Explorer les terminologies de sécurité

En tant que futur professionnel de la cybersécurité, vous remarquerez qu’il

existe de nombreuses terminologies couramment utilisées dans diverses
publications et discussions. Il est important que vous compreniez la
signification de ces terminologies avant d'approfondir des sujets avancés.
Cette section se concentre sur l’apprentissage de diverses terminologies de
sécurité.

Menaces, vulnérabilités et exploits

Une vulnérabilité est définie comme une faiblesse de sécurité ou un défaut
de conception sur un système. Les pirates informatiques et les
professionnels de la cybersécurité s’affrontent pour découvrir les failles de
conception des systèmes. Les pirates sont toujours à la recherche de failles
de sécurité qui leur permettent de compromettre le système ou le réseau.
Les professionnels de la cybersécurité sont toujours à la recherche de ces
défauts de conception et de les corriger avant que les pirates informatiques
ne puissent les trouver. Les chercheurs en sécurité travaillent en
permanence avec des fournisseurs de systèmes d'exploitation et de
logiciels, des développeurs d'applications et de nombreuses autres
organisations pour protéger leurs produits contre les utilisateurs
malveillants.

Chaque fois qu'une nouvelle vulnérabilité est découverte pour la première

fois dans la nature, le chercheur en sécurité obtient généralement un
identifiant unique qui est divulgué publiquement dans une base de
données. Cette base de données est connue sous le nom de Common
Vulnerabilities and Exposures (CVE). Une fois qu'un numéro CVE a été
attribué, les détails de la vulnérabilité sont généralement partagés avec la
communauté de la cybersécurité, car ils incluent des détails sur un défaut
de conception. Le partage de ces informations aide d'autres professionnels
du domaine à mettre en œuvre des mesures d'atténuation et/ou des mesures
correctives pour protéger leurs systèmes. Imaginez que votre entreprise
utilise une application du fournisseur A depuis de nombreuses années. Un
jour, une vulnérabilité est révélée publiquement et les informations sont
partagées avec votre équipe informatique. Votre équipe peut utiliser le
numéro de référence CVE pour recueillir des informations
supplémentaires, telles que la description de la vulnérabilité, les
applications concernées et les systèmes d'exploitation concernés. Par
conséquent, si votre organisation dispose de cette application vulnérable
sur le système d'exploitation spécifié, votre équipe peut mettre en œuvre
des contrôles de sécurité supplémentaires pour protéger les systèmes et les
utilisateurs jusqu'à ce que le fournisseur de l'application publie une mise à
jour de sécurité pour remédier à la faille de sécurité.
CONSEIL
CVE est accessible au public surhttps://cve.mitre.org/.

Un exemple de vulnérabilité connue est EternalBlue, qui a été découvert

pour la première fois sur les systèmes d'exploitation Microsoft Windows en
2017. Cette faille de sécurité a permis à un utilisateur malveillant tel qu'un
pirate informatique d'exécuter du code à distance sur n'importe quel
système cible doté du Server Message Block (SMB) de Microsoft. 1.0,
mieux connu sous le nom de SMBv1. Si l'attaquant réussissait, une charge
utile malveillante pourrait être délivrée et exécutée sur le système de la
victime.
CONSEIL
Pour obtenir plus de détails sur la vulnérabilité EternalBlue, veuillez
visiterhttps://docs.microsoft.com/en-us/securitouimises à
jour/sécuritéouibulletins/2017/ms17-010Fou la divulgation officielle
de Microsoft.

Bien qu'il existe de nombreuses menaces existantes et émergentes, de

nombreuses organisations tentent de mettre en œuvre une politique de
confiance zéro sur leur réseau et leurs systèmes. Le modèle Zero Trust
garantit que chacun, comme tous les employés et autres utilisateurs, est
correctement authentifié et autorisé à utiliser le système et à accéder aux
ressources de l'entreprise. Il n'y a aucune exception pour aucun utilisateur
sur le réseau d'entreprise, et les politiques et configurations de sécurité sont
continuellement validées et améliorées pour garantir que l'accès est
strictement limité aux utilisateurs authentifiés et autorisés sur le réseau.

