Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
Solutions IT, Audit et Assistance Douanière

Comprendre la Cyber-menace pour mieux l'affronter

10 Août 2015 , Rédigé par Antoine TAKOUDJOU Publié dans #Informatique

Comprendre la Cyber-menace pour mieux l'affronter

Les menaces ont évolué de manière stupéfiante au cours des dix dernières années, depuis les événements de masse qui ont fait la une des journaux au début de la décennie 2000 jusqu’aux menaces Internet combinées et plus secrètes d’aujourd’hui. Le volume des menaces a également progressé de manière considérable. La société de recherche anti-virus AV-Test identifie actuellement jusqu’à 700 000 nouveaux programmes malveillants par mois. Ce volume colossal rend les menaces plus difficiles à suivre et à combattre. En outre, la nature du monde souterrain de la cybercriminalité a changé, d’un groupe d’amateurs en quête de gloire à une industrie de professionnels motivés par l’argent.

Les petites entreprises sont davantage ciblées par les attaques car souvent, elles ne disposent pas des ressources informatiques nécessaires pour se protéger contre de tels assauts et ont du mal à réagir.

Afin de pouvoir vous défendre contre ces menaces changeantes, la meilleure stratégie consiste à connaître votre ennemi ; cet article examine en détail les menaces et les criminels modernes.

Petite histoire des Cyber-menaces

Avant et pendant les années 2000,les épidémies de virus, vers et chevaux de Troie constituaient les principales menaces. Le virus Melissa, découvert en 1999, tentait
de s’envoyer lui-même en masse par e-mail en utilisant les 50 premières entrées du carnet d’adresses d’un utilisateur. Le ver ILOVEYOU, arrivé en mai 1999 et considéré comme la menace la plus préjudiciable à cette date en termes financiers, s’envoyait également tout seul
en utilisant toutes les entrées du carnet d’adresses d’un utilisateur,avec une « lettre d’amour » jointe qui provoquait des dommages importants à l’ouverture. Code Red en 2001, et SQL Slammer et Sasser ont suivi en 2003.
De nombreuses variantes des vers et des virus ont continué à apparaître et à exploiter différentes failles,principalement dans les systèmes Microsoft (en raison de leur ubiquité)
pendant les années suivantes. Cependant, au fil du temps, cette charge virale a été limitée en partie par l’expansion à grande échelle et l’efficacité grandissante des logiciels antivirus, et en partie par une meilleure information des utilisateurs.

Traquer l'épidémie des Spams

Les cyber-terroristes se sont tournés vers l’envoi de spams en masse entre 2001 et 2003 à l’aide des techniques de hameçonnage qui consistaient à envoyer des e-mails d’apparence
légitime pour duper des utilisateurs qui ne se doutaient de rien et obtenir leurs coordonnées bancaires et autres données personnelles.Le problème du spam a atteint des proportions épidémiques en 2004 quand 70 à 80 % des e-mails entrant dans les entreprises pouvaient être
classés comme des spams ; à cette époque également, les auteurs de virus ont commencé à joindre des charges virales aux e-mails.
De nouveau, la vague de spams a été quelque peu ralentie par les filtres antispam qui sont devenus plus sophistiqués, supprimant non seulement les e-mails dont la barre de message ou l’expéditeur paraissait suspect, mais également en fonction du type de contenu. La technologie antispam hébergée résout encore mieux ces problèmes : en éliminant les spams et autres
menaces reposant sur les e-mails avant qu’ils n’atteignent le réseau, elle veille à ce que le volume colossal de e-mails indésirables ne bloque pas les serveurs de courrier et les réseaux.

Le Logiciel espion ou Spyware

En 2004, le logiciel espion ou Spyware (logiciel téléchargé à l’insu de l’utilisateur et qui enregistre son activité informatique) a été ajouté à l’arsenal du cybercriminel ; une menace bien plus sinistre et difficile à traquer. Selon une étude de 2004 réalisée par AOL et National

Cyber-Security Alliance, 80 % des ordinateurs des ménages étaient infectés à leur insu par une forme quelconque de logiciel espion.
Le développement du logiciel espion a été d’autant plus grave que, lors de son apparition, les fournisseurs étaient concentrés sur les logiciels antivirus. Or, les produits antivirus traditionnels ne pouvaient pas détecter les logiciels espions,dont les caractéristiques sont totalement différentes des virus.
Par la suite, le logiciel espion a été largement intégré dans les suites de sécurité tout-en-un, et la plupart des entreprises sont désormais protégées.

