provoque l'arrêt ou le blocage du service distant

◼ DoS basé sur l'inondation de connexion

◼ L'attaquant inonde la cible de requêtes superflues pour surcharger les systèmes et empêcher que
certaines ou toutes les requêtes légitimes soient satisfaites

◼ DoS basé sur l'inondation de la bande passante

◼ L'attaquant submerge le lien de communication (reliant les utilisateurs à la cible) avec des datagrammes pour les
saturer

◼ La force de l'attaque par inondation réside dans le volume plutôt que dans le contenu

23
 Exemple de DoS basé sur la vulnérabilité de mise en œuvre

◼ ICMP ping de la mort

◼ La taille maximale des paquets ICMP (y compris l'en-tête Ip) est de 65 535 octets.

◼ Tout paquet d'écho dépassant cette taille sera fragmenté par l'expéditeur et le
destinataire tentera de reconstituer le paquet.
◼ Le pirate envoie un paquet d'écho illégal avec plus d'octets que ce qui est autorisé, provoquant la
fragmentation des données.

◼ Lorsque le récepteur essaie de reconstituer le paquet, il provoque un débordement de buffer et

plante

◼ Attaque terrestre

◼ Envoyer un paquet SYN usurpé avec la source et la destination étant toutes deux la victime

◼ À la réception, la machine de la victime continue de se répondre en boucle, puis se bloque

24
 Attaque d'inondation SYN

◼ L'attaquant envoie de nombreuses demandes de connexion avec une adresse source usurpée

◼ La victime alloue des ressources pour chaque demande

◼ Plusieurs connexions sont entrouvertes

◼ L'état de la connexion est maintenu jusqu'à l'expiration du délai

◼ Une fois les ressources épuisées, les demandes des clients légitimes sont refusées

◼ Habituellement, l'attaquant usurpe l'IP source pour que les paquets SYN soient un hôte invalide

(évitez toute réaction de filtrage)

◼ La victime ne recevra jamais de RST pour fermer la connexion

◼ Problème d'asymétrie : il ne coûte rien au client TCP d'envoyer une demande de connexion, mais le

serveur TCP doit générer un thread pour chaque demande

25
 Attaque d'inondation SYN

Prise de contact TCP

Inondation SYN

26
 Prévention basée sur les cookies de SYN Flooding (1)
◼ Utilisation de cookies : permet au serveur de rester sans état jusqu'à ce que le client envoie ACK

◼ Lorsque le segment SYN arrive, l'hôte B exécute la fonction (hachage) sur :

◼ Adresses IP source et de destination et numéros de port, temps approximatif (horodatage à incrémentation lente) et
un numéro secret

◼ L'hôte B utilise le "cookie" résultant pour son numéro de séquence initial (ISN) dans SYN | ACK

◼ L'hôte B n'alloue rien à une connexion semi-ouverte :

◼ Ne se souvient pas de l'ISN de A

◼ Ne se souvient pas du cookie

SYN avec ISNUN

SYN-ACK avec ISNB= biscuit

Hôte A
Hôte B (serveur)

◼ Lorsque le client répondra, le cookie sera vérifié

27
 Prévention basée sur les cookies de SYN Flooding (2)
Hôte A Hôte B
SYN Écoute…
séquence number
Compatible avec h St
andardTCP ; Ne stocke pas l'état
SYN, ACK
séquence # =biscuit

F (adresse source, source port,

Le cookie est infalsifiable
dest addr, dest po rt,
F = fonction de hachage crypto ion heure grossière,Hôte Bseconderet) Le client n'est pas en mesure d'inverser un cookie

Recalculer le cookie et le comparer avec

ACK (biscuit) celui reçu
N'établissez la connexion que s'ils correspondent

◼ Cas d'attaque SYN-flood avec adresse IP usurpée

◼ Aucun ACK ne revient à l'hôte B

◼ Pas de problème car l'hôte B n'attend pas de ACK

◼ Désavantages

◼ Le cryptage des réponses peut être coûteux en calcul.

Le cookie SYN ne réduit pas le trafic, ce qui le rend inefficace contre les attaques d'inondation SYN qui ciblent la bande passante
◼
28
 Inondation UDP

◼ L'attaquant envoie un flot de paquets UDP, souvent à partir d'un hôte usurpé,
à un serveur sur le sous-réseau

◼ Il balaie tous les ports connus en essayant de trouver des ports fermés

◼ Si un port est fermé, le serveur répond par unMessage de port ICMP

inaccessible

◼ Parce qu'il y a de nombreux ports fermés sur le serveur, cela crée beaucoup de
trafic sur le segment, qui utilise la majeure partie de la bande passante (créant
potentiellement une attaque DoS)

29
 Attaque DoS Schtroumpf

Demande d'écho ICMP Réponse d'écho ICMP

Src : Cible Dos Destination : Cible Dos

Dest : adresse brdct

passerelle
DoS DoS
Source Cible

◼ Envoyer une requête ping à l'adresse de diffusion (requête d'écho ICMP)

◼ Beaucoup de réponses :

◼ Chaque hôte sur le réseau cible génère une réponse ping (ICMP Echo Reply) à la victime (cible DoS) Le flux de

◼ réponse Ping peut surcharger la victime

30
 Attaque Fraggle
◼ Est une variante de l'attaque Schtroumpf qui utilise le protocole UDP (User Datagram Protocol)

au lieu d'ICMP.

◼ Travaillez en utilisant les programmes CHARGEN (Port UDP/19) et ECHO (Port UDP/7).

◼ Les deux applications sont conçues pour fonctionner un peu

comme les pings ICMP (répondre à tous les hôtes
demandeurs qui envoient du trafic vers ces ports pour les
informer qu'ils sont actifs)

◼ L'attaque Fraggle les utilisera pour créer une boucle

infinie en envoyant du trafic entre les deux ports.

◼ L'atténuation est facile :

◼ Désactiver/filtrer ces services car aucun d'entre eux n'est vital

◼ Empêcher les routeurs d'envoyer du trafic de diffusion (empêcher uniquement un réseau de participer à une
attaque Smurf/Fraggle) 31
 DoS distribué (DDoS)

◼ L'attaquant utilise plusieurs systèmes pour

générer des attaques

robot

◼ Il exploite les vulnérabilités de leurs

systèmes d'exploitation ou des robot

applications pour y accéder et y attaquant l'Internet

installe un programme (zombie) robot

victime

◼ Il crée de grandes collections de

tels systèmes sous son robot

contrôle, formant un botnet

32
 Attaque de brouillage sans fil

◼ Générer un bruit fort (par exemple, un bruit gaussien) afin

d'interférer et de réduire la capacité du canal sans fil.

◼ Un tel comportement peut compromettre la disponibilité du service, en particulier si

l'attaquant se trouve à proximité de la station de base.

◼ Si l'attaquant change de position, il rend plus difficile la

surveillance des anomalies et la localisation mobile.

33
 Types d'attaques de brouillage

◼ Brouilleur constant
◼ Toujours émettre des bits aléatoires de signal radio

◼ Brouilleur trompeur
◼ Toujours émettre des bits de préambule

◼ Brouilleur aléatoire

◼ Alterner entre les états de veille et de brouillage -> Conserver l'énergie

◼ Brouilleur réactif
◼ Transmettre le signal lorsque le brouilleur détecte l'activité du canal -> Plus difficile à détecter

34
 Attaques DDoS dans les réseaux cellulaires 2G
◼ Les faiblesses des attaques DDoS dans les réseaux cellulaires 2G sont principalement liées aux vulnérabilités
d'authentification dans les protocoles utilisés.

◼ L'une des attaques DoS les plus connues est la fausse attaque BTS qui est apparue pour la première fois avec les
réseaux GSM.

◼ Le BTS malveillant envoie des signaux plus forts aux utilisateurs de la cellule actuelle

➔ Les utilisateurs seront détachés du réseau

35
 Attaques DDoS dans les réseaux 2.5G

◼ Les réseaux cellulaires 2.5G et au-delà offrent des services de données,

plusieurs vulnérabilités ont été héritées d'Internet.
◼ Les protocoles utilisés pour les services de données tels que TCP et ICMP sont vulnérables aux attaques DDoS.

◼ Ouverture du réseau à Internet.

◼ L'attaque TCP SYN Flood représente l'une des célèbres attaques DDoS dans les réseaux
2.5G

◼ Un intrus prend le contrôle d'un nombre suffisant de mobiles au moyen de virus

◼ Il leur demande d'établir un ensemble de connexions TCP successives semi-ouvertes vers un serveur afin
d'épuiser sa mémoire et de remplir la file d'attente des connexions.

36
 Attaques DDoS dans les réseaux 3G/4G
◼ Les attaques DDoS sont plus importantes

◼ Utilisation d'un grand nombre de services PUSH, qui sont lancés à partir d'Internet.

◼ Utilisation de la technologie de commutation de paquets et vulnérabilité aux attaques basées sur IP.

◼ Consommation des canaux radio

◼ Un attaquant s'introduit dans des équipements utilisateur faiblement sécurisés et les utilise comme zombies.

◼ Plus tard, il leur demande de générer des appels incomplets en même temps

➔ Avec un nombre important d'attaquants dans chaque cellule, le réseau peut être en panne pendant une longue période.

