CSE Instructor Materials Chapter3

Documents pour les
formateurs
Chapitre 3 : Malwares et
codes malveillants
Cybersecurity Essentials v1.0
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 1
Chapitre 3 :
Malwares et codes
malveillants
Cybersecurity Essentials v1.0
Chapitre 3 – Sections et objectifs
3.1 Malwares et codes malveillants

Différencier les types de malwares et de codes malveillants.
3.2 La supercherie
Décrire les tactiques, les techniques et les procédures
utilisées par les cybercriminels.
3.3 Les attaques
Comparer les différentes méthodes utilisées dans le cadre de
l'ingénierie sociale.
Comparer les différents types de cyberattaques.
3.1 Malwares et codes
malveillants
Malwares et codes malveillants
Types de malwares
Les cybercriminels ciblent les appareils des utilisateurs en y installant
un malware.
Virus : un virus est un code exécutable malveillant joint à un autre
fichier exécutable, ressemblant à un programme légitime. La plupart
des virus doivent être lancés par l'utilisateur et peuvent s'activer à
une heure ou une date spécifique.
Vers : les vers sont des codes malveillants qui se répliquent en
exploitant de façon indépendante les vulnérabilités au sein des
réseaux. Les vers ralentissent généralement les réseaux. Alors que
le virus nécessite un programme hôte pour s'exécuter, les vers
peuvent fonctionner par eux-mêmes. À l'exception de l'infection
initiale, les vers n'ont plus besoin d'intervention extérieure.
Cheval de Troie : un cheval de Troie est un type de malware qui
effectue des opérations malveillantes sous le couvert d'une opération
souhaitée, comme jouer à un jeu en ligne. Ce code malveillant
exploite les privilèges de l'utilisateur qui l'exécute. Un cheval de Troie
est différent d'un virus parce qu'il se lie à des fichiers non-
exécutables, comme des fichiers images, audio ou des jeux.
Types de malwares (suite)
 Bombe logique : une bombe logique est un programme
malveillant qui utilise un déclencheur pour activer un code
malveillant. Par exemple, il peut se déclencher à certaines
dates ou heures, lors de l'exécution d'autres programmes ou à
la suppression d'un compte utilisateur. La bombe logique reste
inactive jusqu'à l'événement déclencheur. Après activation, elle
implémente un code malveillant qui endommage l'ordinateur.
 Ransomware : le ransomware retient un système informatique
(ou les données qu'il contient) captif jusqu'à ce que la cible paye
une rançon. En général, le ransomware chiffre les données sur
l'ordinateur à l'aide d'une clé inconnue de l'utilisateur.
 Portes dérobées et rootkits : une porte dérobée (ou rootkit)
fait référence au programme ou au code introduit par un
criminel ayant compromis un système. La porte dérobée
contourne le système d'authentification normal utilisé pour
accéder à un système. Un rootkit modifie le système
d'exploitation pour créer une porte dérobée. Les agresseurs
utilisent ainsi la porte dérobée pour accéder à distance à
l'ordinateur.
Attaques par e-mail et via le navigateur (suite)
Des milliards de personnes utilisent des services de
messagerie dans le monde entier. Ce service étant l'un
des plus populaires, il constitue l'une des plus grandes
vulnérabilités des utilisateurs et des entreprises.
Spam : un courrier indésirable (ou « spam ») est un
e-mail non sollicité. Dans la plupart des cas, le courrier
indésirable est une forme de publicité. Toutefois, un
courrier indésirable peut comporter des liens malveillants,
un malware ou un contenu trompeur.
Logiciel espion : un logiciel espion est un logiciel qui
permet à un criminel d'obtenir des informations sur les
activités informatiques d'un utilisateur. Le logiciel espion
inclut souvent le suivi des activités, la collecte de frappes
sur clavier et la capture des données. Afin de contourner
les mesures de sécurité, le logiciel espion modifie
souvent les paramètres de sécurité.
Logiciel publicitaire : un logiciel publicitaire affiche
