Blog GlobalSign

15 mai 2018

Hacking 101

À la lumière des derniers incidents survenus dans le cyberespace, plus aucun endroit ne semble sûr. Même des géants comme Uber ont été la cible de piratages massifs orchestrés dans le but de piller les données de 57 millions d’utilisateurs.

Le nombre de piratages dans le monde ne semble pas baisser non plus. Dans le rapport 2018 sur les risques mondiaux du Forum économique mondial, la cyber-insécurité représentait — comme le montre l’enquête réalisée auprès de dirigeants d’entreprises — le plus gros risque ; le risque cyber devrait en effet, selon toute vraisemblance, s’intensifier et se perfectionner.

Quelles contre-mesures prendre pour éviter le piratage de vos données client ou des informations de votre entreprise ? Comme la plupart des entreprises, vous pouvez compter sur vos responsables de la sécurité informatique ou contacter une société extérieure spécialisée dans la cybersécurité. C’est généralement ce qu’il y a de mieux à faire. Mais sachez qu’il ne suffit pas de diffuser les concepts de cybersécurité dans l’entreprise, de mettre en place des pare-feu et de chiffrer vos fichiers. La cybersécurité est une philosophie. Les collaborateurs doivent être formés de A à Z et sensibilisés aux conséquences potentielles d’un manquement aux protocoles et aux bonnes pratiques établis.

Dans cet article, nous observerons comment fonctionne un pirate informatique. Après tout, pour vous défendre efficacement, vous devez commencer par connaître le mode opératoire de votre adversaire. Les offensives lancées contre vos informations ne suivent pas systématiquement le même modus operandi. Les hackers font en effet toujours preuve de créativité dans leurs stratégies. Aussi originale soit la stratégie choisie, leurs attaques suivent néanmoins une méthodologie générique :

  1. Reconnaissance — récupération d’informations sur la cible et la façon de s’introduire dans le système visé.
  2. Exploitation — obtention d’un accès au système ou introduction dans le système.
  3. Acquisition de privilèges supérieurs — obtention de droits d’accès supérieurs (privilèges administrateur ou commandes de la console)
  4. « Listener » — dépôt d’un processus d’écoute (listener) afin de suivre la progression du hack et en vue de poursuivre l’exploit ultérieurement.
  5. Extraction de données — attaque effective consistant à s’emparer des informations nécessaires.
  6. Dissimulation des traces – nettoyage des journaux, fichiers ou des commandes effectuées afin d’éviter d’être repéré par l’administrateur système.

En définitive, votre capacité à déjouer une tentative de piratage dépendra de votre niveau de préparation, et de celui de votre système, face aux deux premières étapes. Comment les pirates informatiques procèdent-ils exactement pour reconnaître et exploiter vos ordinateurs ? Nous vous présentons ci-après quelques méthodes efficaces régulièrement employées qu’il vous faut connaître.

Analyse des vulnérabilités

Pour analyser les points faibles d’un système ou d’un réseau, il peut suffire de se connecter à un réseau WiFi, en espérant qu’il ne soit pas sécurisé, ou d’analyser les différents protocoles de communication (HTTP, SMTP, TCP/IP, UDP, etc.) et de repérer le plus vulnérable.

Les pirates peuvent sillonner la ville à la recherche d’un magasin physique dont le réseau n’est pas sécurisé avant de se connecter à son système de caisse (POS), puis l’utiliser comme passerelle vers le réseau principal et la base de données de l’entreprise. Les enseignes américaines TJ Maxx et Marshalls en ont fait elles-mêmes les frais.

Les hackers peuvent également rechercher des vulnérabilités sur votre serveur de messagerie (SMTP) ou sur vos pages Web (HTTP). Les principales vulnérabilités dans les protocoles sont liées à un port ouvert (comme les ports 54, 143 ou 110) qui accepte des paquets pour information et communication. Lorsque vous acceptez ouvertement des paquets, les pirates peuvent s’introduire dans vos serveurs pour s’y « installer » afin de commettre leurs forfaits, comme le vol d’informations de comptes ou de données d’entreprise.

Injections SQL

La plupart des bases de données sont exécutées à l’aide d’un langage de requête structuré (SQL) pour trier les données en catégories et tables spécifiques. Lorsqu’une base de données SQL n’est pas protégée, les pirates peuvent insérer une requête au niveau du front-end (c’est-à-dire au niveau du formulaire de requête ou du champ « Identifiant » par exemple) de la base de données. Ces requêtes peuvent accéder à différents comptes utilisateurs, extraire des informations confidentielles ou même prendre le contrôle de la base de données.

