Glossaire
Le Glossaire Arsen sur la cybersécurité est réalisé pour que vous puissiez améliorer vos connaissances sur le secteur, et adopter les bonnes pratiques au quotidien.
Arsen est une plateforme qui vous permet de tester vos collaborateurs via des campagnes de simulations de phishing. Lors du lancement d'une campagne, vous allez peut-être vous rendre compte que la sécurité de vos installations informatiques, de vos données et de votre outil de production est potentiellement menacé par les clics de certains des collaborateurs de votre entreprise dans un mail de phishing.
L'objectif d'Arsen est d'améliorer le comportement en jouant sur les 3 leviers suivants :
❊ Le levier théorique : Est-ce que mes collaborateurs connaissent le risque et la manière dont il se manifeste ?
❊ Le levier heuristique : Est-ce que mes collaborateurs sont capables de mobiliser la connaissance face à une menace ?
❊ Le levier culture : Est-ce que l'employé à la volonté de devenir le premier pare-feux de l'entreprise en mobilisant sa connaissance au service du collectif, peut important les conditions dans lesquelles il se trouve au moment où la menace arrive dans sa boîte mail ?
Les types d'attaques d'ingénierie sociale
Protection et atténuations
Les incontournables :
☝️ Le Social Engineering ou l'ingénierie sociale est l’utilisation de leviers psychologiques afin de manipuler une cible et l’amener à se compromettre en effectuant des actions potentiellement dangereuses ou en divulguant des informations sensibles. Le phishing, smishing, spearphishing ou l’arnaque au président utilisent l’ingénierie sociale.
→ Un attaquant déguisé en inspecteur vérifiant la sécurité de vos locaux, habillé d’un gilet jaune et d’un carnet de note, peut y entrer sans en avoir l’autorisation. Il mise sur le fait que son accoutrement le crédibilise et lui donne un aspect officiel.
Cette notion d'ingénierie sociale est au coeur du projet d'Arsen, dont l'ambition est de limiter les risques de brèches informatiques liées à la manipulation des humains.
🎣 Phishing : Le phishing ou hameçonnage est une pratique frauduleuse qui consiste à extorquer des informations personnelles telles que des pièces d’identité, données bancaires, mots de passes, en usurpant l’identité d’une entreprise dont vous avez l’habitude (Ex : Google, Facebook, Netflix, Amazon). Le phishing est généralement employé à travers un email ou un lien sur lequel cliquer. Si vous souhaitez en savoir plus sur le phishing je vous recommande notre article sur le sujet.
→ Vous recevez un mail de Netflix vous offrant une réduction sur votre abonnement. Le mail est accompagné d’un lien vers une page de connexion visant à collecter vos identifiants.
Avec la plateforme Arsen vous disposez d'une offre large de simulation de phishing. Notre bibliothèque de scénarios est composée de templates variés vous permettant de tester vos collaborateurs et voir l'évolution de leur score de sécurité au fil des campagnes.
📲 Smishing : Le smishing (SMS + phishing) est une variante du phishing qui consiste à vous extorquer des données personnelles à travers l’envoi de SMS frauduleux à la place d’emails. On associe aussi au smishing l’usage des messageries instantanées.
→ Vous recevez un SMS de votre banque qui vous demande de vous connecter car un problème est survenu sur votre compte bancaire. En réalité, le SMS ne provient pas de votre banque mais d’un individu malveillant souhaitant extorquer vos données bancaires.
🎯 Spear Phishing : Le spear phishing ou harponnage est une variante du phishing. À la place d’envoyer des mails à de multiples destinataires, l’attaque est bien plus ciblée. En effet, le hacker s’adresse spécifiquement à sa cible et personnalise son prétexte afin d’augmenter le réalisme et la difficulté de détection de l’attaque.
→ Vous recevez cette fois-ci un email de Netflix pour vous annoncer la sortie de nouveaux épisodes de votre série favorite. En citant votre série préférée, le hacker n’utilise plus un mail générique que n’importe qui pourrait copier mais un email personnalisé donnant du crédit à l’identité qu’il usurpe.
🗑️ Spam : Un spam désigne l’envoi massif de courriels électroniques non désirés par les destinataires. L’email peut être de nature publicitaire ou malveillante. Bien que de nombreuses messageries soient équipées de filtre anti-spam, certains spams peuvent tout de même se retrouver dans votre boite mail.
Il est important de distinguer le spam du phishing. Les spams manquent de pertinence et sont nuisibles mais n’ont souvent qu’une finalité commerciale là où le phishing cherche à compromettre la sécurité des systèmes d’information des destinataires.
→ Vous recevez une publicité pour des paires de sneakers en promotion à des prix défiants toute concurrence sans jamais en avoir fait la demande.
🗣️ Vishing ou Voice Phishing : L'hameçonnage par téléphone ou par message vocal est une variante du phishing. Le pirate se fait passer pour une personne vous indiquant un problème auquel vous n'avez jamais fait face ou que vous pouvez bénéficier d'un produit. Dès lors la victime se fait piéger en suivant les instructions données par le pirate pour débloquer la situation. L'occasion pour ce dernier de récupérer des informations bancaires, des informations personnelles d'accès, des numéros de cartes de crédit.
_→Vous recevez un appel d'un interlocuteur qui vous annonce que vous avez gagné un jeux concours. Pour recevoir le prix il vous indique que vous devez vous acquitter de frais annexes (transport, douane... ou que vous devez renseigner les numéro de votre carte bancaire pour être crédité de la somme promise.