généralement des fenêtres publicitaires indésirables
dont le but est de générer des revenus pour leurs
créateurs. Le malware analyse les centres d'intérêt
des utilisateurs surveillant les sites web visités. Il
envoie ensuite des publicités contextuelles relatives à
ces sites.
Scareware : un scareware persuade l'utilisateur de
faire une action spécifique en jouant sur la peur. Le
scareware crée des fenêtres contextuelles factices
avec la même apparence que les boîtes de dialogue
du système d'exploitation.
Phishing : le phishing est une forme de fraude. Les
cybercriminels se servent des e-mails, de la
messagerie instantanée ou d'autres réseaux sociaux
pour essayer de recueillir des informations, comme
les informations de connexion ou des informations
relatives au compte des utilisateurs, en se faisant
passer pour une entité ou une personne fiable. Le
phishing consiste à envoyer un e-mail frauduleux
comme s'il provenait d'une source de confiance ou
légitime. L'objectif du message est de piéger le
destinataire pour qu'il installe un malware sur son
appareil ou partage des informations personnelles ou
d'ordre financier.
Phishing ciblé : le phishing ciblé est une attaque de
phishing très ciblée. Même si le phishing et le
phishing ciblé utilisent tous les deux des e-mails pour
atteindre les victimes, le phishing ciblé personnalise
les e-mails visant ainsi une personne spécifique.
Phishing vocal : le phishing vocal est une forme de
phishing utilisant la technologie de communication
vocale. Les criminels peuvent usurper l'identité de
sources légitimes en passant des appels via la
technologie VoIP (voix sur IP). Les victimes peuvent
également recevoir un message enregistré qui leur
semble légitime.
Pharming : le pharming consiste dans l'usurpation
d'un site web légitime afin de tromper les utilisateurs et
de les amener à saisir leurs informations
d'identification.
Whaling : le whaling est une attaque de phishing qui
cible les fonctions les plus élevées dans une
entreprise, par exemple des dirigeants.
Plugins : les plugins Flash et Shockwave d'Adobe permettent de développer des
animations graphiques et dessinées qui améliorent considérablement l'agencement
d'une page web. Les plug-ins affichent le contenu développé à l'aide d'un logiciel
approprié.
Empoisonnement par SEO : les moteurs de recherche comme Google fonctionnent
en classant des pages et en présentant les résultats pertinents en fonction des
requêtes de recherche des utilisateurs. En fonction de la pertinence du contenu du
site Web, celui-ci peut se situer plus haut ou plus bas sur la liste des résultats de
recherche. L'optimisation pour les moteurs de recherche ou SEO est un ensemble de
techniques utilisées pour améliorer le classement d'un site Web par un moteur de
recherche. Alors que de nombreuses entreprises légitimes se spécialisent dans
l'optimisation de sites web pour un meilleur positionnement, l'empoisonnement par
SEO (Search Engine Optimization) utilise la technologie de SEO afin de faire
apparaître un site web malveillant en tête des résultats de recherche.
Pirate de navigateur : un pirate de navigateur est un malware qui modifie les
paramètres du navigateur d'un ordinateur pour rediriger l'utilisateur vers des sites
web financés par les clients des cybercriminels. Les pirates de navigateur sont la
plupart du temps installés sans l'autorisation des utilisateurs et font généralement
partie d'un téléchargement de type « drive-by ».
3.2 La supercherie
La supercherie
L'art de la supercherie
Ingénierie sociale : l'ingénierie sociale est une méthode qui ne
demande aucune compétence technique utilisée par les
criminels pour recueillir des informations sur une cible.
L'ingénierie sociale est une attaque qui consiste à manipuler les
individus pour qu'ils exécutent certaines actions ou divulguent
des informations confidentielles.
Les pirates psychologiques comptent souvent sur la volonté des

