INSTITUT UNIVERSITAIRE DE TECHNOLOGIE

RÉPUBLIQUE DU CAMEROUN
FOTSO VICTOR DE BANDJOUN
REPUBLIC OF CAMEROON FOTSO VICTOR UNIVERSITY
Peace – Work - Fatherland INSTITUTE OF TECHNOLOGY
UNIVERSITÉ DE DSCHANG Département de Génie Informatique
UNIVERSITY OF DSCHANG Département of Computer Engineering
Scholae Thesaurus Dschangensis Ibi Cordum
BP 134, Bandjoun – Tél./Fax (237) 699 31 61 30 / 670 64 23 92
BP 96, Dschang (Cameroun) – Tél./Fax (237) 233 45 13 81 Website : http://www.univ-dschang.org/iutfv/
Website : http://www.univ-dschang.org.
E-mail : udsrectorat@univ-dschang.org /. E-mail : iutfv-bandjoun@univ-dschang.org

ESPIONNAGE VIA UN KEYLOGGER,

CYBER ATTAQUE, CYBER
DETECTION, CYBER RESILIENCE,
CYBER DEFENSE

MEMBRES DU GROUPE

NOM MATRICULE FILIERE

NOUGA MFANGNIA Ange cm-uds-21iut0042 CDRI
Merveille
POKAM Yohann cm-uds-21iut0756 CDRI
TACHOM WABO Raoul cm-uds-21iut0791 CDRI
MANFO SAA Florent cm-uds-21iut0651 CDRI
Brown

Sous la supervision de : M. FOTSING NDE BLAISE

Année Universitaire 2023/2024

 SOMMAIRE

INTRODUCTION ...................................................................................................................... 3
CYBERATTAQUE .................................................................................................................... 4
I. OBJECTIFS DES CYBERATTAQUES ........................................................................ 4
1. Vol de données sensibles ......................................................................................... 4
2. Interruption des services .......................................................................................... 4
3. Espionnage industriel ............................................................................................... 4
4. Sabotage ................................................................................................................... 4
5. Profit financier ......................................................................................................... 4
6. Motivations politiques et militaires ......................................................................... 4
7. Attaques-tests ........................................................................................................... 5
II. SCENARIO D’ATTAQUES ....................................................................................... 5
III. LES CATEGORIES D’ATTAQUES .......................................................................... 5
IV. LES TYPES DE CYBERATTAQUES ....................................................................... 5
1. Attaques par déni de service (DoS) et par déni de service distribué (DDoS) .......... 5
2. Attaque de l’homme au milieu (MitM) .................................................................... 6
3. Ingénierie sociale ..................................................................................................... 6
4. Attaque par Drive by Download .............................................................................. 7
6. Attaque par injection SQL ....................................................................................... 7
7. Attaque par des logiciels malveillants ..................................................................... 8
V. LES TYPES D’ATTAQUANTS ................................................................................. 9
VI. EXEMPLES DE CYBERATTAQUES ....................................................................... 9
ESPIONNAGE VIA UN KEYLOGGER ................................................................................ 11
I. FONCTIONNEMENT DES KEYLOGGERS .............................................................. 11
1. Les keyloggers logiciels ......................................................................................... 11
2. Les keyloggers logiciels de type kernel ................................................................. 12
3. Les keyloggers materiels........................................................................................ 12
II. MOYENS DE DETECTION..................................................................................... 13
III. MOYENS DE DEFENSE ......................................................................................... 13
CYBERDETECTION .............................................................................................................. 14
I. DEFINITION ET OBJECTIFS ..................................................................................... 14
II. LES TYPES DE DETECTION ................................................................................. 14
1. Détection basée sur les anomalies.......................................................................... 14
2. Détection basée sur les signatures.......................................................................... 14
III. LES OUTILS DE DETECTIONS ............................................................................. 15
CYBERDEFENSE ................................................................................................................... 17

1
 I. DEFINITION ET OBJECTIFS ..................................................................................... 17
II. LES METHODES DE CYBERDEFENSE ............................................................... 17
1. Surveillance et veille .............................................................................................. 17
2. Analyse des vulnérabilités ..................................................................................... 17
3. Gestion des accès ................................................................................................... 18
4. Formation et sensibilisation ................................................................................... 18
III. LES OUTILS DE CYBERDEFENSE ....................................................................... 18
1. Pare-feu (Firewall) ................................................................................................. 18
2. Systèmes de prévention d'intrusion (IPS) .............................................................. 18
3. Antivirus ................................................................................................................ 19
4. Cryptographie ........................................................................................................ 19
IV. LES ACTEURS DE LA CYBERDEFENSE ............................................................ 19
V. QUELQUES SOLUTIONS DE DEFENSE CONTRE CERTAINES ATTAQUES 20
1. Ping de la mort ....................................................................................................... 20
2. Phishing.................................................................................................................. 20
3. Injection SQL ......................................................................................................... 20
4. Attaque par mot de passe ....................................................................................... 21
5. Attaque par drive by download .............................................................................. 21
CYBER-RESILIENCE ............................................................................................................ 22
I. DEFINITION ET OBJECTIFS ..................................................................................... 22
II. METHODES DE CYBER-RESILIENCE................................................................. 22
III. OUTILS DE CYBER-RESILIENCE ........................................................................ 23
1. Systèmes de détection et de prévention des intrusions .......................................... 23
2. Planification de la continuité des activités (PCA) et plan de reprise d'activité
(PRA) ............................................................................................................................... 23
3. Sauvegardes régulières des données critiques ....................................................... 23
IV. LES ACTEURS DE LA CYBER-RESILIENCE ...................................................... 24
CAS PRATIQUE ..................................................................................................................... 25
1. KEYLOGGER LOGICIEL .................................................................................... 25
2. ATTAQUE PAR DICTIONNAIRE D’UN MOT DE PASSE Wi-Fi ................... 25
3. ATTAQUE PAR FORCE BRUTE D’UN MOT DE PASSE Wi-Fi ..................... 25
4. CHEVAL DE TROIE ............................................................................................ 25
CONCLUSION ........................................................................................................................ 26
WEBOGRAPHIE ..................................................................................................................... 27

2
 INTRODUCTION

Dans un monde de plus en plus interconnecté et dépendant de la technologie, la sécurité

informatique est devenue une préoccupation primordiale pour les individus, les entreprises et
les gouvernements. Les avancées technologiques ont ouvert de nouvelles possibilités, mais ont
également exposé les systèmes informatiques à un large éventail de menaces, parmi lesquelles
les cyberattaques telles que l'espionnage via des keyloggers qui occupent une place
prépondérante. Un keylogger est un outil matériel ou logiciel conçu pour enregistrer
secrètement les frappes clavier d'un utilisateur, permettant à un attaquant d'accéder à des
informations sensibles telles que les identifiants de connexion, les mots de passe, les données
financières et les communications confidentielles. L'utilisation de keyloggers dans le cadre
d'opérations d'espionnage constitue une menace sérieuse pour la sécurité des individus et des
organisations, mettant en péril leur vie privée, leur réputation et leurs actifs numériques.
Parallèlement, les cyberattaques, qu'elles soient menées par des acteurs étatiques, des groupes
de cybercriminels organisés ou des individus malveillants, continuent de représenter une
menace omniprésente. Ces attaques prennent différentes formes, allant de l'exploitation de
vulnérabilités logicielles à l'ingénierie sociale sophistiquée, en passant par l'utilisation de
keyloggers pour capturer des informations sensibles à des fins d'espionnage ou de vol. Face à
ces menaces croissantes, la détection précoce, la résilience et la défense cybernétique sont
devenues des impératifs pour préserver l'intégrité, la confidentialité et la disponibilité des
données et des systèmes informatiques. La capacité à répondre efficacement aux
cyberattaques est essentielle pour limiter les dommages potentiels et rétablir la sécurité des
systèmes compromis. Dans ce plan de travail, nous explorerons en détail les différentes
dimensions de l'espionnage via un keylogger, les cyberattaques, la détection, la résilience et la
défense cybernétique. Nous examinerons les mécanismes sous-jacents des keyloggers, les
vecteurs d'attaque utilisés par les cybercriminels, les techniques de détection des cyberattaques,
ainsi que les bonnes pratiques en matière de résilience et de prévention des incidents
cybernétiques.