Pour les passionnés :
📌 APT – Advanced persistent threat : L’APT ou menace persistante avancée est une cyberattaque visant à s’introduire dans une système sur le long terme. Les cibles d’APT sont rarement des particuliers mais plutôt l’État ou des entreprises afin de voler des données sensibles de façon discrète et en continu.
→ Une entreprise souhaite obtenir des informations sur la santé financière d’un de ses concurrents. Elle mandate un groupe de hacker afin de s’introduire et créer un accès persistant dans les systèmes du concurrents. Ainsi, plutôt que d’effectuer une attaque ponctuelle, l’attaquant peut régulièrement voler des données et suivre de près l’évolution du concurrent.
👔 Arnaque au président : L’arnaque au président vise à usurper l’identité du PDG ou d’un membre haut placé de l’entreprise auprès d’une personne habilitée à effectuer des transferts de fonds. Le hacker fait souvent une demande de paiement extrêmement urgente afin de décoincer une situation critique.
→ Vous êtes directeur financier d’une branche d’un conglomérat lorsque le PDG du groupe vous appelle. Il est coincé à un aéroport en Asie et à besoin de 12 000 euros afin de régler une situation urgente aux douanes. Il est à la fois sûr de lui et passablement énervé. Les bruits de fonds de votre conversation téléphonique confirment qu’il est bien à l’aéroport et il ne semble pas d’humeur à discuter. Entre l’urgence et la pression hiérarchique, vous effectuez le virement et créditez le compte du hacker.
🧮 Bruteforce : L’attaque par force brute ou par énumération vise à essayer de très nombreuses combinaisons — à l’aide d’un dictionnaire, par génération algorithmique ou par une combinaison des deux — pour trouver le mot de passe d’un compte. La création d’un mot de passe robuste ainsi que l’emploi de technique d’authentification forte et à facteurs multiples permet de fortement atténuer l’efficacité de ces attaques.
→ À partir d’informations collectées sur les réseaux sociaux (date de naissance, nom des animaux de compagnie, scolarité, … le hacker génère un dictionnaire de combinaisons de ces mots qu’il utilise pour essayer de se connecter à votre compte Facebook.)
📭 Business Email Compromise : Le BEC est une attaque qui repose sur la compromission d’un compte mail professionnel afin d’usurper l’identité d’une personne habilitée à demander des virements et transmettre des coordonnées bancaires. Le hacker, ayant accès au compte, demandera aux fournisseurs de régler les factures sur un nouvel IBAN, pointant vers un compte auquel celui-ci à accès.
→ Vous recevez un email de la part de votre fournisseur vous demandant de mettre à jour ses coordonnées bancaires suite à un changement de banque. Si vous n’avez pas de procédure spécifique pour les changements de coordonnées bancaires, vous effectuerez les nouveaux règlements vers ce nouveau compte et créditerez directement le compte du pirate.
👠 Catfishing : Le catfishing (aussi, bien que rarement, appelé pêche au poisson-chat) est une pratique consistant à utiliser une fausse identité dans le but de séduire une personne sur internet afin de la compromette, le plus souvent en lui demandant de l’argent pour un besoin urgent. Le catfishing est généralement présent sur les applications de rencontre, les utilisateurs sont moins méfiants et souvent plus vulnérables à ces manipulations reposant sur la séduction car ils ont l’habitude de rencontrer et de discuter avec des inconnus à des fins romantiques.
→ Julie, 22 ans, est inscrite sur un site de rencontre et discute depuis plusieurs semaines avec un certain Lucas qui se retrouve bloqué dans un pays. “Lucas” lui demande donc s’il est possible que Julie lui envoie de l’argent pour pouvoir la rejoindre et lui explique qu’il lui remboursera la somme une fois en France.
👥 Deepfake : Abréviation de "Deep Learning" et "fake" en anglais. Il s'agit d'une nouvelle menace née en 2017 dont l'utilisation augmente progressivement par les pirates. L'idée est d'utiliser l'intelligence artificielle pour rendre profondément crédibles des faux contenus. Le modus operandi est le suivant : en utilisant un logiciel de reconnaissance faciale capable d'appliquer un filtre sur le visage usurpant l'identité d'une figure d'autorité et de modifier la voix de cette même personne, le pirate va manipuler la victime et la pousser à réaliser une ou plusieurs actions compromettantes.
→Un patron d'entreprise est interviewé quelques minutes et passe dans un programme télévisuel. Le pirate va copier les traits de son visage et enregistrer sa voix pour ensuite entrer en contact avec la victime et lui demander de réaliser un virement bancaire sur un compte précis, ce qu'elle fera sans mal puisque c'est son patron qui le lui demande.
📟 Elevation of privilege ou privilege escalation : L’élévation de privilèges est utilisée une fois que le hacker a déjà établi un accès sur le réseau ou un compte de l’entreprise. L’attaque débute généralement en obtenant des comptes utilisateurs exposés — souvent moins protégés — pour ensuite acquérir l’accès à des comptes ayant un niveau d’accès plus important.
→ Après avoir compromis la boite mail d’un commercial sous prétexte d’une fausse demande de devis, le hacker va exploiter le compte du commercial pour envoyer un email de spear phishing (harponnage à un membre du COMEX et tenter de compromettre son compte pour accéder à des données plus sensibles.
📧 Email Spoofing : l’email spoofing ou l’usurpation d’email est une technique utilisée par les pirates informatiques afin de fausser l’adresse email à partir de laquelle ils envoient leurs emails (le plus souvent de phishing). L’utilisation des SPF et DKIM ainsi que des fournisseurs qui respectent leur implémentation permet de grandement diminuer l’efficacité de ces attaques.
