Les 5 étapes d’une attaque informatique
Les attaques informatiques sont perpétrées par des pirates généralement désignés sous le vocable de Hackers. Les raisons qui les poussent à perpétuer ces attaques sur des systèmes informatiques sont multiples et je les aborderai à une autre occasion. Ici, il est question de faire le point sur la façon dont ils s’y prennent.
Phase 1 : reconnaître le terrain
La reconnaissance consiste pour le hacker à récolter le maximum d’informations possibles sur sa cible. Celle-ci est dite active lorsque le hacker entre en interaction directe avec la cible (envoie de mails pour demander des renseignements, appels téléphoniques, demande d’ami sur Facebook, tchat sur WhatsApp, etc).
La reconnaissance passive de l’autre côté exclut toute interaction et s’appuie sur des recherches poussées sur les forums, pages et groupes dans lesquels la cible est présente ou active, l’analyse de ces interventions/commentaires, le système d’exploitation utilisé, l’adresse IP, le modèle/marque d’ordinateur ou de téléphone, etc.
Phase 2 : le scan
En visitant une page (un site contenant des films à télécharger ou des logiciels craqués par exemple) ou une page web leurre contenant la dernière sextape en vogue, vous exposez votre IP et le User-agent de votre navigateur.
Certains infectent même des sites très connus (à l’insu des propriétaires) pour faire la pêche aux infos. Sur la base de ceux-ci, le hacker explore le réseau en effectuant un scan à la recherche de failles. Si la cible utilise un modèle spécifique de téléphone, de navigateur internet ou de système d’exploitation, le hacker se met à jour, pour connaître les dernières failles affectant ces composants.
Phase 3 : l’Accès
À ce niveau, le hacker après avoir glané toutes les infos nécessaires, utilise les failles du système analysé pour y accéder. Pour une cible sur Facebook par exemple, cela consiste à obtenir son mot de passe.
Des utilitaires comme le CUPP (Common User Passwords Profiler) permettent d’établir un dictionnaire d’attaque en se basant sur les données recueillies auprès de la cible sur son profil social. Un point à signaler aux personnes qui documentent leurs moindres faits et gestes ou des détails sur leurs vies privées sur les réseaux sociaux.
Au sein d’un réseau informatique, cela passe par l’accès à des ressources internes (documents), à des actes de sabotage (déni de service, interception de mots de passe).
Phase 4 : le maintien
Le hacker maintient son emprise sur le système ou le compte compromis, de façon à y rester le plus longtemps possible. Il arrive que d’autres hackers essaient de prendre le contrôle d’une cible déjà compromise. Dans ce cas, le premier venu s’assure de garder son « droit de propriété ». Lorsque le maintien est réalisé par une puissance étrangère (un gouvernement ou une organisation de grande envergure) on l’appelle cela un APT (Advanced persistent threat).
Le sabotage des systèmes contrôlant les centrifugeuses d’enrichissement d’uranium de Natanz en Iran ou les serveurs du siège de l’Union africaine qui transféraient des données entre minuit et 2 heures du matin vers la Chine en 2017, sont considérés comme des APT.
Si vous êtes un fan de la série d'espionnage Alias, le IT du SD6 Marshall, vient de découvrir que leur réseau avait été infiltré par des hackers qui y pompaient leurs données.
Phase 5 : la couverture
Le hacker couvre ses traces pour éviter d’éveiller les soupçons d’une compromission. Tout en maintenant l’accès à la cible, il efface toute trace pouvant lui être imputé directement. Les fichiers log sont ainsi modifiés pour brouiller les pistes et éviter que les enquêteurs ne s’en servent pour remonter à l’origine de l’attaque.