3
 CYBERATTAQUE

Une cyberattaque est un acte offensif envers un dispositif informatique à travers un

réseau cybernétique. Une cyberattaque peut émaner de personnes isolées ou d'un groupe
de pirates informatique, éventuellement étatique. Une cyberattaque est presque
systématiquement malveillante, mais peut s'inscrire dans une approche éthique, lorsqu'elle a
pour seul but de mettre en évidence une faille de sécurité.

I. OBJECTIFS DES CYBERATTAQUES

Les objectifs des cybers attaques sont nombreuses, on distingue :

1. Vol de données sensibles
L'un des objectifs les plus courants des cyberattaques est le vol de données sensibles,
telles que les informations personnelles, les identifiants de connexion, les informations
financières ou les secrets commerciaux. Ces données peuvent être utilisées à des fins lucratives,
telles que le vol d'identité, le chantage ou la vente sur le marché noir.
2. Interruption des services
Les cyberattaques peuvent viser à perturber les services en ligne, les réseaux
informatiques ou les infrastructures critiques.
3. Espionnage industriel
Les cyberattaques peuvent être utilisées pour espionner des concurrents ou des
entreprises rivales afin d'obtenir un avantage concurrentiel. Cela peut inclure le vol de propriété
intellectuelle, de plans de produits, de stratégies commerciales ou d'autres informations
confidentielles.
4. Sabotage
Certaines cyberattaques ont pour objectif de causer des dommages physiques,
économiques ou stratégiques à une organisation ou à un pays. Cela peut inclure la destruction
de données, la manipulation de systèmes de contrôle industriels ou la compromission
d'infrastructures critiques telles que les réseaux électriques ou les systèmes de transport.
5. Profit financier
Faire du profit est souvent une motivation centrale pour les cybercriminels. Cela peut
se manifester par l'escroquerie de personnes vulnérables sur Internet, la réalisation d'attaques
de phishing pour dérober des informations financières ou encore par des rançongiciels qui
chiffrent les fichiers des victimes et exigent un paiement pour les déchiffrer.
6. Motivations politiques et militaires
Certaines cyberattaques ont des motivations politiques ou militaires. Par exemple, les
attaques ciblant des gouvernements ou des infrastructures critiques peuvent viser à affirmer
une domination politique ou militaire.
4
 7. Attaques-tests
Les cyberattaques peuvent également être utilisées à des fins de tests d'intrusion, où
des consultants en sécurité, appelés « pentesters », sont engagés pour tenter de compromettre
les systèmes informatiques d'une organisation. Ces attaques permettent de détecter et de
corriger les failles de sécurité avant qu'elles ne soient exploitées par de véritables attaquants.

II. SCENARIO D’ATTAQUES

On distingue :
• Attaques actives : l'intrusion dans un réseau ou un système pour voler des données ou
causer des dommages.
• Attaques passives : l'interception et la surveillance de communications pour recueillir
des informations sensibles.

III. LES CATEGORIES D’ATTAQUES

On distingue :
• Attaques ciblées : Les attaques ciblées sont minutieusement planifiées et exécutées
contre des cibles spécifiques, qu'il s'agisse d'organisations, d'individus ou de systèmes
informatiques particuliers.
• Attaques à grande échelle : Les attaques à grande échelle visent à perturber les
opérations ou à causer des dommages généralisés à un grand nombre de cibles
simultanément. Ces attaques sont souvent motivées par des gains financiers, des
motivations idéologiques ou des objectifs de sabotage à grande échelle.
• Attaques internes : Menées par des individus avec un accès légitime aux systèmes de
l'organisation. Ils peuvent être motivées par la vengeance, le vol d'informations ou la
négligence.
• Attaques externes : Initiées par des acteurs extérieurs à l'organisation. Ils recherchent
souvent à compromettre les systèmes pour des gains financiers, l'espionnage ou le
sabotage.

IV. LES TYPES DE CYBERATTAQUES

De nos jours avec internet disponible partout et sur la majorité des équipements
informatiques, plusieurs terminaux sont exposés à de nombreuses cyberattaques, nous avons
entre autres :
1. Attaques par déni de service (DoS) et par déni de service distribué (DDoS)
Une attaque par déni de service submerge les ressources d’un système afin que ce dernier
ne puisse pas répondre aux demandes de service. Une attaque DDoS vise elle aussi les
ressources d’un système, mais elle est lancée à partir d’un grand nombre d’autres machines
hôtes infectées par un logiciel malveillant contrôlé par l’attaquant. Une attaque DoS peut aussi
avoir pour but de mettre un système hors ligne afin de pouvoir lancer un autre type d’attaque.
Il existe différents types d’attaques DoS et DDoS ; les plus courantes sont les attaques SYN
flood, les attaques teardrop, le ping de la mort et les botnets.

5
 • Attaques SYN flood : Ces attaques inondent un serveur avec un grand nombre de
demandes de connexion SYN, épuisant ses ressources et l'empêchant de répondre aux
demandes légitimes.
• Attaques teardrop : Elles exploitent une vulnérabilité dans le traitement des paquets
IP en envoyant des paquets fragmentés malformés, provoquant un crash du système
cible lors de leur réassemblage.
• Ping de la mort : Ce type d’attaque pingue un système cible avec des paquets IP dont
la taille est supérieure au maximum de 65 535 octets. Les paquets IP de cette taille ne
sont pas autorisés, le pirate les fragmente donc. Lorsque le système cible réassemble les
paquets, il peut subir des débordements de tampon et d’autres plantages.
• Botnets : Les botnets sont des réseaux d'ordinateurs infectés par des logiciels
malveillants, contrôlés à distance par un attaquant, et utilisés pour mener diverses
activités malveillantes telles que les attaques DDoS ou le vol de données.
2. Attaque de l’homme au milieu (MitM)
Une attaque de l’homme du milieu est un pirate qui s’insère dans les communications entre un
client et un serveur. Voici un type courant d’attaque de l’homme du milieu qui est
Le détournement de session
Dans ce type d’attaque MitM, un attaquant détourne une session entre un client de confiance et
un serveur réseau. L’ordinateur attaquant substitue son adresse IP au client de confiance
pendant que le serveur poursuit la session, croyant qu’il communique avec le client. Par
exemple, l’attaque pourrait se dérouler ainsi :

3. Ingénierie sociale
L'ingénierie sociale consiste à manipuler les individus pour leur faire divulguer
des informations confidentielles ou effectuer des actions qui compromettent la
sécurité. Cela peut inclure des techniques telles que la manipulation psychologique,
le phishing.
• Attaques phishing et spear phishing
L’hameçonnage consiste à envoyer des e-mails qui semblent provenir de sources
fiables dans le but d’obtenir des informations personnelles ou d’inciter les utilisateurs à faire
quelque chose. Cette technique combine ingénierie sociale et stratagème technique. Elle peut
impliquer une pièce jointe à un e-mail, qui charge un logiciel malveillant sur votre ordinateur.