→ Vous recevez un mail de support@googIe.com qui vous demande de changer votre mot de passe via un lien suite à des connexions suspectes. L’expéditeur ayant pour adresse support@google.com vous faites confiance à l’expéditeur et son mail.
📡 Exfiltration de donnée ou data exfiltration : l’exfiltration de données est le fait de transférer des données vers l’extérieur de façon non-autorisée. Cette pratique représente une menace importante envers les entreprises. Elle peut être effectuée de façon manuelle par un utilisateur ou automatique à travers un malware. La prévention et l’entraînement face aux menaces numériques est un enjeu primordial pour la sécurité des informations sensibles.
→ Un hacker obtient un accès non-autorisé au CRM de l’entreprise cible et en extrait tout le fichier client qu’il exfiltre pour le revendre au marché noir.
💽 Fuite de données ou data leak : la fuite de donnée à lieu lorsque de la donnée quitte le domaine sous contrôle de l’entreprise. Le transfert n’est pas nécessairement effectué par un individu malveillant, une erreur humaine peut être à l’origine de la fuite d’informations.
→ Afin de partager une communication avec un ami, vous lui faites suivre un email professionnel en oubliant que plus haut dans la conversation il y a des données confidentielles qui ont été échangées. Votre ami a alors accès à des informations confidentielles censées rester au sein de l’entreprise.
💾 Initié malveillant ou malicious insider : un initié malveillant est un collaborateur, entrepreneur, partenaire, fournisseur, ancien employé qui extrait des données confidentielles de votre entreprise. L’utilisateur mal intentionné a accès à des informations sensibles et décide de les divulguer dans le but de nuire à votre société ou de servir un concurrent direct ou indirect.
→ Un de vos concurrents propose une somme conséquente à un de vos managers pour obtenir une extraction de votre fichier client.
💰 Ransomware : Un ransomware ou rançongiciel est un logiciel malveillant qui va chiffrer le contenu des systèmes qu’il infecte pour vous empêcher d’accéder à vos données ou à un logiciel. Le programme va ensuite vous demander de payer une rançon afin que vous puissiez récupérer la clef de déchiffrage pour pouvoir accéder à vos données.
→ Vous recevez un email contenant une pièce jointe protégée par un mot de passe ainsi que le mot de passe. Par curiosité, vous ouvrez et exécutez la pièce jointe. En quelques heures tous vos programmes ne fonctionnent plus et un popup vous demande de payer une rançon en cryptomonnaie pour récupérer l’usage de votre ordinateur.
📸 Sextorsion : Le sextorsion est une attaque consistant à utiliser des photos ou vidéos intimes. L’attaquant réclame une rançon en menaçant de divulguer les éléments compromettants de la victime.
→ Un pirate informatique a eu accès aux photos intimes de sa victime en volant son accès à iCloud. Il demande une rançon sous peine de les rendre publiques.
🚚 Supply chain attack ou attaques par les fournisseurs : afin d’attaquer une cible particulièrement sécurisée, le hacker peut exploiter une faille chez un fournisseur et infecter, dans le cadre des communications ou opérations du fournisseur, sa cible primaire par la suite.
→ Un casino à la cybersécurité particulièrement robuste achète des nouvelles machines à sous à son fournisseur habituel. Celui-ci — sans le savoir — s’est fait piraté et les nouvelles machines à sous qu’il livre ont un micro-logiciel corrompu qui permet au hacker de pénétrer le réseau interne du casino.
🗝️ USB Drop : l’USB drop est une technique visant à déposer une clef USB dans un lieu en espérant que la victime l’insère dans son ordinateur. La clé peut contenir un malware ou directement exécuter une série de commande visant à l’installer au moment ou elle est branchée.
→ Au travail, vous trouvez une clé USB sur votre bureau avec votre prénom collé dessus. Vous la branchez par curiosité, mais rien ne se passe. Cela a été trop rapide pour que vous le voyiez, mais un malware a été installé quelques secondes après que vous ayez branché la clé, permettant au hacker une exploitation ultérieure.
🏝️ Watering Hole: le watering hole ou attaque de point d’eau, consiste à piéger les visiteurs d’un site souvent visité. Le « point d’eau » est l’endroit où les prédateurs chassent les zèbres : ils savent que ceux-ci auront soif et se rapprocheront tôt ou tard. Le hacker doit d’abord compromettre le site — le point d’eau — afin de pouvoir infecter ses visiteurs.
→ Dans le but de s’introduire dans des fonds d’investissements, le hacker exploite une faille sur un site d’actualités des marchés financiers que les traders suivent activement. Sur ce site, il insère un popup qui solicite les visiteurs afin qu’ils installent un malware sur leurs postes.
🐳 Whaling : Une attaque de type whaling cible des collaborateurs haut placés dans l’entreprise. Comme au casino, on désigne par « baleine » la cible qui est critique car dispose en général de forts moyens financiers.
→ Un avocat fortuné reçoit un appel lui expliquant que des opérations suspectes ont eu lieu sur son compte en banque et qu’il faut absolument y effectuer certaines vérifications. Il s’agit en fait d’un pirate qui cherche à obtenir les informations nécessaires pour accéder aux comptes de l’avocat et lui soutirer de l’argent.
Protection et atténuations
La sécurité à 100% n’existe pas, c’est pourquoi nous employons le plus souvent le terme « mesures d’atténuation » (de l’anglais mitigation).