◼ Abus des serveurs téléphoniques

◼ Un attaquant fait appel à un grand nombre de téléphones portables simultanément à un serveur vocal.

➔ La cible sera inaccessible pendant l'attaque.

37
 Attaque de désauthentification sur 802.11

◼ Après avoir sélectionné un point d'accès 802.11 pour la communication,

les clients doivent s'authentifier auprès du point d'accès avec leur
adresse MAC

◼ Une partie du cadre d'authentification est un message permettant

aux clients de se désauthentifier explicitement de l'AP

◼ Un attaquant usurpe le message de désauthentification pour suspendre la

communication entre le point d'accès et le client, provoquant un DoS

◼ Malheureusement, ce message lui-même n'est pas authentifié

◼ Le client doit s'authentifier à nouveau pour reprendre la communication

◼ L'attaque peut être exécutée sur un client individuel ou sur tous les clients

◼ L'attaquant usurpe l'adresse des clients en disant à

l'AP de les désauthentifier ; ou

◼ L'attaquant usurpe AP en disant à tous les clients de se désauthentifier 38

 Attaques d'ingénierie sociale

◼ L'ingénierie sociale est une attaque d'accès qui tente de manipuler des individus pour qu'ils

effectuent des actions ou divulguent des informations confidentielles. Certaines techniques

d'ingénierie sociale sont réalisées en personne tandis que d'autres peuvent utiliser le téléphone
ou Internet

◼ Les ingénieurs sociaux comptent souvent sur la volonté des gens d'être utiles. Ils s'attaquent

aussi aux faiblesses des gens

39
 Attaques d'ingénierie sociale (suite)
Attaque d'ingénierie sociale Description

Pretexte Un acteur malveillant prétend avoir besoin de données personnelles ou financières pour confirmer l'identité du destinataire.

Un pirate envoie des e-mails frauduleux déguisés en provenance d'une source légitime et fiable pour inciter le destinataire à installer des logiciels
Hameçonnage
malveillants sur son appareil ou à partager des informations personnelles ou financières.

Hameçonnage Un pirate crée une attaque de phishing ciblée et adaptée à une personne ou une organisation spécifique.

Courrier indésirable Aussi connu sous le nom de courrier indésirable, il s'agit d'un courrier électronique non sollicité qui contient souvent des liens nuisibles, des logiciels malveillants ou du contenu trompeur.

Parfois appelé « quid pro quo », c'est lorsqu'un auteur de menaces demande des informations personnelles à une partie en échange de quelque
Quelque chose pour quelque chose
chose comme un cadeau.

Un auteur de menace laisse un lecteur flash infecté par un logiciel malveillant dans un lieu public. Une victime trouve le lecteur et l'insère sans méfiance dans son
Appâtage
ordinateur portable, installant involontairement un logiciel malveillant.

Imitation Ce type d'attaque se produit lorsqu'un auteur de menace prétend être quelqu'un qu'il n'est pas pour gagner la confiance d'une victime.

Talonnage C'est là qu'un auteur de menace suit rapidement une personne autorisée dans un lieu sécurisé pour accéder à une zone sécurisée.

C'est là qu'un pirate regarde discrètement par-dessus l'épaule de quelqu'un pour voler ses mots de passe ou d'autres
Surf d'épaule
informations.

Plongée dans les bennes C'est là qu'un pirate fouille dans les poubelles pour découvrir des documents confidentiels

40
Usurpation d'identité : exemple de conversation

41
Exemple : e-mail d'hameçonnage

42
 Prévention contre les attaques de Phishing

◼ Ne réagissez pas de manière impulsive en cliquant immédiatement sur des liens inhabituels

◼ N'ouvrez pas les e-mails ou les pièces jointes provenant de sources suspectes

◼ Méfiez-vous des offres attrayantes ("Si cela semble trop beau pour être vrai, alors c'est

probablement le cas!")

◼ Gardez votre logiciel antivirus à jour

◼ Réglez vos filtres anti-spam sur "élevé"

◼ Ne donnez JAMAIS de mots de passe ou d'informations financières en ligne !

◼ Ignorer les messages demandant ou donnant de l'argent

◼ Pratiquez le protocole de sécurité approprié sur place

43
 Attaques d'ingénierie sociale (suite)
◼ La boîte à outils d'ingénierie sociale (SET) a été

conçue pour aider les pirates informatiques et

autres professionnels de la sécurité réseau à créer
des attaques d'ingénierie sociale pour tester leurs
propres réseaux.

◼ Les entreprises doivent éduquer leurs utilisateurs

sur les risques de l'ingénierie sociale et développer

des stratégies pour valider les identités par
téléphone, par e-mail ou en personne.

◼ La figure montre les pratiques recommandées qui

doivent être suivies par tous les utilisateurs.