6
Elle peut également utiliser un lien pointant vers un site Web illégitime qui vous incite à
télécharger des logiciels malveillants ou à transmettre vos renseignements personnels.
Le harponnage (spear phishing) est un hameçonnage très ciblé. Les attaquants
prennent le temps de mener des recherches sur leurs cibles et de créer des messages personnels
et pertinents. Pour cette raison, le harponnage peut être très difficile à identifier et encore plus
difficile à combattre.
• Attaques d'appâtage (baiting)
Les attaquants laissent des dispositifs USB infectés dans des endroits stratégiques, tels
que des parkings d'entreprise, en espérant que les employés les trouvent et les connectent à leurs
ordinateurs. Une fois connecté, le périphérique USB peut infecter l'ordinateur avec des logiciels
malveillants ou voler des informations sensibles.
• Attaques de prétexte (pretexting)
Les attaquants créent une histoire ou un scénario crédible pour tromper les victimes et
obtenir des informations sensibles. Par exemple, un attaquant peut se faire passer pour un
employé d'une entreprise ou un fournisseur de services et demander des informations
confidentielles sous prétexte de vérification des comptes ou de résolution de problèmes.
4. Attaque par Drive by Download
Les attaques par téléchargement furtif sont une méthode courante de propagation des
logiciels malveillants. Les pirates recherchent des sites Web non sécurisés et insèrent un script
malveillant dans le code HTTP ou PHP de l’une des pages. Ce script peut installer des logiciels
malveillants directement sur l’ordinateur d’un visiteur du site, ou rediriger celui-ci vers un site
contrôlé par les pirates. Des téléchargements furtifs peuvent survenir lors de la visite d’un site
Web ou de l’affichage d’un e-mail ou d’une fenêtre pop-up.
5. Attaque par mot de passe
Les mots de passe étant le mécanisme le plus couramment utilisé pour authentifier les
utilisateurs d’un système informatique, l’obtention de mots de passe est une approche d’attaque
courante et efficace. Le mot de passe d’une personne peut être obtenu en fouillant le bureau
physique de la personne, en surveillant la connexion au réseau pour acquérir des mots de passe
non chiffrés, en ayant recours à l’ingénierie sociale, en accédant à une base de données de mots
de passe ou simplement en devinant. Cette dernière approche – deviner – peut s’effectuer de
manière aléatoire ou systématique :
Les attaques par force brute consistent à adopter une approche aléatoire : essayer
différents mots de passe en espérant que l’un d’entre eux fonctionnera. Une certaine logique
peut être appliquée : essayer des mots de passe liés au nom de la personne, à son poste, à ses
passe-temps ou à des éléments similaires.
Dans une attaque par dictionnaire, un dictionnaire des mots de passe courants est utilisé
pour tenter d’accéder à l’ordinateur et au réseau d’un utilisateur. Une approche consiste à copier
un fichier chiffré contenant les mots de passe, à appliquer le même chiffrement à un dictionnaire
des mots de passe couramment utilisés et à comparer les résultats.
6. Attaque par injection SQL

7
 L’injection SQL est devenue un problème courant qui affecte les sites Web exploitant
des bases de données. Elle se produit lorsqu’un malfaiteur exécute une requête SQL sur la base
de données via les données entrantes du client au serveur. Des commandes SQL sont insérées
dans la saisie du plan de données (par exemple, à la place du nom d’utilisateur ou du mot de
passe) afin d’exécuter des commandes SQL prédéfinies. Un exploit d’injection SQL réussi peut
lire les données sensibles de la base de données, modifier (insérer, mettre à jour ou supprimer)
les données de la base de données, exécuter des opérations d’administration de la base de
données (par exemple la fermer), récupérer le contenu d’un fichier spécifique, et, dans certains
cas, envoyer des commandes au système d’exploitation.
7. Attaque par des logiciels malveillants
Un logiciel malveillant peut être décrit comme un logiciel indésirable installé dans votre
système sans votre consentement. Il peut s’attacher à un code légitime et se propager, se cacher
dans des applications utiles ou se reproduire sur Internet. Voici quelques-uns des types de
logiciels malveillants les plus courants :
• Virus : Les virus sont des programmes informatiques malveillants qui se propagent en
infectant des fichiers ou des secteurs de démarrage d'un ordinateur. Ils peuvent se
répliquer et se propager à d'autres systèmes lors de l'exécution du programme infecté.
• Chevaux de Troie – Ce sont des programmes qui se cachent dans un programme utile
et qui ont généralement une fonction malveillante. Une différence majeure entre les
virus et les chevaux de Troie est que ces derniers ne se répliquent pas d’eux-mêmes. En
plus de lancer des attaques contre un système, un cheval de Troie peut établir une porte
dérobée qui peut être exploitée par des attaquants.
• Bombe logique – Il s’agit d’un type de logiciel malveillant ajouté à une application et
qui est déclenché par un événement spécifique, comme une condition logique ou une
date et une heure spécifiques.
• Vers – Ils diffèrent des virus en ce qu’ils ne s’attachent pas à un fichier hôte, ce sont
des programmes autonomes qui se propagent sur les réseaux et les ordinateurs. Les vers
se propagent généralement via les pièces jointes aux e-mails, le ver envoie une copie de
lui-même à chaque contact e-mail de l’ordinateur infecté. En plus de mener des activités
malveillantes, un ver qui se propage sur Internet et surcharge les serveurs de messagerie
peut entraîner des attaques par déni de service contre des nœuds du réseau.
• Rançongiciels (ransomware) – Il s’agit d’un type de logiciel malveillant qui bloque
l’accès aux données de la victime et menace de les publier ou de les supprimer à moins
qu’une rançon ne soit versée, un rançongiciel plus avancé utilisera une technique
appelée extorsion crypto virale, qui chiffre les fichiers de la victime de manière à les
rendre presque impossible à récupérer sans la clé de déchiffrement.
• Logiciels espions (spyware) – Ce sont des programmes installés pour recueillir des
informations sur les utilisateurs, leurs ordinateurs ou leurs habitudes de navigation. Ils
surveillent à votre insu tout ce que vous faites et envoient les données à un utilisateur
distant. Ils peuvent également télécharger et installer d’autres programmes malveillants
depuis Internet. Les logiciels espions fonctionnent comme les logiciels publicitaires,
mais il s’agit généralement d’un programme distinct qui s’installe à votre insu lorsque
vous installez une application gratuite.

8
 V. LES TYPES D’ATTAQUANTS
• Script kiddies : Des individus sans compétences techniques approfondies qui utilisent
des outils et des techniques développés par d'autres pour mener des attaques basiques.
• Hackers professionnels : Des individus compétents et expérimentés qui utilisent leurs
compétences pour exploiter des vulnérabilités, souvent dans un but lucratif.
• Groupes de cybercriminels organisés : Des organisations criminelles structurées et
spécialisées dans des activités telles que le vol de données, le phishing ou le
ransomware.
• Hacktivistes : Des groupes ou des individus qui utilisent des techniques de piratage à
des fins politiques ou sociales, comme la divulgation d'informations confidentielles ou
la perturbation de sites web.
• Acteurs étatiques et agences de renseignement : Des gouvernements ou des entités
affiliées cherchant à mener des opérations de cyber espionnage, de sabotage ou de
désinformation.
• Black hat : Des individus qui utilisent leurs compétences en piratage à des fins
malveillantes, telles que le vol de données, le sabotage ou la fraude.
• White hat : Des professionnels de la sécurité informatique qui utilisent leurs
compétences pour trouver et corriger des vulnérabilités dans les systèmes, souvent dans
un cadre éthique.
• Grey hat : Des individus qui agissent à la frontière entre le piratage éthique et le
piratage malveillant, parfois en utilisant des méthodes discutables pour atteindre leurs
objectifs.
• Hackers universitaires : Des étudiants ou des chercheurs qui utilisent leurs
compétences en piratage dans un cadre éducatif ou de recherche, souvent sous la
supervision d'un enseignant ou d'un mentor.