Dans cette section, nous couvrons la terminologie des différents moyens de protection et d’atténuation pour faire face aux cyberattaques, en particulier celles liées à l’ingénierie sociale.
Les incontournables chez Arsen :
🔐 2FA/A2F : L’authentification multi-facteurs est une méthode pour valider votre identité avec deux facteurs ou plus. Afin de justifier votre identité, il peut vous être demandé de renseigner votre mot de passe mais également un code reçu par SMS, Email ou sur votre ordinateur.
En demandant plusieurs facteurs d’authentification, on diminue le risque de piratage. Il est plus difficile pour un hacker de pirater plusieurs facteurs qu’un seul.
🧰 Le MFA (Multi Factor Authentication) : regroupe le 2FA et les méthodes avec un nombre encore plus important de facteurs. Il est important de distinguer ce que je suis (données biométriques, reconnaissance faciale) de ce que je sais (code de carte bancaire, numéro d’identification). Néanmoins, avec un simple email il est possible de déjouer cette sécurité, comme nous le présentons dans notre article sur déjouer le MFA avec un email de phishing.
🔰 Anti-virus/Anti-malware : Les anti-virus sont des logiciels utilisés pour identifier les logiciels malveillants. Ils disposent de plusieurs mécanismes de détection allant de la base de signature à l’analyse de comportement des processus en passant par l’exécution en sandbox.
🛡️ Pare-feu : Un pare-feu ou firewall permet de filtrer et/ou bloquer les échanges entre les réseaux (souvent entre le réseau interne de l’entreprise et Internet). Il peut être applicatif, protocolaire, intelligent ou une combinaison des trois. Il peut identifier la nature des échanges numériques pour ainsi bloquer le trafic si une tentative d’intrusion a été détectée ou si la politique de sécurité de l’entreprise a été violée. Le pare-feu permet entre autres de détecter les connexions suspectes provenant de serveurs étrangers non identifiés.
Pour les passionnés :
🔵 Blue Team : la Blue Team, par opposition à la Red Team, est le groupe de personnes dédié à la sécurité informatique de l’entreprise. Elle met en place les stratégies de cybersécurité, la réponse à incident, etc.
🐞 Bug bounty : certaines entreprises mettent en place les primes aux bogues ou bug bounty en récompensant des experts en sécurité informatique ou des hackers éthiques s’ils trouvent des failles de sécurité sur un périmètre donnée (infrastructure, applications, produit…). La prime est différente selon la gravité du bug recensé.
⚔️ DKIM (Domain Keys Identified Email) : DKIM permet d’éviter l’usurpation d’identité au niveau du nom de l’expéditeur. Il repose sur un système de clé de chiffrement permettant d’authentifier le nom de l’expéditeur.
➰ DLP ou Data Loss Prevention : le DLP est un regroupement de plusieurs techniques visant à protéger les données sensibles d’une entreprise et à limiter leurs fuites en analysant les flux de données sortants (messages, emails, …) et les droits d’accès et partage des fichiers de l’entreprise.
🟩 DMARC (Domain-Based Message Authentication, Reporting, and Conformance) : système permettant de standardiser et indiquer comment sont traités les emails vis à vis des politiques SPF et DKIM configurées.
🧪 EDR (Endpoint Detection and Response) : les EDR protègent les postes du réseau des cyber menaces avec une analyse continue et locale (comme un antivirus) de l’activité. L’EDR a un spectre de détection plus important que les antivirus qui se concentrent uniquement sur l’analyse de fichiers.
📕 Plan de continuité d’activité : le PCA est un document qui recense les outils et procédures nécessaires pour assurer la continuité des activités de l’entreprise. Il permet de réduire le risque encouru et le temps de réponse lors d’une crise.
📯 Plan de reprise d'activité : le PRA est un document qui recense les procédures et outils nécessaires à reprendre l’activité de l’entreprise suite à une crise de façon à en limiter l’impact. Le PRA — à la différence du PCA — prévoit une reprise après une interruption complète de l’activité.
🕳️ Sandbox : une sandbox est un système utilisé pour exécuter de manière isolée des programmes ou fichiers suspects sans qu’ils aient d’impact sur les environnements sur lesquels les collaborateurs travaillent. L’exécution des logiciels permet ainsi de tester leur viabilité sans pour autant rendre vulnérable les systèmes de l’entreprise. Dans le cas d’email, une sandbox — aussi appelée detonation sandbox — permet d’ouvrir les pièces jointes et de vérifier qu’elles ne sont pas hostiles dans un environnement “test” écarté de tout danger.
→ Un hacker envoie un malware en pièce jointe afin d’infecter une entreprise. Seulement, avant que le courrier ne soit distribuer à sa victime, les serveurs emails passent et testent la pièce jointe dans une sandbox qui détecte le malware et supprimer l’email sans jamais le distribuer.
🔍 SIEM : le SIEM ou Security Information and Event Management est un logiciel permettant de gérer les événements de sécurité de l’entreprise ainsi que de suivre les données importantes des systèmes d’information de l’entreprise.
🔏 SPF : le SPF ou Sender Policy Framework permet de luter contre l’usurpation d’adresse email (email spoofing) en s’assurant que le nom de domaine prétendument utilisé par l’expéditeur provient bien d’un serveur email autorisé. La configuration se fait au niveau de la zone DNS du nom de domaine à protéger.
🔴 Red Team : Une red team est une équipe qui teste la cyber-sécurité de l’entreprise qui l’engage en cherchant à la pirater comme le ferait un hacker. En ce comportant comme le ferait un groupe d’attaquants, elle met en valeur les failles dans la stratégie de sécurité de l’entreprise.
