top of page

Les 14 CyberAttaques les Plus Courantes

Qu’est-ce qu’une cyberattaque ?

  • Une cyberattaque est une tentative d’accès à un réseau ou système informatique menée par des cybercriminels, des cyberattaquants ou des cyberadversaires, généralement dans le but de modifier, voler, détruire ou exposer des informations.
     

  • Les cyberattaques peuvent cibler un large éventail de victimes, qu’il s’agisse de particuliers, d’entreprises ou encore d’administrations publiques.
     

  • Lorsqu’il s’attaque à des entreprises ou d’autres organisations, l’objectif du cyberattaquant est généralement d’accéder à des ressources sensibles et précieuses de l’entreprise, telles que les éléments de propriété intellectuelle (PI), les données des clients ou les informations de paiement.

​

Types de cyberattaques courants
 

1. Ransomware

  • Un ransomware est un type de logiciel malveillant utilisé pour empêcher les utilisateurs légitimes d’accéder à leur système et exiger le versement d’une rançon en échange du rétablissement de l’accès aux données.

    • Les attaques de ransomware sont conçues pour exploiter les vulnérabilités des systèmes et accéder au réseau.

    • Dès lors qu’un système a été infecté, le ransomware permet aux cyberattaquants de bloquer l’accès au disque dur ou de chiffrer les fichiers.

  • Dans le cadre des attaques de ransomware, les cyberadversaires demandent généralement le paiement de la rançon au moyen d’une cryptomonnaie intraçable. Malheureusement, dans de nombreux cas, l’utilisateur ne récupère pas son accès, même après le versement de la rançon.
     

Multiplication des attaques de ransomware

  • À l’heure actuelle, les attaques de ransomware sont l’une des attaques de malwares les plus courantes.
    Selon l’enquête Global Security Attitude Survey commanditée par CrowdStrike et publiée en novembre 2020, plus de la moitié des 2 200 répondants ont subi une ou plusieurs attaques de ransomware au cours des 12 mois précédents.

     

  • Le Global Threat Report 2021 de CrowdStrike s’est également penché sur l’utilisation croissante des ransomwares dans certains secteurs.

    • Notre analyse a révélé que les entreprises qui mènent des recherches sur les vaccins et les agences gouvernementales qui gèrent la réponse à la pandémie de COVID-19 figurent parmi les cibles les plus courantes.

    • Le rapport note également que les attaques de ransomware ciblant des sites de fabrication se sont avérées particulièrement efficaces, car la sensibilité au facteur temps de leurs programmes de production rend souvent le paiement d’une rançon moins coûteux que la perte de rendement.

  • Malheureusement pour les cibles, les attaques de ransomware ont également tendance à faire partie des incidents de cybersécurité les plus médiatisés, entraînant une publicité négative et portant préjudice à la réputation.

    • Par exemple, en mai 2021, Colonial Pipeline, qui alimente le sud-est des États-Unis en essence et en kérosène, a été la cible d’une attaque de ransomware menée par le groupe cybercriminel DarkSide.

    • Le service a été temporairement interrompu, ce qui a eu un impact sur l’approvisionnement en essence et en kérosène de toute la région.

    • Pendant que Colonial Pipeline s’organisait pour payer la rançon, qui s’est élevée à 4,4 milliards de dollars, son réseau tournait au ralenti.
       

2. Malware
 

  • Un malware, ou logiciel malveillant, est un programme ou un code créé dans le but de causer des dommages à un ordinateur, un réseau ou un serveur.

  • Les malwares représentent le type de cyberattaque le plus courant, principalement parce que ce terme englobe de nombreux sous-ensembles, tels que les ransomwares, les chevaux de Troie, les spywares, les virus, les vers, les enregistreurs de frappe, les robots, le cryptopiratage et tout autre type d’attaque exploitant un logiciel de façon malveillante.
     

L’essor des malwares sans fichier

  • Comme les entreprises prennent des mesures pour se défendre contre les attaques de ransomware traditionnelles, certains cybercriminels adaptent leurs techniques pour contourner ces mesures de sécurité renforcées.

    • L’une de ces techniques avancées fait appel à des malwares « sans fichier », dans lesquels le code malveillant est intégré dans un langage de script natif ou écrit directement dans la mémoire à l’aide d’un programme tel que PowerShell.

    • Dans le cadre d’une attaque de malware sans fichier, il est également courant que les cyberattaquants exploitent un serveur web public, puis utilisent un shell web pour se déplacer latéralement dans l’environnement.

  • Les produits antivirus traditionnels et même les solutions applicatives figurant sur une liste de confiance sont incapables de détecter les attaques qui n’utilisent pas de malwares.
    Cela souligne la nécessité pour les entreprises de disposer d’outils de cybersécurité avancés capables de les protéger contre les menaces connues et inconnues.

     

3. Services MaaS
 

  • L’utilisation de Malwares As-a-Service (MaaS) pour mener des cyberattaques est également en plein essor.

  • Dans un modèle MaaS, des cyberpirates sont engagés pour mener des attaques de ransomware pour le compte d’un tiers.

  • Ce modèle permet à toute personne souhaitant mener une cyberattaque de le faire, même si elle ne possède pas les compétences techniques ou l’expérience nécessaires.
     

4. Attaques par déni de service et par déni de service distribué
 

  • Une attaque par déni de service (DoS) est une attaque ciblée qui inonde délibérément un réseau de fausses requêtes dans le but de perturber les activités métier.

  • Lors d’une attaque DoS, les utilisateurs sont incapables d’effectuer des tâches courantes et nécessaires, comme accéder à la messagerie électronique, à des sites web, à des comptes en ligne ou à d’autres ressources gérées par un ordinateur ou un réseau compromis. Si la plupart des attaques DoS n’entraînent pas de perte de données et sont généralement résolues sans versement de rançon, elles coûtent du temps, de l’argent et d’autres ressources à l’entreprise pour le rétablissement des activités stratégiques.

  • La différence entre les attaques par déni de service (DoS) et les attaques par déni de service distribué (DDoS) réside dans l’origine de l’attaque.

    • Les attaques DoS proviennent d’un seul système, tandis que les attaques DDoS sont lancées à partir de plusieurs systèmes.

    • Les attaques DDoS sont plus rapides et plus difficiles à bloquer que les attaques DOS, dans la mesure où il est nécessaire d’identifier et de neutraliser plusieurs systèmes pour mettre fin à l’attaque.

  • En 2018, le FBI a fermé le plus grand site de location d’attaques DDoS du Dark Web, ce qui a entraîné une baisse du nombre de ces attaques.

    • Cependant, ce type d’attaque connaît un nouvel essor.

    • [D’après une étude récente, les attaques DDoS ont augmenté de 151 % au cours du premier semestre 2020.]

  • Cette tendance s’explique en partie par l’explosion des terminaux connectés et de la technologie IoT (Internet des objets). Contrairement aux endpoints traditionnels, tels que les ordinateurs et les smartphones, la plupart des terminaux IoT disposent de contrôles de sécurité relativement faibles, ce qui les rend vulnérables aux attaques et augmente le risque de prise de contrôle par un réseau de robots.

  • La pandémie de COVID-19 a favorisé la multiplication des attaques DDoS dans la mesure où le passage rapide au télétravail a entraîné une prolifération de terminaux connectés souvent mal sécurisés.
    Cela a considérablement élargi la surface d’attaque à un moment où de nombreuses équipes informatiques se concentraient sur des tâches de base telles que la fourniture d’accès à distance et de services de support.

     

Exemple : l’attaque DDoS contre AWS en 2020

Pratiquement toutes les entreprises peuvent être victimes d’une attaque DDoS, comme l’a montré l’attaque de février 2020 contre Amazon Web Services (AWS).

  • Considérée comme l’une des attaques DDoS les plus importantes et les plus médiatisées jamais divulguées, cette attaque a ciblé un client AWS inconnu à l’aide d’une technique appelée réflexion CLDAP (Connectionless Lightweight Directory Access Protocol), qui amplifie les données envoyées à l’adresse IP de la victime via une vulnérabilité du serveur.

  • L’attaque, qui a duré trois jours, a entraîné d’importantes pertes de revenus pour les clients d’AWS et a durement porté atteinte à la réputation d’AWS.
     

5. Phishing
 

  • Le phishing est un type de cyberattaque qui utilise les e-mails, les SMS, le téléphone, les réseaux sociaux et les techniques d’ingénierie sociale pour inciter une victime à partager des informations sensibles, comme des mots de passe ou des numéros de compte, ou à télécharger un fichier malveillant qui installera des virus sur son ordinateur ou son téléphone.
     

Exemples d’attaques de phishing courantes à l’ère de la COVID-19

  • Comme indiqué plus haut, la pandémie de COVID-19 a entraîné une augmentation spectaculaire des cyberattaques de toutes sortes, notamment des attaques de phishing. Pendant les périodes de confinement, les gens ont généralement passé plus de temps en ligne et éprouvé des émotions plus fortes, des conditions idéales pour une campagne de phishing efficace.

  • Tout au long de l’année 2020, l’équipe d’analyse scientifique des données de CrowdStrike a suivi de près le spam malveillant lié à la COVID-19.

    • La plupart des attaques invitaient le destinataire à télécharger une pièce jointe, qui s’avérait être un malware programmé pour enregistrer des frappes ou voler des mots de passe.

    • Plusieurs scénarios et techniques se sont démarqués :

      • Usurpation de l’identité d’un médecin pour ensuite prétendre pouvoir traiter ou guérir la COVID-19

      • Usurpation de l’identité d’un organisme public qui partage des informations importantes de santé publique

      • Usurpation de l’identité d’un service de livraison qui tente de livrer un colis

​

Entreprises dont l’identité a été le plus souvent usurpée pour les arnaques de phishing

  • Si les attaques de phishing les plus connues impliquent généralement des assertions farfelues (membre d’une famille royale demandant les informations bancaires d’une personne, par exemple), les attaques de phishing modernes sont beaucoup plus sophistiquées.
    Dans de nombreux cas, les cybercriminels se font passer pour un commerçant, un fournisseur de services ou une administration publique afin d’obtenir des informations personnelles qui peuvent sembler anodines, telles qu’une adresse e-mail, un numéro de téléphone, la date de naissance de l’utilisateur ou le nom des membres de sa famille.

  • Pour identifier les entreprises dont l’identité est le plus souvent usurpée dans le cadre d’escroqueries de phishing, l’équipe d’analyse scientifique des données de CrowdStrike a soumis une demande d’information à la Commission fédérale du commerce des États-Unis afin de connaître le nombre total d’attaques de phishing signalées comme ayant usurpé l’identité des 50 plus grandes marques et de toutes les agences fédérales américaines.

  • Les résultats indiquent au public américain quelles sont les marques et administrations dont l’usurpation d’identité est la plus rentable pour les criminels spécialisés dans le phishing, et par conséquent de quels expéditeurs d’e-mails présumés il doit se méfier le plus.
    C’est le site de commerce électronique Amazon qui arrive en tête, suivi des entreprises technologiques Apple (2), Microsoft (4) et Facebook (8). Parmi les autres organisations, citons : la sécurité sociale américaine (3) ; les banques de détail telles que Bank of America (5) et Wells Fargo (6) ; les fournisseurs de services de télécommunications tels qu’AT&T (7) et Comcast (10) ; les détaillants tels que Costco (11), Walmart (12) et Home Depot (18) ; et les services de livraison tels que FedEx (9) et UPS (14).

​

6. Attaque MITM
 

  • Une attaque de type man-in-the-middle (MITM) est une cyberattaque dans le cadre de laquelle un cybercriminel espionne la conversation entre un utilisateur du réseau et une application web.

    • L’objectif d’une attaque de type man-in-the-middle est de collecter subrepticement des informations, telles que des données personnelles, des mots de passe ou des coordonnées bancaires, et/ou d’usurper l’identité d’une partie afin d’obtenir des informations supplémentaires ou de susciter une action.

    • Par exemple, modifier des identifiants de connexion, exécuter une transaction ou effectuer un transfert de fonds.

  • Si les cyberattaquants qui ont recours aux attaques MITM ciblent souvent les particuliers, ils représentent également une source de préoccupation importante pour les entreprises de toutes tailles.

    • Les applications SaaS (Software-as-a-Service) constituent un point d’accès courant pour les cyberpirates.

    • En effet, ceux-ci peuvent utiliser ces applications en tant que porte d’entrée vers le réseau étendu de l’entreprise, et compromettre potentiellement un certain nombre de ressources, notamment les données des clients, les éléments de propriété intellectuelle (PI) ou des informations propriétaires ou sensibles concernant l’entreprise et ses collaborateurs.

  • L’afflux soudain de télétravailleurs utilisant des applications SaaS pour effectuer des tâches courantes pendant les périodes de confinement lors de la pandémie de COVID-19, ainsi que l’augmentation du nombre de terminaux connectés, ont considérablement accru les possibilités d’attaques MITM ces deux dernières années.
     

La prochaine étape : les attaques de type machine-in-the-middle

  • Bien qu’elles soient généralement moins connues que les attaques de ransomware ou de malware, les attaques MITM font partie des méthodes les plus utilisées par les cybercriminels.
    Selon certaines estimations, 35 % des incidents où des failles de la cybersécurité ont été exploitées impliquaient des attaques de type man-in-the-middle.

  • Comme pour les attaques de logiciels malveillants, les progrès en matière de défenses de cybersécurité ont rendu l’exécution des attaques MITM et autres attaques basées sur le réseau de plus en plus difficile.