VI. EXEMPLES DE CYBERATTAQUES

Nous pouvons citer :
• WannaCry
WannaCry, aussi connu sous le nom WannaCrypt, WanaCrypt0r 2.0 ou similaires, est
un logiciel malveillant de type rançongiciel auto-répliquant.
En mai 2017, il est utilisé lors d'une cyberattaque mondiale massive, touchant plus de
300 000 ordinateurs, dans plus de 150 pays principalement en Inde, aux Etat-Unis et
en Russie et utilisant le système obsolète Windows XP et plus généralement toutes les versions
antérieures à Windows 10 n'ayant pas effectué les mises à jour de sécurité, en particulier celle
du 14 mars 2017 (bulletin de sécurité MS17-010).
Cette cyberattaque est considérée comme le plus grand piratage à rançon de l'histoire d’internet
l'office européen des polices Europol la qualifiant « d'un niveau sans précédent » et ajoutant
« qu'il ne faut en aucun cas payer la rançon ».
Parmi les plus importantes organisations touchées par cette attaque, on retrouve notamment les
entreprises Vodafone, FedEx, Renault, Telefónica, le National Health Service, le Centre
hospitalier universitaire de Liège, le ministère de l'Intérieur russe.
Ce logiciel malveillant utilise la faille de sécurité EternalBlue exploitée par la NSA et volée
par les Shadow Brokers, un groupe de pirates informatiques. Cette faille a été corrigée depuis
9
le mois de mars 2017 par Microsoft via le bulletin MS17-010 dans le cadre de son Patch
Tuesday.
Ce virus a refait parler de lui en s'attaquant le 23 juin 2017 à une des usines du groupe
automobile Honda, située à Sayama, au Japon, et cela intervient cinq jours avant le début d'une
autre grande cyberattaque mondiale, NotPetya.
• NotPetya
NotPetya est un logiciel malveillant de type wiper (il détruit les données), mais apparait
sous la forme d'un rançongiciel en affichant sur l'écran de l'ordinateur infecté une demande de
rançon. Son mécanisme de propagation permet de le classer comme ver informatique.
Il est à l'origine d'une nouvelle cyberattaque mondiale (la troisième cyberattaque en moins d'un
mois après WannaCry et Adylkuzz, tous les deux survenus en mai 2017), qui a également
attiré l'attention des médias internationaux.
Lors de son apparition le 27 juin 2017, il est d'abord considéré comme une nouvelle variante
de Petya, mais peu après, cette hypothèse est démentie par Kaspersky Lab qui estime qu'il
s'agit « d'un nouveau rançongiciel n'ayant jamais été vu auparavant » et le surnomme
ainsi NotPetya afin de le différencier de ce dernier.
Il touche toutes les versions de Microsoft Windows, de Windows XP à Windows 10 et utilise,
pour se propager, la faille de sécurité qu'il exploite au même titre que WannaCry, c'est-à-
dire EternalBlue, qui a été volée à la NSA par le groupe de pirates informatiques The Shadow
Brokers. Cette faille de sécurité de Windows a été corrigée par Microsoft au mois de mars 2017
(bulletin de sécurité MS17-010).

10
 ESPIONNAGE VIA UN KEYLOGGER

Les keyloggers, également connus sous le nom de enregistreurs de frappe, sont des
programmes logiciels ou des dispositifs matériels conçus pour enregistrer et surveiller les
frappes de clavier effectuées sur un ordinateur ou un périphérique électronique.
Leurs principaux objectifs sont de capturer secrètement toutes les entrées de
clavier, y compris les mots de passe, les messages, les adresses électroniques et toute autre
information confidentielle saisie par l'utilisateur. Ces données enregistrées sont ensuite souvent
transmises à un tiers, tel qu'un pirate informatique, pour une utilisation frauduleuse, telle
que le vol d'identité, le piratage de comptes en ligne ou la collecte de renseignements
sensibles. Les keyloggers peuvent être installés à des fins malveillantes par des individus
cherchant à espionner ou à compromettre les activités en ligne d'une personne ou d'une
organisation ; ils font partie de la catégorie logiciel espion(spyware).

I. FONCTIONNEMENT DES KEYLOGGERS

Il existe deux grands groupes d'enregistreurs de frappe : les keyloggers logiciels et les
keyloggers matériels.
• Les keyloggers logiciels sont les plus répandus. Ils exploitent des fonctionnalités du
système d'exploitation (généralement Windows) pour surveiller les données de la frappe
et peuvent même être capables de récupérer les mots de passe remplis automatiquement
par le navigateur
• Les keyloggers logiciels de type kernel. Cette fois, le programme agit non plus sur une
option de l'interface utilisateur, mais intercepte les communications à l'échelle du kernel
(le noyau). Ce sont donc les échanges entre le matériel et le logiciel qui sont volés et
traduits. Pour ça, le keylogger peut se faire passer pour un pilote de clavier et ainsi voler
chaque information envoyée par le clavier au système d'exploitation. Ils sont aussi
difficiles à créer qu'à détecter.

• Les keyloggers matériels sont rares, car il faut avoir eu un accès physique à l'appareil
visé pour installer le dispositif, qui prend la forme d'un petit boitier. Ils sont
pratiquement impossibles à utiliser sur smartphone et sur ordinateur, il est relativement
aisé de les détecter. Ce ne sont clairement pas les enregistreurs de frappe dont il faut le
plus se méfier, même s'il faut toujours rester vigilant.

1. Les keyloggers logiciels

Les keyloggers de logiciels sont faciles à introduire et à installer sur l'appareil de
l'utilisateur sans trop d'effort. C'est la seule raison pour laquelle les logiciels Keyloggers sont
de loin préférables.

11
 Les keyloggers, en général, fonctionnent en enregistrant les frappes de clavier dans un
journal. Ce journal peut être récupéré par un individu malveillant, soit en le récupérant
manuellement, soit en l'envoyant automatiquement à une adresse spécifiée. De plus, le pirate
peut également interroger le keylogger en temps réel pour obtenir les données de frappe au fur
et à mesure qu'elles se produisent.
Sur Windows, les keyloggers exploitent le fonctionnement du système d'exploitation
qui gère les entrées du clavier. Ils peuvent accomplir cela en plaçant un hook, un type de
déclencheur, sur les fonctions de clavier du système. Ainsi, lorsque des frappes clavier sont
effectuées, elles sont interceptées par le keylogger avant d'être traitées normalement, ce qui
permet à celui-ci d'enregistrer les frappes dans son propre journal.
Ce hook peut être configuré de manière à surveiller de manière globale toutes les frappes
clavier ou à être injecté dans chaque processus actif pour une surveillance plus étendue.
2. Les keyloggers logiciels de type kernel
Les keyloggers de mode noyau opèrent à un niveau plus profond du système
d'exploitation Windows, leur permettant un accès privilégié pour surveiller et enregistrer les
activités du clavier. Pour ce faire, ils chargent un pilote (fichier .sys) dans le noyau du système.
Ce pilote installe des hooks sur les fonctions du système d'exploitation, interceptant les frappes
clavier avant même qu'elles ne soient traitées par les applications utilisateur. De plus, ces
keyloggers peuvent modifier des pilotes système légitimes pour enregistrer les frappes, offrant
une furtivité maximale en contournant les mesures de sécurité traditionnelles.
3. Les keyloggers materiels
Les keyloggers matériels sont des dispositifs physiques conçus pour intercepter les
frappes clavier d'un ordinateur. Ils se présentent souvent sous la forme d'une petite prise USB
discrète qui peut être insérée entre le clavier et l'ordinateur. Une fois connecté, le keylogger
matériel peut surveiller en temps réel toutes les frappes clavier effectuées, enregistrant chaque
touche pressée.
Ce type de dispositif fonctionne indépendamment du système d'exploitation de
l'ordinateur cible, ce qui signifie qu'il peut capturer les frappes clavier quel que soit le système
d'exploitation utilisé, que ce soit Windows, macOS, Linux, etc.
Une fois que le keylogger matériel a enregistré les frappes clavier, il dispose de
plusieurs façons de transmettre ces données au pirate. Par exemple, le pirate peut récupérer
physiquement le keylogger pour extraire les données enregistrées. Alternativement, certains
keyloggers matériels sont équipés de mémoire intégrée ou de cartes mémoire amovibles où les
données peuvent être stockées. Dans ce cas, le pirate peut simplement retirer la carte mémoire
ou connecter le keylogger à un ordinateur pour récupérer les données enregistrées.
Une autre méthode consiste à utiliser une clé USB pour transmettre les données.
Certains keyloggers matériels sont conçus pour apparaître comme des clés USB normales
lorsqu'ils sont connectés à un ordinateur. Le pirate peut alors récupérer périodiquement le
keylogger ou le connecter à un ordinateur avec un logiciel de récupération automatique pour
extraire les données enregistrées.

