Le 30 juin, à la cité des sciences et de l'industrie, se déroulera la nuit du  Nuit du Hack  organisée par HZV et, s'en suivra le  mois de la cybersécurité du 1er au 31 octobre … alors prenons un peu d'avance et parlons cybersécurité ! 

Dans un monde de plus en plus informatisé et connecté, notamment celui du travail, avoir des notions en cybersécurité devient primordial. En effet, la cybersécurité est l’affaire de tous et à tous les niveaux de l’entreprise. Diffuser les bonnes pratiques c’est permettre à tous de prendre conscience que chacun est acteur dans son travail, et cela commence par des choses en apparence très simples mais qui deviennent essentielles parfois : savoir créer un mot de passe sûr, reconnaitre un mail malveillant…

Nous pouvons aujourd’hui définir quatre grandes catégories de cyber-menaces :

-          l’atteinte à l’image (défiguration de sites officiels, campagne de dénigrement, usur­pation     d’identité, propagande, amplification de rumeurs, déstabilisation…),

-          l’action « mafieuse » (arnaque à la carte bancaire, rançons, trafics en tous genres,…),

-          l’es­pionnage (détournement discret d’informa­tions circulant sur les réseaux numériques d’une cible)

-          le sabotage (altération du fonctionnement d’un système par le biais d’une attaque informatique).

La cyberprotection consiste à bâtir d’épaisses murailles autour des sys­tèmes d’information, ainsi qu’à mesurer en permanence leur efficacité face à une menace toujours évolutive.

L’ANSSI définit deux types d’attaques : les attaques ciblées et les attaques dites de masse.

Les attaques de masse ne se soucient pas de l’identité des victimes. L’objectif est de faire l’attaque la plus large qui soit pour avoir un impact maximal et récolter le plus d’argent possible. Les plus connues sont le plus souvent dues à des ransomware. (rançongiciels).

C’est une technique d’attaque courante de cybercriminalité qui consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange d’une clé de déchiffrement.

Ces rançongiciels se diffusent souvent par mail grâce à des techniques de « phishing » (hameçonnage) constituant à imiter les couleurs d’une institution ou d’une société (banque, service des impôts) pour inciter le destinataire à fournir des informations personnelles.

En ouvrant le fichier en pièce jointe, le fichier installe un logiciel à l’insu de l’utilisateur sur son poste et chiffre une partie ou l’ensemble des données contenues sur l’ordinateur. Si par la suite, l’utilisateur souhaite déchiffrer les données, il devra payer une rançon, d’où le terme de rançongiciel.

Ce type de logiciel est destructeur pour votre ordinateur. 

Pour se protéger des conséquences d’un rançongiciel, il est important de : sauvegarder régulièrement ses données, de vérifier les expéditeurs des mails, d’être vigilant avec les extensions de fichiers en .exe., d’utiliser un antivirus à jour, n’ouvrez pas de PJ en cas de doute sur leur légitimité,ne télécharger rien sur les plateformes douteuses et surtout … n’encouragez pas le cyber crime en payant une rançon.

Les attaques cibées quant à elles comme leur nom l’indique n’ont rien à voir avec les attaques de masse et malheureusement face à ce type d’attaque les antivirus et les pare feu  ne protègent en rien. Les Trojan Horse en sont l’exemple les plus connus.

Pour se protéger des attaques ciblées, l’ANSSI recommande de  : détruire les messages non sollicités sans répondre,choisir des mots de passe sécurisés, ne pas exécuter d’instructions venant d’un inconnu, toujours effectuer des mises à jour,ne pas diffuser d’informations personnelles et/ou confidentielles sur internet .

Plusieurs guides des bonnes pratiques accessibles à tous sont disponibles sur le site de l'ANSSI. Retrouver aussi quelques astuces utiles pour se protéger en ligne sur serene risc.

QUELLES PEUVENT ETRE LES DIFFERENTS TYPES DE MENACES ? Voici une liste non exhaustive des différents types de virus informatique : 

- Rançongiciels / Ransoware / Cryptovirus  : (cf les explications ci dessus)

- Deni de Service - DOS  : Cette attaque rend un service indisponible et empêche les utilisateurs légitimes de l’utiliser. Elle a pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu.

- Ver  (Worm) : C'est un programme qui se reproduit sur plusieurs ordinateurs en utilisant le réseau informatique. C'est un logiciel malveillant indépendant, cherchant à propager son code au plus grand nombre de cibles, puis à l’exécuter sur ces mêmes cibles. Il perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs.

- Spyreware (Espiogiciel)  : C'est un programme qui enregistre les frappes du clavier, la webcam, le micro…Son objectif est de collecter et de transmettre à des tiers des informations sur l’environnement sur lequel il est installé, sur les usages habituels des utilisateurs du système, à l’insu du propriétaire et de l’utilisateur.

- Botnet  : Réseau de robots informatiques contenant des programmes malveillant qui communiquent entre eux par internet pour exécuter des tâches.  Ce réseau est structuré de façon à permettre à son propriétaire de transmettre des ordres à tout ou partie des machines du botnet et de les actionner à sa guise.

Le but étant de développer une armée de zombies (ordinateurs infectés) destinés à mettre en œuvre des fonctions non désirées telles que l'envoi de pourriel, la diffusion de maliciels ou la participation à des attaques de saturation contre un serveur Web. Il est possible de ne pas s’apercevoir que son terminal en est infecté.

- Virus : Programmes qui s’attachent à un autre pour modifier ou altérer son fonctionnement. Les virus informatiques sont des programmes ou codes malveillants qui peuvent se retrouver dans votre terminal sans que vous en ayez conscience et dont le but est de survivre sur un système informatique (ordinateur, serveur, appareil mobile, etc.) et, bien souvent, d’en atteindre ou d’en parasiter les ressources (données, mémoire, réseau).

- Trojan Horse (Cheval de Troie)  : C'est un programme qui permet à un attaquant de prendre le contrôle de l’ordinateur cible en donnant l’impression d’avoir une fonction utile, mais qui possède par ailleurs une fonction cachée et potentiellement malveillante.

En effet, il dissimule un parasite dont le rôle est de voler secrètement vos données et de nuire à votre système sous l'aspect du logiciel légitime qu’il simule. Par exemple, vous pourriez jouer à un jeu sans vous rendre compte que le logiciel extorque simultanément vos données.

- Phishing  : Contraction du mot « fishing » et « phreaking » désignant le piratage de lignes téléphoniques ou « Hameçonnage », c'est un message qui ressemble à un mail légitime et qui vous demande de rentrer vos informations personnelles, vos identifiant de connexion et/ou vos coordonnées bancaires suite à une erreur sur un de vos comptes bancaires. 

D’autres menaces sont moins dangereuses pour vos données à court terme mais tout aussi envahissantes pour votre poste de travail tels que les « adware » ou les « publiciels », ces logiciels publicitaires qui contiennent des programmes utiles comprennent également une partie illégitime permettant de vous restituer des publicités ciblées ou non.

De même, Le scareware, proche parent du rançongiciel, est un logiciel qui a pour but de susciter la peur afin de vous extorquer de l'argent. En général, les malfaiteurs essaient de créer un sentiment d'anxiété ou de panique en vous annonçant que votre terminal contient un virus ou de la pornographie juvénile, puis vous incite à installer un logiciel ou à payer afin de régler problème. Ces logiciels malveillants font apparaître des fenêtres contextuelles affichant généralement des avertissements alarmants. 

L'usurpation de domaine, ou Pharming, tout comme l’hameçonnage, vise l'obtention illégitime de vos renseignements personnels (par ex., bancaires). Cette technique redirige automatiquement les utilisateurs de véritables services en ligne. Cela se produit lorsque le système de nom de domaine, lequel relie des adresses Web aux serveurs Web qui les hébergent, a été cybersquatté de telle sorte que vous êtes conduit à votre insu vers un faux site (détournement du DNS).

