• Perspective
Publié le 11 janvier 2016

L'année 2015 aura été marquée par de nombreuses cyberattaques

L'année 2015 aura été marquée par de nombreuses cyberattaques

Pour ce premier édito 2016, nous avons choisi de revenir sur quelques cyberattaques ayant marqué l’année 2015 : Dénis de service, infection virale / cheval de Troie, vague d'hameçonnage, fuite de données …

  • Déni de Service Distribué #Steam

Parmi les techniques les plus répondues dans le déroulement d’une cyberattaque, nous trouvons le déni de service distribué DDoS (Distributed denial of service). Cela consiste à compromettre la disponibilité d’une ressource réseau par exemple une machine ou une application. Pour réaliser l'attaque, le hacker peut utiliser plusieurs connexions Internet et plusieurs machines (zombies). Deux grandes classes de DDoS existent: la surcharge de la bande passante de la machine cible en envoyant un flux de paquets très important , et/ou la saturation des ressources (processeur,  connexion TCP) de la machine cible ou d’une machine intermédiaire. Selon une étude menée par l'association DDoS Impact Survey, une attaque de DDoS génère une perte moyenne de 40.000 $ par heure pour l’organisme attaquée.

La journée de Noël de 2015 a été marquée par l'attaque DDoS de la plateforme de jeux Steam. Cette attaque a été réalisée en exploitant une erreur de configuration du cache web qui a conduit à exposer les requêtes de 34.000 utilisateurs à d'autres utilisateurs non autorisés. Ces requêtes comportaient différents renseignements personnels telles que l’historique d'achats, les quatre derniers chiffres du numéro de téléphone (nécessaire au système d'authentification forte Steam Guard) ainsi que les deux derniers chiffres du numéro de la carte bancaire. L’attaque s’est déroulée entre 11h50 (PST) et 13h20 (PST). En réponse à cette attaque, Valve a décidé de désactiver le site jusqu’au déploiement d’une configuration préalablement testée et validée pour protéger les données personnelles de ces clients. L'éditeur Valve a annoncé n'avoir pas recensé de fraudes exploitants les données exposées des clients.

Même si les impacts restent mineurs : arrêt des ventes en ligne pendant 1h30, impossibilité de connexion des utilisateurs... Valve a déclaré qu'il allait recontacter les clients affectés par ce DDoS pour vérifier qu’ils n’ont pas été sujets de fraude à la suite de cet incident et les inviter à modifier leur mot de passe (mesure de précaution).

  • Hameçonnage #TV5Monde

Le phishing, aussi appelée « Hameçonnage », est utilisé par les cybercriminels pour obtenir des informations ou transmettre un fichier-espion/corrompu sur le poste de la victime. La plupart du temps, le mail se présente de façon anodine, par exemple, une relance de facture, incluant une pièce jointe au ‘format.doc’ de Microsoft Office ou un lien vers un site malicieux…

L’attaque contre la chaîne TV5 Monde a commencé par une vague d'hameçonnage, dont les réponses ont permis la prise de contrôle des comptes Facebook / Twitter d'employés, et finalement, disposer des accès nécessaire pour bloquer le système d’information de la chaine, mais aussi, ses onze canaux de diffusion (deux généralistes, neuf thématiques).

Selon l’article de Franceinfo, les impacts pour la chaine sont essentiellement organisationnels, sur l'image du média, mais aussi financiers. Dans un message diffusé sur YouTube, le directeur général de la chaine explique les différentes répercussions, mais aussi les conséquences de l’attaque.

  • Malware #Dridex

Les attaques via malware ne sont pas nouvelles. Elles reposent essentiellement sur l'installation et la propagation de malware transmit via email contenant une pièce jointe infectée. Lorsque l'utilisateur ouvre le site web ou le fichier, le code malicieux s'exécute. Le malware « Dridex » (et ses variantes) est un des plus connus pour avoir fortement impacté le secteur bancaire ces dernières années.