12
 II. MOYENS DE DETECTION
Pour détecter un keylogger, nous pouvons utiliser plusieurs méthodes :
• Analyse antivirus/antimalware : Utilisez des logiciels antivirus et antimalware de
confiance pour rechercher les programmes malveillants, y compris les keyloggers, sur
votre système.
• Analyse des processus en cours d'exécution : Utilisez le Gestionnaire des tâches (sous
Windows) ou l'Équivalent sur d'autres systèmes d'exploitation pour examiner les
processus en cours d'exécution sur votre ordinateur. Recherchez des processus suspects
ou inconnus qui pourraient être des keyloggers.
• Analyse des ports réseau : Utilisez des outils de surveillance réseau pour identifier les
connexions suspectes ou non autorisées établies par votre ordinateur. Les keyloggers
doivent transmettre les données enregistrées à un serveur distant, donc repérer des
activités inhabituelles sur les ports réseau peut être un signe de présence de keylogger.
• Analyse des fichiers système : Recherchez des fichiers suspects ou inconnus dans les
répertoires système de votre ordinateur. Les keyloggers peuvent être dissimulés dans
des fichiers système apparemment innocents.
• Vérifier les équipements connectés (Advanced IP Scanner : Cet outil peut scanner
votre réseau local pour détecter tous les appareils connectés, vous permettant de vérifier
s'il y a des dispositifs non autorisés.)

III. MOYENS DE DEFENSE

Pour se défendre contre un keylogger, nous pouvons utiliser plusieurs méthodes :
• Utiliser un logiciel antivirus/antimalware : Assurez-vous d'avoir un bon logiciel
antivirus ou antimalware installé sur votre ordinateur pour détecter et supprimer les
keyloggers ainsi que d'autres logiciels malveillants.
• Utiliser un pare-feu : Il peut aider à bloquer les tentatives d'accès non autorisées à votre
ordinateur depuis Internet, ce qui peut empêcher les keyloggers d'envoyer les données
collectées à des serveurs distants.
• Éviter d'utiliser des ordinateurs publics ou partagés : pour des tâches sensibles Les
ordinateurs publics ou partagés peuvent être compromis par des keyloggers. Évitez de
saisir des informations sensibles sur ces appareils si possible.
• Isoler votre équipement en cas d’activité inhabituelle.
• Utilisation de l’authentification à double facteur.

13
 CYBERDETECTION

I. DEFINITION ET OBJECTIFS
La cyberdétection, également connue sous le nom de détection d'intrusion
informatique, désigne le processus de surveillance et d'identification des activités suspectes ou
malveillantes dans les systèmes informatiques et les réseaux. Cette surveillance proactive vise
à détecter les violations de sécurité, les tentatives d'intrusion et les comportements anormaux
qui pourraient indiquer une cyberattaque imminente ou en cours.
• Explication de la notion de cyberdétection
La cyberdétection implique l'utilisation d'outils, de technologies et de techniques pour
surveiller en temps réel les activités réseau, les journaux d'événements, le trafic réseau, les
comportements des utilisateurs et d'autres données pertinentes. L'objectif est de repérer les
signaux faibles ou les indicateurs de compromission qui pourraient indiquer une tentative
d'accès non autorisé ou une exploitation de vulnérabilités.
• Objectifs de la cyberdétection dans un environnement numérique
➢ Identifier les tentatives d'intrusion et les comportements suspects.
➢ Réduire le temps de détection des cyberattaques pour limiter les dommages
potentiels.
➢ Améliorer la visibilité sur les activités du réseau et des systèmes pour une
meilleure gestion des risques.
➢ Faciliter une réponse rapide et efficace aux incidents de sécurité pour minimiser
l'impact sur les opérations commerciales et les données sensibles.

II. LES TYPES DE DETECTION

Quel que soit l’outil de cybersécurité que vous utilisez pour détecter une menace, celui-ci
s’appuiera sur les deux types de détection suivants :
1. Détection basée sur les anomalies
Il s'agit d'un processus dans lequel l'analyse comportementale est combinée à des algorithmes
d'apprentissage automatique pour identifier un comportement anormal ou une activité suspecte
au sein d'un système ou d'un réseau afin d'indiquer une menace potentielle.
2. Détection basée sur les signatures
Il s'agit d'un autre type de détection dans lequel un outil utilise des signatures et des modèles
associés à des logiciels malveillants, des virus et d'autres activités malveillantes. Les logiciels
malveillants sont détectés en fonction de leur signature spécifique.
Les outils de détection des menaces s'appuient sur l'un ou les deux types de détection pour
garantir la sécurité du réseau et du système. Pour se protéger contre les acteurs malveillants, les
organisations doivent s’appuyer sur des outils avancés de détection des menaces.

