Les cyberattaques ne cessent d’augmenter et d’\u00e9voluer, mais quel que soit le degr\u00e9 de complexit\u00e9 utilis\u00e9 par les pirates pour acc\u00e9der, prendre pied, dissimuler leurs logiciels malveillants, ex\u00e9cuter leur charge utile ou exfiltrer des donn\u00e9es, leur attaque commencera par une reconnaissance. Ils feront tout leur possible pour d\u00e9couvrir les actifs expos\u00e9s et sonder la surface d’attaque de leur cible \u00e0 la recherche d’\u00e9carts pouvant \u00eatre utilis\u00e9s comme points d’entr\u00e9e.<\/p>\n
Ainsi, la premi\u00e8re ligne de d\u00e9fense consiste \u00e0 limiter autant que possible les informations potentiellement utiles disponibles pour un attaquant potentiel. Comme toujours, le bras de fer entre la n\u00e9cessit\u00e9 op\u00e9rationnelle et les pr\u00e9occupations de s\u00e9curit\u00e9 doit \u00eatre pris en compte, ce qui n\u00e9cessite une meilleure compr\u00e9hension du type d’informations g\u00e9n\u00e9ralement exploit\u00e9es.<\/p>\n
Quelles informations les pirates recherchent-ils pendant la reconnaissance\u00a0?<\/h2>\n
Lorsqu’ils effectuent une reconnaissance sur une organisation, les pirates – qu’ils soient des chapeaux blancs ou noirs – “font un joint”. Pour planifier leur attaque, ils essaieront de d\u00e9couvrir autant d’informations que possible sur\u00a0:<\/p>\n
Votre infrastructure<\/h4>\n\n- Les types de technologies que vous utilisez <\/strong>\u2013 Comme il n’existe pas de technologie sans faille, se renseigner sur celles utilis\u00e9es pour construire et g\u00e9rer votre infrastructure est la premi\u00e8re \u00e9tape des hackers. Ils visent \u00e0 trouver des vuln\u00e9rabilit\u00e9s pour p\u00e9n\u00e9trer votre infrastructure et se prot\u00e9ger de la d\u00e9tection. Les pirates peuvent obtenir des informations sur vos technologies et sur la mani\u00e8re dont elles sont utilis\u00e9es en \u00e9coutant les conversations sur les forums techniques. Les DevOps participant \u00e0 de telles discussions doivent s’abstenir de divulguer leur v\u00e9ritable identit\u00e9 ou des informations susceptibles d’identifier l’organisation.<\/li>\n
- Vos serveurs connect\u00e9s \u00e0 Internet<\/strong> – les serveurs contiennent les informations vitales de votre organisation. Les pirates tenteront de trouver des vuln\u00e9rabilit\u00e9s allant des services inutilis\u00e9s ou non corrig\u00e9s aux ports ouverts.<\/li>\n
- Tout syst\u00e8me utilis\u00e9 comme serveur sur un r\u00e9seau public est une cible, les administrateurs syst\u00e8me doivent donc redoubler de vigilance pour :<\/li>\n
\n- Tenir \u00e0 jour tous les services <\/li>\n
- Opter pour des protocoles s\u00e9curis\u00e9s dans la mesure du possible <\/li>\n
- Limiter le type de r\u00e9seau par machine au strict minimum, de pr\u00e9f\u00e9rence un par machine <\/li>\n
- Surveillance de tous les serveurs pour d\u00e9tecter toute activit\u00e9 suspecte<\/li>\n<\/ul>\n
- Votre syst\u00e8me d’exploitation (OS) <\/strong>\u2013 Chaque syst\u00e8me d’exploitation a ses propres vuln\u00e9rabilit\u00e9s. Windows, Linux, Apple et d’autres syst\u00e8mes d’exploitation publient r\u00e9guli\u00e8rement des vuln\u00e9rabilit\u00e9s et des correctifs r\u00e9cemment d\u00e9couverts. Ces informations accessibles au public sont exploit\u00e9es par les cyber-attaquants une fois qu’ils savent quel syst\u00e8me d’exploitation vous utilisez.<\/li>\n
- Par exemple, une conversation de forum o\u00f9 Joe Blog, votre comptable, explique comment utiliser une fonction sur une feuille de calcul Excel Windows 8 indique au pirate que Joe Blog utilise Windows et n’a pas mis \u00e0 jour son syst\u00e8me d’exploitation depuis des lustres. <\/li>\n