La guerre contre les botnets

Ensuite, le logiciel espion a laissé la place au bot (abréviation de robot). Les bots sont des ordinateurs compromis, connus sous le nom de botnet quand ils sont regroupés,qui sont prêts à exécuter les ordres de leur maître, des attaques par saturation aux envois de spams en masse.
Les botnets disposent d’une puissance de calcul qui est cent à mille fois supérieure aux attaques informatiques traditionnelles et peuvent provoquer de graves dommages lors d’initiatives concentrées et ciblées. Certains experts pensent que les techniques modernes de calcul distribué ont permis l’expansion des botnets,qui peuvent rapidement infecter un grand nombre d’ordinateur par le biais du partage de fichiers et des réseaux poste à poste.

Protection contre les menaces internet combinées d’aujourd’hui

Si le développement des menaces au cours des dix dernières années nous donne une indication,c’est bien la suivante : dès que vous bouchez une faille dans vos défenses, vous devez en surveiller une autre. Aujourd’hui, les frontières entre les différents types de programmes malveillants sont devenues troubles, et ce qui était par le passé une attaque linéaire relativement simple est devenu un assaut combiné, souvent soutenu.

Auparavant, la méthode d’attaque indiquait le programme malveillant (et souvent la défense associée), mais les cybercriminels évoluent de jour en jour. Ils s’appuient sur les charges virales les plus puissantes de la génération précédente, tout en intégrant de nouvelles méthodes, et ils
modifient constamment leurs points d’attaque pour éviter toute détection. Leurs nouvelles attaques associent un certain nombre de caractéristiques dommageables pour des résultats
potentiellement désastreux.

Le Web est l’endroit parfait pour lancer des attaques informatiques. Il représente une masse considérable de victimes potentielles, et les cybercriminels peuvent masquer, dans une certaine mesure, leur véritable identité à l’utilisateur. Évidemment, les attaques sont également faciles
à suivre car elles proviennent d’une URL spécifique, qui peut être bloquée. Mais cela oblige simplement les criminels à passer à leur proie suivante.

Des combinaisons mortelles

Les menaces Internet combinées comportent souvent des étapes multiples, qui semblent bénignes au premier abord,par exemple un e-mail avec un lien qui, lorsqu’il est activé,relâche une charge virale. Quelques étapes possibles :

✓ Un programme malveillant est installé par le biais d’une pièce jointe à un e-mail ou d’un site Web compromis.
✓ Un canal de communication ouvert est établi (une porte dérobée) en général par l’intermédiaire d’un cheval de Troie
✓ Un programme malveillant supplémentaire est téléchargé, modifiant éventuellement la forme du logiciel malveillant d’origine.

Les menaces combinées regroupent plusieurs variétés et niveaux de menaces. Elles sont :

  • Multivariantes :multitude de menaces combinées créées sur une même base, incorporant des variations minimes mais infinies, d’une variante à l’autre. La variété est un moyen d’éviter constamment la détection.

  • Multi-protocoles :attaquant plusieurs systèmes à la fois. Une menace peut arriver par le biais d’une URL intégrée dans un e-mail, des essais de vulnérabilités dans un navigateur, ou une attaque via des protocoles de messagerie électronique (e-mail ou messagerie
    instantanée).

  • Distribuées : répartissant leur charge virale sur de nombreux hôtes, à nouveau en petites quantités sur chaque hôte.

La combinaison de l’attaque est potentiellement mortelle, utilisant des spams pour une diffusion à grande échelle, l’Internet comme média de masse parfait et les programmes malveillants pour une activité destructrice. Chaque partie de ce puzzle peut sembler bénigne, mais considéré dans son ensemble, la puissance de l’assaut combiné devient évidente.

