En 2022, les cyberattaques mondiales ont augmenté de 38 % d'une année sur l'autre. Ce pourcentage devrait encore augmenter en 2023 en raison de la maturité des technologies d'IA, telles que ChatGPT.
L'augmentation du volume et de la gravité des cyberattaques souligne l'importance de la gouvernance de la cybersécurité. Afin de créer les politiques, procédures et stratégies qui définissent comment la cybersécurité est abordée, gérée et surveillée au sein de votre organisation, vous devez comprendre quelles menaces vous affrontez.
Cet article examine 14 des types les plus courants d'attaques de cybersécurité en 2023, fournissant des définitions et des exemples pour vous aider à comprendre et à vous défendre contre ces menaces.
Types d'attaques informatiques les plus courants en 2023
1. Attaques de logiciels malveillants
Les logiciels malveillants sont un terme général désignant les logiciels nuisibles conçus pour nuire ou exploiter des appareils numériques.
Exemple : Ver Stuxnet
Conçu pour saboter le programme nucléaire iranien, Stuxnet s'est propagé via les machines Windows de Microsoft pour cibler les applications industrielles, en particulier celles connectées aux centrifugeuses d'enrichissement de l'uranium. Une fois à l'intérieur d'un système, Stuxnet modifiait subtilement les vitesses des centrifugeuses, les faisant s'autodétruire tout en affichant un fonctionnement normal aux systèmes de surveillance. Stuxnet aurait détruit près d'un cinquième des centrifugeuses nucléaires de l'Iran, marquant une nouvelle ère de la guerre informatique.
2. Rançongiciels
Type de logiciel malveillant, les attaques de rançongiciels cryptent les données de l'utilisateur et demandent un paiement en échange de la clé de déchiffrement.
Exemple : Attaque par rançongiciel WannaCry
WannaCry s'est propagé via une vulnérabilité Windows connue sous le nom d'EternalBlue. Une fois qu'un système était infecté, le rançongiciel tentait de se propager à d'autres appareils sur le même réseau informatique, ainsi qu'à des hôtes aléatoires sur Internet. Des organisations majeures du monde entier ont été touchées, y compris FedEx, Renault et le Service national de santé du Royaume-Uni, qui a dû rediriger des patients en urgence en raison de l'arrêt des systèmes informatiques. Les dommages sont estimés à des milliards, voire des dizaines de milliards de dollars dans le monde entier. L'attaque s'est terminée lorsqu'un chercheur en cybersécurité a découvert un interrupteur d'arrêt dans le code du rançongiciel.
3. Attaques par déni de service (DoS)
Les attaques DoS surchargent un système informatique avec un trafic excessif, le rendant indisponible pour les utilisateurs.
Exemple : Attaque DoS de Dyn DNS
Une attaque par déni de service distribué visant le fournisseur de système de noms de domaine Dyn a affecté des sites web à profil élevé et des services en ligne, notamment Twitter, Reddit, Netflix, CNN et Spotify, les rendant indisponibles à des millions d'utilisateurs. Des logiciels malveillants installés sur des appareils des consommateurs ont créé un botnet significatif, utilisé pour l'attaque de Dyn.
4. Attaques de phishing
Le phishing est un type d'attaque d'ingénierie sociale qui utilise des e-mails ou des pages web trompeurs pour inciter les utilisateurs à divulguer des informations sensibles.
Exemple : Attaque de Target Corporation
Les données sensibles d'environ 130 millions de clients de Target ont été compromises après que des attaquants ont lancé une attaque de phishing réussie contre un fournisseur de CVC tiers ayant accès au réseau de Target pour les besoins de facturation et de soumission de contrats. Des logiciels malveillants ont été installés sur les systèmes du fournisseur qui ont obtenu les identifiants de connexion pour le réseau de Target, utilisés par les attaquants pour accéder aux systèmes de point de vente. Le PDG et le CIO de Target ont démissionné après l'incident.
5. Usurpation d'identité
L'usurpation d'identité dissimule l'identité d'un attaquant en faisant apparaître les activités comme provenant d'une source fiable. L'usurpation d'e-mail peut faire paraître un e-mail de phishing comme provenant d'une entreprise réputée ou d'une agence gouvernementale.