    • C’est pourquoi les cybercriminels ont commencé à cibler les endpoints plutôt que le réseau dans le cadre de ces attaques.

    • Par exemple, le cyberpirate peut cibler l’ordinateur d’un utilisateur et installer une autorité de certification (CA) racine, puis générer des certificats numériques valides qui lui permettent de se faire passer pour n’importe quel site web.

    • Comme l’autorité de certification racine est contrôlée par le cyberattaquant, les communications chiffrées envoyées par l’utilisateur peuvent être interceptées. Ainsi, l’attaque de type man-in-the-middle évolue en attaque de type « machine-in-the-middle ».

  • Une cyberattaque de type MITM identifiée récemment par CrowdStrike était un module Trickbot appelé shaDll.

    • Le module a installé des certificats SSL illégitimes sur les ordinateurs infectés, ce qui a permis à l’outil d’accéder au réseau de l’utilisateur.

    • Il a ensuite pu rediriger les activités web, injecter du code, prendre des captures d’écran et collecter des données.
       

Exemple : la chute de WebNavigatorBrowser

  • CrowdStrike a récemment mis en lumière une autre attaque liée à WebNavigatorBrowser, un adware se présentant sous la forme d’un navigateur basé sur Chromium.

    • Ce navigateur web entre dans la catégorie des adwares, car il injecte des publicités dans les résultats de recherche.

    • Le développeur l’a basé sur Chromium, le projet de navigateur gratuit à code source libre de Google.

    • Ce navigateur est signé et a fait l’objet d’un dépôt légal par Better Cloud Solutions LTD, une société légalement enregistrée au Royaume-Uni.

  • Début 2020, Sectigo, une autorité de certification réputée, anciennement connue sous le nom de Comodo, a révoqué le certificat de WebNavigatorBrowser, reléguant ainsi ce vecteur d’attaque aux oubliettes.
     

7. Scripts intersites (XSS)
 

  • Les scripts intersites (XSS) constituent une attaque par injection de code, dans le cadre de laquelle un cyberadversaire insère un code malveillant dans un site web légitime.

    • Le code s’exécute ensuite sous la forme d’un script infecté dans le navigateur web de l’utilisateur, permettant ainsi au cyberattaquant de voler des informations sensibles ou d’usurper l’identité de l’utilisateur.

    • Les forums web, les groupes de discussion, les blogs et autres sites web qui permettent aux utilisateurs de publier leur propre contenu sont les plus exposés aux attaques XSS.

  • Bien qu’une attaque XSS cible les visiteurs individuels d’une application web, les vulnérabilités résident dans l’application ou le site web même.

    • Ainsi, les entreprises qui ont dû passer au télétravail se sont peut-être exposées par inadvertance à ce type d’attaque en mettant des applications internes à la disposition de leurs collaborateurs via le Web ou en déployant des services cloud.

    • Cela a augmenté la surface d’attaque à un moment où les entreprises, et les équipes informatiques en particulier, étaient mises à rude épreuve.
       

8. Injection SQL
 

  • Une attaque par injection SQL est similaire à une attaque XSS dans le sens où les cyberadversaires exploitent les vulnérabilités du système pour injecter des instructions SQL malveillantes dans une application fondée sur les données, ce qui leur permet ensuite d’extraire les informations d’une base de données.
    Les cyberattaquants utilisent les techniques d’injection SQL pour modifier, voler ou effacer des données.

     

  • La principale différence entre une attaque XSS et une attaque par injection SQL réside dans la nature de la cible.
    L’attaque XSS est une vulnérabilité côté client qui cible les autres utilisateurs de l’application, tandis que l’injection SQL est une vulnérabilité côté serveur qui cible la base de données de l’application.

  • Les joueurs et le secteur des jeux vidéo représentent l’une des cibles les plus courantes des attaques par injection SQL.

    • Selon le rapport d’Akamai sur l’état des lieux d’Internet, les attaques contre le secteur des jeux vidéo ont triplé entre 2019 et 2020 pour atteindre plus de 240 millions d’attaques d’applications web.

    • Les injections SQL étaient le vecteur d’attaque le plus courant. Cette technique était utilisée pour accéder aux identifiants de connexion des joueurs et à d’autres informations personnelles.

  • Une fois de plus, cette multiplication des attaques est imputable à l’augmentation du temps passé en ligne en raison des confinements liés à la COVID-19 et de la distanciation sociale.
     

9. Tunneling DNS
 

  • Le tunneling DNS est un type de cyberattaque qui exploite les requêtes et les réponses du système DNS (Domain Name System) pour contourner les mesures de sécurité traditionnelles et transmettre des données et du code au sein du réseau.

