top of page
Anchor 100

Attaques de cybersécurité

Les auteurs de menaces utilisent des attaques de cybersécurité pour effectuer des activités malveillantes contre des systèmes, des appareils ou des réseaux informatiques. Une attaque de cybersécurité peut utiliser un ou plusieurs vecteurs d'attaque pour cibler des individus ou des organisations, et atteindre des objectifs allant du gain financier au sabotage et au terrorisme.

Par exemple, les acteurs de la menace peuvent utiliser des attaques par force brute, le credential stuffing ou d'autres formes d'ingénierie sociale pour obtenir un accès non autorisé aux systèmes informatiques. Des attaques plus sophistiquées, telles que les menaces persistantes avancées (APT), utilisent diverses techniques et vecteurs pour obtenir un accès non autorisé à un réseau d'entreprise et restent non détectées jusqu'à ce qu'elles atteignent leurs objectifs.

Une attaque de cybersécurité réussie peut entraîner une violation de données. Ensuite, les acteurs peuvent essayer de voler les données, de les modifier, de les vendre ou de les détenir contre une rançon. Les techniques de prévention comprennent la sauvegarde des données, les tests d'intrusion, la formation aux primes et la résolution des vulnérabilités de sécurité.

  • Types courants de menaces à la cybersécurité

    • Violation de données

    • SSRF

    • XXE

    • XSS

    • Injection de code

    • Injection de commandes

    • Injection SQL

    • Exécution de code à distance

    • Bourrage d'informations d'identification

    • Menace persistante avancée

    • Attaques de la chaîne d'approvisionnement

    • Empoisonnement du cache

    • Contrebande de requêtes HTTP

    • FI et RFI

    • IDOR

    • Mauvaise configuration du cloud

  • Comment prévenir les attaques de cybersécurité

    • Tests de pénétration

    • Tests continus des applications : programmes de primes et programmes de divulgation des vulnérabilités (VDP)

    • Créer un programme de formation de sensibilisation à la cybersécurité

    • Traiter les 10 principales vulnérabilités de l'OWASP

    • Utiliser les bases de données CVE

    • Surveiller l'accès des tiers à vos données

    • Sauvegardez vos données

       

Types courants de menaces à la cybersécurité

Violation de données

Une violation de données est une cyberattaque dans laquelle des données sensibles, sensibles ou protégées sont compromises ou divulguées. Les violations de données peuvent toucher des organisations de toutes tailles. Les données volées peuvent inclure des informations personnellement identifiables (PHI), des informations de santé protégées (PHI), des secrets commerciaux, des données client ou d'autres données sensibles.

Si une violation de données entraîne le vol d'informations personnelles ou une violation des obligations de conformité du gouvernement ou de l'industrie, l'organisation fautive peut faire face à des amendes, des poursuites, des atteintes à la réputation et des perturbations opérationnelles.

SSRF

La contrefaçon de requête côté serveur (SSRF) est une vulnérabilité de sécurité Web qui permet à un attaquant d'envoyer une requête à un emplacement inattendu dans une application côté serveur.

Dans une attaque SSRF typique, un attaquant peut convaincre un serveur d'établir une connexion à un service privé interne au sein de l'infrastructure de l'organisation. Cela peut également forcer le serveur à se connecter à des systèmes externes, exposant des données sensibles telles que les informations d'identification.

XXE

XML External Entity Injection (XXE) est une vulnérabilité de sécurité Web qui permet à un attaquant de compromettre une application en exploitant la façon dont elle traite les données XML. Dans la plupart des attaques XXE, les attaquants peuvent afficher des fichiers sur le système de fichiers du serveur d'application et interagir avec des backends ou des systèmes externes auxquels l'application elle-même a accès.

Dans certains cas, les attaquants peuvent exploiter les vulnérabilités XXE pour lancer des attaques de falsification de requête côté serveur (SSRF), compromettant les serveurs sous-jacents ou d'autres infrastructures principales.

XSS

Le script intersite (également connu sous le nom de XSS) est une vulnérabilité de sécurité Web qui peut compromettre l'interaction de l'utilisateur avec des applications vulnérables. Il permet aux attaquants de contourner les politiques de même origine conçues pour isoler les commandes provenant de différents sites Web. 