Exemple : Attaque de spoofing PayPal
Des cybercriminels ont créé un faux site web imitant le site officiel de PayPal, en reproduisant le logo, les polices, les couleurs et la mise en page de la marque. Les utilisateurs non méfiants accédaient au site contrefait via des e-mails de phishing ou des publicités malveillantes et étaient invités à se connecter. Les criminels utilisaient ensuite les identifiants volés pour effectuer des achats frauduleux.
6. Attaques de type « homme du milieu » (Man-in-the-middle)
Ces attaques interceptent les communications entre deux parties sans être détectées, comme l'écoute clandestine sur un réseau Wi-Fi public non sécurisé afin de voler des données.
Exemple : Violation de l'autorité de certification DigiNotar
Les autorités de certification (CA) sont des entités de confiance qui délivrent des certificats numériques, tels que les certificats SSL/TLS pour le chiffrement des sites web. Pour que les navigateurs web et les systèmes fassent confiance au certificat SSL/TLS d'un site web, il doit être délivré par une CA de confiance. Dans le cas de DigiNotar, des attaquants ont frauduleusement délivré des certificats pour de nombreux domaines, y compris un pour *.google.com, ce qui a permis aux attaquants d'usurper les services de Google. Ce certificat frauduleux de Google a ensuite été utilisé pour mener une attaque de type MitM. Lorsque les utilisateurs tentaient d'accéder à leurs comptes Gmail, leur trafic était intercepté et décrypté par l'attaquant, leur donnant accès aux e-mails et aux identifiants des victimes.
7. Chevaux de Troie
Les chevaux de Troie apparaissent comme des logiciels légitimes mais cachent des fonctions malveillantes. Par exemple, une application apparemment bénigne téléchargée à partir d'une source non fiable peut contenir une charge utile cachée qui vole des données.
Exemple : Zeus Trojan
Zeus était un cheval de Troie utilisé pour voler des informations bancaires via la journalisation des frappes et la capture de formulaires. Une fois installé, Zeus fonctionnait silencieusement en arrière-plan, capturant des données sensibles et enregistrant les frappes chaque fois que les utilisateurs remplissaient des formulaires web.
8. Attaques par injection SQL
Les cybercriminels utilisent l'injection SQL pour manipuler les requêtes de la base de données, pouvant potentiellement accéder, modifier ou supprimer des données. En exploitant les vulnérabilités des formulaires web, les attaquants peuvent accéder à des bases de données de clients entières.
Exemple : Violation de Heartland Payment Systems
Les attaquants ont utilisé des techniques d'injection SQL pour exploiter une vulnérabilité dans l'application web de Heartland, leur permettant d'accéder au réseau interne de l'entreprise. Ils ont ensuite installé des logiciels malveillants qui capturaient les données des cartes de paiement au fur et à mesure qu'elles étaient traitées, y compris les numéros de carte de crédit, les dates d'expiration et les noms des titulaires de cartes. La violation a exposé environ 130 millions de cartes de crédit et de débit.
9. Attaques basées sur l'identité
Les hackers utilisent des identifiants volés pour se faire passer pour des utilisateurs légitimes, par exemple en piratant des comptes de réseaux sociaux pour diffuser de la désinformation ou voler des informations confidentielles.
Exemple : Arnaque Bitcoin sur Twitter
Des hackers ont ciblé plusieurs comptes Twitter de haut niveau, y compris ceux d'Elon Musk, Bill Gates, Barack Obama, Joe Biden, Apple, Uber et d'autres personnalités bien connues. En utilisant ces comptes piratés, les attaquants ont publié des tweets demandant aux abonnés d'envoyer des paiements en Bitcoin à une adresse spécifique avec la promesse que tout montant envoyé serait doublé et renvoyé. Étant donné que les tweets semblaient provenir de sources fiables, de nombreux utilisateurs y ont cru. Les attaquants auraient reçu plus de 100 000 $ en Bitcoin en quelques heures.
10. Attaques par injection de code
Les attaquants insèrent du code malveillant dans une application ou un site web légitime. Par exemple, les attaques par script intersites (XSS) peuvent être utilisées pour voler des cookies de session, entraînant un accès non autorisé.
