Une cyberattaque est tout type d’action offensive qui vise des systèmes, des infrastructures ou des réseaux informatiques, ou encore des ordinateurs personnels, en s’appuyant sur diverses méthodes pour voler, modifier ou détruire des données ou des systèmes informatiques.
Dans cet article, retrouvez la liste des cyber-attaques les plus fréquentes aujourd’hui en 2021 puis quelques recommandations des grands organismes de sécurité informatiques pour contrer ces attaques. Nous abordons également l’important rôle joué par les certificats numériques dans la sécurisation des systèmes informatiques. Garantir une bonne gestion du cycle de vie de ses certificats numériques représente un véritable enjeu au sein des DSI.
Quelles sont les 7 cyber-attaques les plus plausibles en 2021 ? Quelques recommandations sz l’ANSSI, l’ANSI, l’OWSASP et Google.
Les cross-site scripting (XSS)
Les attaques XSS utilisent des ressources Web tierces pour exécuter des scripts dans le navigateur Web de la victime ou dans une application pouvant être scriptée. Plus précisément, l’attaquant injecte un code JavaScript malveillant dans la base de données d’un site Web. Lorsque la victime demande une page du site Web, ce dernier transmet la page à son navigateur avec le script malveillant intégré au corps HTML.
Le navigateur de la victime exécute ce script, qui envoie par exemple le cookie de la victime au serveur de l’attaquant, qui l’extrait et l’utilise pour détourner la session. Les conséquences les plus graves se produisent lorsque l’attaque XSS sert à exploiter des vulnérabilités supplémentaires. Concrètement, l’attaquant pourra voler des cookies, enregistrer les frappes de touches et des captures écran. Il pourrait également découvrir et récupérer des informations réseau. A partir de ce moment-là, l’attaquant pourra prendre le contrôle à distance de l’ordinateur de la victime.
Comment contrer les attaques XSS ?
Pour se protéger contre les vulnérabilités permettant l’attaque XSS, l’agence nationale de la sécurité des systèmes d’information Française (ANSSI) recommande de s’assurer que toutes les données issues de sources externes qui sont incluses dans la page web soient protégées, c’est à dire aient subi un traitement qui empêche leur interprétation dans le contexte où elles sont employées.
Cette pratique est courante au niveau des contrôles réalisés côté serveur, mais il est aussi nécessaire de faire effectuer ce contrôle par le navigateur, qui est l’un des garants de l’intégrité des contenus présentés aux utilisateurs légitimes.
Les données externes employées dans quelque partie que ce soit de la réponse envoyée au navigateur doivent avoir fait l’objet d’un « échappement » adapté au contexte d’interprétation.
L’exemple ci-après montre l’utilisation de fonctions d’échappement :
fetch-and-escape.js:
welcome.html:
Les attaques de phishing
Le phishing est un type d’attaque d’ingénierie sociale souvent utilisé pour voler les données des utilisateurs, y compris les identifiants de connexion et les numéros de carte de crédit.
Cela se produit lorsqu’un attaquant, se faisant passer pour une entité de confiance, dupe une victime en ouvrant un e–mail, un message instantané ou un message texte.
Les recommandations de l’ANSI pour se protéger du Phishing :
L’Agence Nationale de la Sécurité Informatique Tunisienne (l’ANSI) recommande d’ignorer les e-mails suspects, de ne pas cliquer sur les liens suspicieux et de vérifier minutieusement l’origine des e-mails en se référant aux e-mails officiels des organismes et entreprises. Elle préconise également de ne pas donner suite aux e-mails, en cas de doute.
