Connectivité des événements sportifs, politiques ou culturels : menaces et responsabilités

Des entreprises associées aux Jeux Olympiques 2016 ont fait l’objet d’attaques DDoS. On peut s’attendre à ce que l’ensemble des techniques visant les équipements mobiles aient été mises en œuvre par les cybercriminels.

L’afflux de public en un même lieu rend les opérations de cybercriminalité plus rentables sur une durée plus courte. Si les hackers se concentrent généralement sur le vol d'identité en déployant un logiciel malveillant conçu pour récolter et voler des informations personnelles, toutes les technologies visant à améliorer le séjour des personnes venues participer à l’événement peuvent devenir des vecteurs d’attaque ou de compromission. Les fournisseurs d'accès Internet (FAI), les sponsors, les magasins de vente en ligne, les lieux de rassemblement, les hôtels et même les réseaux déployés par les administrations et les villes deviennent ainsi des cibles potentielles, tout autant que les individus.

Dans ce contexte, les menaces sont nombreuses et varient en fonction des vecteurs d'attaque. Cependant, les attaques les plus fréquentes sont clairement identifiées.

Un large éventail de menaces

Lors des rassemblements, les attaques que l’on observe le plus souvent sont les suivantes :

1. Le Déni de Service

Compte tenu des volumes élevés de communications générées par les événements d’ampleur, il n’est pas nécessaire de mettre en place une attaque sophistiquée pour faire tomber un FAI (Fournisseur d’Accès Internet). Une attaque DDoS massive par réflexion combinée au pic naturel de circulation de données peut suffire. Les attaques par déni de service peuvent en outre être générées par un réseau de botnets. Par ailleurs, un groupe de pirates informatiques déterminés peut tirer parti de techniques multiples combinant la saturation de réseau avec différentes attaques faibles et lentes (telles que SlowHTTP POST, pylore, Torshammer...) voire même des attaques cryptées (telles que la renégociation ou THC SSL).

2. Attaques sur les applications

Hackers et cybercriminels lancent des attaques sur les applications telles que l’injection SQL en vue de voler des données. Les informations ainsi récupérées sur les participants, les organisateurs et partenaires de l’événement peuvent être rapidement monétisées ou utilisées à des fins malveillantes (divulgation d’informations confidentielles, discrédit public...). Les cybercriminels utilisent également des applications et des sites web contrefaits pour cibler les usagers. Le "cross site scripting" est également mis en œuvre en vue d’identifier les pages web vulnérables et de les contaminer via l’injection d’un script dans le navigateur de l'utilisateur.

3. Skimmers

Les cybercriminels sont susceptibles d’installer des skimmers sur les guichets automatiques et les systèmes de points de ventes. Ces techniques, qui consistent notamment à remplacer un lecteur de carte par un autre dispositif, permettent aux pirates informatiques d'enregistrer les informations (coordonnées bancaires, code à quatre chiffres) relatives à l’utilisateur d’un distributeur automatique pour les revendre ultérieurement sur le marché noir. Plus la foule est nombreuse, plus le nombre de victimes potentielles est élevé !

4. Points d'accès Rogue

Hacktivistes et cybercriminels sont prévoyants. Si le retour sur investissement d’un événement leur semble suffisamment élevé, ils effectuent rapidement un tour d’horizon des points d'accès au plus fort potentiel et évaluent leurs vulnérabilités. Ils utiliseront des points d'accès dont le nom et l’interface ressemble à celui d’un service de confiance pour cibler les utilisateurs les moins méfiants et leur dérober – par exemple – les identifiants de connexion au service en question.

5. Compromission de terminaux mobiles

Un certain nombre de menaces ciblant les terminaux mobiles sont également utilisées et notamment :

  • Le juice-jacking : des stations de recharge malveillantes utilisées pour transférer des logiciels malveillants sur un terminal (tablette, ordinateur, téléphone…) pendant la charge, offrant ainsi au cybercriminel un accès administrateur (root) à l’équipement.
  • Les "jumeaux maléfiques" : une tactique de type "man in the middle" qui utilise des points d'accès malveillants dont les noms sont les mêmes que ceux des points d'accès légitimes. Une fois le dispositif mobile connecté, les logiciels malveillants peuvent y être injectés et le trafic peut être inspecté.

Une fois infectés, les terminaux peuvent aussi être contrôlés à distance et effectuer des tâches comme l'enregistrement audio et vidéo, la prise de photos, l’envoi de messages texte, l’ouverture de pages web, le vol de données utilisateur, la suppression de fichiers, le lancement d’attaques par déni de service via la saturation HTTP, l’injection web...

Sécurité informatique : préparer un événement

Organisateurs et participants de ces événements sont également concernés par ces menaces. Du côté des organisateurs, il faut envisager la mise en place de solutions de classe entreprise telles que les solutions de protection contre les attaques DDoS, contre les attaques web sophistiquées (incluant l’injection SQL et les attaques SSL), de blocage des intrusions, de gestion des identités et des accès. La mise en place de règles de sécurité visant à prévenir les attaques de type Zero-Day est également essentielle. 

Côté utilisateur, le bon sens et la prudence sont également de mise ! Non seulement il faut éviter d’installer n’importe quelle application sur son terminal, mais il faut s’assurer que ce dernier dispose bien des récentes mises à jour. Désactiver le wiFi et le Bluetooth lorsque l’on n’en a pas l’utilité est également une bonne pratique. Changer les mots de passe après un voyage ou un événement à risque, bien que fastidieux, peut-être une bonne idée ! Et dans ces circonstances spécifiques comme dans la vie quotidienne, il est important de connaitre l’existence des skimmers et de se renseigner sur les méthodes utilisées dans ce domaine.

La sécurité informatique est l’affaire de tous, adopter une attitude responsable reste la meilleure des parades contre l’ingéniosité des cybercriminels.

FAI / Cybercriminalité