L’ingénierie sociale

Au cours des dernières années, les criminels ont employé de plus en plus les techniques d’ingénierie sociale (en fait, le cyber-mensonge) pour atteindre leurs buts. Ils surfent sur les problèmes publiés dans les médias ou prétendent être votre banque ou une société de livraison pour vous persuader d’ouvrir un fichier malveillant. Ils utilisent les e-mails d’hameçonnage (phishing) pour tenter de soutirer des données personnelles aux utilisateurs, en leur demandant par exemple de remplir un questionnaire en échange d’une récompense financière. Ils peuvent aussi se faire passer pour des sites de réseaux sociaux, voire des fournisseurs de logiciels antivirus.

Dans le pire des scénarios, ces criminels ne se concentrent pas uniquement sur le monde virtuel. Des tentatives récentes dans le monde physique cherchent à faire venir les gens sur des sites infectés. À titre d’exemple, ils placent des papillons sur les voitures dans les parkings, déclarant que la personne a reçu une amende pour un stationnement non autorisé et qu’elle doit aller sur un site Internet pour confirmer les informations sur son véhicule. Lors de la visite
du site Internet, un programme malveillant est installé sur l’ordinateur.

Une tendance plus sophistiquée d’utilisation des spams consiste à employer un spam de rétrodiffusion qui permet aux criminels d’envoyer en masse des e-mails à un grand nombre

de destinataires en se faisant passer pour un expéditeur différent. Le tiers reçoit alors une charge complète de messages d’erreurs ou en absence.

Le monde souterrain de la cybercriminalité

Contrairement à l’économie du monde réel, l’économie du cybercrime est en plein boom. Selon certaines estimations,le monde souterrain de la cybercriminalité génère désormais des bénéfices impressionnants de 100 milliards de dollars par an. Alors que les enchères montent, ce monde souterrain se professionnalise et se structure davantage comme une entreprise. Par conséquent, les individus se spécialisent et offrent des services malveillants particuliers. Tout peut pratiquement s’acheter ou se louer.

Les bénéfices financiers

Les informations volées représentent un commerce colossal, les cybercriminels négociant les données personnelles,notamment les noms d’utilisateurs pour les e-mails, les numéros de cartes de crédit, les numéros de sécurité sociale, les mots de passe d’accès à un compte, les numéros d’identification et les mots de passe des sites de jeux. Les cybercriminels font des affaires avec les pirates et les fournisseurs de botnet, négociant ces produits avec des vendeurs de programmes malveillants, qui à leur tour collaborent avec des vendeurs de programmes d’antidétection et de boîtes à outils. Les programmeurs pirates, spammeurs et maîtres chanteurs travaillent côte à côte ou collaborent parfois avec des hommes d’affaires indépendants dans ce qui devient une industrie de plus en plus consolidée.
Les prix sur le marché noir de la cybercriminalité sont cependant très abordables : 50 à 3 500 dollars pour l’achat d’un programme malveillant prêt à l’emploi selon un article du journal anglais The Independent ; et 25 à 60 dollars par mois seulement pour une souscription à un service qui contrôle les développements des logiciels antivirus et peaufine les programmes malveillants en conséquence. Selon ce même article, une heure d’utilisation d’un réseau botnet comptant 8 000 à 10 000 ordinateurs coûte environ 200 dollars. Une recherche menée en 2007 par TrendLabs sur l’économie numérique souterraine a découvert que, pour seulement 100 dollars par jour, vous pouvez disposer d’une attaque par saturation distribuée, tandis qu’il vous faudra 1 000 dollars pour acheter 10 000 ordinateurs compromis. Les attaques par saturation visent à éliminer des ressources en ligne en les bombardant de demandes de service.

La croissance des programmes automatisés de création de logiciels malveillants est tout aussi inquiétante. Ils peuvent utiliser une version d’un programme malveillant et en générer des centaines de variantes, chacune ayant une empreinte unique, échappant ainsi à la détection traditionnelle du fichier signature.

Partager cet article

Repost 0

Commenter cet article