Bien que la présence d'un symbole de cadenas dans la barre d'adresse ne constitue pas une garantie d'authenticité, c'est une façon de vérifier si vous vous trouvez bien sur la bonne page Web avant d'y saisir vos détails. Faites confiance aux avertissements que vous transmet votre navigateur. S'il vous avertit qu'une page Web présente un risque, il est préférable que vous évitiez ce site. Il arrive même que des sites Web fort connus fassent l’objet d’une usurpation de domaine, et il se pourrait que votre navigateur reconnaisse ces menaces. 

LES RISQUES LIES AUX MOTS DE PASSE                     

Un risque non négligeable d’attaque à connaitre aussi est tout ce qui concerne l’utilisation de mots de passe. En effet, les conséquences peuvent parfois être dramatiques : compromission de messages personnels sur votre messagerie électronique, destruction de données, publications de messages ou de photos préjudiciables sur vos réseaux sociaux, achats sur de sites de vente en ligne, virements bancaires sur le site de votre banque.

Les attaques directes sont celles par lesquelles un attaquant va s’attaquer de manière très concrète à votre mot de passe ou au système d’authentification. Ce type d’attaque lui permet de récupérer vos identifiants et mots de passe pour se connecter ensuite sur votre compte en utilisant les mêmes moyens que les vôtres.

L’attaque par force brute est la première attaque à connaitre car il s’agit de l’attaque directe la plus simple. Elle consiste tout simplement à tester tous les mots de passe possibles un à un jusqu’à tomber sur le bon. Les attaques par force brute commencent le plus souvent par une attaque par dictionnaire.

Elle suppose que vous allez utiliser un mot de passe facile à retenir, comme un lieu de naissance, un prénom, une date marquante ou des combinaisons de ces différents éléments. Dans ce cas, l’attaquant peut recourir à de l’ingénierie sociale pour trouver des informations vous concernant, par exemple en recherchant sur les réseaux sociaux, et réussir plus rapidement son attaque.

Pour préparer cette attaque, les attaquants fabriquent des dictionnaires composés d’une liste de mots de passe potentiels contenant des mots de dictionnaire avec plus ou moins de personnalisation selon la personne, la nationalité, l’âge…

D’où la nécessité d’avoir un mot de passe fort (au moins 8 caractères, combinant des majuscules, des minuscules, des chiffres…), qui soit différent pour chaque compte, et surtout évitez de les enregistrer sur vos moteurs de recherche. 

D'autres types de risques tout aussi préoccupants existent, voici deux exemples tirés d'articles de la revue revue N°260 de la gendarmerie nationale : "Hyper connexion et résilience", risques qui laissent à réfléchir pour la novice que je suis !

Les ATTAQUES SUR RESEAUX DE NEURONES 

"Des équipes de recherche ont montré en 2016 et 2017 qu'il était possible de "leurrer" des réseaux de neurones pourtant très performants en reconnaissance d'objet dans une image (vision artificielle). Des attaques par "exemples contradictoires-Adversarial Attacks on Neural Network" ont été menées sur plusieurs grandes plateformes d'apprentissage automatisé reposant sur des réseaux de neurones.

Ces attaques consistent à perturber l'image d'un objet ou d'un animal bien reconnue par le réseau de neurone. Cette perturbation s'effectue par ajout d'un bruit spécifique sur l'image initiale de sorte que l'image bruitée reste totalement identifiable par un humain mais entraîne une fausse identification par le réseau de neurones. L'expérience a été réalisée à partir d'images de pandas que le réseau de neurone sait reconnaître avec un haut niveau de fiabilité. Le bruit appliqué sur l'image de panda demeure quasiment invisible pour un humain alors que le réseau de neurones l'identifie de façon presque certaine comme un gibbon.