- Cette friandise encourage le cyber-attaquant \u00e0 creuser plus loin car, si un employ\u00e9 ayant acc\u00e8s aux informations financi\u00e8res de votre organisation est autoris\u00e9 \u00e0 travailler sur un terminal qui est rarement, voire jamais, mis \u00e0 jour, la s\u00e9curit\u00e9 des terminaux des employ\u00e9s est laxiste.<\/li>\n
- Votre maturit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9 <\/strong>\u2013 Les pirates sont des humains et, en tant que tels, ont tendance \u00e0 \u00eatre paresseux. Un pirate en mission de reconnaissance qui d\u00e9couvre que vous utilisez une plate-forme XSPM (Extended Security Posture Management) sait que, m\u00eame s’il existe un point d’entr\u00e9e exploitable, l’escalade sera entrav\u00e9e \u00e0 chaque \u00e9tape, et la r\u00e9alisation de l’action malveillante n\u00e9cessitera un niveau sup\u00e9rieur de planification. Cela d\u00e9courage la plupart des cyber-attaquants potentiels.<\/li>\n<\/ul>\n
Identifiants<\/h4>\n\n- Adresses mail<\/strong> \u2013 comme l’esprit humain est le logiciel le plus difficile \u00e0 mettre \u00e0 niveau et \u00e0 corriger, le phishing reste le vecteur de p\u00e9n\u00e9tration num\u00e9ro un pour les pirates. Bien que certaines adresses e-mail, telles que les informations, le support, les ventes, etc., doivent \u00eatre publiques, les e-mails personnels des employ\u00e9s peuvent \u00eatre exploit\u00e9s par des pirates pour des messages de phishing g\u00e9n\u00e9riques et du spear phishing.<\/li>\n
- Noms d’utilisateur et mots de passe<\/strong> \u2013 Les centres commerciaux des hackers du Darknet regorgent d’identifiants \u00e0 vendre \u00e0 des prix d\u00e9risoires, d’o\u00f9 la recommandation de changer r\u00e9guli\u00e8rement de mot de passe.<\/li>\n
- Pour l’administrateur syst\u00e8me et les autres utilisateurs disposant d’un acc\u00e8s privil\u00e9gi\u00e9, le maintien d’une excellente hygi\u00e8ne des mots de passe – et MFA\u00a0! – est un must absolu car, si leurs informations d’identification tombaient entre les mains d’un pirate, l’ensemble du syst\u00e8me pourrait \u00eatre irr\u00e9m\u00e9diablement compromis.<\/li>\n<\/ul>\n
Pouvez-vous rep\u00e9rer une reconnaissance de hacker\u00a0?<\/h2>\n
Pr\u00e9venu est pr\u00e9-arm\u00e9, il pourrait donc \u00eatre judicieux d’\u00e9couter les signes d’activit\u00e9 de reconnaissance hostile. L’activit\u00e9 de reconnaissance peut \u00eatre class\u00e9e en deux cat\u00e9gories\u00a0:<\/p>\n
\n- Reconnaissance active\u00a0:<\/strong> les pirates utilisant des outils ou des logiciels espions pour acc\u00e9der \u00e0 votre syst\u00e8me. Cela devrait d\u00e9clencher des alertes \u00e0 partir d’outils de d\u00e9tection correctement configur\u00e9s, informant les \u00e9quipes d’information de s\u00e9curit\u00e9 que les pirates les “casent”. <\/li>\n
- Cela devrait inciter \u00e0 lancer un exercice de validation de la s\u00e9curit\u00e9 pour s’assurer que les failles de s\u00e9curit\u00e9 potentielles sont correctement surveill\u00e9es et programm\u00e9es pour \u00eatre corrig\u00e9es en priorit\u00e9.<\/li>\n
- Reconnaissance passive<\/strong>: les pirates vous “traquent” en collectant des informations accessibles au public sur les d\u00e9tails technologiques ou les adresses e-mail de votre infrastructure. Ceci est, en effet, ind\u00e9tectable.<\/li>\n<\/ul>\n
Que fait un pirate informatique des informations recueillies lors de la reconnaissance\u00a0? <\/h4>\n
Les objectifs des cyber-attaquants se r\u00e9partissent en quatre grandes cat\u00e9gories\u00a0:<\/p>\n
\n- Vol<\/strong> \u2013 de loin la cat\u00e9gorie la plus importante en termes de nombre, les attaques visant \u00e0 voler peuvent \u00eatre subdivis\u00e9es en plusieurs cat\u00e9gories correspondant \u00e0 l’objectif du vol\u00a0:<\/li>\n
\n- Donn\u00e9es<\/strong> \u2013 les donn\u00e9es sont la monnaie du 21e si\u00e8cle, et toute donn\u00e9e dans la main droite peut \u00eatre traduite en valeur. Des d\u00e9tails de la carte de cr\u00e9dit aux informations personnelles des utilisateurs en passant par les donn\u00e9es g\u00e9n\u00e9riques telles que les habitudes de voyage, toutes les donn\u00e9es peuvent \u00eatre d\u00e9tourn\u00e9es \u00e0 des fins commerciales, strat\u00e9giques ou m\u00eame militaires.<\/li>\n
- Propri\u00e9t\u00e9 intellectuelle<\/strong> \u2013 IP donne un avantage \u00e0 de nombreuses organisations et entreprises. Les concurrents, par exemple, ont un int\u00e9r\u00eat imm\u00e9diat \u00e0 obtenir ces informations.<\/li>\n
- Ressources informatiques<\/strong> \u2013 les ressources utilis\u00e9es pour alimenter votre infrastructure sont co\u00fbteuses, donc attractives. Aujourd’hui, l’utilisation principale des ressources vol\u00e9es est l’extraction de crypto.<\/li>\n<\/ul>\n
- Extorsion<\/strong> \u2013 mieux connu sous le nom de ransomware, le ransomware d\u00e9tourne des parties ou toute l’infrastructure, crypte les donn\u00e9es et n\u00e9cessite un paiement en crypto-monnaie pour d\u00e9crypter les donn\u00e9es affect\u00e9es. L’exfiltration de donn\u00e9es et la menace de les vendre font \u00e9galement partie des menaces de ransomware. <\/li>\n
- La collecte d’informations<\/strong> \u2013 un type d’attaque furtif qui peut rester non d\u00e9tect\u00e9 pendant de longues p\u00e9riodes. G\u00e9n\u00e9ralement, ceux-ci sont r\u00e9quisitionn\u00e9s par des \u00c9tats-nations, des opposants politiques ou des concurrents commerciaux.<\/li>\n
- Destruction \/ prise en charge de l’infrastructure – <\/strong>les attaques visant \u00e0 d\u00e9passer ou \u00e0 d\u00e9truire sont g\u00e9n\u00e9ralement men\u00e9es par des \u00c9tats-nations ciblant des infrastructures critiques, en particulier des concurrents agressifs ou des hacktivistes.<\/li>\n<\/ul>\n
Compte tenu de l’\u00e9ventail des dommages pouvant r\u00e9sulter d’une cyberattaque, rendre la reconnaissance aussi infructueuse ou intimidante que possible pour rep\u00e9rer les cyberattaquants est une bonne politique. Ceci explique la tendance actuelle vers une meilleure Gestion de la surface d’attaque<\/a> (ASM).<\/p>\nNoter: Cet article est r\u00e9dig\u00e9 par Sasha Gohman, vice-pr\u00e9sidente de la recherche chez Cymulate.<\/i><\/p>\n
<\/p>\n<\/div>\n
- \n
- Tenir \u00e0 jour tous les services <\/li>\n
- Opter pour des protocoles s\u00e9curis\u00e9s dans la mesure du possible <\/li>\n
- Limiter le type de r\u00e9seau par machine au strict minimum, de pr\u00e9f\u00e9rence un par machine <\/li>\n
- Surveillance de tous les serveurs pour d\u00e9tecter toute activit\u00e9 suspecte<\/li>\n<\/ul>\n
- Votre syst\u00e8me d’exploitation (OS) <\/strong>\u2013 Chaque syst\u00e8me d’exploitation a ses propres vuln\u00e9rabilit\u00e9s. Windows, Linux, Apple et d’autres syst\u00e8mes d’exploitation publient r\u00e9guli\u00e8rement des vuln\u00e9rabilit\u00e9s et des correctifs r\u00e9cemment d\u00e9couverts. Ces informations accessibles au public sont exploit\u00e9es par les cyber-attaquants une fois qu’ils savent quel syst\u00e8me d’exploitation vous utilisez.<\/li>\n
- Par exemple, une conversation de forum o\u00f9 Joe Blog, votre comptable, explique comment utiliser une fonction sur une feuille de calcul Excel Windows 8 indique au pirate que Joe Blog utilise Windows et n’a pas mis \u00e0 jour son syst\u00e8me d’exploitation depuis des lustres. <\/li>\n