  • Une fois le réseau infecté, les cyberattaquants peuvent se livrer à des activités de commande et contrôle en toute liberté.
    Ce tunnel offre aux attaquants une voie pour distribuer des logiciels malveillants et/ou pour extraire des données, des éléments de propriété intellectuelle ou d’autres informations sensibles en les encodant bit par bit dans une série de réponses DNS.

  • Les attaques par tunneling DNS ont augmenté ces dernières années, notamment parce qu’elles sont relativement simples à déployer.
    Des kits d’outils et des guides de tunneling sont même facilement accessibles en ligne sur des sites grand public tels que YouTube.

     

10. Attaque de mots de passe
 

  • Les attaques de mots de passe, c’est-à-dire toute cyberattaque dans le cadre de laquelle un cyberattaquant tente de voler le mot de passe d’un utilisateur, représentent l’une des principales causes de compromission de données personnelles et d’entreprise.

  • Elles connaissent une forte progression dans la mesure où elles offrent un moyen efficace d’accéder à un réseau ou à un compte.
    De nombreux utilisateurs ne configurent pas de mots de passe forts, réutilisent des mots de passe existants sur plusieurs sites ou ne modifient pas régulièrement leur mot de passe, ce que les cyberattaquants ne manquent pas d’exploiter.

  • Selon le rapport d’enquête 2021 sur les compromissions de données de Verizon, les identifiants compromis, tels que les mots de passe faibles, constituent le principal point d’accès des cyberattaquants.
    Plus de six compromissions sur dix (61 %) trouvent leur origine dans les identifiants des utilisateurs.]

     

11. Attaques des anniversaires
 

  • Les attaques des anniversaires sont un type d’attaque en force qui tente d’identifier deux valeurs de hachage correspondantes pour craquer un mot de passe.

  • L’attaque tire son nom de la théorie des probabilités selon laquelle, dans un groupe de 30 personnes, il y a 70 % de chances que deux personnes partagent la même date de naissance.
     

12. Attaque de type « drive-by »
 

  • Les attaques de type « drive-by », également appelées attaques par téléchargement furtif, sont une forme plus sophistiquée d’attaque de malware qui exploite les vulnérabilités de divers navigateurs web, plug-ins ou applications pour lancer l’attaque.

    • Elles ne nécessitent aucune action humaine pour être lancées.

    • Une fois l’attaque en cours, le cyberattaquant peut détourner le terminal, espionner les activités de l’utilisateur ou voler des données et des informations personnelles.

  • Bien que les attaques de type « drive-by » soient beaucoup plus complexes à déployer, elles sont de plus en plus fréquentes, étant donné que les mesures de cybersécurité se perfectionnent et parviennent à neutraliser les attaques de logiciels malveillants traditionnelles.
     

13. Cryptopiratage
 

  • Le cryptopiratage est l’utilisation non autorisée des ressources informatiques d’une personne ou d’une entreprise pour le minage de cryptomonnaie.

  • Les programmes de cryptopiratage peuvent être des malwares installés sur l’ordinateur d’une victime par le biais d’une opération de phishing, de sites web infectés ou d’autres méthodes typiques des attaques de malwares.
    Il peut également s’agir de petits éléments de code insérés dans des publicités numériques ou des pages web qui ne s’exécutent que lorsque la victime visite un site web particulier.

  • Les attaques de cryptopiratage ont diminué depuis 2018 en raison de l’attention accrue des forces de l’ordre, ainsi que de la mise hors service de Coinhive, le principal site de cryptominage de la cryptomonnaie Monero.
    Cependant, ces attaques connaissent actuellement un nouvel essor en raison de la prise de valeur des cryptomonnaies.

     

14. Attaque IoT
 

  • Une attaque IoT désigne toute cyberattaque à l’encontre d’un terminal ou réseau IoT (Internet des objets).
    Une fois l’appareil compromis, le cyberpirate peut en prendre le contrôle, voler des données ou rejoindre un groupe de terminaux infectés pour créer un réseau de robots et lancer des attaques DoS ou DDoS.

  • Selon le laboratoire de cyberveille de Nokia, les terminaux connectés sont responsables de près d’un tiers des infections de réseaux mobiles, soit plus de deux fois plus qu’en 2019.

  • Comme le nombre de terminaux connectés devrait augmenter rapidement au cours des prochaines années, les experts en cybersécurité s’attendent à ce que les infections IoT progressent également.
    En outre, le déploiement des réseaux 5G, qui favoriseront davantage encore l’utilisation des terminaux connectés, pourrait également entraîner une multiplication des attaques.

bottom of page