Une vulnérabilité XSS permet à un attaquant de se faire passer pour un utilisateur d'une application, d'effectuer toutes les actions pour lesquelles l'utilisateur dispose de privilèges et d'accéder aux données de l'utilisateur. Si l'utilisateur de la victime dispose d'un accès administratif à l'application, XSS permet une compromission complète de l'application et de ses données.

Injection de code

L'injection de code est un terme générique désignant une attaque dans laquelle les attaquants injectent du code qui est accepté par l'application comme une entrée bénigne et qui est interprété ou exécuté par l'application, mais qui contient en fait des instructions malveillantes. 

Ce type d'attaque exploite la validation incorrecte de données non fiables dans une application. Les types courants d'injection de code incluent l'injection de commande, l'injection SQL et l'injection PHP.

Injection de commande

L'injection de commandes est une attaque conçue pour exécuter des commandes arbitraires sur le système d'exploitation hôte via une application vulnérable. Des attaques par injection de commande peuvent se produire lorsqu'une application transmet des données non sécurisées fournies par l'utilisateur, telles que des formulaires, des cookies ou des en-têtes HTTP, au shell système. 

Dans une attaque par injection de commande, les commandes du système d'exploitation fournies par l'attaquant sont généralement exécutées avec les privilèges de l'application vulnérable. Les attaques par injection de commande sont causées par une validation d'entrée insuffisante.

Injection SQL

L'injection SQL est une technique utilisée par les attaquants pour obtenir un accès non autorisé aux bases de données d'applications Web en ajoutant des chaînes de code malveillantes aux requêtes de base de données.

Les attaquants manipulent le code SQL pour donner accès à des ressources protégées telles que des données sensibles et exécutent des instructions SQL malveillantes. Une injection SQL correctement exécutée peut exposer la propriété intellectuelle, les données des clients ou les informations d'identification de l'administrateur d'une entreprise privée. La plupart des techniques utilisent des caractères de commande qui changent le contexte d'une requête SQL pour effectuer des actions inattendues sur la base de données.

Les attaques par injection SQL peuvent cibler n'importe quelle application qui utilise une base de données SQL, et les sites Web sont la cible d'attaque la plus courante. Les bases de données SQL courantes incluent MySQL, Oracle et SQL Server. Avec l'avènement des bases de données NoSQL, les attaquants ont découvert des techniques similaires pour effectuer une injection NoSQL.

Exécution de code à distance

L'exécution de code à distance (RCE) permet à un attaquant d'exécuter un code malveillant à distance sur un ordinateur. Cette vulnérabilité permet à un attaquant de prendre le contrôle total d'un système affecté avec les privilèges de l'utilisateur exécutant l'application. Après avoir accédé au système, les attaquants tentent souvent d'élever les privilèges. 

De nombreux autres types d'attaques répertoriés ici pourraient conduire à RCE dans certaines circonstances, et une gamme de vulnérabilités dans les systèmes d'exploitation et les applications activent RCE. Toute attaque ou exploit qui active RCE est considéré comme très grave et peut avoir des conséquences désastreuses. 

Bourrage d'informations d'identification

Le credential stuffing est l'insertion automatique d'identifiants volés dans les formulaires de connexion de sites Web pour obtenir un accès non autorisé aux comptes d'utilisateurs.

De nombreux utilisateurs réutilisent les mêmes paires de mot de passe et de nom d'utilisateur, donc si ces informations d'identification sont exposées lors d'une violation de données ou via des attaques de phishing, elles peuvent permettre aux attaquants d'accéder à plusieurs systèmes. Les attaquants tentent de soumettre les mêmes informations d'identification à des centaines de sites Web pour accéder à des comptes supplémentaires. 

Le credential stuffing est similaire à une attaque par force brute, mais au lieu d'essayer des chaînes aléatoires ou des dictionnaires de mots de passe courants, il utilise des mots de passe connus obtenus lors de violations précédentes.

Menace persistante avancée

Menace persistante avancée (APT) est un terme général utilisé pour décrire une attaque dans laquelle un intrus ou une équipe d'intrus gagne une présence à long terme sur un réseau, généralement dans le but de voler des données sensibles.

Les cibles de ces attaques sont soigneusement sélectionnées et étudiées et impliquent souvent de grands réseaux d'entreprises ou gouvernementaux. De nombreux attaquants APT font partie de groupes de cybercriminalité organisés ou peuvent être soutenus par des États-nations hostiles, ce qui signifie qu'ils disposent des ressources, de la technologie et du temps nécessaires pour mener des attaques hautement sophistiquées.

Les attaquants APT peuvent utiliser diverses méthodes pour pénétrer un réseau sans être détectés. Ils effectuent des mouvements latéraux, augmentent les privilèges et déploient des logiciels malveillants tels que des chevaux de Troie ou des rootkits qui leur permettent d'obtenir une emprise persistante. Les attaquants peuvent s'attarder sur le réseau pendant des mois ou des années, exfiltrant continuellement des données précieuses. 

Attaques de la chaîne d'approvisionnement

Une attaque de la chaîne d'approvisionnement exploite un maillon faible de la chaîne d'approvisionnement d'une organisation. Une chaîne d'approvisionnement est un réseau de tous les individus, organisations, ressources, activités et technologies impliqués dans la création et la vente d'un produit. La chaîne d'approvisionnement comprend tous les aspects de la livraison des matériaux, du fournisseur au fabricant en passant par la livraison à l'utilisateur final. 

Lors de plusieurs attaques récentes, des attaquants sophistiqués ont ciblé la chaîne d'approvisionnement des logiciels en compromettant des composants ou des systèmes logiciels approuvés et déployés par des milliers d'organisations dans le monde. Il est donc essentiel pour les organisations de vérifier de près les normes de sécurité de leurs fournisseurs, des composants logiciels tiers et des systèmes informatiques.

Empoisonnement du cache

L'empoisonnement du cache est une attaque de réseau dans laquelle un attaquant injecte des informations incorrectes dans le système de noms de domaine (DNS) ou le cache Web pour nuire aux utilisateurs. Les attaquants utilisent un serveur Web et un cache pour propager des informations incorrectes vers un serveur DNS ou le cache d'un système cible, dans le but de fournir des réponses HTTP (Hypertext Transfer Protocol) malveillantes aux utilisateurs.

En règle générale, l'empoisonnement du cache DNS détourne le trafic des sites Web légitimes vers des sites Web malveillants contrôlés par un attaquant. Cela rend les utilisateurs vulnérables à des risques tels que l'infection par des logiciels malveillants et le vol de données. 

Contrebande de requêtes HTTP

Les attaques de contrebande de requêtes HTTP exploitent les incohérences dans la manière dont deux serveurs HTTP analysent une requête HTTP non conforme à la RFC. Il s'agit généralement d'un serveur principal et d'un pare-feu ou d'un proxy compatible HTTP. L'attaquant crée plusieurs requêtes HTTP personnalisées qui cachent ou « font passer » une requête malveillante dans une requête apparemment bénigne.

Grâce aux vulnérabilités de contrebande HTTP, les attaquants peuvent contourner les mesures de sécurité, accéder à des informations sensibles et détourner des sessions utilisateur. Cette attaque peut également conduire à des exploits secondaires tels que le contournement du pare-feu, l'empoisonnement partiel du cache et les scripts intersites (XSS).

LFI et RFI

L'inclusion de fichiers locaux (LFI) est une vulnérabilité Web qui peut permettre à un attaquant d'exécuter ou d'accéder à un fichier sur un site Web ou une application Web vulnérable. Cela peut permettre à l'attaquant de lire des fichiers sensibles, d'accéder à des informations sensibles et d'exécuter des commandes arbitraires sur le serveur principal.

L'inclusion de fichiers distants (RFI) est le processus d'inclusion de fichiers distants en exploitant un processus d'inclusion de fichiers vulnérables implémenté dans l'application. Il est différent de LFI car il permet à un attaquant d'exécuter du code malveillant à partir d'une source externe, au lieu d'accéder à des fichiers déjà présents sur un serveur Web local.