personnes pour que cela soit efficace, mais aussi sur
l'exploitation des faiblesses des personnes. Voici quelques types
d'attaques d'ingénierie sociale :
Usurpation : lorsqu'un hacker contacte un individu et lui ment

pour tenter d'accéder à des données confidentielles. Un exemple
implique un agresseur qui prétend avoir besoin de données
personnelles ou financières afin de confirmer l'identité du
destinataire.
Une chose pour une autre (Quid pro quo) : lorsqu'un hacker
demande des informations personnelles à une personne en
échange de quelque chose, par exemple un cadeau gratuit.
La supercherie
Types de supercherie
Déchiffreurs (Shoulder Surfing) et récupérateurs
(Dumpster Diving) : déchiffrent/récupèrent les codes PIN,
les codes d'accès ou les numéros de carte bancaire. Un
hacker peut se trouver à proximité de sa victime ou utiliser
des jumelles ou des caméras en circuit fermé pour
l'espionner.
Emprunt d'identité et canulars : l'emprunt d'identité
consiste à prétendre être quelqu'un d'autre. Par exemple,
plusieurs contribuables se sont récemment fait piéger par une
arnaque téléphonique. Un hacker, qui se faisait passer pour
un employé du service des impôts, affirmait aux victimes
qu'elles devaient de l'argent à l'État.
Passage en double et talonnage : un passage en double
(piggybacking) se produit lorsqu'un criminel suit une personne
autorisée pour entrer dans un emplacement sécurisé ou une
zone restreinte. Le talonnage (tailgating) est un autre terme
qui décrit la même pratique.
Supercherie en ligne, par e-mail et sur le web : le transfert
de canulars ou d'autres blagues, de vidéos amusantes et
d'informations non professionnelles par e-mail peut constituer
une infraction à la politique d'utilisation acceptable d'une
entreprise et donner lieu à des mesures disciplinaires.
3.3 Les attaques
Les attaques
Les types de cyberattaques
Attaques par déni de service : représentent un type d'attaque réseau. Une attaque par
déni de service (DoS) se traduit par une interruption des services de réseau pour les
utilisateurs, les appareils ou les applications. Elles présentent un risque majeur, car elles
peuvent facilement interrompre les communications et entraîner une perte importante de
temps et d'argent. Ces attaques sont relativement simples à effectuer, même par un hacker
non qualifié.
Interception : une interception revient à espionner quelqu'un. Dans ce cas, les hackers
examinent tout le trafic réseau qui transite par leur carte réseau, que le trafic leur soit
adressé ou non. Les criminels interceptent ce trafic réseau à l'aide d'une application
logicielle, d'un appareil ou des deux.
Usurpation d'identité : attaque par emprunt d'identité, qui tire parti d'une relation de
confiance entre les deux systèmes. Si les deux systèmes acceptent l'authentification
réalisée par l'un d'eux, il est possible que l'utilisateur connecté à l'un des systèmes ne soit
pas obligé de s'authentifier une nouvelle fois pour accéder à l'autre système.
Les attaques
Les types de cyberattaques
L'attaque man-in-the-middle : dans le cadre d'une attaque Man-in-
the-Middle, le criminel intercepte les communications entre plusieurs
ordinateurs pour voler les informations en transit sur le réseau. Le
criminel peut aussi choisir de manipuler des messages et de
communiquer de fausses informations entre les hôtes qui ne
remarquent pas que les messages ont été modifiés. L'attaque MitM
permet à l'agresseur de prendre le contrôle d'un appareil à l'insu de
son utilisateur.
Attaques de type « zero-day » : une attaque de type zero-day,
parfois appelée « menace de type zero-day », est une attaque
informatique qui tente d'exploiter les failles de sécurité logicielles
confidentielles ou inconnues de l'éditeur du logiciel. Le terme « heure
zéro » désigne le moment où l'exploit est détecté.
Enregistreur de frappe : programme logiciel qui enregistre les
frappes de touches de l'utilisateur du système. Les hackers peuvent
implémenter des enregistreurs de frappe via un logiciel installé sur un
système informatique ou via du matériel connecté physiquement à un
ordinateur. Ils configurent le logiciel enregistreur de frappe de sorte
qu'il envoie le fichier journal par e-mail. Les frappes consignées dans
le fichier journal divulguent les noms d'utilisateur, les mots de passe,
