Veille technologique

pour les professionnels de l’industrie
S’abonner

S’inscrire à l’hebdo de la techno :

Rechercher sur Industrie & Technologies

Article Précédent
Article Suivant
Facebook Twitter Google + Linkedin Email
×

RGPD : comment déjouer les 7 cyberattaques les plus fréquentes

| | |

Publié le à 07h03

RGPD : comment déjouer les 7 cyberattaques les plus fréquentes

Bots malveillants, attaques par déni de service distribué (DDoS), phishing.... Ces techniques de cyberattaques font partie des sept les plus utilisées par les hackers. Comment s’en protéger ? A quelques semaines de l’entrée en vigueur du règlement général pour la protection des données (RGPD), Vincent Lavergne, expert en attaque DDoS chez F5 Networks, entreprise américaine spécialisée dans les équipements réseaux, nous donne quelques clés.

"Grâce aux outils automatisés et aux hackers offrant leurs services pour le compte d’autrui, la cybercriminalité est devenue, pour certains, une source de gains inespérée. Une étude récente menée par F5 Labs montre que les 429 plus importantes violations de données signalées étudiées entre 2005 et 2017 ont permis aux hackers d’empocher 2,75 milliards de dollars sur le marché noir.

Le développement numérique a ouvert la porte à des attaques malveillantes d’un niveau sans précédent, qui mettent en danger les applications, les données professionnelles, les infrastructures opérationnelles et la réputation des entreprises. Par conséquent, nombreux sont les responsables sécurité et dirigeants d’entreprise à être remerciés suite à des violations graves de données. De plus, les coupes budgétaires et la réduction drastique du personnel dans le domaine informatique rendent nombre d’organisations vulnérables aux assauts des cyber-attaques.

Les nouvelles applications dans le cloud engendrent des défis complexes et de nouveaux risques. Cet environnement d’incertitude et de développement rapide est propice aux hackers. En escrime, un « dégagement » est un mouvement qui sert à leurrer l’adversaire en attaquant une cible spécifique, puis en se déplaçant en demi-cercle afin de toucher une autre zone. Le hacker d’aujourd’hui feinte selon ce même principe, en maniant sept techniques de menaces communes pour une perturbation et un profit maximaux. Ces mouvements offensifs clés sont les bots malveillants, le « credential stuffing », l’attaque par déni de service distribué (DDoS), le ransomware, la fraude par internet, le phishing et les logiciels malveillants.

Point commun des 7 attaques-clés

Les bots malveillants servent fréquemment de support de livraison ou de kit d’exploitation. D’après le dernier rapport de Verizon Data Breach Investigations Report (rapport sur les investigations suite aux violations de données), 77 % des violations d’applications web résultent d’une attaque effectuée par des botnets.

Du côté de la fraude par internet, les attaques proviennent souvent de techniques d’injection « Man-in-the-browser » (homme dans le navigateur), qui livrent un cheval de Troie Trickbot par phishing, drive-by download ou ports SMB. Le code JavaScript est ensuite injecté dans les sites bancaires ou de commerce en ligne consultés par les utilisateurs. Ainsi, les assaillants sont en mesure d’accéder aux données d’identification des clients et de commettre des vols directement sur les comptes bancaires. Les attaques de type phishing sont également en constante augmentation. Les assaillants utilisent traditionnellement cette méthode pour inciter les utilisateurs à cliquer sur un lien qui infecte le système avec un logiciel malveillant ou qui les redirige vers un faux site internet conçu pour dérober des informations personnelles. Au cours du premier trimestre 2017, un nouveau spécimen de phishing ou de logiciel malveillant surgissait toutes les 4,2 secondes.

Quatre types d'attaques par DDoS

Le « credential stuffing » constitue également un sujet de préoccupation croissant. Dans ce type de cas, les cybercriminels se tournent vers le Dark Web pour acheter des noms d’utilisateur et mots de passe précédemment dérobés. Ils utilisent ensuite des outils automatisés pour remplir en masse et de manière répétée les champs d’identification d’autres sites internet dans le but d’accéder aux comptes tenus par des utilisateurs professionnels ou des clients. Si les utilisateurs utilisent les mêmes mots de passe sur différents sites, il est encore plus probable que leurs données d’identification aient déjà été volées.

L’attaque DDoS, quant à elle, n’est pas prête à déclarer forfait et devient de plus en plus compliquée à parer. De nos jours, certaines de ces attaques sont des canulars, mais d’autres constituent des actes ciblés de vengeance, de protestation, de vol voire d’extorsion. Les hackers exploitent souvent des outils de déni de service « prêts à l’emploi » pour perturber la disponibilité des services et les performances de l’entreprise. Il existe quatre principaux types d’attaques : volumétriques (attaques type inondation), asymétriques (expiration des lancements), calculatoires (consomment les ressources du processeur et de la mémoire) et sur vulnérabilités (exploitent le logiciel de l’application). Les attaques DDoS les plus nuisibles combinent des attaques volumétriques à des attaques ciblées, spécifiques à une application donnée.

Les stratégies pour se protéger

Les experts en sécurité recommandent l’utilisation d’un pare-feu pour application web (web application firewall, WAF) robuste en première ligne de défense des attaques de « credential stuffing ». Il s’agit de l’équivalent de la « riposte » de l’escrimeur : une défense adroitement transformée en attaque. Un WAF moderne et complet permet aux entreprises de combattre les manœuvres offensives de front grâce à la détection des bots et à la prévention avancées. Cet outil est essentiel dans la mesure où la plupart des attaques proviennent de programmes automatisés. En analysant les comportements tels que la localisation de l’adresse IP, l’heure ou le nombre de tentatives de connexion par seconde, un WAF aide votre équipe de sécurité à identifier les tentatives de connexions qui n’émanent pas d’un navigateur.

Il est également important d’assurer le chiffrement des données du navigateur ou des applications mobiles, ce qui protège les données envoyées par l’utilisateur et rend toute interception inexploitable. Pour un degré de sécurité supplémentaire, vous pouvez forcer le cryptage des paramètres de formulaire à l’aide d’une fonction côté client. Les outils automatisés de « credential stuffing » auront des difficultés à exécuter correctement la page de cryptage des champs du formulaire et à envoyer le cookie de canal sécurisé adéquat. Lorsque les bots soumettent des données d’identification non cryptées, cela déclenche une alerte système qui avertit l’équipe sécurité qu’une attaque de credential stuffing est en cours.

Une manœuvre intelligente

Définissez des règles qui facilitent la modification régulière des mots de passe afin d’éviter une utilisation répétée sur différents sites, et signalez immédiatement tout incident au service informatique si un utilisateur pense avoir cliqué sur un lien frauduleux dans un e-mail de phishing.

Dans le feu de l’activité cybercriminelle, obtenir des informations sur les menaces est primordial. Un contexte plus défini, une visibilité et un contrôle plus importants sont essentiels à la protection des infrastructures, des applications et des données sensibles. Il est vital d’adapter votre stratégie en renforçant vos applications par des outils de sécurité de pointe, et en transférant les ressources pour donner rapidement le coup d’arrêt aux manœuvres malveillantes des hackers. Ainsi, vos opérations restent judicieuses, rapides et sûres. En garde !

Abonnez-vous et accédez à l’intégralité de la veille technologique

Commentaires

Réagissez à cet article

* Informations obligatoires

erreur

erreur

erreur