14
 III. LES OUTILS DE DETECTIONS
Chaque organisation dispose d'une équipe de sécurité qui analyse le système
manuellement pour détecter les menaces. Étant donné que les menaces deviennent de plus en
plus complexes, les analystes de sécurité utilisent des outils de détection pour automatiser le
processus de détection et de réponse aux menaces.
Dans le passé, l'organisation utilisait la gestion des informations et des événements de
sécurité (SIEM) et l'analyse du trafic réseau (NTA) pour la détection des menaces. Comme ces
techniques traditionnelles présentaient certaines lacunes. Aujourd'hui, les entreprises
investissent davantage dans les solutions EDR et XDR. Continuez à lire pour en savoir plus à
leur sujet.
• SIEM
Cette solution de sécurité collecte des données de sécurité dans l'ensemble de
l'entreprise pour détecter les vulnérabilités du système et les menaces potentielles avant qu'elles
ne perturbent les opérations commerciales. Cette solution est toujours utilisée parmi les
organisations pour la cybersécurité, mais comme elle ne réalise pas une analyse approfondie
des événements de sécurité. Et aussi ne fournit jamais une histoire d'attaque significative ; les
organisations ont besoin de solutions plus puissantes. Les entreprises avec un SIEM traditionnel
n'ont aucun outil de réponse aux menaces.
• NTA
Il s'agit d'un processus de surveillance de la disponibilité et de l'activité du réseau pour
détecter les anomalies liées au fonctionnement et à la sécurité. Les organisations ont besoin de
NTA pour obtenir l'historique et l'analyse en temps réel des données réseau. NTA détecte
également les logiciels malveillants et les virus dans le réseau. NTA détecte efficacement les
menaces uniquement dans un silo spécifique comme un réseau. Il ne sera pas en mesure de
détecter les menaces qui se déplacent entre les silos.
• EDR
La détection et la réponse aux menaces au niveau de l'endpoint est un outil avancé de
détection et de prévention des menaces. Xcitium EDR aide une organisation à surveiller en
temps réel tous les endpoints connectés à une organisation. Il permet aux analystes de sécurité
de garder un œil sur les endpoints, et s'il y a une activité suspecte, EDR déclenche un
mécanisme de réponse. Il contient automatiquement la menace et empêche une attaque de se
produire d'un côté. D'un autre côté, il alerte également les professionnels de la sécurité pour
examiner une menace potentielle sur un endpoint et y répondre.
• XDR
Cela signifie Extended Detection and Response, un nouvel outil de cybersécurité qui
combine les fonctionnalités de toutes les solutions de sécurité traditionnelles telles que NTA et
SIEM. Il collecte des données du réseau, du cloud, du système, des endpoints, du réseau, de
l'email et d'autres ressources. Xcitium XDR utilise l'intelligence artificielle et l'intelligence des
menaces pour détecter les menaces et mettre en évidence l'histoire complète de l'attaque. Les
équipes de sécurité bénéficient d'une visibilité des menaces de haut niveau grâce à Xcitium
XDR.
15
 • IDS
Un IDS (Intrusion Detection System) est un système de détection d'intrusion qui
surveille et analyse le trafic réseau ou les événements sur un système informatique à la
recherche de signes d'activité malveillante ou suspecte. Il fonctionne en examinant le trafic
réseau, les journaux d'événements ou d'autres sources de données pour identifier les
comportements anormaux ou les modèles caractéristiques des attaques.
• ANTIVIRUS
La détection avec un antivirus est une méthode de sécurité informatique qui vise à
identifier et à éliminer les logiciels malveillants, tels que les virus, les chevaux de Troie,
les vers, les ransomwares, et autres menaces similaires, sur un système informatique.
Les antivirus fonctionnent en utilisant plusieurs techniques de détection pour identifier
les programmes malveillants, notamment :
➢ Signatures : Les antivirus utilisent des bases de données de signatures de logiciels
malveillants connus. Lorsqu'ils analysent les fichiers sur un système, ils les
comparent à ces signatures pour trouver des correspondances. Si un fichier
correspond à une signature connue, il est identifié comme malveillant.
➢ Analyse heuristique : En plus des signatures, les antivirus utilisent des méthodes
d'analyse heuristique pour détecter les logiciels malveillants qui ne correspondent
pas aux signatures connues. Cette technique analyse le comportement des
programmes pour identifier les caractéristiques suspectes, telles que les tentatives
de modification de fichiers système ou les activités réseau suspectes.
➢ Surveillance du comportement : Certains antivirus surveillent en temps réel le
comportement des programmes sur un système pour détecter les activités suspectes.
Par exemple, un antivirus peut détecter un programme qui tente de modifier de
nombreux fichiers en même temps, ce qui pourrait indiquer une activité
malveillante.
➢ Analyse basée sur le cloud : Certains antivirus utilisent des services cloud pour
analyser les fichiers sur un système. Les fichiers sont envoyés à des serveurs distants
où ils sont analysés à l'aide de techniques avancées, puis renvoyés avec le résultat
de l'analyse.
➢ Protection en temps réel : Les antivirus peuvent fournir une protection en temps
réel en surveillant activement les activités sur un système et en bloquant les logiciels
malveillants dès qu'ils sont détectés.

16
 CYBERDEFENSE

I. DEFINITION ET OBJECTIFS
La cyberdéfense est un ensemble de mesures et de stratégies mises en place pour
protéger les systèmes informatiques, les réseaux et les données contre les cyberattaques et les
menaces en ligne. Dans un monde de plus en plus connecté, où les cybermenaces sont
devenues monnaie courante, la cyberdéfense est devenue une priorité essentielle pour les
organisations, les gouvernements et les individus.
• Importance de la cyberdéfense
La cyberdéfense est cruciale pour garantir la confidentialité, l'intégrité et la disponibilité
des données sensibles et des infrastructures critiques. Les cyberattaques peuvent avoir des
conséquences désastreuses, allant de la perte financière à la compromission de la sécurité
nationale. En investissant dans la cyberdéfense, les organisations et les gouvernements peuvent
réduire les risques d'attaques et protéger efficacement leurs actifs numériques.
• Objectifs de la cyberdéfense
Les principaux objectifs de la cyberdéfense sont de prévenir les cyberattaques, de détecter
les activités malveillantes le plus tôt possible, de répondre aux incidents de sécurité de manière
rapide et efficace, et de minimiser les dommages potentiels causés par les cybermenaces. En
adoptant une approche proactive et multi-facettes, la cyberdéfense vise à renforcer la résilience
des systèmes informatiques face aux menaces cybernétiques.

II. LES METHODES DE CYBERDEFENSE

Nous pouvons citer entre autres :
1. Surveillance et veille
➢ Mettre en place des outils de surveillance continue du réseau et des systèmes pour
détecter les activités suspectes en temps réel.
➢ Utiliser des systèmes de détection d'intrusion (IDS) et des systèmes de prévention
d'intrusion (IPS) pour surveiller le trafic réseau et les comportements anormaux.
➢ Effectuer une analyse approfondie des journaux d'événements (logs) pour identifier les
tentatives d'intrusion et les incidents de sécurité.
2. Analyse des vulnérabilités
➢ Réaliser des scans réguliers des systèmes et des applications pour identifier les failles
de sécurité et les vulnérabilités potentielles.
➢ Utiliser des outils d'analyse automatisée des vulnérabilités pour évaluer la sécurité des
configurations système et des applications.
➢ Mettre en place des programmes de gestion des correctifs pour remédier rapidement
aux vulnérabilités identifiées.

17
 3. Gestion des accès
➢ Appliquer le principe du moindre privilège pour limiter les accès des utilisateurs et des
applications aux ressources sensibles.
➢ Mettre en œuvre des mécanismes d'authentification forte (comme l'authentification à
deux facteurs) pour renforcer la sécurité des comptes utilisateur.
➢ Surveiller et auditer régulièrement les accès aux systèmes et aux données pour détecter
les comportements suspects.
4. Formation et sensibilisation
➢ Sensibiliser tous les utilisateurs aux risques de sécurité informatique et aux bonnes
pratiques de sécurité.
➢ Organiser des sessions de formation régulières sur la sécurité informatique et la
gestion des mots de passe.
➢ Mettre à disposition des utilisateurs des ressources pédagogiques (documents, vidéos,
simulations) pour les aider à reconnaître et à éviter les menaces.
En mettant en œuvre ces méthodes de cyberdéfense, les organisations peuvent renforcer leur
posture de sécurité et réduire les risques d'attaques informatiques. Il est essentiel de maintenir
une approche proactive et en constante évolution pour faire face aux menaces émergentes et
protéger efficacement les systèmes et les données sensibles.

III. LES OUTILS DE CYBERDEFENSE

La cyberdéfense repose sur une gamme d'outils et de technologies conçus pour protéger les
systèmes informatiques contre les cybermenaces. Voici quelques outils utilisés dans le
domaine de la cyberdéfense :
1. Pare-feu (Firewall)
• Définition : Un pare-feu est un dispositif de sécurité réseau qui contrôle et filtre le trafic
entrant et sortant en fonction de règles prédéfinies. Il agit comme une barrière entre un
réseau interne et des réseaux externes non sécurisés, tels qu'Internet.
• Objectif : Le pare-feu vise à bloquer les connexions non autorisées et à prévenir les
attaques en limitant l'accès aux ressources du réseau. Il contribue à protéger les données
sensibles en empêchant les intrusions et en détectant les comportements suspects.
2. Systèmes de prévention d'intrusion (IPS)
• Définition : Les systèmes de prévention d'intrusion sont des dispositifs de sécurité
réseau qui surveillent le trafic en temps réel et interviennent pour bloquer les attaques
détectées. Contrairement aux IDS qui se contentent de détecter les intrusions, les IPS
sont capables d'agir automatiquement pour empêcher les attaques de réussir.
• Objectif : Les IPS renforcent la sécurité en bloquant activement les tentatives
d'intrusion dès qu'elles sont identifiées. Ils offrent une couche de défense
supplémentaire en complément des pares-feux et des IDS, contribuant ainsi à protéger
les réseaux contre les cybermenaces.

18
 3. Antivirus
• Définition : Les logiciels antivirus et anti-malware sont des programmes conçus pour
détecter, prévenir et éliminer les logiciels malveillants, tels que les virus, les vers, les
chevaux de Troie et les ransomwares, sur les systèmes informatiques.
• Objectif : Les antivirus et anti-malware protègent les appareils contre les infections en
analysant les fichiers et les processus à la recherche de signatures ou de comportements
suspects. Ils contribuent à maintenir la sécurité en empêchant la propagation des
logiciels malveillants et en éliminant les menaces existantes.
4. Cryptographie
• Définition : La cryptographie est l'art de sécuriser les communications et les données
en les rendant illisibles pour les personnes non autorisées. Elle utilise des techniques de
chiffrement pour protéger les informations sensibles contre l'interception et la
manipulation.
• Objectif : La cryptographie est utilisée pour garantir la confidentialité, l'intégrité et
l'authenticité des données échangées sur les réseaux. Elle permet de sécuriser les
communications et les transactions en ligne, en garantissant que seules les parties
autorisées peuvent accéder aux informations et les comprendre.

Ces outils de cyberdéfense constituent des composantes essentielles des stratégies de sécurité
informatique, visant à protéger les systèmes et les données contre les cybermenaces. En
combinant ces outils avec des pratiques de sécurité solides et une surveillance continue, les
organisations peuvent renforcer leur posture de sécurité et réduire les risques d'attaques
informatiques.

IV. LES ACTEURS DE LA CYBERDEFENSE

Nous pouvons citer entre autres :
• CALID (Centre d'Analyse de Lutte Informatique Défensive) - Le CALID est un
organisme français spécialisé dans la lutte informatique défensive. Il est chargé de
détecter, d'analyser et de répondre aux cybermenaces visant les intérêts stratégiques de
la France, notamment dans les domaines militaires, gouvernemental et industriel.
• DGA-MI (Direction Générale de l'Armement - Maîtrise de l'Information) - La
DGA-MI est une entité de la DGA chargée de garantir la maîtrise de l'information au
sein des forces armées françaises. Elle est responsable du développement et de la
protection des capacités cybernétiques militaires, ainsi que de la coordination des
opérations cybernétiques dans le cadre des missions de défense.
• ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) - L'ANSSI
est l'autorité nationale en matière de sécurité des systèmes d'information en France. Elle
est chargée de protéger les réseaux informatiques de l'État et des opérateurs
d'importance vitale, ainsi que de sensibiliser et de former sur les bonnes pratiques en
matière de cybersécurité.
• NCSC (National Cyber Security Centre) - Le NCSC est l'organisme britannique
chargé de conseiller les entreprises et les organisations du secteur public sur les

19
 meilleures pratiques en matière de cybersécurité, de détecter et de répondre aux
cybermenaces, ainsi que de sensibiliser le public aux risques liés à la sécurité
informatique.
• CISA (Cybersecurity and Infrastructure Security Agency) - L'agence américaine
CISA est responsable de renforcer la résilience du secteur public et privé des États-Unis
face aux menaces cybernétiques. Elle fournit des conseils, des alertes et des services de
réponse aux incidents pour protéger les infrastructures critiques et les réseaux
informatiques du pays.
• NSA (National Security Agency) - La NSA est une agence de renseignement
américaine chargée de collecter et d'analyser des informations de renseignement
électronique pour la défense nationale et la sécurité des États-Unis. Elle joue un rôle
crucial dans la surveillance et la protection des réseaux informatiques sensibles.
• CERT (Computer Emergency Response Team) - Les CERT sont des équipes
spécialisées dans la réponse aux incidents informatiques. Ils coordonnent les efforts de
réponse en cas d'attaques informatiques majeures, fournissent des conseils techniques
et des recommandations pour atténuer les risques de sécurité.

V. QUELQUES SOLUTIONS DE DEFENSE CONTRE

CERTAINES ATTAQUES
1. Ping de la mort
Les attaques ping de la mort peuvent être bloquées à l’aide d’un pare-feu qui vérifie
la taille maximale des paquets IP fragmentés.
2. Phishing
Pour réduire le risque d’être victime d’un hameçonnage, vous pouvez utiliser les
techniques suivantes :

• Esprit critique – Ne prenez pas un e-mail pour argent comptant

simplement parce que vous êtes occupé ou stressé ou que vous avez 150
autres messages non lus dans votre boîte de réception. Faites une petite
pause et analysez cet e-mail.
• Passer le curseur sur les liens – Déplacez votre curseur de souris sur les
liens, mais sans cliquer ! Il s’agit seulement de voir où ces liens vous
emmèneraient. Faites preuve d’esprit critique en déchiffrant l’URL.
• Analyse des en-têtes des e-mails – Les en-têtes des e-mails indiquent
comment un e-mail est arrivé à votre adresse. Les paramètres « Répondre
à » et « Chemin de retour » doivent conduire au même domaine que celui
indiqué dans l’e-mail.
• Sandboxing – Vous pouvez tester le contenu d’un e-mail dans un
environnement sandbox, en enregistrant l’activité qui suit l’ouverture de la
pièce jointe ou les clics sur les liens de l’e-mail.

3. Injection SQL

20
 Afin de vous protéger contre les attaques par injection SQL, appliquez le modèle
d’autorisation « least privilege » à vos bases de données. Respectez les procédures
stockées (assurez-vous que ces procédures n’incluent pas de SQL dynamique) et les
instructions préparées (requêtes paramétrées). Le code exécuté sur la base de données
doit être suffisamment fort pour prévenir les attaques par injection.
4. Attaque par mot de passe
Pour vous protéger contre les attaques par dictionnaire ou par force brute, vous
devez mettre en œuvre une politique de verrouillage des comptes qui verrouillera un compte
après quelques tentatives infructueuses de saisie du mot de passe. Ces bonnes pratiques de
verrouillage des comptes vous permettront de faire cela correctement.
5. Attaque par drive by download
Pour vous protéger contre les téléchargements furtifs, actualisez vos navigateurs
et systèmes d’exploitation et évitez les sites Web susceptibles de contenir des codes
malveillants. Limitez-vous aux sites que vous utilisez habituellement, tout en gardant à
l’esprit que même ces sites-là peuvent être piratés. Ne conservez pas un trop grand nombre
de programmes et d’applications inutiles sur votre machine. Plus vous avez de plug-ins,
plus nombreuses sont les vulnérabilités qui peuvent être exploitées par des téléchargements
furtifs.

21
 CYBER-RESILIENCE

I. DEFINITION ET OBJECTIFS
La cyber-résilience fait référence à la capacité d’une entité à fournir en permanence
le résultat escompté, malgré les cyberattaques. Cette approche reconnaît que les attaques
cybernétiques sont inévitables et que la résilience est essentielle pour garantir la continuité des
opérations et la sécurité des données. La cyber résilience met l’accent sur les contrôles
préventifs, détectifs et réactifs dans un environnement de technologie de l’information afin
d’évaluer les lacunes et d’améliorer la posture de sécurité globale de l’entité.
Ses objectifs sont :
• Garantir la continuité des opérations malgré les incidents de sécurité
➢ Assurer que les activités essentielles de l'organisation ne sont pas interrompues en
cas d'incident de sécurité majeur.
➢ Mettre en place des mécanismes de secours et des plans d'action pour maintenir les
opérations critiques pendant les crises.
• Réduire l'impact des attaques cybernétiques sur les activités et les données
sensibles
➢ Minimiser les dommages potentiels causés par les attaques en mettant en place des
mesures de prévention, de détection et de réponse appropriées.
➢ Protéger les données sensibles et les actifs stratégiques de l'organisation contre les
pertes ou les compromissions.
• Assurer la capacité de récupération rapide après une cyberattaque
➢ Développer des plans de reprise d'activité (PRA) et des plans de continuité des
activités (PCA) pour permettre une récupération rapide après une cyberattaque.
➢ Mettre en place des procédures de restauration des systèmes et des données afin de
minimiser les temps d'arrêt et de rétablir les opérations normales le plus rapidement
possible.
• Renforcer la confiance des clients, des partenaires et des parties prenantes dans la
sécurité de l'organisation
➢ Démontrer l'engagement de l'organisation envers la sécurité et la résilience en
mettant en œuvre des mesures efficaces de cyber-résilience.
➢ Communiquer de manière transparente sur les efforts déployés pour protéger les
données et les actifs de l'organisation, renforçant ainsi la confiance des parties
prenantes.