Injection SQL
L’injection SQL est devenue un problème courant qui affecte les sites Web exploitant des bases de données. Elle se produit lorsqu’un malfaiteur exécute une requête SQL sur la base de données via les datas entrantes du client au serveur. Des commandes SQL sont insérées dans la saisie du plan de données (par exemple, à la place du nom d’utilisateur ou du mot de passe) afin d’exécuter des commandes SQL prédéfinies. Si l’injection SQL aboutit alors l’attaquant pourra être en mesure de réaliser plusieurs actions malveillantes :
- Lire les données sensibles de la base de données
- Modifier (insérer, mettre à jour ou supprimer) les informations de la base de données
- Exécuter des opérations d’administration de la base de données (par exemple la fermer)
- Récupérer le contenu d’un fichier spécifique
- Envoyer des commandes au système d’exploitation
Exemple d’élévation de privilège d’une application web avec une injection SQL :
Imaginons un petit formulaire de connexion sur la page login.php qui attend un simple e–mail et un mot de passe. Lors de l’analyse de la requête HTTP envoyée en POST grâce à l’utilitaire d’analyse réseau fourni par n’importe quel navigateur (F12 puis réseau) on constate uniquement ces deux paramètres :
Le mot de passe sera systématiquement ignoré par le système et n’importe quel utilisateur pourra à sa convenance se voir, concéder les droits d’accès illégitimes de l’administrateur.
Malware / Ransomware
Malware est un terme générique désignant les virus et les programmes informatiques nuisibles que les pirates utilisent pour détruire et accéder à des informations sensibles.
Ransomware est l’un des malwares les plus courants, il chiffre les fichiers d’une victime pour restaurer l’accès aux données lors du paiement.
Comment se protéger des attaques Ransomware ?
Pour se protéger des attaques ransomware, l’ANSSI recommande de :
- Effectuer des sauvegardes régulières des données.
- Ne pas donner confiance à l’expéditeur de courriers électroniques dont l’origine ou la forme vous semblent douteuses.
- Les attaques via les applications web
Attaques via les applications web
La plupart des entreprises éditeurs d’applications web sont toujours concentrées sur le bon fonctionnement des applications qu’elles fournissent et oublient d’implémenter les bonnes pratiques pour les sécuriser de différents types d’attaques.
Une parmi ces attaques est l’authentification cassée. En effet les fonctions applicatives liées à l’authentification et à la gestion de session sont souvent mal implémentées. Cela permet aux attaquants de compromettre les mots de passe, les clés ou les jetons de session. Ils peuvent également exploiter d’autres failles d’implémentation pour assumer temporairement ou définitivement l’identité des autres utilisateurs.
Selon l’OWASP (Open Web Application Security Project), pour protéger les applications web des attaques de sécurité, il est recommandé de :
- Implémenter l’authentification multi facteur pour empêcher les attaques automatisées, le bourrage d’informations d’identification, la force brute et la réutilisation d’informations d’identification volées.
- Ne pas expédier ni déployer avec des informations d’identification par défaut, en particulier pour les utilisateurs administrateurs.
Les attaques Man-in-the-Middle (MitM)
Une attaque de type man-in-the-middle se produit lorsqu’un attaquant intercepte les communications entre deux parties, soit pour écouter secrètement, soit pour modifier le trafic circulant entre les deux.
Les attaquants peuvent utiliser des attaques MitM pour voler des identifiants de connexion ou des informations personnelles, espionner la victime, saboter des communications ou corrompre des données.
La documentation officielle de google et les autorités de certification définissent un certificat SSL robuste comme une mesure de sécurité qui protège votre site Web contre les attaques man-in-the-middle.
Vous devez obtenir un certificat de sécurité dans le cadre de l’activation de HTTPS pour votre site. Le certificat est émis par une autorité de certification (CA), qui prend des mesures pour vérifier que votre adresse Web appartient réellement à votre organisation, protégeant ainsi vos clients contre les attaques man-in-the-middle. Lors de la configuration de votre certificat, assurez un haut niveau de sécurité en choisissant une clé de 2048 bits. Si vous disposez déjà d’un certificat avec une clé plus faible (1024 bits), mettez-le à niveau à 2048 bits. Lorsque vous choisissez votre certificat de site, gardez à l’esprit les points suivants :
- Obtenez votre certificat d’une autorité de certification fiable qui offre un support technique.
- Décidez du type de certificat dont vous avez besoin :
- Certificat unique pour une origine sécurisée unique (par exemple www.example.com).
- Certificat multi-domaine pour plusieurs origines sécurisées bien connues (par exemple www.example.com, cdn.example.com, example.co.uk).
- Certificat générique(wildcard) pour une origine sécurisée avec de nombreux sous-domaines dynamiques (par exemple a.example.com, b.example.com).
Les attaques par déni de service (DDoS)
Les attaques de réseau distribué sont souvent appelées attaques par déni de service distribué (DDoS).
L’attaque DDoS envoie plusieurs demandes à la ressource web attaquée, dans le but de dépasser la capacité du site web à gérer plusieurs demandes et d’empêcher le site web de fonctionner correctement.
Parmi les mesures pouvant être mises en œuvre à moindre frais, on peut citer le recours à des outils tels que fail2ban pour rejeter automatiquement les requêtes des clients ayant un comportement suspect.
Les certificats numériques : une réponse pour contrer certaines de ces attaques.
Les certificats SSL sécurisent les informations d’authentification des utilisateurs. Grâce à leurs capacités de chiffrement, les certificats SSL vous aident à sécuriser les informations d’authentification des utilisateurs sur votre site Web. Lorsque votre site Web utilise un certificat SSL, les informations saisies par vos utilisateurs seront directement transmises à votre serveur.
Une session SSL / TLS qui utilise un certificat expiré ne doit pas être approuvée. L’acceptation d’un certificat expiré rend les utilisateurs vulnérables aux attaques de l’homme du milieu (MITM).
La contribution du protocole HTTPS à l’arrêt des attaques Man-in-the-Middle découle du concept de certificat SSL et de l’infrastructure de l’autorité de certification. Le concept est basé sur l’utilisation de la clé privée, qui établit une connexion valide lorsqu’elle est associée au certificat correspondant.
La question est : si un client se connecte à un serveur et si un attaquant se met entre eux, peut-il recevoir le certificat SSL et décrypter avec succès les données ?
Eh bien, l’attaquant peut certainement recevoir le même certificat car le dernier contient la clé publique et le nom de domaine que le serveur envoie à quiconque souhaite s’y connecter. Cependant, l’attaquant ne pourra pas déchiffrer les informations car seul le serveur possède la clé privée correspondante qui peut déchiffrer les données.
Ainsi, étant donné que le serveur garde cette clé privée secrète, l’attaquant ne peut pas utiliser le certificat réel du site Web. Il doit utiliser l’un des siens. Cela signifie qu’il doit convaincre l’autorité de certification de signer le certificat ou de l’utiliser tel quel. Ainsi, si l’attaquant utilise un certificat qui est expiré ou n’est pas validé par une autorité de certification réputée, le navigateur Web du client l’identifiera immédiatement.
L’attaquant peut également essayer de falsifier le certificat SSL et fournir sa propre clé publique au client. Cette action détruira la signature de l’autorité de certification et le navigateur du client affichera des avertissements concernant le certificat SSL invalide.
Par conséquent, la structure spécifique du certificat SSL empêche les attaques Man-in-the-Middle, protège vos clients contre les pirates informatiques et garantit la fiabilité de votre entreprise.
De plus, garder opérationnel un certificat expiré contribue à diffuser de mauvaises pratiques auprès des utilisateurs. La sécurité informatique concerne tous les collaborateurs d’une organisation, les sensibiliser à ce sujet passe en premier lieux par un bon exemple des équipes informatiques.
Il est évident aujourd’hui, qu’on observe une forte tendance, peut-être même une dépendance des organisations à l’utilisation de certificats numériques. Leur volume et la diversité de leur provenances et usages, les rendent de plus en plus complexes. S’équiper d’une solution CLM devient alors un prérequis sérieux. Pour connaitre les bonnes pratiques et les avantages à l’utilisation d’un CLM, nos experts ont rédigé un article à ce sujet. Nous vous invitons à le lire.
Migration cloud : quels impacts sur vos certificats numériques ?
La migration vers le cloud de tout ou partie d’un système d’information est aujourd’hui un projet généralement bien maîtrisé, au sens fonctionnel et technique. Souvent sous-estimés, les impacts des...
Réduction de la durée de vie des certificats numériques et RGS : nouveau casse-tête ?
Face à des certificats numériques à la durée de vie de plus en plus courte, le secteur public et certaines entreprises soumises au référentiel général de sécurité (RGS) sont confrontées au double...
Authentification des utilisateurs : vers un monde sans mot de passe
Sécuriser les systèmes d’informations des organisations sans dégrader l’expérience utilisateurs est un véritable défi dans un contexte d’augmentation des menaces. L’authentification multifactorielle...