- Cette friandise encourage le cyber-attaquant \u00e0 creuser plus loin car, si un employ\u00e9 ayant acc\u00e8s aux informations financi\u00e8res de votre organisation est autoris\u00e9 \u00e0 travailler sur un terminal qui est rarement, voire jamais, mis \u00e0 jour, la s\u00e9curit\u00e9 des terminaux des employ\u00e9s est laxiste.<\/li>\n
- Votre maturit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9 <\/strong>\u2013 Les pirates sont des humains et, en tant que tels, ont tendance \u00e0 \u00eatre paresseux. Un pirate en mission de reconnaissance qui d\u00e9couvre que vous utilisez une plate-forme XSPM (Extended Security Posture Management) sait que, m\u00eame s’il existe un point d’entr\u00e9e exploitable, l’escalade sera entrav\u00e9e \u00e0 chaque \u00e9tape, et la r\u00e9alisation de l’action malveillante n\u00e9cessitera un niveau sup\u00e9rieur de planification. Cela d\u00e9courage la plupart des cyber-attaquants potentiels.<\/li>\n<\/ul>\n
Identifiants<\/h4>\n
- \n
- Adresses mail<\/strong> \u2013 comme l’esprit humain est le logiciel le plus difficile \u00e0 mettre \u00e0 niveau et \u00e0 corriger, le phishing reste le vecteur de p\u00e9n\u00e9tration num\u00e9ro un pour les pirates. Bien que certaines adresses e-mail, telles que les informations, le support, les ventes, etc., doivent \u00eatre publiques, les e-mails personnels des employ\u00e9s peuvent \u00eatre exploit\u00e9s par des pirates pour des messages de phishing g\u00e9n\u00e9riques et du spear phishing.<\/li>\n
- Noms d’utilisateur et mots de passe<\/strong> \u2013 Les centres commerciaux des hackers du Darknet regorgent d’identifiants \u00e0 vendre \u00e0 des prix d\u00e9risoires, d’o\u00f9 la recommandation de changer r\u00e9guli\u00e8rement de mot de passe.<\/li>\n
- Pour l’administrateur syst\u00e8me et les autres utilisateurs disposant d’un acc\u00e8s privil\u00e9gi\u00e9, le maintien d’une excellente hygi\u00e8ne des mots de passe – et MFA\u00a0! – est un must absolu car, si leurs informations d’identification tombaient entre les mains d’un pirate, l’ensemble du syst\u00e8me pourrait \u00eatre irr\u00e9m\u00e9diablement compromis.<\/li>\n<\/ul>\n
Pouvez-vous rep\u00e9rer une reconnaissance de hacker\u00a0?<\/h2>\n
Pr\u00e9venu est pr\u00e9-arm\u00e9, il pourrait donc \u00eatre judicieux d’\u00e9couter les signes d’activit\u00e9 de reconnaissance hostile. L’activit\u00e9 de reconnaissance peut \u00eatre class\u00e9e en deux cat\u00e9gories\u00a0:<\/p>\n
- \n
- Reconnaissance active\u00a0:<\/strong> les pirates utilisant des outils ou des logiciels espions pour acc\u00e9der \u00e0 votre syst\u00e8me. Cela devrait d\u00e9clencher des alertes \u00e0 partir d’outils de d\u00e9tection correctement configur\u00e9s, informant les \u00e9quipes d’information de s\u00e9curit\u00e9 que les pirates les “casent”. <\/li>\n
- Cela devrait inciter \u00e0 lancer un exercice de validation de la s\u00e9curit\u00e9 pour s’assurer que les failles de s\u00e9curit\u00e9 potentielles sont correctement surveill\u00e9es et programm\u00e9es pour \u00eatre corrig\u00e9es en priorit\u00e9.<\/li>\n
- Reconnaissance passive<\/strong>: les pirates vous “traquent” en collectant des informations accessibles au public sur les d\u00e9tails technologiques ou les adresses e-mail de votre infrastructure. Ceci est, en effet, ind\u00e9tectable.<\/li>\n<\/ul>\n
Que fait un pirate informatique des informations recueillies lors de la reconnaissance\u00a0? <\/h4>\n
Les objectifs des cyber-attaquants se r\u00e9partissent en quatre grandes cat\u00e9gories\u00a0:<\/p>\n
- \n
- Vol<\/strong> \u2013 de loin la cat\u00e9gorie la plus importante en termes de nombre, les attaques visant \u00e0 voler peuvent \u00eatre subdivis\u00e9es en plusieurs cat\u00e9gories correspondant \u00e0 l’objectif du vol\u00a0:<\/li>\n
- \n
- Donn\u00e9es<\/strong> \u2013 les donn\u00e9es sont la monnaie du 21e si\u00e8cle, et toute donn\u00e9e dans la main droite peut \u00eatre traduite en valeur. Des d\u00e9tails de la carte de cr\u00e9dit aux informations personnelles des utilisateurs en passant par les donn\u00e9es g\u00e9n\u00e9riques telles que les habitudes de voyage, toutes les donn\u00e9es peuvent \u00eatre d\u00e9tourn\u00e9es \u00e0 des fins commerciales, strat\u00e9giques ou m\u00eame militaires.<\/li>\n
- Propri\u00e9t\u00e9 intellectuelle<\/strong> \u2013 IP donne un avantage \u00e0 de nombreuses organisations et entreprises. Les concurrents, par exemple, ont un int\u00e9r\u00eat imm\u00e9diat \u00e0 obtenir ces informations.<\/li>\n
- Ressources informatiques<\/strong> \u2013 les ressources utilis\u00e9es pour alimenter votre infrastructure sont co\u00fbteuses, donc attractives. Aujourd’hui, l’utilisation principale des ressources vol\u00e9es est l’extraction de crypto.<\/li>\n<\/ul>\n
- Extorsion<\/strong> \u2013 mieux connu sous le nom de ransomware, le ransomware d\u00e9tourne des parties ou toute l’infrastructure, crypte les donn\u00e9es et n\u00e9cessite un paiement en crypto-monnaie pour d\u00e9crypter les donn\u00e9es affect\u00e9es. L’exfiltration de donn\u00e9es et la menace de les vendre font \u00e9galement partie des menaces de ransomware. <\/li>\n
- La collecte d’informations<\/strong> \u2013 un type d’attaque furtif qui peut rester non d\u00e9tect\u00e9 pendant de longues p\u00e9riodes. G\u00e9n\u00e9ralement, ceux-ci sont r\u00e9quisitionn\u00e9s par des \u00c9tats-nations, des opposants politiques ou des concurrents commerciaux.<\/li>\n
- Destruction \/ prise en charge de l’infrastructure – <\/strong>les attaques visant \u00e0 d\u00e9passer ou \u00e0 d\u00e9truire sont g\u00e9n\u00e9ralement men\u00e9es par des \u00c9tats-nations ciblant des infrastructures critiques, en particulier des concurrents agressifs ou des hacktivistes.<\/li>\n<\/ul>\n
Compte tenu de l’\u00e9ventail des dommages pouvant r\u00e9sulter d’une cyberattaque, rendre la reconnaissance aussi infructueuse ou intimidante que possible pour rep\u00e9rer les cyberattaquants est une bonne politique. Ceci explique la tendance actuelle vers une meilleure Gestion de la surface d’attaque<\/a> (ASM).<\/p>\n
Noter: Cet article est r\u00e9dig\u00e9 par Sasha Gohman, vice-pr\u00e9sidente de la recherche chez Cymulate.<\/i><\/p>\n
<\/p>\n<\/div>\n
- Propri\u00e9t\u00e9 intellectuelle<\/strong> \u2013 IP donne un avantage \u00e0 de nombreuses organisations et entreprises. Les concurrents, par exemple, ont un int\u00e9r\u00eat imm\u00e9diat \u00e0 obtenir ces informations.<\/li>\n
- Donn\u00e9es<\/strong> \u2013 les donn\u00e9es sont la monnaie du 21e si\u00e8cle, et toute donn\u00e9e dans la main droite peut \u00eatre traduite en valeur. Des d\u00e9tails de la carte de cr\u00e9dit aux informations personnelles des utilisateurs en passant par les donn\u00e9es g\u00e9n\u00e9riques telles que les habitudes de voyage, toutes les donn\u00e9es peuvent \u00eatre d\u00e9tourn\u00e9es \u00e0 des fins commerciales, strat\u00e9giques ou m\u00eame militaires.<\/li>\n
- Noms d’utilisateur et mots de passe<\/strong> \u2013 Les centres commerciaux des hackers du Darknet regorgent d’identifiants \u00e0 vendre \u00e0 des prix d\u00e9risoires, d’o\u00f9 la recommandation de changer r\u00e9guli\u00e8rement de mot de passe.<\/li>\n