les sites web visités et d'autres informations sensibles.
Les attaques
Les attaques sans fil et mobiles (suite)
Grayware et SMiShing
 Un grayware désigne les applications qui se comportent de manière
indésirable ou agaçante. Il est possible que le grayware ne contienne pas de
malware reconnaissable, mais il n'en est pas moins dangereux pour
l'utilisateur. Étant donné la grande popularité des smartphones, le grayware
commence à poser problème dans le domaine de la sécurité mobile.
 SMiShing désigne le phishing par SMS. Cette méthode consiste à envoyer de
faux messages par SMS. Les hackers poussent les utilisateurs à visiter un site
web ou à appeler un numéro de téléphone. Les victimes peu méfiantes
fournissent alors des informations sensibles, comme le numéro de leur carte
de crédit. En se rendant sur le site web indiqué, l'utilisateur peut télécharger à
son insu un malware qui infecte son appareil.
Les attaques
Points d'accès non autorisés : un point d'accès non
autorisé est un point d'accès sans fil installé sur un réseau
sécurisé sans autorisation explicite. Un point d'accès non
autorisé peut être configuré de deux manières.
Brouillage par radiofréquence : les signaux sans fil sont
sensibles aux interférences électromagnétiques (EMI), aux
interférences de radio-fréquence (RFI) et même à la foudre
ou au bruit des éclairages fluorescents. Les signaux sans fil
sont également susceptibles de provoquer un brouillage
délibéré. Le brouillage par radiofréquence perturbe la
transmission d'une station radio ou satellite, ce qui empêche
le signal d'atteindre son destinataire.
Bluejacking et bluesnarfing : le bluejacking est l'envoi de
messages non autorisés vers un autre appareil Bluetooth.
Dans le cas du bluesnarfing, le hacker copie les données de
la victime depuis son appareil. Il peut s'agir, par exemple,
des e-mails et des listes de contacts.
Les attaques
Les attaques WEP et WPA
Le protocole de sécurité WEP (Wired Equivalent Privacy) tente de garantir à un
réseau local sans fil (WLAN) le même niveau de sécurité qu'un LAN filaire. Des
mesures de sécurité physique contribuent à protéger un réseau LAN filaire. WEP
cherche à proposer une protection similaire pour les données transmises via le WLAN
grâce au chiffrement
 WEP utilise une clé pour le chiffrement.
 Il n'existe aucune disposition concernant la gestion des clés WEP, c'est pourquoi le
nombre de personnes qui partagent une clé ne cesse d'augmenter.
Les protocoles WPA (Wi-Fi Protected Access), puis WPA2 ont été présentés
comme des protocoles améliorés visant à remplacer le WEP. WPA2 ne pose pas les
mêmes problèmes de chiffrement, car un hacker ne peut pas récupérer la clé
simplement en observant le trafic.
 WPA2 est susceptible d'être attaqué parce que les cybercriminels peuvent analyser
les paquets qui transitent entre le point d'accès et un utilisateur légitime.
 Les cybercriminels utilisent un analyseur de paquets, puis lancent les attaques hors
ligne au niveau du mot de passe.
Les attaques
Une protection contre les attaques qui touchent les terminaux mobiles et
sans fil
Vous devez prendre plusieurs mesures pour vous protéger contre les attaques qui
ciblent vos terminaux mobiles et sans fil.
 La plupart des produits WLAN utilisent des paramètres par défaut. Tirez parti
des fonctionnalités basiques de sécurité sans fil, comme l'authentification et le
chiffrement, en modifiant les paramètres de configuration par défaut.
 Limitez le placement des points d'accès en les positionnant en dehors du pare-
feu ou dans une zone démilitarisée (DMZ) qui contient d'autres terminaux non
fiables, comme les serveurs web et de messagerie.
 Les outils WLAN comme NetStumbler peuvent détecter les postes de travail ou
les points d'accès non autorisés. Mettez en place une politique pour les
connexions ponctuelles afin de permettre à vos invités de se connecter à
Internet sur votre réseau lors de leur visite. Pour les collaborateurs autorisés,
utilisez un réseau privé virtuel (VPN) accessible à distance pour accéder au
WLAN.
Les attaques
Les attaques via des applications
Cross-site scripting (XSS) : il s'agit d'une vulnérabilité que l'on trouve dans les
applications web. XSS permet aux hackers d'injecter des scripts dans les pages web
visionnées par les utilisateurs. Ce script peut contenir du code malveillant. Les scripts
multisites nécessitent l'intervention de trois participants : le hacker, la victime et le site
web. Le cybercriminel ne cible pas directement une victime. Il exploite la vulnérabilité
d'un site ou d'une application web. Les hackers injectent des scripts côté client dans
des pages web visionnées par les utilisateurs, qui deviennent alors victimes.
Attaques par injection de code : pour stocker des données sur un site web, on peut
par exemple utiliser une base de données. Il existe plusieurs types de bases de
données, comme les bases de données SQL (Structured Query Language) ou XML
(Extensible Markup Language). Les attaques par injection de code XML et SQL tirent
profit des faiblesses d'un programme, comme l'absence d'une validation appropriée
des requêtes de bases de données.
Dépassement de mémoire tampon : se produit lorsque les données dépassent les
limites d'un tampon. Les tampons sont des zones de mémoire affectées à une
application. En modifiant les données au-delà des limites d'une mémoire tampon,
l'application accède à la mémoire allouée à d'autres processus. Cela peut provoquer
une panne du système, une compromission des données ou permettre une élévation
des privilèges.
Les attaques
Exécutions de code à distance : ces vulnérabilités permettent à un cybercriminel
d'exécuter du code malveillant et de prendre le contrôle d'un système avec les
privilèges de l'utilisateur exécutant l'application. L'exécution de code à distance
permet au cybercriminel de lancer la commande de son choix sur une machine
cible.
Contrôles ActiveX et contrôles Java : fournissent une capacité de plugin pour
Internet Explorer.
 Les contrôles ActiveX sont des logiciels installés par les utilisateurs pour étendre
les fonctionnalités d'un programme. Certains contrôles ActiveX créés par des
tiers peuvent être malveillants. Ils surveillent les habitudes de navigation de
l'utilisateur, installent des malwares ou enregistrent les frappes. Les contrôles
ActiveX fonctionnent également dans d'autres applications Microsoft.
 Java fonctionne par le biais d'un interprète, la machine virtuelle Java (JVM).
JVM permet au programme Java de fonctionner. JVM crée des sandboxes ou
isole le code non fiable du reste du système d'exploitation. Certaines
vulnérabilités permettent au code non fiable de contourner les restrictions
imposées par la sandbox.
Les attaques
Une protection contre les attaques via des applications
 La première ligne de défense contre une attaque qui cible une application
consiste à écrire un code robuste.
 Peu importe le langage utilisé ou la source de l'entrée externe, faites preuve de
prudence lors de la programmation et considérez toute entrée externe comme
hostile.
 Vérifiez toutes les entrées comme si elles étaient hostiles.
 Mettez à jour tous les logiciels, notamment les systèmes d'exploitation et les
applications et n'ignorez pas les invites de mises à jour.
 Tous les programmes ne se mettent pas à jour automatiquement. Vous devez
donc toujours sélectionner l'option de mise à jour manuelle.
3.4 Résumé du chapitre
Résumé du chapitre
Résumé
Les magiciens de la cybersécurité se concentrent en priorité sur les menaces, les
vulnérabilités et les attaques.
 Au cours de ce chapitre, nous avons présenté les diverses attaques lancées par
les cybercriminels.
 Nous avons expliqué la menace que représentent les malwares et les codes
malveillants.
 Nous avons présenté les types de supercheries utilisées dans le cadre de
l'ingénierie sociale. Nous avons également évoqué les types d'attaques qui
touchent les réseaux filaires et sans fil.
 Enfin, dans ce chapitre, nous nous sommes intéressés aux vulnérabilités
exploitées par les attaques via des applications.
En s'intéressant aux divers types de menaces, une entreprise peut identifier ses
vulnérabilités. Elle sait ainsi comment se défendre contre les supercheries et les
manœuvres des hackers.

CSE Instructor Materials Chapter3

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CSE Instructor Materials Chapter3

Transféré par

Droits d'auteur :

Formats disponibles

Documents pour les

Cybersecurity Essentials v1.0

Cybersecurity Essentials v1.0

3.1 Malwares et codes malveillants

Les pirates psychologiques comptent souvent sur la volonté des

Usurpation : lorsqu'un hacker contacte un individu et lui ment

Vous aimerez peut-être aussi