Arsen est une plateforme qui vous permet de tester vos collaborateurs via des campagnes de simulations de phishing. Lors du lancement d'une campagne, vous allez peut-être vous rendre compte que la sécurité de vos installations informatiques, de vos données et de votre outil de production est potentiellement menacé par les clics de certains des collaborateurs de votre entreprise dans un mail de phishing.
L'objectif d'Arsen est d'améliorer le comportement en jouant sur les 3 leviers suivants :
❊ Le levier théorique : Est-ce que mes collaborateurs connaissent le risque et la manière dont il se manifeste ?
❊ Le levier heuristique : Est-ce que mes collaborateurs sont capables de mobiliser la connaissance face à une menace ?
❊ Le levier culture : Est-ce que l'employé à la volonté de devenir le premier pare-feux de l'entreprise en mobilisant sa connaissance au service du collectif, peut important les conditions dans lesquelles il se trouve au moment où la menace arrive dans sa boîte mail ?
Sommaire
Les types d'attaques d'ingénierie sociale
Protection et atténuations
Les types d'attaques d'ingénierie sociale
Les incontournables :
☝️ Le Social Engineering ou l'ingénierie sociale est l’utilisation de leviers psychologiques afin de manipuler une cible et l’amener à se compromettre en effectuant des actions potentiellement dangereuses ou en divulguant des informations sensibles. Le phishing, smishing, spearphishing ou l’arnaque au président utilisent l’ingénierie sociale.
→ Un attaquant déguisé en inspecteur vérifiant la sécurité de vos locaux, habillé d’un gilet jaune et d’un carnet de note, peut y entrer sans en avoir l’autorisation. Il mise sur le fait que son accoutrement le crédibilise et lui donne un aspect officiel.
Cette notion d'ingénierie sociale est au coeur du projet d'Arsen, dont l'ambition est de limiter les risques de brèches informatiques liées à la manipulation des humains.
🎣 Phishing : Le phishing ou hameçonnage est une pratique frauduleuse qui consiste à extorquer des informations personnelles telles que des pièces d’identité, données bancaires, mots de passes, en usurpant l’identité d’une entreprise dont vous avez l’habitude (Ex : Google, Facebook, Netflix, Amazon). Le phishing est généralement employé à travers un email ou un lien sur lequel cliquer. Si vous souhaitez en savoir plus sur le phishing je vous recommande notre article sur le sujet.
→ Vous recevez un mail de Netflix vous offrant une réduction sur votre abonnement. Le mail est accompagné d’un lien vers une page de connexion visant à collecter vos identifiants.
Avec la plateforme Arsen vous disposez d'une offre large de simulation de phishing. Notre bibliothèque de scénarios est composée de templates variés vous permettant de tester vos collaborateurs et voir l'évolution de leur score de sécurité au fil des campagnes.
📲 Smishing : Le smishing (SMS + phishing) est une variante du phishing qui consiste à vous extorquer des données personnelles à travers l’envoi de SMS frauduleux à la place d’emails. On associe aussi au smishing l’usage des messageries instantanées.
→ Vous recevez un SMS de votre banque qui vous demande de vous connecter car un problème est survenu sur votre compte bancaire. En réalité, le SMS ne provient pas de votre banque mais d’un individu malveillant souhaitant extorquer vos données bancaires.
🎯 Spear Phishing : Le spear phishing ou harponnage est une variante du phishing. À la place d’envoyer des mails à de multiples destinataires, l’attaque est bien plus ciblée. En effet, le hacker s’adresse spécifiquement à sa cible et personnalise son prétexte afin d’augmenter le réalisme et la difficulté de détection de l’attaque.
→ Vous recevez cette fois-ci un email de Netflix pour vous annoncer la sortie de nouveaux épisodes de votre série favorite. En citant votre série préférée, le hacker n’utilise plus un mail générique que n’importe qui pourrait copier mais un email personnalisé donnant du crédit à l’identité qu’il usurpe.
🗑️ Spam : Un spam désigne l’envoi massif de courriels électroniques non désirés par les destinataires. L’email peut être de nature publicitaire ou malveillante. Bien que de nombreuses messageries soient équipées de filtre anti-spam, certains spams peuvent tout de même se retrouver dans votre boite mail.
Il est important de distinguer le spam du phishing. Les spams manquent de pertinence et sont nuisibles mais n’ont souvent qu’une finalité commerciale là où le phishing cherche à compromettre la sécurité des systèmes d’information des destinataires.
→ Vous recevez une publicité pour des paires de sneakers en promotion à des prix défiants toute concurrence sans jamais en avoir fait la demande.
🗣️ Vishing ou Voice Phishing : L'hameçonnage par téléphone ou par message vocal est une variante du phishing. Le pirate se fait passer pour une personne vous indiquant un problème auquel vous n'avez jamais fait face ou que vous pouvez bénéficier d'un produit. Dès lors la victime se fait piéger en suivant les instructions données par le pirate pour débloquer la situation. L'occasion pour ce dernier de récupérer des informations bancaires, des informations personnelles d'accès, des numéros de cartes de crédit.
_→Vous recevez un appel d'un interlocuteur qui vous annonce que vous avez gagné un jeux concours. Pour recevoir le prix il vous indique que vous devez vous acquitter de frais annexes (transport, douane... ou que vous devez renseigner les numéro de votre carte bancaire pour être crédité de la somme promise.