II. METHODES DE CYBER-RESILIENCE

1. Protection coordonnée : Mettez en œuvre une stratégie de défense en profondeur,

afin que les adversaires aient à surmonter de multiples obstacles.

22
 2. Non-persistance : Générez et conservez des ressources selon vos besoins ou pour une
durée limitée. Réduisez l’exposition à la corruption, à la modification ou à la
compromission.
3. Restriction de privilèges : Limitez les privilèges en fonction des attributs des
utilisateurs et des éléments du système, ainsi que des facteurs environnementaux.
4. Réalignement : Minimisez les connexions entre les services critiques et non critiques,
réduisant ainsi la probabilité qu’une défaillance des services non critiques ait un impact
sur les services critiques.
5. Segmentation : Définissez et séparez les éléments du système en fonction de leur
criticité et de leur fiabilité.
6. Intégrité prouvée : Vérifiez si les éléments critiques du système ont été corrompus.
7. Imprévisibilité : Apportez des modifications de manière aléatoire et inattendue.
Accroître l’incertitude d’un adversaire quant aux protections du système qu’il peut
rencontrer, ce qui rend plus difficile pour lui de déterminer la ligne de conduite
appropriée.
8. Surveillance analytique : Surveillez et détectez les actions et les conditions
défavorables en temps opportun et de manière exploitable.

III. OUTILS DE CYBER-RESILIENCE

Nous pouvons citer quelques outils comme :
1. Systèmes de détection et de prévention des intrusions
• Firewalls : Des dispositifs de sécurité qui surveillent et contrôlent le trafic entrant et
sortant du réseau, en bloquant les accès non autorisés.
• Systèmes de prévention d'intrusion (IPS) : Des technologies qui peuvent réagir
automatiquement aux menaces détectées en bloquant ou en modifiant le trafic réseau.
2. Planification de la continuité des activités (PCA) et plan de reprise d'activité
(PRA)
• PCA : Processus qui identifie les activités essentielles d'une organisation et met en place
des mesures pour assurer leur continuité en cas d'incident.

• PRA : Processus qui définit les étapes à suivre pour restaurer les opérations normales
après un incident, en minimisant les interruptions et les pertes de données.
3. Sauvegardes régulières des données critiques
• Solutions de sauvegarde automatique : Des outils qui permettent de sauvegarder
régulièrement les données critiques sur des supports de stockage sécurisés, garantissant
ainsi leur récupération en cas de sinistre.
• Stratégies de sauvegarde hiérarchisées : Définition de priorités pour la sauvegarde
des données en fonction de leur criticité et de leur fréquence de modification.

23
 IV. LES ACTEURS DE LA CYBER-RESILIENCE
Nous pouvons citer quelques acteurs de cyber-résilience comme :
• CERT/CC (Computer Emergency Response Team Coordination Center) : Un
centre de coordination des équipes d'intervention en cas d'urgence informatique, basé à
l'Université Carnegie Mellon, qui fournit une assistance aux organisations confrontées
à des incidents de sécurité informatique.

• ENISA (European Union Agency for Cybersecurity) : L'agence de l'Union

européenne chargée de renforcer la cybersécurité en Europe en fournissant des conseils,
des bonnes pratiques et des recommandations pour améliorer la cyber-résilience des
États membres.

• NIST (National Institute of Standards and Technology) : Une agence du département

du Commerce des États-Unis qui développe et publie des normes, des directives et des
bonnes pratiques en matière de sécurité informatique, y compris le Framework NIST
pour l'amélioration de la cybersécurité des infrastructures critiques.

• ISACA (Information Systems Audit and Control Association) : Une organisation

internationale dédiée à la gouvernance, à la gestion des risques et à la sécurité des
systèmes d'information, offrant des certifications, des ressources de formation et des
conseils pour renforcer la cyber-résilience des organisations.

• FS-ISAC (Financial Services Information Sharing and Analysis Center) : Un centre

de partage et d'analyse d'informations sur la sécurité des services financiers, qui
rassemble les institutions financières pour collaborer à la défense contre les menaces
cybernétiques et à l'amélioration de la cyber-résilience du secteur financier.

• CISA (Cybersecurity and Infrastructure Security Agency) : Une agence du

gouvernement des États-Unis chargée de renforcer la sécurité nationale et la résilience
du cyberespace, en fournissant des conseils, des alertes et des services de coordination
en matière de cybersécurité.

• ICANN (Internet Corporation for Assigned Names and Numbers) : Une

organisation à but non lucratif chargée de coordonner les systèmes de noms de domaine
et les adresses IP sur Internet, qui joue un rôle dans la promotion de la stabilité et de la
sécurité de l'infrastructure Internet.

24
 CAS PRATIQUE

1. KEYLOGGER LOGICIEL

2. ATTAQUE PAR DICTIONNAIRE D’UN MOT DE PASSE Wi-Fi

3. ATTAQUE PAR FORCE BRUTE D’UN MOT DE PASSE Wi-Fi

4. CHEVAL DE TROIE

25
 CONCLUSION

WEBOGRAPHIECONC
En conclusion, il est crucial de reconnaître que le paysage cybernétique actuel est
LUSION
marqué par une constante évolution des menaces et des attaques, telles que l'espionnage via les
keyloggers et autres vecteurs d'attaque sophistiqués. Face à cette réalité, la détection précoce,
la résilience et la défense cybernétique sont devenues des impératifs absolus pour les individus,
les entreprises et les gouvernements. Cependant, la cybersécurité est une responsabilité
WEBOGRAPHIECONC
partagée, nécessitant une collaboration étroite entre les secteurs public et privé, ainsi qu'une
LUSION
sensibilisation et une éducation constantes. En investissant dans des technologies de pointe, des
stratégies de gestion des risques et des plans de réponse aux incidents robustes, nous pouvons
renforcer notre posture de sécurité et mieux nous préparer aux défis à venir. En fin de compte,
la protection de nos données, de nos infrastructures et de notre vie privée dans le cyberespace
WEBOGRAPHIECONC
est un objectif commun qui exige un engagement continu et une action collective.

LUSION

26
 WEBOGRAPHIE

WEBOGRAPHIE
Ce rapport tire ses sources bibliographiques essentiellement sur Internet et de notre expérience
personnelle.

Sites Internet – Webographie : WEBOGRAPHIE

[1] https://blog.netwrix.fr/2018/07/04/les-10-types-de-cyberattaques-les-plus-courants/
[2] https://www.malekal.com/keylogger/#Fonctionnement_des_keyloggers_logiciels
WEBOGRAPHIE
[3] https://www.xcitium.com/detection-definition/
[4] https://www.vie-publique.fr/rapport/273376-rapport-sur-la-cyber-resilience
[5] https://guardia.school/boite-a-outils/la-cyber-resilience-une-solution-pour-se-proteger-des-
attaques-modernes.html
[6] https://en.wikipedia.org/wiki/Cyber_resilience

27