Attaques informatiques : décryptage du phénomène et réflexes à adopter

350 milliards d’euros par an : selon le McAfee Report on the Global Cost of Cybercrime publié en 2014, tel est le coût estimé des attaques informatiques à l’échelle mondiale.

Depuis le début de l’année, les attaques se sont multipliées, notamment suite aux attentats de Charlie Hebdo, mettant plus que jamais en péril la sécurité des données des entreprises et des institutions. Un rapport publié le 16 février dernier par Kaspersky Lab a quant à lui révélé l’attaque d’une centaine de banques depuis 2013 par un gang organisé.

Afin d’appréhender au mieux ces offensives, il est important d’en comprendre les tenants et les aboutissants et d’avoir à l’esprit les réflexes qui permettent de s’en prémunir.


Des attaques aux motivations multiples

De plus en plus de sites internet sont victimes d’attaques dites de "défiguration" perpétrées par des hacktivistes revendiquant des convictions religieuses, politiques ou encore contestataires. On trouve également certains attaquants qui agissent uniquement pour l'amusement, mais ces scénarios se font de plus en plus rares. En général, seule la page d'accueil du site est modifiée pour signifier leur passage et évoquer leurs revendications.

On trouve également d'autres attaques qui, elles, sont plus furtives (ou en tout cas tentent de l'être) et consistent à voler des informations à des fins de rançonnage par exemple. Les vols de données bancaires (carte de crédit, numéros de comptes) permettent quant à eux du détournement d'argent, l'achat de services ou encore de matériels en ligne. Ces criminels, bien organisés, offrent des services de tout type à d'autres criminels : du kit d'infection, à l'envoi de spam massif, en passant par des serveurs de contrôle (c&c)  pilotant des milliers de machines "zombies" permettant des attaques DDOS (Déni de service distribué). Tous n'ont pas le même niveau technique, certains ne sont d'ailleurs que des "presse-bouton", alors que d'autres ont la capacité de créer des virus, ou des programmes exploitant des failles de sécurité.

Mais comment s'y prennent-ils ? Ces malfaiteurs utilisent une faille de sécurité dans un programme qui peut provenir d'une erreur de conception (un protocole mal sécurisé par exemple), de programmation ou d'implémentation (failles connues comme shellshock, heartbleed ou ghost), de configuration (oubli du mot de passe par défaut après une installation) ou encore d’une erreur d'utilisation par une personne utilisant un mot de passe trop faible par exemple. L'humain est donc au centre de cette problématique.

Le plus souvent ces attaques débouchent sur du détournement d'argent ou la diffusion de données sur internet. Les conséquences financières pour les entreprises peuvent être considérables, sans compter l’impact que cela peut avoir sur l’image de l’entreprise victime d’un piratage. Dès lors, quels réflexes adopter face à ces diverses attaques et failles ?


Adopter les bonnes pratiques pour limiter les risques

Les attaques ne cessent de croître dans la mesure où l’enjeu financier pour les criminels est très important. Lorsque l’on sait que l’attaque par déni de service est accessible pour seulement 30 à 70 dollars  la journée et qu’un spam ne revient qu’à 10 dollars par tranche d’1 million d’e-mails*, ce type de pratique n’est pas prêt de cesser. A ce premier enjeu s’ajoute le manque de vigilance dont font preuve les internautes. Le risque de s’infecter est en effet omniprésent : il suffit de cliquer sur un lien drainant un logiciel malveillant ou encore de partager un contenu infecté.

Quand bien même le risque zéro n'existe pas, la grande majorité de ces attaques pourrait être bloquée, dès lors que l’on adopte les bonnes pratiques pour se protéger et protéger autrui. Le maître mot est l’anticipation et la capacité à réagir rapidement en cas d'intrusion, la mise en œuvre d’un pare-feu ou d’un anti-virus pour se protéger n’étant pas suffisante. Le processus organisationnel de sécurisation est en effet plus important que les outils de protection eux-mêmes (on a en général un rapport de 80-20).

Pour ce faire, l’un des points majeurs est la gestion des mises à jour. Lorsqu'une faille tombe, celle-ci peut-être déjà exploitée plus ou moins massivement. S'en suit la douloureuse phase consistant à tester si le programme régresse ou non dans son fonctionnement avant une mise en production. Durant toute cette période, le programme est encore exposé à une potentielle exploitation de la faille. Cela sous-entend qu'il faut d'une part valider aussi vite que possible, et d'autre part essayer de se protéger temporairement avec des outils de type Firewall ou IPS. Il est aussi bon de rappeler que ces outils de protection sont aussi faillibles que les autres et qu'ils peuvent être contournés.

Dans le cas où l’attaque a déjà eu lieu, sur un site web par exemple, la première chose à faire est de bloquer le site. Cette phase est primordiale dans la mesure où un site piraté peut renvoyer des logiciels malveillants aux internautes le consultant. La deuxième étape est de sauvegarder tous les journaux, les données et programmes du site ainsi que la base de données, avant de procéder à une analyse du système pour connaître l’origine de l’attaque. Cette analyse est primordiale pour une remise en production du site. Elle permet de connaître par quel moyen les attaquants sont entrés dans le système et ce qu'il faut mettre à jour. Le mieux est de revenir sur une version de sauvegarde dont on est sûr qu'elle n'a pas été affectée par la compromission et de la mettre à jour. Parallèlement, il est également vivement conseillé de porter plainte afin que ces attaques soient référencées par les autorités et que des mesures soient prises.

S’il est crucial de prendre en compte la problématique de sécurité lors de la création d’un projet informatique, il est tout aussi indispensable d’en assurer la maintenance afin d’anticiper les attaques et de pouvoir les gérer efficacement, et ainsi minimiser leur impact sur l’activité de l’entreprise.

*Wired.com.uk

Serveurs / Virus