Pour les passionnés :
📌 APT – Advanced persistent threat : L’APT ou menace persistante avancée est une cyberattaque visant à s’introduire dans une système sur le long terme. Les cibles d’APT sont rarement des particuliers mais plutôt l’État ou des entreprises afin de voler des données sensibles de façon discrète et en continu.
→ Une entreprise souhaite obtenir des informations sur la santé financière d’un de ses concurrents. Elle mandate un groupe de hacker afin de s’introduire et créer un accès persistant dans les systèmes du concurrents. Ainsi, plutôt que d’effectuer une attaque ponctuelle, l’attaquant peut régulièrement voler des données et suivre de près l’évolution du concurrent.
👔 Arnaque au président : L’arnaque au président vise à usurper l’identité du PDG ou d’un membre haut placé de l’entreprise auprès d’une personne habilitée à effectuer des transferts de fonds. Le hacker fait souvent une demande de paiement extrêmement urgente afin de décoincer une situation critique.
→ Vous êtes directeur financier d’une branche d’un conglomérat lorsque le PDG du groupe vous appelle. Il est coincé à un aéroport en Asie et à besoin de 12 000 euros afin de régler une situation urgente aux douanes. Il est à la fois sûr de lui et passablement énervé. Les bruits de fonds de votre conversation téléphonique confirment qu’il est bien à l’aéroport et il ne semble pas d’humeur à discuter. Entre l’urgence et la pression hiérarchique, vous effectuez le virement et créditez le compte du hacker.
🧮 Bruteforce : L’attaque par force brute ou par énumération vise à essayer de très nombreuses combinaisons — à l’aide d’un dictionnaire, par génération algorithmique ou par une combinaison des deux — pour trouver le mot de passe d’un compte. La création d’un mot de passe robuste ainsi que l’emploi de technique d’authentification forte et à facteurs multiples permet de fortement atténuer l’efficacité de ces attaques.
→ À partir d’informations collectées sur les réseaux sociaux (date de naissance, nom des animaux de compagnie, scolarité, … le hacker génère un dictionnaire de combinaisons de ces mots qu’il utilise pour essayer de se connecter à votre compte Facebook.)
📭 Business Email Compromise : Le BEC est une attaque qui repose sur la compromission d’un compte mail professionnel afin d’usurper l’identité d’une personne habilitée à demander des virements et transmettre des coordonnées bancaires. Le hacker, ayant accès au compte, demandera aux fournisseurs de régler les factures sur un nouvel IBAN, pointant vers un compte auquel celui-ci à accès.
→ Vous recevez un email de la part de votre fournisseur vous demandant de mettre à jour ses coordonnées bancaires suite à un changement de banque. Si vous n’avez pas de procédure spécifique pour les changements de coordonnées bancaires, vous effectuerez les nouveaux règlements vers ce nouveau compte et créditerez directement le compte du pirate.
👠 Catfishing : Le catfishing (aussi, bien que rarement, appelé pêche au poisson-chat) est une pratique consistant à utiliser une fausse identité dans le but de séduire une personne sur internet afin de la compromette, le plus souvent en lui demandant de l’argent pour un besoin urgent. Le catfishing est généralement présent sur les applications de rencontre, les utilisateurs sont moins méfiants et souvent plus vulnérables à ces manipulations reposant sur la séduction car ils ont l’habitude de rencontrer et de discuter avec des inconnus à des fins romantiques.
→ Julie, 22 ans, est inscrite sur un site de rencontre et discute depuis plusieurs semaines avec un certain Lucas qui se retrouve bloqué dans un pays. “Lucas” lui demande donc s’il est possible que Julie lui envoie de l’argent pour pouvoir la rejoindre et lui explique qu’il lui remboursera la somme une fois en France.
👥 Deepfake : Abréviation de "Deep Learning" et "fake" en anglais. Il s'agit d'une nouvelle menace née en 2017 dont l'utilisation augmente progressivement par les pirates. L'idée est d'utiliser l'intelligence artificielle pour rendre profondément crédibles des faux contenus. Le modus operandi est le suivant : en utilisant un logiciel de reconnaissance faciale capable d'appliquer un filtre sur le visage usurpant l'identité d'une figure d'autorité et de modifier la voix de cette même personne, le pirate va manipuler la victime et la pousser à réaliser une ou plusieurs actions compromettantes.
→Un patron d'entreprise est interviewé quelques minutes et passe dans un programme télévisuel. Le pirate va copier les traits de son visage et enregistrer sa voix pour ensuite entrer en contact avec la victime et lui demander de réaliser un virement bancaire sur un compte précis, ce qu'elle fera sans mal puisque c'est son patron qui le lui demande.
📟 Elevation of privilege ou privilege escalation : L’élévation de privilèges est utilisée une fois que le hacker a déjà établi un accès sur le réseau ou un compte de l’entreprise. L’attaque débute généralement en obtenant des comptes utilisateurs exposés — souvent moins protégés — pour ensuite acquérir l’accès à des comptes ayant un niveau d’accès plus important.
→ Après avoir compromis la boite mail d’un commercial sous prétexte d’une fausse demande de devis, le hacker va exploiter le compte du commercial pour envoyer un email de spear phishing (harponnage à un membre du COMEX et tenter de compromettre son compte pour accéder à des données plus sensibles.
📧 Email Spoofing : l’email spoofing ou l’usurpation d’email est une technique utilisée par les pirates informatiques afin de fausser l’adresse email à partir de laquelle ils envoient leurs emails (le plus souvent de phishing). L’utilisation des SPF et DKIM ainsi que des fournisseurs qui respectent leur implémentation permet de grandement diminuer l’efficacité de ces attaques.
