Attaques DDoS : entreprises et particuliers, même combat

La menace cybernétique et les tentatives d’agression informatiques ne concernent pas que le gouvernement : les entreprises - dont 81 % sont touchées - sont elles également en danger, mais aussi les particuliers.

Le ministre de la Défense Jean-Yves le Drian l’a affirmé dans le Journal du Dimanche en janvier dernier[1]  : les cyberattaques contre son ministère “doublent chaque année”. Les services français ont ainsi bloqué en 2016 pas moins de 24 000 attaques externes informatiques. La menace cybernétique et les tentatives d’agression informatiques ne concernent pas que le gouvernement : les entreprises - dont 81 % sont touchées - sont elles aussi en danger.

Et les stratégies d’attaque s’adaptent maintenant aux particuliers. Eclairage avec l’exemple des attaques DDoS (Distributed Denial Of Services) par écran de fumée.

Faire diversion pour toucher les particuliers

Les entreprises sont en danger. Elles sont en effet 81 % à avoir été ciblées par des pirates informatiques en 2015, comme le révèle une étude Opinion Way dévoilée en exclusivité par Europe 1. Si le pourcentage est aussi élevé, c’est selon l’enquête en raison d’un manque de sensibilisation : les salariés sont ainsi les premiers à mettre en danger leur société en utilisant leur smartphone personnel ou en cliquant sur des liens dangereux contenus dans des mails. On constate ainsi qu’il est très facile de voir transposées les attaques envers les entreprises aux particuliers. En effet en fin de journée chaque employé redevient un internaute lambda et peut à tout moment être victime des mêmes attaques que sur son lieu de travail. C’est le cas des attaques DDoS dites “par écran de fumée” qui comptent parmi les techniques utilisées pour les atteindre.

Utilisées comme diversion à diverses étapes de la chaîne de frappe d’une cyberattaque, les attaques DDoS sont destinées à masquer des activités bien plus dommageables, comme un vol ou une fraude. Elles sont utilisées en trois temps : reconnaissance (fiabilité du dispositif de sécurité de la victime potentielle et capacité de réponse), propagation ou exploitation de malware à l’intérieur d’un réseau. Enfin en dernier lieu, l’extraction des données lors de l’exécution de la mission alors que les pirates lancent une attaque DDoS de diversion et dérobent des données confidentielles (fichiers de cartes de crédit, propriété intellectuelle ou autres informations de valeur). Ayant ainsi détourné l’attention de l’utilisateur, les fraudeurs peuvent tranquillement s’esquiver ni vus ni connus avec leur butin, alors que l’attaque DDoS prend fin mystérieusement.

L’adaptation d’une attaque créée pour les entreprises envers les particuliers : l’exemple du piratage d’un compte Amazon

Comme de nombreux internautes, vous utilisez le même mot de passe sur plusieurs comptes ? Il n’en faut pas plus pour qu’un compte de type Amazon soit piraté. Les pirates se servent à cette fin de robots d’inscriptions pour masquer le piratage du compte en dressant un écran de fumée. Ils s’inscrivent à de nombreux services, lesquels sont notifiés par mail à l’utilisateur qui s’inquiète que  son adresse soit détournée pour la création de faux comptes. En parallèle si des informations bancaires sont stockées sur celui-ci elles sont utilisées pour effectuer divers achats. Ainsi au milieu de la masse de messages il devient très difficile voire impossible pour la victime de stopper l’utilisation de son argent  Un véritable écran de fumée, pour une diversion totale. Bonne nouvelle : la réaction immédiate de boutiques en ligne comme Amazon. Mais encore faut-il s’apercevoir de la supercherie et les en informer à temps.

Pour agir et noyer le cyberconsommateur sous cet afflux de mails, les pirates utilisent des bots internet, des applications conçues pour effectuer automatiquement une tâche spécifique, souvent simple et répétitive, et à très grande vitesse, sur un site Web. Il y a tout lieu de s’inquiéter de cette adaptation des attaques DDoS par écran de fumée aux particuliers. Amichai Shulman, CTO chez Imperva, a énoncé différentes prédictions en matière de cybersécurité pour 2017 : vulnérabilité du botnet des objets et piratage accru de réseaux domestiques, avance constante des pirates sur les entreprises et détection trop lente des brèches par les organisations (attaques dites “fantômess”) ou encore cyberfatigue avec l’augmentation de l’intensité des attaques.

Des attaques DDoS dont l’intensité ne cesse d’augmenter et qui menacent les plus petites entreprises

Chaque année, en effet, les pirates sont toujours plus rapidement opérationnels et les vecteurs d'attaque toujours plus innovants. De plus, l'utilisation accrue de l'automatisation et l'organisation des pirates entre eux placent un peu plus les entreprises dans la fosse aux lions. 

Il faut donc s’attendre à voir rapidement, à l’instar des particuliers, des sociétés être victimes d’attaques pensées au départ pour de grosses structures, conduisant les entreprises à un état de fatigue et de torpeur. Les plus petites entreprises s’affichent nécessairement comme étant les plus fragiles, comment peuvent-elles se prémunir contre les attaques évolutives et organisées ? 

En 2017, il est nécessaire, on s’en doute, que les entreprises cherchent à améliorer leur niveau de sécurité informatique, en repensant leur stratégie de sécurité globale reposant sur des plans s’attaquant au marché des affaires plutôt qu’aux vecteurs d’attaques techniques. 

Pour se protéger, des gestes simples à emprunter aux particuliers 

Ainsi, la boucle est bouclée alors qu’il est conseillé aux entreprises d’emprunter aux particuliers quelques gestes simples pour se protéger. Entre autres bonnes pratiques, on pourra mentionner l’utilisation de mots de passe distincts d’un site à l’autre, l’activation de l’authentification à deux facteurs (2FA) avec envoi par SMS d’un code à usage unique, la signalisation des spams en tant que courriers indésirables au lieu d’une simple suppression… Mais aussi le filtrage des robots d’inscription, tout particulièrement pour les exploitants de sites, et la mise en place d’un système “captcha” qui a fait la preuve de son efficacité. 

Bien sûr, il est également essentiel de former et d’éduquer les salariés à la sécurité informatique : peu prudents et naïfs, ils doivent apprendre à ne pas ouvrir de mails douteux, à ne pas transmettre leur mot de passe ou des codes confidentiels, et à s’inscrire, de manière générale, dans une véritable culture du risque. Pour les dirigeants, les parades sont simples : mettre à jour les applications et imposer des mots de passe complexes, protéger leur système avec un pare-feu et un anti-virus, sauvegarder les données fréquemment et réaliser régulièrement des tests d’intrusion pour tester la viabilité du système de sécurité et en révéler les faiblesses et mettre en place des systèmes de surveillance au niveau de la donnée. 

Dans tous les cas, la solution est claire : il faut toujours prévoir le pire. Aucune protection n’est fiable à 100 %. L’analyse du risque doit toujours s’accompagner de la mise au point des scénarios catastrophes les plus dommageables, afin de se préparer en amont à la gestion de crise et être apte à déployer immédiatement, si besoin, des processus clairs et adaptés. Il en va, finalement, de l’image de l’entreprise et de la pérennité de son activité. Car nul n’est protégé ni épargné par ces attaques : adopter des gestes simples pour se protéger est donc essentiel quand on connaît les conséquences terribles d’un hacking sur de petites sociétés. Et surtout quand on sait que, bien souvent, ces piratages sont le résultat de négligences ou de malveillances de l’intérieur.  A ne surtout pas prendre à la légère, donc.

[1] Source