Dans de nombreux cas, un attaquant peut envoyer une charge utile qui peut
lui permettre d'accéder à distance à une cible à l'insu de l'utilisateur. La
vulnérabilité EternalBlue a reçu le numéro de référence MS17-010 par le
centre des bulletins de sécurité Microsoft.

Les pirates utilisent des exploits pour profiter d'une vulnérabilité sur un
système. Un exploit est défini comme tout ce qui, comme un code
malveillant ou un outil, peut être utilisé pour exploiter une faille de sécurité
sur un système ou un réseau cible. Les exploits peuvent être locaux ou
distants. Un exploit local devrait se trouver sur le système cible, ce qui
signifie que le pirate informatique devrait accéder à la cible, puis exécuter
l'exploit sur le système. Un exploit à distance permet au pirate
informatique de lancer l'exploit sur le réseau, de sorte que l'attaquant n'a
pas besoin d'un accès physique à la machine victime mais simplement
d'une connectivité réseau.
CONSEIL
La base de données d'exploits est une base de données d'exploits
maintenue par les créateurs de Kali Linux, Offensive Security. La
base de données d'exploits contient de nombreux exploits utilisés
par les chercheurs en sécurité pour tester leurs systèmes afin de
déterminer si une vulnérabilité existe ou non. La base de données
d'exploits est accessible viahttps://www.exploit-db.com/.

Les professionnels de la cybersécurité utilisent à la fois des outils

personnalisés et commerciaux pour les aider à découvrir les vulnérabilités.
Prenez par exemple les testeurs d'intrusion dont la tâche est de découvrir et
d'exploiter toutes les vulnérabilités connues et cachées sur la cible de leur
client dans un périmètre donné. Un testeur d'intrusion peut utiliser un outil
tel que Metasploit, qui est un cadre de développement d'exploitation. Il
permet au testeur d'intrusion de développer et de lancer des exploits et des
charges utiles sur une cible.

Les attaquants automatisent également leurs exploits en utilisant des kits

d'exploit. Un kit d'exploit est un exploit préemballé qui est généralement
chargé sur un serveur public, tel qu'un serveur Web populaire sur Internet.
L'objectif du kit d'exploitation est de découvrir toute vulnérabilité sur les
systèmes des utilisateurs lorsqu'ils visitent le serveur Web infecté. Une fois
que le kit d'exploitation aura trouvé une vulnérabilité, il tentera de
l'exploiter en téléchargeant simplement du code malveillant sur le système
de la victime et en l'exécutant. Un exemple de kit d’exploit est Angler.

Un autre terme clé en matière de sécurité est celui de menace. Une menace
est définie comme tout ce qui est susceptible de causer un préjudice ou un
danger à un actif. Un exemple de menace pourrait être un employé
mécontent qui aurait l'intention de désactiver le réseau de l'organisation
lors de son départ de l'entreprise. Cette intention se concentre sur la
perturbation de l’un des trois piliers de la triade de la CIA : la disponibilité.
Chasse aux menacesdevient une activité très populaire dans le monde de
la cybersécurité. Cela implique l'action de rechercher de manière proactive
dans les systèmes et les réseaux, simplement pour détecter et atténuer tout
type de cybermenaces qui ont échappé aux appareils et solutions de
sécurité existants.