→ Vous recevez un mail de support@googIe.com qui vous demande de changer votre mot de passe via un lien suite à des connexions suspectes. L’expéditeur ayant pour adresse support@google.com vous faites confiance à l’expéditeur et son mail.
📡 Exfiltration de donnée ou data exfiltration : l’exfiltration de données est le fait de transférer des données vers l’extérieur de façon non-autorisée. Cette pratique représente une menace importante envers les entreprises. Elle peut être effectuée de façon manuelle par un utilisateur ou automatique à travers un malware. La prévention et l’entraînement face aux menaces numériques est un enjeu primordial pour la sécurité des informations sensibles.
→ Un hacker obtient un accès non-autorisé au CRM de l’entreprise cible et en extrait tout le fichier client qu’il exfiltre pour le revendre au marché noir.
💽 Fuite de données ou data leak : la fuite de donnée à lieu lorsque de la donnée quitte le domaine sous contrôle de l’entreprise. Le transfert n’est pas nécessairement effectué par un individu malveillant, une erreur humaine peut être à l’origine de la fuite d’informations.
→ Afin de partager une communication avec un ami, vous lui faites suivre un email professionnel en oubliant que plus haut dans la conversation il y a des données confidentielles qui ont été échangées. Votre ami a alors accès à des informations confidentielles censées rester au sein de l’entreprise.
💾 Initié malveillant ou malicious insider : un initié malveillant est un collaborateur, entrepreneur, partenaire, fournisseur, ancien employé qui extrait des données confidentielles de votre entreprise. L’utilisateur mal intentionné a accès à des informations sensibles et décide de les divulguer dans le but de nuire à votre société ou de servir un concurrent direct ou indirect.
→ Un de vos concurrents propose une somme conséquente à un de vos managers pour obtenir une extraction de votre fichier client.
💰 Ransomware : Un ransomware ou rançongiciel est un logiciel malveillant qui va chiffrer le contenu des systèmes qu’il infecte pour vous empêcher d’accéder à vos données ou à un logiciel. Le programme va ensuite vous demander de payer une rançon afin que vous puissiez récupérer la clef de déchiffrage pour pouvoir accéder à vos données.
→ Vous recevez un email contenant une pièce jointe protégée par un mot de passe ainsi que le mot de passe. Par curiosité, vous ouvrez et exécutez la pièce jointe. En quelques heures tous vos programmes ne fonctionnent plus et un popup vous demande de payer une rançon en cryptomonnaie pour récupérer l’usage de votre ordinateur.
📸 Sextorsion : Le sextorsion est une attaque consistant à utiliser des photos ou vidéos intimes. L’attaquant réclame une rançon en menaçant de divulguer les éléments compromettants de la victime.
→ Un pirate informatique a eu accès aux photos intimes de sa victime en volant son accès à iCloud. Il demande une rançon sous peine de les rendre publiques.
🚚 Supply chain attack ou attaques par les fournisseurs : afin d’attaquer une cible particulièrement sécurisée, le hacker peut exploiter une faille chez un fournisseur et infecter, dans le cadre des communications ou opérations du fournisseur, sa cible primaire par la suite.
→ Un casino à la cybersécurité particulièrement robuste achète des nouvelles machines à sous à son fournisseur habituel. Celui-ci — sans le savoir — s’est fait piraté et les nouvelles machines à sous qu’il livre ont un micro-logiciel corrompu qui permet au hacker de pénétrer le réseau interne du casino.
🗝️ USB Drop : l’USB drop est une technique visant à déposer une clef USB dans un lieu en espérant que la victime l’insère dans son ordinateur. La clé peut contenir un malware ou directement exécuter une série de commande visant à l’installer au moment ou elle est branchée.
→ Au travail, vous trouvez une clé USB sur votre bureau avec votre prénom collé dessus. Vous la branchez par curiosité, mais rien ne se passe. Cela a été trop rapide pour que vous le voyiez, mais un malware a été installé quelques secondes après que vous ayez branché la clé, permettant au hacker une exploitation ultérieure.
🏝️ Watering Hole: le watering hole ou attaque de point d’eau, consiste à piéger les visiteurs d’un site souvent visité. Le « point d’eau » est l’endroit où les prédateurs chassent les zèbres : ils savent que ceux-ci auront soif et se rapprocheront tôt ou tard. Le hacker doit d’abord compromettre le site — le point d’eau — afin de pouvoir infecter ses visiteurs.
→ Dans le but de s’introduire dans des fonds d’investissements, le hacker exploite une faille sur un site d’actualités des marchés financiers que les traders suivent activement. Sur ce site, il insère un popup qui solicite les visiteurs afin qu’ils installent un malware sur leurs postes.
🐳 Whaling : Une attaque de type whaling cible des collaborateurs haut placés dans l’entreprise. Comme au casino, on désigne par « baleine » la cible qui est critique car dispose en général de forts moyens financiers.
→ Un avocat fortuné reçoit un appel lui expliquant que des opérations suspectes ont eu lieu sur son compte en banque et qu’il faut absolument y effectuer certaines vérifications. Il s’agit en fait d’un pirate qui cherche à obtenir les informations nécessaires pour accéder aux comptes de l’avocat et lui soutirer de l’argent.
Protection et atténuations
La sécurité à 100% n’existe pas, c’est pourquoi nous employons le plus souvent le terme « mesures d’atténuation » (de l’anglais mitigation).
Dans cette section, nous couvrons la terminologie des différents moyens de protection et d’atténuation pour faire face aux cyberattaques, en particulier celles liées à l’ingénierie sociale.
