Épidémie de virus par mail : d’où ils viennent et comment s’en protéger<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Un récent rapport émis par la firme FireEye a établi les circonstances précises de l'attaque informatique subie par les réseaux d'ordinateurs de l'OTAN.
Un récent rapport émis par la firme FireEye a établi les circonstances précises de l'attaque informatique subie par les réseaux d'ordinateurs de l'OTAN.
©Reuters

Phishing

Un récent rapport émis par la firme FireEye a établi les circonstances précises de l'attaque informatique subie par les réseaux d'ordinateurs de l'OTAN. Il s'agissait d'un phishing (hameçonnage) avec une pièce jointe qui, une fois ouverte, infecte l'ordinateur et remplit la mission programmée. Des hackers sponsorisés par la Russie avaient ainsi pu accéder à des informations confidentielles.

Guillaume Tissier

Guillaume Tissier

Guillaume Tissier est directeur général de CEIS, une société de conseil en stratégie et en management des risques qui intervient notamment dans l'analyse des cyber risques (www.ceis.eu). CEIS est également l'un des organisateurs du Forum International de la Cybersécurité (FIC) dont la 7ème édition, placée sous le haut patronage du Président de la République, aura lieu les 20 et 21 janvier 2015 à Lille (www.forum-fic.com).

Voir la bio »
Jean-Paul Pinte

Jean-Paul Pinte

Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.

Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.

Certifié par l'Edhec et l'Inhesj  en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.

Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.

Voir la bio »

Atlantico : Qui aujourd'hui est le plus susceptible d'être confronté à ce type d'attaques, qui techniquement semble à la portée de tous ?

Guillaume Tissier : Tout le monde est malheureusement susceptible d’être confronté à ce type d’attaques. En 2011, c'est le ministère de l'Economie et des finances qui en avait fait les frais. On avait alors suspecté une opération d'espionnage concernant les positions de la France sur le G20. 150 postes sur les 170 000 du ministère avaient été infectés.

Dans une organisation, les maillons les plus vulnérables sont évidemment les personnes non sensibilisées, celles qui vont cliquer sur les liens internet contenus dans les mails ou ouvrir les pièces jointes piégées. Les sous-traitants constituent aussi des cibles de choix.

Jean-Paul Pinte :Chacun de nous est aujourd’hui susceptible de subir à son niveau ce type d’attaque. En effet celles-ci  ne datent  pas d’hier et de nombreux cas de ce genre se sont déjà produits ces dernières années.

Ces attaques touchent  de plus en plus les entreprises, les administrations comme les industries et leurs effets ne sont pas immédiats et peuvent parfois être découverts que plusieurs jours voire plusieurs semaines  après telles des bombes à retardement.

Un simple lien dissimulé dans un message, un caractère spécial dans un nom de fichier, une pièce jointe, un lien détourné peuvent être à l’origine de ces types d’attaque. L’ingénierie sociale y trouve aujourd’hui une place de choix car elle permet à ces personnes mal intentionnées d’obtenir par des moyens psychologiques voire de manipulation humaine l’infection d’un système ou tout simplement sa destruction progressive.

Une technique en quelque sorte où les cybers attaquants tentent de vous tromper afin que vous réalisiez une action précise. Les virus comme les chevaux de Troie sont encore des moyens largement utilisés par les hackers et l’humain est souvent le maillon faible dans la plupart des cas.

Quel est le mode d'action de ces hackers ?

Guillaume Tissier : On pourrait qualifier ces attaques de semi-opportunistes : elles visent d'abord une entreprise ou une administration puis cherchent à tester ensuite le maximum de cibles en interne pour avoir une chance de pénétrer les systèmes d'information de l'organisation.

Leur objectif est clairement le vol d'information, soit dans le cadre d'une escroquerie à grande échelle (extorsion de fonds par exemple), soit dans le cadre d'une opération d'espionnage économique ou politique. On parle aussi souvent d'attaque APT ou Advanced Persistent Threat, c'est à dire d'attaques sophistiquées permettant aux attaquants de se maintenir durablement chez leurs cibles. De fait, les intrusions sont souvent détectées avec plusieurs mois de retard (lorsqu'elles sont détectées).

Les attaques se déroulent toujours en plusieurs étapes :

1. La reconnaissance : l'objectif est de reconnaître la cible, de constituer un fichier d'adresses mail à cibler et de créer un message contenant les arguments qui pousseront les cibles à ouvrir le document piégé ou cliquer sur un lien internet. Pour  piéger l'internaute, plusieurs techniques de persuasion sont possibles : l'argument d'autorité, qui consiste par exemple à se référer à une autorité qui accrédite l'information contenue dans le message, l'argument de proximité (l'attaquant joue la carte de l'appartenance à une même communauté, donne des éléments de contexte dans lesquels se reconnaît la cible, voire usurpe l'identité d'une personne connue de la victime), l'argument d'urgence, qui pousse la cible à abandonner tout réflexe logique et à ne pas procéder à des vérifications.