Il est important que les professionnels de la sécurité sécurisent leur réseau

interne avec des contre-mesures tout autant que leur réseau périmétrique.
Une contre-mesure est une mesure de sécurité conçue pour atténuer
(supprimer) une menace potentielle. Un exemple de contre-mesure consiste
à mettre en œuvre des contrôles de sécurité de couche 2, tels que la sécurité
des ports, l'inspection dynamique ARP (DAI), le contrôle d'accès au réseau
(NAC), la surveillance DHCP, etc.
Identifier les acteurs de la menace
Tout au long de cet ouvrage, vous remarquerez que le terme « acteur
menaçant » est beaucoup utilisé. Un acteur menaçant est généralement une
personne ou un groupe de personnes ayant l’intention d’utiliser leurs
compétences pour effectuer des actions malveillantes sur une organisation,
une personne ou un système. Tous les pirates n’ont pas la même intention
de compromettre les systèmes cibles ; certains piratent pour le plaisir,
tandis que d’autres piratent pour gagner de l’argent.

Voici une liste de différents types d’acteurs menaçants et de leurs

intentions :
Script kiddie: Un script kiddie n'est pas nécessairement un enfant mais
quelqu'un qui utilise des scripts et des outils prédéfinis créés par de
vrais hackers. Cette personne ne possède pas les connaissances
techniques réelles en matière de sécurité que possèdent les vrais pirates
informatiques, mais a la même intention de causer des dommages ou
des dommages à un système ou à un réseau. Les script kiddies peuvent
causer autant de dégâts à une cible que les vrais pirates informatiques,
même s’ils n’ont pas les connaissances ou les compétences en matière
de sécurité. Simplement, ils peuvent suivre les instructions d’un hacker
chevronné et obtenir les mêmes résultats sans bien comprendre les
détails techniques.

Hacktivistes: Un hacktiviste est un activiste doté des compétences d’un

hacker. Cette personne utilise ses compétences en piratage
informatique pour soutenir un agenda politique ou social. Les
hacktivistes utilisent leurs compétences pour effectuer des actions
telles que la dégradation de sites Web, le vol et la fuite d'informations
confidentielles sur Internet, etc. C'est leur façon de protester pour une
cause.
 Crime organisé: Les hackers ne piratent plus seulement pour le plaisir,
même si certains le font encore. De nos jours, certains hackers
travaillent en groupe avec l’intention d’utiliser leurs compétences et
leurs ressources pour en tirer un profit financier. Chaque personne au
sein d’un groupe du crime organisé possède généralement une
spécialisation et joue un rôle important au sein d’une équipe. Il y a
généralement un bienfaiteur qui fournit les ressources financières dont
le groupe a besoin pour acquérir les meilleurs outils disponibles pour
garantir le succès de ses attaques contre des cibles.

Parrainé par l'État: Ce type de pirate informatique est engagé par un

gouvernement à la fois pour défendre sa nation contre les cyberattaques
et pour effectuer une collecte d'informations (reconnaissance) sur
d'autres nations. Ce groupe de pirates informatiques dispose
généralement des meilleurs outils et équipements que l’on puisse
acheter.

Insider: Alors qu'une organisation effectue une sélection approfondie de

tous les employés potentiels au cours de leur processus d'entretien, les
pirates informatiques peuvent également se faire passer pour une
personne innocente souhaitant obtenir un emploi au sein d'une
organisation cible. L'objectif est d'obtenir un emploi en tant qu'employé
de confiance, puis, une fois au sein du réseau, le pirate informatique
pourra mieux apprendre le réseau et les systèmes de sécurité de
l'intérieur, facilitant ainsi la compromission de l'organisation. C’est ce
qu’on appelle une menace interne.

Il existe également des pirates informatiques au chapeau noir, qui utilisent

leurs compétences à des fins malveillantes, ainsi que des pirates
informatiques au chapeau blanc, qui sont les gentils du secteur de la
cybersécurité, qui utilisent leurs compétences pour aider à sécuriser les
organisations. Cependant, il existe également des hackers gray hat, qui
existent entre les groupes black hat et white hat. Les hackers au chapeau
gris peuvent utiliser leurs compétences à la fois pour de bonnes et de
mauvaises intentions, par exemple s’ils travaillent comme professionnels
de la sécurité le jour et comme pirate informatique malveillant la nuit.