Injection physique/de fichiers malveillants

Il est également possible d’exécuter un code dangereux sur un serveur à l’aide d’un programme directement installé sur un ordinateur ou un réseau. Ce n’est pas plus compliqué que de brancher une clé USB qui contient un logiciel malveillant. Une victime peu méfiante peut aussi être « incitée » à ouvrir un document ou un fichier PDF qui contient le malware. Ce document peut lui parvenir par le biais d’un e-mail apparemment inoffensif, mais aussi via des techniques d’ingénierie sociale ou après avoir été téléchargé sur un site infecté.

En général, le logiciel malveillant n’endommage pas directement votre système, mais peut servir de clé pour s’y infiltrer sans peine. Ces fichiers sont généralement des rootkits ou des listeners (écouteurs/auditeurs).

Attaques par interception ou de l’homme du milieu (« Man-in-the-Middle »)

Un hacker peut espionner la conversation entre un serveur et un client en s’interposant « au milieu ». En se faisant passer à la fois pour le client et le serveur, le pirate usurpe l’adresse IP du client pour piéger le serveur afin qu’il envoie les messages au pirate, et non au client, et vice versa. Le pirate relaie alors les données au destinataire supposé les recevoir, afin de dissimuler les éventuels soupçons que l’échange pourrait éveiller.

Identifiants de connexion, données financières ou de carte bancaire, contenus d’e-mails, données confidentielles, etc. Toutes ces données sont concernées.

Craquage de mot de passe

Dans la plupart, voire la totalité des comptes d’une base de données, les mots de passe sont généralement placés dans un seul fichier, avec les noms d’utilisateur correspondants. Les mots de passe réels ne sont pas stockés dans le fichier ; ils sont convertis en condensat ou hash — un jeu unique de caractères correspondant au mot de passe donné. Dès qu’un hacker met la main sur ce fichier, il utilise un dictionnaire de mots-clés ou une liste de mots de passe couramment utilisés (bien plus courants que ce que vous pourriez penser) pour essayer de faire correspondre ces hash et trouver la combinaison gagnante. S’il échoue, le dictionnaire ou la liste peuvent être modifiés pour obtenir d’autres résultats en transformant par exemple « mot de passe » en « m01dep@sse123 ». Si toutes les autres tentatives échouent, le pirate emploie la force brute. Toutes les combinaisons de caractères sont alors testées jusqu’à obtenir une correspondance avec le hash. L’opération exigeant une grande puissance de traitement, la méthode n’est généralement employée qu’en dernier recours pour craquer des mots de passe.

Ingénierie sociale

L’ingénierie sociale n’est pas du piratage au sens précédemment exposé... mais la technique est tout aussi efficace. Au lieu de pirater le système, le hacker manipule simplement les personnes clés dans l’entreprise pour les pousser à lui révéler les informations ou l’accès dont il a besoin. Plutôt que d’exploiter les vulnérabilités du système, il compte sur la persuasion et l’erreur humaine.

Prenons par exemple un hacker qui hameçonne ou pirate l’e-mail ou le compte d’un commercial malchanceux. Muni de ces informations, le hacker peut se faire passer pour le commercial et demander à ses collègues de lui ouvrir l’accès à des données plus stratégiques, ou les pousser à télécharger directement sur leur ordinateur un rapport des ventes qui n’est en fait qu’un logiciel malveillant, ou leur demander les informations dont il a besoin.

Ne vous fiez pas uniquement à votre antivirus ! Restez vigilant et formez-vous régulièrement.

Les attaques peuvent venir de pratiquement partout — via les réseaux, les sites Web, les protocoles, les équipements informatiques, les logiciels, mais aussi vos collègues.... Bref, la liste est longue. En clair, votre antivirus habituel risque de ne pas suffire à vous protéger contre les cyberattaques. Certes, vos fichiers seront analysés de temps à autre, mais un pirate n’a besoin que de quelques instants pour s’introduire dans votre système, extraire ce dont il a besoin et s’échapper sans laisser de traces.

Maintenant que vous avez une petite idée des méthodes de piratages employées, guettez notre prochain article sur les contre-mesures disponibles et les habitudes à adopter pour assurer votre cybersécurité.

À propos de l’auteur

Anton Gesmundo est un responsable marketing et commercial basé aux Philippines. Professionnel du marketing pour Azeus Convene, un éditeur de solutions visant à rationaliser l’ensemble du processus de réunions de dirigeants, Anton Gesmundo est spécialisé dans le marketing digital — SEO, Google Adwords et marketing de contenu. Outre ses compétences professionnelles, Anton s’intéresse aux jeux en ligne, aux infrastructures réseau, aux objets connectés (IoT) et aux technologies de l’information en général.... un véritable geek informatique ! Lorsqu’il n’est pas devant son écran, vous le trouverez probablement en train de gravir les sommets.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog