cyberattaque

Les attaquants adaptent leurs techniques de piratage en fonction de la cible, des ressources et des objectifs. Certaines attaques visent à voler des identifiants, d'autres à bloquer les systèmes pour obtenir une rançon, et d'autres encore à collecter discrètement des données au fil du temps. Les attaques décrites ci-dessous représentent les menaces les plus fréquentes et les plus dommageables auxquelles les organisations sont confrontées aujourd'hui.

Logiciels malveillants et rançongiciels

Le terme « malware » désigne l'ensemble des logiciels conçus intentionnellement pour causer des dommages, voler des données ou obtenir un accès non autorisé aux systèmes. Cette catégorie comprend les virus, les chevaux de Troie, les logiciels espions, les enregistreurs de frappe et les vers. Les attaquants diffusent des logiciels malveillants via des pièces jointes infectées par courriel, des sites Web compromis, des téléchargements malveillants et des vulnérabilités logicielles.

Les ransomwares sont une forme de logiciel malveillant conçu pour chiffrer des données ou verrouiller des systèmes, puis exiger un paiement pour leur déblocage.

Une attaque par rançongiciel ne se résume toutefois pas au simple déploiement d'un rançongiciel. Il s'agit d'une intrusion en plusieurs étapes au cours de laquelle les attaquants obtiennent d'abord l'accès, établissent leur persistance, élèvent leurs privilèges, se déplacent latéralement entre les systèmes et exfiltrent souvent des données sensibles avant de déployer un ransomware comme dernière étape pour perturber les opérations et forcer le paiement.

Les groupes de ransomware modernes combinent le chiffrement avec le vol de données et l'extorsion, transformant la compromission à grande échelle d'un réseau en un modèle commercial criminel très lucratif.

Rapport de WatchGuard sur la sécurité Internet pour le quatrième trimestre 2024 Nous avons constaté que les logiciels malveillants de type « zero-day » représentaient à nouveau 53 % des détections. Le rapport a également fait état d'une augmentation de 141 % de l'activité de minage de cryptomonnaies, les attaquants ayant exploité la hausse des valeurs des cryptomonnaies.

Ingénierie sociale et hameçonnage

L'ingénierie sociale exploite la psychologie humaine plutôt que les vulnérabilités techniques pour inciter les utilisateurs à révéler des données sensibles ou à accorder l'accès à des systèmes sécurisés. Ce type d'attaque est assez complexe, car il manipule la confiance, l'urgence ou l'autorité pour contourner des contrôles de sécurité qui sont à la fois heuristiques et techniques.

L'hameçonnage est la forme la plus courante. Les attaquants envoient des courriels qui semblent provenir de sources légitimes, telles que des banques, des fournisseurs ou des services informatiques internes, demandant aux destinataires de cliquer sur des liens, d'ouvrir des pièces jointes ou de fournir leurs identifiants. La plupart des violations de données reposent sur l'élément humain, c'est-à-dire qu'elles ont besoin de quelqu'un à l'autre bout du système par qui elles peuvent opérer. Cela inclut l'hameçonnage, le prétexte fallacieux, l'utilisation abusive d'identifiants, les erreurs et les interactions avec des logiciels malveillants.

Les attaques utilisant l'intelligence artificielle ont rendu le phishing plus convaincant. WatchGuard a détecté une augmentation de 40 % des attaques basées sur les signatures au troisième trimestre 2024, ce qui indique que les attaquants se sont tournés vers des tactiques d'ingénierie sociale pour mener à bien leurs campagnes. Les attaquants utilisent désormais de vastes modèles de langage pour rédiger des courriels grammaticalement corrects dans plusieurs langues, concevoir des messages personnalisés à partir de données collectées sur les réseaux sociaux et générer des appels vocaux réalistes imitant ceux de dirigeants ou de collègues.

Le prétexte consiste à créer un scénario fabriqué de toutes pièces pour soutirer des informations. Un attaquant pourrait se faire passer pour un technicien d'assistance appelant pour « vérifier » un mot de passe, ou pour un fournisseur demandant les détails de paiement d'une facture. Ces attaques reposent sur l'établissement d'une crédibilité et l'exploitation des processus commerciaux normaux.

Attaques DoS et DDoS

Les attaques par déni de service (DoS) et par déni de service distribué (DDoS) tentent de rendre un service en ligne indisponible en le submergeant de trafic. Lors d'une attaque par déni de service (DoS), une source unique submerge une cible de requêtes. Lors d'une attaque DDoS, les attaquants utilisent plusieurs appareils compromis pour générer simultanément du trafic provenant de nombreuses sources.

Les attaquants utilisent souvent des botnets, c'est-à-dire des réseaux d'ordinateurs infectés ou d'appareils IoT contrôlés à distance, pour lancer des attaques DDoS. Ces réseaux de zombies peuvent générer des millions de requêtes par seconde, épuisant les ressources des serveurs, saturant la bande passante du réseau ou provoquant le plantage des applications.

Les attaques DDoS servent également de paravent. Les attaquants lancent une attaque DDoS très visible pour distraire les équipes de sécurité tout en procédant simultanément à un vol de données ou au déploiement de logiciels malveillants ailleurs sur le réseau. Le déluge massif de trafic d'attaques masque l'intrusion bien plus dangereuse qui se produit en parallèle.

Attaques basées sur l'identité

Les attaques basées sur l'identité consistent à voler ou à deviner des identifiants utilisateur valides afin de contourner les périmètres de sécurité. Une fois que les attaquants obtiennent des identifiants légitimes, ils apparaissent comme des utilisateurs autorisés et peuvent se déplacer dans les systèmes sans déclencher beaucoup d'alertes de sécurité.

Le bourrage d'identifiants utilise des combinaisons de nom d'utilisateur et de mot de passe volées lors de précédentes violations de données pour tenter de se connecter à d'autres services. Étant donné que de nombreuses personnes réutilisent leurs mots de passe, les attaquants utilisent des outils automatisés qui testent des millions de paires d'identifiants sur des sites web cibles.

Le détournement de session se produit lorsqu'un attaquant vole ou intercepte un jeton de session valide, qui est l'identifiant permettant aux utilisateurs de rester connectés après l'authentification. Grâce à ce jeton, l'attaquant peut usurper l'identité de l'utilisateur sans avoir besoin du mot de passe réel. Les attaquants obtiennent des jetons de session via des logiciels malveillants, l'interception du réseau ou des attaques de type cross-site scripting.

La prise de contrôle de comptes représente l'objectif final de nombreuses attaques basées sur l'usurpation d'identité. L'attaquant obtient le contrôle total et non autorisé d'un véritable compte utilisateur, commettant ainsi un vol d'identité numérique. De cette position, ils peuvent accéder à des données sensibles, autoriser des transactions, usurper l'identité de la victime auprès de leurs collègues ou clients, ou utiliser le compte compromis comme point d'appui pour attaquer d'autres systèmes.

Usurpation d'identité

L’usurpation d’identité consiste à déguiser une communication afin qu’elle semble provenir d’une source fiable et légitime. Les attaquants manipulent les informations d'identification pour tromper les destinataires et les systèmes de sécurité.

L'usurpation d'identité par courriel consiste à falsifier l'adresse de l'expéditeur dans l'en-tête d'un courriel afin de faire croire que le message provient d'une personne que le destinataire connaît ou en qui il a confiance. Les attaquants utilisent cette technique pour diffuser des logiciels malveillants, collecter des identifiants via de fausses pages de connexion ou inciter des employés à transférer de l'argent vers des comptes frauduleux.

L'usurpation de domaine et de site web permet de créer de faux sites web qui ressemblent fortement à des sites légitimes. Les attaquants enregistrent des noms de domaine similaires, copient le design visuel de sites de confiance et dirigent leurs victimes vers ces imitations par le biais de courriels d'hameçonnage ou de manipulations des moteurs de recherche. Les utilisateurs qui saisissent leurs identifiants ou leurs informations de paiement sur ces faux sites transmettent directement leurs données aux pirates informatiques.

L’usurpation DNS, également appelée empoisonnement du cache DNS, corrompt le système de noms de domaine pour rediriger les utilisateurs vers des sites web malveillants lorsqu’ils saisissent des adresses légitimes. Des attaquants injectent de faux enregistrements DNS dans le cache d'un résolveur DNS, ce qui amène le système à renvoyer une adresse IP incorrecte. Par exemple, lorsque les utilisateurs tentent d'accéder au site web de leur banque, ils sont redirigés vers un site frauduleux contrôlé par un attaquant.

Attaques de type « homme du milieu » (MITM)

Les attaques de type « homme du milieu » se produisent lorsqu'un attaquant intercepte une communication entre deux parties afin d'écouter ou de modifier les données transmises. Aucune des deux parties ne se rend compte qu'une tierce entité surveille ou manipule leur connexion. Ces attaques ciblent les communications non chiffrées, les réseaux compromis ou les failles des protocoles d'authentification.

L'écoute clandestine des réseaux Wi-Fi est une forme courante d'attaque de type « homme du milieu ». Les pirates informatiques installent de faux points d'accès sans fil qui semblent légitimes, souvent appelés « hotspots jumeaux maléfiques », dans des lieux publics comme les cafés, les aéroports ou les hôtels. Lorsque les utilisateurs se connectent à ces réseaux malveillants, l'attaquant peut intercepter tout le trafic qui y transite, y compris les identifiants de connexion, le contenu des courriels et les informations de paiement. Comme beaucoup de gens se connectent automatiquement à des noms de réseau familiers, ces faux points d'accès réussissent en imitant les noms des réseaux légitimes de la région.

La répartition des attaques varie selon les régions.Données du troisième trimestre 2024 de WatchGuard Les données montrent que la zone EMEA a représenté 53 % de toutes les attaques de logiciels malveillants en volume, soit le double par rapport au trimestre précédent, tandis que la zone Asie-Pacifique a enregistré 59 % des détections d'attaques réseau.