Lors d'une attaque RFI, un pirate utilise la capacité d'inclusion dynamique de fichiers, présente dans de nombreux frameworks Web, pour télécharger un fichier ou un script externe malveillant. Si une application Web accepte les entrées de l'utilisateur (telles que l'URL et les valeurs des paramètres) et les transmet au mécanisme d'inclusion de fichiers sans validation appropriée, les attaquants peuvent effectuer une RFI pour injecter un script ou un exécutable malveillant.

IDOR

Une attaque par référence directe d'objet (IDOR) non sécurisée se produit lorsqu'une application fournit un accès direct à un objet en fonction d'une entrée personnalisée de l'utilisateur. Les attaquants peuvent obtenir un accès direct et non autorisé aux ressources en modifiant la valeur d'un paramètre pour pointer directement vers un objet, qui peut être une entrée de base de données ou n'importe quel fichier sur le système local. 

Cela peut permettre à un attaquant de contourner l'authentification et d'accéder directement aux ressources sensibles du système, telles que les enregistrements et les fichiers de la base de données. 

Mauvaise configuration du cloud

Les erreurs de configuration de sécurité sont courantes dans les environnements cloud. Ils se produisent lorsque les paramètres de sécurité ne sont pas définis correctement ou que des valeurs par défaut non sécurisées sont utilisées. Un exemple simple est un compartiment cloud contenant des données sensibles, qui est exposé à Internet sans authentification.

La plupart des services basés sur le cloud peuvent être configurés en toute sécurité, mais cela nécessite une vigilance de la part du client du cloud. Une mauvaise configuration se produit souvent lorsque les utilisateurs configurent une ressource cloud sans la sécuriser correctement, la laissant ouverte à l'exploitation par des attaquants. Dans d'autres cas, les ressources cloud peuvent avoir été correctement sécurisées à ce moment-là, mais peuvent être devenues non sécurisées en raison d'une nouvelle vulnérabilité ou d'une modification de l'environnement cloud. 

Les instances de calcul, les buckets de stockage, les bases de données cloud, les conteneurs ou les applications logicielles en tant que service (SaaS) mal configurés (pour ne citer que quelques types de ressources cloud) peuvent être facilement détectés par les attaquants à l'aide de divers outils d'analyse. De nombreuses violations à grande échelle et très médiatisées étaient le résultat de mauvaises configurations du cloud qui n'ont pas été détectées et corrigées à temps par l'organisation. Cela soulève la nécessité d'une analyse continue des systèmes cloud et d'une correction rapide des erreurs de configuration de sécurité.


 

Comment prévenir les attaques de cybersécurité
 

Tests de pénétration

Un test d'intrusion (pen test) est une simulation autorisée d'une cyberattaque contre un système ou un réseau informatique. Les tests d'intrusion visent à identifier les vulnérabilités exploitables et à vérifier la posture de sécurité de l'organisation. Les pirates éthiques effectuent des tests de pénétration pour aider les organisations à trouver et à corriger de manière proactive les exploits critiques qui peuvent entraîner des failles de sécurité.

 

Tests continus des applications : programmes de primes et programmes de divulgation des vulnérabilités (VDP)

Un VDP encourage les tiers à aider une organisation à découvrir les vulnérabilités de sécurité. Il établit des directives claires pour les pirates éthiques, les chercheurs et autres, sur la façon de découvrir et de soumettre des vulnérabilités à l'organisation. Cela aide à protéger les organisations contre les vulnérabilités connues du public et permet aux chercheurs en sécurité d'opérer sans craindre de poursuites judiciaires. 

Dans un PDV, les organisations peuvent occasionnellement récompenser les chercheurs, mais il n'y a pas de mécanisme de rémunération organisé. Un programme de primes de bogues, en revanche, est un système de récompense organisé offert aux pirates éthiques pour la découverte et la divulgation de bogues. Les programmes Bounty paient pour chaque vulnérabilité découverte. Les participants éthiques aux programmes de primes aux bogues peuvent gagner des revenus à temps plein, et les organisations peuvent activer et désactiver les programmes selon les besoins.

Créer un programme de formation de sensibilisation à la cybersécurité

Les recherches indiquent qu'un sous-traitant ou un employé peut être à l'origine de deux incidents de menace interne évitables sur trois. Les organisations peuvent se protéger en créant un programme de formation de sensibilisation à la cybersécurité. Il aide à identifier les comportements à risque des employés, à suivre les mesures d'amélioration et à fournir aux employés la formation, les compétences et les connaissances nécessaires pour une culture axée sur la sécurité.

Traiter les 10 principales vulnérabilités de l'OWASP

L'Open Web Application Security Project (OWASP) est une organisation à but non lucratif dédiée à l'amélioration de la sécurité des applications, en fournissant une base de connaissances gratuite et crédible sur son site Web. La liste des 10 principales vulnérabilités de l'OWASP comprend les vulnérabilités critiques des applications Web. La liste est révisée et mise à jour au besoin. Il est mondialement reconnu comme un guide essentiel des meilleures pratiques pour la sécurité des applications Web.

Utiliser les bases de données CVE

Les bases de données CVE (Common Vulnerabilities and Exposures) fournissent une liste d'informations divulguées publiquement sur les vulnérabilités et les expositions de sécurité. Il permet aux parties de partager facilement des informations sur les vulnérabilités connues et de mettre rapidement à jour les stratégies de sécurité avec les dernières failles de sécurité. CVE fournit un identifiant standardisé et un nom/numéro pour chaque exposition ou vulnérabilité. Chaque identifiant offre un accès à des menaces spécifiques à travers plusieurs sources d'informations.  

Surveiller l'accès des tiers à vos données

La plupart des organisations permettent à des tiers d'accéder à leurs données. Les employés distants, les fournisseurs commerciaux, les vendeurs et les sous-traitants peuvent accéder aux informations et aux ressources de l'entreprise pour effectuer leur travail et mener leurs activités. Cependant, l'accès à des tiers expose les organisations à diverses menaces internes, telles que les logiciels malveillants et les fuites d'informations d'identification. Les organisations peuvent protéger leurs informations en surveillant les activités des tiers et en limitant la portée de l'accès des utilisateurs tiers.

Sauvegardez vos données

La sauvegarde aide à protéger vos données. Si l'organisation subit une violation, une perte ou une panne de données, vous pouvez récupérer des informations à partir de vos sauvegardes de données. Vous pouvez utiliser des sauvegardes de données pour récupérer un fichier écrasé et restaurer des fichiers supprimés. Si une attaque de ransomware cible votre organisation, vous pouvez utiliser vos copies de sauvegarde au lieu de payer la rançon. 
 

Conclusion

Dans cet article, nous avons couvert 16 attaques de cybersécurité courantes, notamment :

  • Violations de données - accès non autorisé et vol de données par des acteurs malveillants.

  • Cross site scripting (XSS) - permet aux attaquants de se faire passer pour un utilisateur d'une application et d'effectuer des actions indésirables en son nom.

  • Injection SQL - implique que les attaquants injectent des requêtes SQL malveillantes dans les entrées utilisateur.

  • Menaces persistantes avancées - permet aux attaquants d'obtenir un accès persistant à un réseau ou à un système protégé.

  • Attaques de la chaîne d'approvisionnement - permet aux attaquants d'exploiter les relations de confiance entre une entreprise et ses vendeurs ou fournisseurs.

  • Mauvaise configuration du cloud - implique l'exploitation de systèmes cloud qui n'ont pas été correctement sécurisés par leurs utilisateurs.

Pour protéger votre organisation contre ces attaques et d'autres, utilisez une combinaison de mesures de protection internes et d'aide externe. En interne, vous devez aligner les développeurs, le personnel des opérations et les équipes de sécurité autour des meilleures pratiques pour prévenir les vulnérabilités dans les applications Web et autres systèmes critiques, examiner les relations avec les fournisseurs tiers et vous assurer que vous disposez d'une stratégie de sauvegarde solide. 

Au-delà de cela, c'est une excellente idée d'impliquer des experts en sécurité externes dans votre stratégie de cybersécurité. Les tests d'intrusion et les primes de bogues ne sont que deux façons de tirer parti du talent des pirates éthiques pour découvrir et résoudre vos vulnérabilités les plus critiques.

Anchor 200
bottom of page