Les incontournables chez Arsen :
🔐 2FA/A2F : L’authentification multi-facteurs est une méthode pour valider votre identité avec deux facteurs ou plus. Afin de justifier votre identité, il peut vous être demandé de renseigner votre mot de passe mais également un code reçu par SMS, Email ou sur votre ordinateur.
En demandant plusieurs facteurs d’authentification, on diminue le risque de piratage. Il est plus difficile pour un hacker de pirater plusieurs facteurs qu’un seul.
🧰 Le MFA (Multi Factor Authentication) : regroupe le 2FA et les méthodes avec un nombre encore plus important de facteurs. Il est important de distinguer ce que je suis (données biométriques, reconnaissance faciale) de ce que je sais (code de carte bancaire, numéro d’identification). Néanmoins, avec un simple email il est possible de déjouer cette sécurité, comme nous le présentons dans notre article sur déjouer le MFA avec un email de phishing.
🔰 Anti-virus/Anti-malware : Les anti-virus sont des logiciels utilisés pour identifier les logiciels malveillants. Ils disposent de plusieurs mécanismes de détection allant de la base de signature à l’analyse de comportement des processus en passant par l’exécution en sandbox.
🛡️ Pare-feu : Un pare-feu ou firewall permet de filtrer et/ou bloquer les échanges entre les réseaux (souvent entre le réseau interne de l’entreprise et Internet). Il peut être applicatif, protocolaire, intelligent ou une combinaison des trois. Il peut identifier la nature des échanges numériques pour ainsi bloquer le trafic si une tentative d’intrusion a été détectée ou si la politique de sécurité de l’entreprise a été violée. Le pare-feu permet entre autres de détecter les connexions suspectes provenant de serveurs étrangers non identifiés.
Pour les passionnés :
🔵 Blue Team : la Blue Team, par opposition à la Red Team, est le groupe de personnes dédié à la sécurité informatique de l’entreprise. Elle met en place les stratégies de cybersécurité, la réponse à incident, etc.
🐞 Bug bounty : certaines entreprises mettent en place les primes aux bogues ou bug bounty en récompensant des experts en sécurité informatique ou des hackers éthiques s’ils trouvent des failles de sécurité sur un périmètre donnée (infrastructure, applications, produit…). La prime est différente selon la gravité du bug recensé.
⚔️ DKIM (Domain Keys Identified Email) : DKIM permet d’éviter l’usurpation d’identité au niveau du nom de l’expéditeur. Il repose sur un système de clé de chiffrement permettant d’authentifier le nom de l’expéditeur.
➰ DLP ou Data Loss Prevention : le DLP est un regroupement de plusieurs techniques visant à protéger les données sensibles d’une entreprise et à limiter leurs fuites en analysant les flux de données sortants (messages, emails, …) et les droits d’accès et partage des fichiers de l’entreprise.
🟩 DMARC (Domain-Based Message Authentication, Reporting, and Conformance) : système permettant de standardiser et indiquer comment sont traités les emails vis à vis des politiques SPF et DKIM configurées.
🧪 EDR (Endpoint Detection and Response) : les EDR protègent les postes du réseau des cyber menaces avec une analyse continue et locale (comme un antivirus) de l’activité. L’EDR a un spectre de détection plus important que les antivirus qui se concentrent uniquement sur l’analyse de fichiers.
📕 Plan de continuité d’activité : le PCA est un document qui recense les outils et procédures nécessaires pour assurer la continuité des activités de l’entreprise. Il permet de réduire le risque encouru et le temps de réponse lors d’une crise.
📯 Plan de reprise d'activité : le PRA est un document qui recense les procédures et outils nécessaires à reprendre l’activité de l’entreprise suite à une crise de façon à en limiter l’impact. Le PRA — à la différence du PCA — prévoit une reprise après une interruption complète de l’activité.
🕳️ Sandbox : une sandbox est un système utilisé pour exécuter de manière isolée des programmes ou fichiers suspects sans qu’ils aient d’impact sur les environnements sur lesquels les collaborateurs travaillent. L’exécution des logiciels permet ainsi de tester leur viabilité sans pour autant rendre vulnérable les systèmes de l’entreprise. Dans le cas d’email, une sandbox — aussi appelée detonation sandbox — permet d’ouvrir les pièces jointes et de vérifier qu’elles ne sont pas hostiles dans un environnement “test” écarté de tout danger.
→ Un hacker envoie un malware en pièce jointe afin d’infecter une entreprise. Seulement, avant que le courrier ne soit distribuer à sa victime, les serveurs emails passent et testent la pièce jointe dans une sandbox qui détecte le malware et supprimer l’email sans jamais le distribuer.
🔍 SIEM : le SIEM ou Security Information and Event Management est un logiciel permettant de gérer les événements de sécurité de l’entreprise ainsi que de suivre les données importantes des systèmes d’information de l’entreprise.
🔏 SPF : le SPF ou Sender Policy Framework permet de luter contre l’usurpation d’adresse email (email spoofing) en s’assurant que le nom de domaine prétendument utilisé par l’expéditeur provient bien d’un serveur email autorisé. La configuration se fait au niveau de la zone DNS du nom de domaine à protéger.
🔴 Red Team : Une red team est une équipe qui teste la cyber-sécurité de l’entreprise qui l’engage en cherchant à la pirater comme le ferait un hacker. En ce comportant comme le ferait un groupe d’attaquants, elle met en valeur les failles dans la stratégie de sécurité de l’entreprise.
Mis à jour le : 12/10/2023
Merci !