Exemple : Violation de données Equifax
Les attaquants ont exploité une vulnérabilité dans un cadre open-source populaire pour créer des applications web Java. Cette vulnérabilité a permis aux attaquants de mener une attaque d'exécution de code à distance. Le code injecté leur a permis de prendre pied dans les systèmes d'Equifax, leur permettant de localiser et d'accéder à des bases de données et d'exfiltrer d'importantes quantités de données sensibles, y compris les noms, numéros de sécurité sociale, dates de naissance, adresses, numéros de carte de crédit et numéros de permis de conduire.
11. Attaques de la chaîne d'approvisionnement
Ces attaques compromettent un produit ou un service au sein de la chaîne d'approvisionnement pour affecter sa production finale. Par exemple, compromettre une mise à jour logicielle pour distribuer des logiciels espions ou des scripts malveillants à tous les utilisateurs de ce logiciel. Ou créer de fausses informations pour modifier la chaîne d'approvisionnement d'un produit ou service à des fins malveillantes.
Exemple : Violation de SolarWinds Orion
SolarWinds est un important fournisseur de logiciels de gestion informatique, et leur plateforme Orion est utilisée par de nombreuses entreprises, y compris de nombreuses entreprises du Fortune 500 et des agences gouvernementales. Les attaquants ont réussi à compromettre SolarWinds en insérant un code malveillant dans les mises à jour logicielles officielles de la plateforme Orion. La mise à jour logicielle compromise a ensuite été distribuée à des milliers de clients de SolarWinds. Cette mise à jour malveillante contenait une porte dérobée qui permettait aux attaquants de se déplacer latéralement au sein des organisations affectées, d'accéder à des informations sensibles et potentiellement de réaliser d'autres actions malveillantes.
12. Menaces internes
Cette catégorie comprend les activités malveillantes menées par quelqu'un au sein de l'organisation ciblée. Un employé avec de mauvaises intentions pourrait saboter des systèmes critiques ou vendre des secrets commerciaux. Les menaces internes sont souvent des employés mécontents.
Exemple : Affaire Terry Childs
Terry Childs était un ingénieur réseau informatique employé par le Département des services de télécommunications et d'information de San Francisco. Il était responsable du réseau FiberWAN de la ville, qui transportait une grande partie des données municipales, y compris les dossiers officiels, les courriels et les documents des forces de l'ordre. Childs a fait la une des journaux lorsqu'il a refusé de divulguer des mots de passe réseau critiques à ses superviseurs, bloquant ainsi la ville de son propre réseau. Deux semaines après son arrestation, Childs a remis les mots de passe au maire de l'époque, Gavin Newsom.
13. Tunneling DNS
Le tunneling DNS consiste à encapsuler du trafic non-DNS dans des protocoles DNS pour contourner les mesures de sécurité réseau.
Exemple : Malware FrameworkPOS
FrameworkPOS est un malware de point de vente (PoS) conçu pour extraire des informations de carte de crédit des systèmes qui traitent les transactions de vente au détail. Une fois ces données collectées, le malware doit ensuite les transmettre hors du réseau de la victime. Dans de nombreux cas, les connexions sortantes directes des systèmes PoS sont bloquées ou étroitement surveillées.
Au lieu de transmettre ces données directement, ce qui pourrait déclencher des alertes de sécurité, le malware utilise le tunneling DNS. Les données volées sont divisées en petits morceaux et intégrées dans des requêtes DNS. Les outils de sécurité réseau, qui permettent souvent le trafic DNS, car il est essentiel pour l'accès à Internet, peuvent ignorer ces requêtes. Les requêtes DNS malveillantes atteignent un serveur contrôlé par l'attaquant, qui réassemble ensuite les données.
14. Attaques basées sur l'IoT
Ces attaques ciblent les dispositifs de l'Internet des objets et/ou les réseaux, en exploitant souvent une sécurité faible.