Repéré en novembre 2014, le malware a infecté des entreprises dans plus de 26 pays dont la France, engendrant de grosses pertes financières : 10 millions de dollars détournés aux États-Unis, 20 millions de livres sterling au Royaume-Uni. L'impact opérationnel est également non négligeable, car il est souvent nécessaire de décontaminer les machines et investiguer à la suite d'une telle attaque.

  • Fuite / vol de données #AshleyMadison

Une fuite de données se définit comme la transmission d'informations non autorisées à l’extérieur d’un organisme. Elle peut-être intentionnelle ou involontaire et réalisée par une personne interne ou externe à l’entreprise. Afin d’accéder aux informations confidentielles, une personne malveillante pourra utiliser les vulnérabilités d'une application (ex. injection SQL) ou introduire un malware dans les systèmes d'information de l’entreprise.

En juillet 2015, un groupe de hacker nommé "Impact Team" a exposé des données confidentielles d’un site de rencontre et d'adultère américain Ashley Madison (groupe ALM). Les hackers ont déclaré avoir volé toute la base de données utilisateurs, les dossiers financiers ainsi que d’autres informations confidentielles d’ALM.

Alors que le site de rencontre offre à ces clients la possibilité de supprimer leur profil à 20$, le groupe de hackers a déclaré que ce processus était une supercherie puisque les informations telles que le nom et l’adresse des clients, relatives au paiement du service restaient stockés dans les bases de données d'ALM. Aussi, Impact Team revendique les profits réalisés par ALM pour ce service qui ont atteint les 1,7 million dollars en 2014. Impact Team a commencé par publier une partie des données avant de menacer de publier toutes les données de plus de 30 000 utilisateurs de Ashley Madison si ALM ne ferme pas le site.

Suite à cette attaque, l'entreprise canadienne a probablement perdu la confidence de nombreux clients non satisfaits de trouver leurs identités et leurs activités extra-conjugales divulguées sur Internet. Finalement, ALM a proposé aux utilisateurs une suppression gratuite de leur profil (... un peu tard le mal étant fait

Et alors en 2016 ?

En conclusion, l'explosion des cyberattaques ne fait que commencer. En 2015, plusieurs cyberattaques étaient étroitement liées à l'actualité politique mondiale. En France, les attaques terroristes de Charlie Hebdo ont été suivies par une vague d’attaque, principalement DDoS, sur environ 19,000 sites francophones (dont beaucoup de médias comme Le Parisien, 20 minutes et France Info).

Les techniques d'attaques évoluent d’année en année, même si certaines cyberattaques utilisent toujours des techniques considérées comme dépassées. Pour l’année 2016, WatchGuard Technologie ont prédit 10 points d’évolutions pour les cyber attaques. Nous en citons quelques points :

#Ransomware : les ransomwares qui ciblent grandement les plateformes Windows évolueront probablement vers d’autres plateformes comme OS X ou Android.
#Internet of Things (IoT) : les objets connectés serviront de vecteurs pour le code malicieux et permettront de complexifier les attaques et récolter encore plus de données personnelles.
#DonnéesDeSanté : les données de santé et de bien-être sont collectés et stockées sur de plus en plus de plateformes différentes. La valeur des données de santé est aujourd'hui supérieure aux données bancaires sur le marché noir. Il est probable qu'en 2016, les données de santé restent une cible de choix pour les cybercriminels.
Jihen BEN HAMZA & Saïd HAIDAR , Consultants en Sécurité des systèmes d'information.

Sources :
http://www.itespresso.fr/securite-it-cyberattaques-marque-annee-2015-117411.html
http://www.lefigaro.fr/actualite-france/2013/09/26/01016-20130926ARTFIG00582-les-cyberattaques-ont-double-depuis-2010.php
http://m.nydailynews.com/news/national/ashley-madison-lets-users-delete-accounts-hack-article-1.2298766
http://krebsonsecurity.com/2015/07/online-cheating-site-ashleymadison-hacked/
http://www.bbc.com/news/technology-34002053
http://www.watchguard.com/news/press-releases/watchguard-predicts-new-hunting-grounds-for-hackers-in-2016.asp

Article rédigé par
Erwan Brouder