Le même type d'expérience a été mené avec des panneaux de signalisation : l'image d'un panneau stop, légèrement bruitée, a été perçue par le réseau de neurones comme un panneau de priorité... On imagine facilement les ravages cau­sés par ce type d'attaque sur un véhicule autonome. " (Thierry Berthier)

Les IoT et risques de vulnérabilité 

"Les objets connectés se distinguent du parc informatique traditionnel par l’absence de solutions de sécurité intégrées de type antivirus (endpoint security).

Cette absence se justifie généralement par l’insuffisance des ressources (capacité de calcul, mémoire) disponibles sur ces dispositifs. […]

Le périmètre des risques associés aux ob­jets connectés est à l’image de leur champ d’application : vaste et divers. Parmi les risques qu’impliquent leur usage, on retient notamment :

-          des risques de fuite d’information par interception du flux réseau ou compromission de l’appareil. Les panoplies de capteurs équipant les objets connectés en font des sources d’information directe sur le monde physique.

-          A ceci s’ajoute le risque de collecte, non consentie par les utilisateurs, d’informations par les créateurs de la solution IoT, un cas qui concerne aussi bien des jouets que des sextoys connectés comme l’actualité a pu le démontrer.

-          Des risques de compromission du système d’information auquel l’objet est connecté : les objets connectés peuvent effectivement constituer des cibles en tant que vecteur initial d’une attaque informatique, permettant par mouvement latéral d’infecter les cibles véritables.

-          Des risques d’attaques par déni de service sur des cibles externes. Les objets connectés ne sont pas seulement une menace pour leurs utilisateurs, mais également pour les tiers.

L’apparition en septembre 2016 du premier botnet visant spécifiquement les objets connectés, Mirai, a concrétisé cette menace". (Cyril Nalpas) 

Pour comprendre de quelle façon évolue la cybersécurité des rencontres sont organisées par le cybercercle, le réseau AMNECYS, et le pôle 4CN.

La France a aussi organisé plusieurs exer­cices DEFNET (2014-2015-2016-2017)  pour la chaîne de commandement cyber et ses partenaires de la société civile, et a participé activement aux grands exercices internationaux comme Cybercoalition ou Locked Shields.

QUELS SONT LES MOYEN POUR AIDER LES VICTIMES ?

Une plateforme qui a pour objectif de venir en aide aux victimes d’actes de cyber malveillance, a été mise en place par l’ANSSI : cybermalveillance.gouv.fr. Elle s’adresse aux particuliers et également à toutes les entreprises et collectivités territoriales. 

Cette plateforme a 3 missions : assister les victimes d'actes de cybermalveillance, sensibiliser à la prévention de la cybercriminalité, et établir des statistiques et tendances sur ces menaces.

Il existe aussi un réseau national au Canada réunissant des chercheurs scientifiques de renom et des organismes qui unissent leurs efforts pour enrayer l’intimidation envers les jeunes enfants sur internet : c'est le réseau PREVNET qui est très riche en informations, à la fois pour les parents qui se sentent concernés et cherchent des réponses, mais aussi pour les enfants qu'ils soient adolescents ou plus jeunes. L'intimidation y est expliquée de façon adaptée à leur âge.

Pour les personnes désirant aller plus loin en informatique le site de la  Khan academy propose de initiations au codage accessible à tous. Le MIT aussi avec son site Scratch. Enfin pour acquérir des bases sur l'internet : le Secnumacademie de l'ANSSI.

---

Bibliographie :

"vers une dissuasion technologique fondée sur les systèmes d'armes autonomes", Thierry Berthier, Maître de conférencesen mathématiques à l'Université de Limoges (IIRCO,Chaire de Cybersécurité & Cyberdéfense, Saint-Cyr- Thales – Sogeti) p 47 de la revue N° 260 de la gendarmerie nationale.

"État des lieux de la sécurité des objets connectés" par Cyril Nalpas  Consultant Cybersé­curité - Compagnie européenne d’intel­ligence stratégique p127 de la revue N° 260 de la gendarmerie nationale.

Photo : Nathalie Bigeat