2. La création d’un document infecté. Les hackers développent des malwares « sur-mesure » pour les environnements matériels et logiciels de leurs victimes.

3. L'envoi des mails piégés. Le code s'exécute lorsque l'une des cibles lance le fichier attaché.

4. Le code malveillant se connecte au serveur de contrôle et télécharge l’intégralité du malware.

5. Le malware se déploie dans sa forme complète. Il est alors en mesure d'exfiltrer des données.

A noter que le malware peut également se répandre via des clés USB. Il est donc susceptible d'atteindre des réseaux non connectés à Internet. C'est ce mode de propagation qui avait permis à Stuxnet d'atteindre les centrifugeuses iraniennes.

Jean-Paul Pinte : Dans les cas de "phishing", les cybercriminels se cachent derrière des courriels prétendument envoyés par des sites reconnus pour s'emparer des données personnelles des victimes, comme les codes d'accès aux comptes bancaires en ligne. Ces données leur permettent ensuite de piller des comptes. Ce type d'arnaque se fait aussi de plus en plus par téléphone, constatent les experts. Les escrocs se font passer pour les employés d'un support-client d'une banque. Il m’est de rappeler qu'aucun institut financier ne demande jamais de telles données à ses clients par courriel ou par téléphone.

Puisque tant de gens à travers le monde dépendent de l’email, les attaques via ce support sont devenues l’une des principales méthodes d’attaque utilisée par les cyberdélinquants. Le Spear Phishing reste la technique préférée des attaques ciblées et est à l’origine de 91% des attaques ciblées (APT : Advanced Persistent Threats). Ils rusent d’ingéniosité pour que les personnes ciblées ne se doutent de rien et ouvrent des pièces jointes comme «Bonne année 2015 !.doc » de l’email envoyé par un ancien collègue de travail (Qui n’est pas celui que l’on pense… mais le pirate lui-même !). Le fichier est ouvert… il s’agit d’une carte de vœux des plus classiques… un peu déçu, l’utilisateur ferme son document… Malheureusement le mal est fait… le document (doc, xls, pdf…) contient un exploit de vulnérabilité et dépose un exécutable d’accès à distance « FUD » (Fully UnDetectable). Le trojan est installé, le pirate à un accès quasi-total sur la machine. Contrairement au Mass Phishing, le Spear Phishing est envoyé à une ou quelques personnes d’un service important de l’entreprise. Bien souvent, les VIPs, et leurs assistants, sont des cibles de choix car ils ont des accès élargis et des droits « administrateurs » sur leur poste. En dehors de ce mode d’attaque, quatre autres types d’attaques par Phishing peuvent être signalés. La collecte d’informations L’infection de votre ordinateur via des liens malveillants. L’infection de votre ordinateur via des pièces jointes malveillantes. Arnaques à la loterie, organismes de bienfaisance. On voit aussi apparaître de plus en plus des attaques provoquées par des clés USB envoyées comme des gadgets publicitaires et qui, une fois  la malveillance du personnel obtenue infecteront le serveur d’une société par exemple. De même les réseaux sociaux deviennent un terrain fertile pour ces attaques.

Par qui sont-ils financés ?

Guillaume Tissier : D’après le rapport de FireEye, ces attaques ne sont pas de nature économique (vol de propriété intellectuelle), mais visent à collecter des informations stratégiques liées à des enjeux politiques et sécuritaires. Cela sous-entend donc le parrainage d’un gouvernement.

Il est cependant difficile de séparer les différentes menaces et types de motivation : le cybercriminel peut se mettre au service d’intérêts étatiques ou économiques.

Jean-Paul Pinte :Il y a fort à parier que les hackers n’agissent plus seuls aujourd’hui mais en groupe sous le chapeau de structures ayant pour objectif l’espionnage industriel par exemple ou la volonté de nuire à des structures vitales par exemple. Les compétences en ce domaine seront  donc de plus en plus financées par des groupes comme peuvent l’être aujourd’hui ceux de certains réseaux terroristes. Néanmoins, la majorité des menaces véhiculées par le Web sont aujourd’hui produites par des kits "clés en main" utilisables par tous, ou presque et peu voire pas onéreux. Ils se nomment BlackHole, ProPack, Nuclear, CritXPack, Cool, et peuvent tester en quelques secondes des dizaines de vulnérabilités, non seulement du système et du navigateur, mais aussi de l’écosystème logiciel comme Java, Adobe Reader, QuickTime, Flash, Office…

Bien que l'attention et la vigilance soient les meilleures barrières contre ce type d'attaques, quelles sont les autres précautions à prendre ? Sont-elles à la portée de tous ?

Guillaume Tissier : La première protection est et demeurera l'utilisateur qui ne doit pas ouvrir les pièces  jointes de personnes qu'il ne connaît pas et doit procéder à des vérifications basiques : orthographe des messages, identité de l'émetteur, destination des liens internet proposés.