Exemple : Attaque du botnet Mirai
Le malware Mirai ciblait des dispositifs IoT tels que les caméras IP et les routeurs, exploitant principalement les combinaisons de noms d'utilisateur et de mots de passe par défaut pour accéder. Une fois infectés, ces dispositifs faisaient partie d'un botnet utilisé pour lancer l'attaque DDoS contre DNS Dyn.
Lecture recommandée
Les 13 types d'attaques d'ingénierie sociale les plus courants + comment s'en défendre
Read More
10 façons de protéger votre organisation contre les cyberattaques
Bien qu'aucune entreprise ne soit à l'abri des cyberattaques, vous pouvez réduire considérablement la probabilité et l'impact d'une attaque avec de solides pratiques de cybersécurité. Suivez ces dix étapes pour renforcer votre entreprise :
1. Formation à la sensibilisation à la sécurité
Le facteur humain est souvent le maillon le plus faible en matière de cybersécurité. Formez régulièrement les employés aux meilleures pratiques de sécurité afin qu'ils sachent reconnaître les e-mails de phishing et autres tactiques d'escroquerie, utiliser des pratiques de mot de passe solides et des habitudes de navigation sécurisées, et éviter les téléchargements ou les liens suspects.
2. Sauvegardes régulières
Les données sont le nerf de la guerre des entreprises modernes. Protégez-vous contre la perte de données due aux ransomwares ou à d'autres catastrophes en effectuant des sauvegardes régulières des données critiques. Stockez les sauvegardes à la fois sur place et hors site, de préférence dans un service cloud avec plusieurs zones de disponibilité, un chiffrement solide et des sauvegardes régulièrement testées pour garantir l'intégrité des données et le bon fonctionnement des processus de restauration.
3. Mises à jour régulières et correctifs logiciels
Les attaquants exploitent souvent les vulnérabilités des logiciels obsolètes. Mettez régulièrement à jour les systèmes d'exploitation et les applications logicielles, et utilisez des outils de gestion des correctifs automatiques lorsque cela est possible.
4. Sécurité réseau
Protéger votre réseau est crucial. Utilisez des pare-feux pour surveiller et contrôler le trafic entrant et sortant. Les systèmes de détection et de prévention des intrusions (IDPS) peuvent identifier et arrêter les activités suspectes. En segmentant les réseaux, vous pouvez vous assurer que les données sensibles sont isolées.
5. Protection des points de terminaison
Chaque appareil est un point d'entrée potentiel pour les menaces. Assurez-vous de la sécurité des points de terminaison en installant des solutions antivirus et antimalware mises à jour sur tous les appareils. Les solutions de gestion des appareils mobiles (MDM) peuvent également protéger les appareils mobiles et BYOD.
6. Chiffrement des données
Chiffrez les données sensibles, à la fois en transit et au repos, et utilisez des standards de chiffrement solides comme l'AES. Utilisez également des protocoles de communication sécurisés tels que SSL/TLS.
7. Contrôles d'accès
Tous les employés n'ont pas besoin d'accéder à toutes les données. Renforcez la sécurité en mettant en œuvre le principe du moindre privilège (PoLP), en examinant et en mettant régulièrement à jour les droits d'accès des utilisateurs, et en utilisant l'authentification multi-facteurs (MFA).
8. Gestion des fournisseurs
Les vendeurs tiers peuvent introduire des vulnérabilités de manière involontaire. Renforcez la gestion des fournisseurs en envoyant des questionnaires de sécurité avant de collaborer avec des fournisseurs, en définissant clairement les attentes en matière de sécurité dans les contrats, et en surveillant l'accès et les activités des fournisseurs sur votre réseau.
9. Plan d'intervention en cas d'incident
Même avec des défenses robustes, des violations peuvent se produire. Créez un plan d'intervention en cas d'incident complet qui décrit les rôles, les responsabilités et les actions à entreprendre en cas de violation de la sécurité. Pratiquez et testez régulièrement le plan pour vous assurer qu'il est à jour et efficace.
10. Surveillance continue
La surveillance continue peut identifier les menaces potentielles avant qu'elles ne deviennent une attaque. Elle peut également détecter les cybermenaces et les vulnérabilités en temps réel, donnant aux organisations la possibilité de répondre rapidement, de contenir un incident de sécurité et d'empêcher son escalade.