Au delà de ces règles de vigilance, chaque utilisateur (ou administrateur système) doit aussi s’assurer que ses logiciels sont bien à jour et qu'il dispose bien d'un anti-virus également à jour : de nombreuses attaques utilisent des vulnérabilités connues qui ont déjà été corrigées par l’éditeur. Il est donc capital de maintenir son environnement logiciel à jour. 

Dans certains cas cependant, les attaques sont particulièrement sophistiquées et utilisent des vulnérabilités dites 0-day, c'est à dire non corrigées par les éditeurs. Les protections classiques se révèlent alors insuffisantes et seuls des systèmes de détection sophistiqués permettent de détecter quelque chose.

Jean-Paul Pinte :Il convient aujourd’hui de savoir lire les liens sur lesquels on navigue en prenant soin de vérifier qu’ils appartiennent  bien au site initial que l’on regardait car l’on peut assister à un « défacement de site » ou aiguillage vers une adresse qui ne serait plus la bonne au cours d’une navigation.

Ne pas cliquer dans un lien contenu dans un message sans l’analyser car il pourrait contenir un exécutable qui petit à petit infecterait votre machine ou réseau. Donc avant de cliquer sur un lien dans un e-mail, placez votre souris dessus pour vérifier qu'il dirige vers le bon site.

Se méfier aussi des liens fictifs que vous pourriez copier/coller à partir d’un message dont vous êtes le destinataire. Il pourrait bien se révéler une action désagréable par la suite sur votre machine.

Les demandes d’informations personnelles par mail sont aussi à bannir comme toute formulation exprimant l’urgence, des menaces et les promesses trop belles pour être vraies.

Gardez à l'esprit qu'un site comme LinkedIn ne vous demanderait jamais d'ouvrir une pièce jointe ou d'installer une mise à jour de logiciel.

Si vous recevez un e-mail qui vous semble suspect ou un e-mail en provenance d'une personne ou d'une entreprise inconnue, nous vous recommandons de ne pas ouvrir les pièces jointes et de ne cliquer sur aucun lien.

Le rapport de FireEye mentionne également plusieurs sites internet spécialement créés pour crédibiliser les auteurs de ces mails. En quoi les cookies, ces programmes qui s'installent sur un navigateur peuvent-ils aider en quelque chose ces cyber-attaques ?

Guillaume Tissier : Les cookies peuvent être dangereux à partir du moment où l’attaquant y a accès et y trouve des informations qui peuvent lui servir pour monter son attaque. Les cookies peuvent donc être des moyens de collecte d'information. En revanche, ils ne constituent pas des vecteurs d'attaque puisqu'ils ne peuvent pas exécuter du code malicieux par eux-mêmes.

On peut ensuite distinguer deux types de cookie. Les cookies-navigateurs sont de simples fichiers texte, qui contiennent des informations de navigations de l’utilisateur sur un site donné, y compris les formulaires qui ont été remplis. C’est le site web qui détermine quelles informations sont stockées dans un cookie. En général, les mots de passe ne sont malgré tout pas sauvegardés tels quels dans le cookie, ou sont a minima chiffrés.

On n’est cependant jamais à l’abri d’un site très peu sécurisé... Les flash-cookies font quant à eux partie d’un système d’authentification plus poussé : ils sont cachés quelque part sur l’ordinateur de l’utilisateur et servent de jeton (ou token) de confirmation lorsque l'utilisateur se connecte sur le site de sa banque par exemple, après avoir entré son login/password. Cela permet de s’assurer que l’utilisateur se connecte bien depuis son ordinateur habituel, et si tel n’est pas le cas, il lui sera demandé des informations supplémentaires pour l’authentifier.

Jean-Paul Pinte :Les cookies contiennent des données personnalisées de votre compte, de votre ordinateur. Les cookies sont donc des données sensibles d'un point de vue de la sécurité. Il faut donc les considérer comme des données personnelles que personne ne doit obtenir. Ils sont donc les alliés des cybercriminels car ils relatent la traçabilité des internautes. Le but du hacker, est donc généralement de voler le cookie de sa victime pour en exploiter le contenu. Comme on doit le savoir, les cookies passent par les requêtes HTTP. Si l'attaquant peut intercepter les requêtes HTTP, soit à l'aide d'un sniffer, soit par attaque par le milieu, il peut donc récupérer tous les cookies sans aucun problème. A condition bien sûr que le flux HTTP ne soit pas chiffré (HTTPS, VPN...).

Le sujet vous intéresse ?

À Lire Aussi

Les "cookies", ces étiquettes collées à nos ordinateurs, n'auront plus besoin de notre autorisationTout savoir de la méthode qui permet de pirater Gmail avec 92% de réussite5 millions de mots de passe Gmail piratés : une fuite organisée comme un piège supplémentaire pour les utilisateurs Quel anti-virus choisir avec Windows 8 ? Alerte aux clés USB, potentiellement toutes infectées par un virus désormais hors de contrôle

Mots-Clés

Thématiques

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !