Annexe A: Les outils de l'auteur de cybermenaces

Le présent document n’a pas pour objectif de décrire toutes les cybercapacités que les auteurs de menaces peuvent déployer. Vous trouverez ci-dessous une liste non exhaustive des outils et techniques couramment utilisés par les auteurs de menaces. Pour simplifier, les éléments apparaissent en ordre alphabétique et non en fonction de leur fréquence ou de leur incidence.

Attaque de bourrage de justificatifs

[Credential stuffing]

Par attaque de bourrage de justifi catifs, on entend une manoeuvre consistant à utiliser des listes de combinaisons de noms d’utilisateur et de mots de passe compromis afi n d’accéder frauduleusement à des comptes en ligne. Les auteurs de cybermenace ont recours à ces listes pour lancer des demandes de connexion automatisées à grande échelle dans l’espoir qu’une des combinaisons corresponde à un compte existant auquel ils pourront avoir accès.

Figure 2: Attaque de l'intercepteur

Attaque de l'intercepteur

[Person-in-the-middle]

L’attaque de l’intercepteur (PITM pour Person-in-the-middle) est une technique qui consiste à intercepter les communications entre deux parties, comme un utilisateur et un serveur Web, à l’insu de la victime qui croit avoir établi une connexion directe et sécurisée avec un site Web. L’attaque de l’intercepteur permet aux auteurs de menace de surveiller les communications, de réacheminer le trafi c, de modifi er l’information, d’installer des maliciels et d’obtenir des renseignements nominatifs ou de l’information sensible. Elle peut être réalisée au moyen de diverses techniques : l’hameçonnage, le dévoiement, le typosquattage, l’écoute électronique par réseau Wi-Fi et le détournement SSL.

Attaque par téléchargement furtif et attaque de point d'eau

[Drive-by exploit and watering hole]

Par attaque par téléchargement furtif, on entend le code malveillant qu’un auteur de cybermenace installe sur un site Web à l’insu de l’hôte dans le but de compromettre les dispositifs des utilisateurs qui le consultent. Un point d’eau est un site Web compromis au moyen d’un exploit et fréquenté par des personnes spécifi quement ciblées par un auteur de cybermenace.

Figure 2 Attaque de l'intercepteur - Description

Victime envoie une communication par ordinateur et l'auteur de menace intercepte les communications et lui permet de surveiller les communications, de réacheminer le trafic, de modifier l’information, d’installer des maliciels et d’obtenir des renseignements nominatifs ou de l’information sensible.

Cryptominage

[Cryptomining]

Par cryptominage ou minage de cryptomonnaie, on entend le processus selon lequel des programmes informatiques utilisent la puissance de calcul d’ordinateurs pour générer ou « miner » de la cryptomonnaie, activité pour laquelle le mineur reçoit, pour ses services, une fraction de la cryptomonnaie minée. Le cryptominage pirate permet à un auteur de menace d’exploiter secrètement le dispositif d’une victime (p. ex. des ordinateurs, des appareils mobiles et les dispositifs de l’IdO) dans le but de miner de la cryptomonnaie sans autorisation. Pour accroître son effi cacité (c.-à-d. ses revenus), l’auteur de menace peut faire appel à un réseau de zombies composé de dispositifs compromis. Les logiciels malveillants utilisés à cette fi n sont généralement téléchargés lors de la consultation d’un site Web compromis, à l’installation d’une application ou par hameçonnage.

Déni de service (distribué)

[(Distributed) Denial of service]

Le déni de service (DoS pour Denial of Service) est une technique qu’utilisent les auteurs de menace pour tenter d’interrompre les activités habituelles d’un hôte en particulier (p. ex. site Web, serveur, réseau, Internet des objets) en le surchargeant de demandes d’accès. L’objectif général est de rendre l’hôte inaccessible aux demandes d’accès légitimes des utilisateurs et de rendre le système ciblé inopérant. Les attaques par déni de service distribué (DDoS pour Distributed Denial of Service) ajoutent un degré de complexité, puisqu’elles consistent à inonder de messages des sites Web à partir de sources multiples (p. ex. des réseaux de zombies). Il est d’ailleurs fort diffi cile d’arrêter ces activités d’envergure et de faire la distinction entre le trafi c généré par les utilisateurs légitimes et le trafi c malveillant.

Figure 3: Déni de service distribué

Figure 3 : Déni de service distribué - Description

Auteur de menace utilise des ordinateurs zombie pour dissumuler leur identité.

Des centaines de milliers de demandes d'accès sont envoyées aux sites Web ciblés.

L'utilisateur légitime envoie une demande d'accès légitime au site Web ciblé et reçoit un message d'erreur.

Les serveurs ciblés sont incapable de gérer le trafic, ne peuvent répondre aux demandes d'accès légitimes.

Détournement de formulaire

[Formjacking]

Le détournement de formulaire consiste à permettre à des cybercriminels d’injecter du code malveillant dans un formulaire de page Web, comme une page de paiement, pour le compromettre et voler les détails relatifs aux cartes de crédit ainsi que d’autres renseignements que les utilisateurs entrent sur ces pages.

Dévoiement

[Pharming]

Le dévoiement est une technique qui consiste à rediriger le trafi c d’un site Web légitime vers un site malveillant. Pour réaliser cette supercherie, les auteurs de menace modifi ent les paramètres système de l’utilisateur ou exploitent les vulnérabilités logicielles du serveur du système d’adressage par domaines (DNS pour Domain Name System) qui assure la correspondance entre les adresses URL et les adresses IP. Contrairement au typosquattage (voir ci-dessous), une technique qui tire avantage des fautes de frappe de l’utilisateur pour le rediriger vers un site Web illégitime, le dévoiement peut rediriger l’utilisateur malgré le fait qu’il ait tapé la bonne adresse URL. Du premier coup d’oeil, le site Web illégitime peut sembler légitime, alors qu’il sert en réalité à installer un maliciel et à obtenir des renseignements nominatifs ou de l’information sensible.

Dissimulateur d'activité

[Rootkit]

Un dissimulateur d’activité est une application malveillante conçue pour fournir secrètement à un auteur de menace un accès racine ou administrateur privilégié aux logiciels et aux systèmes qui se trouvent sur le dispositif d’un utilisateur. Un dissimulateur d’activité fournit un accès complet, y compris la capacité de modifi er les logiciels utilisés pour détecter les maliciels. Il peut être installé de différentes façons, notamment par perçage du mot de passe, par piratage psychologique, ou encore en tirant avantage d’un bogue ou d’un défaut de conception qui accorde un accès privilégié au système ou au dispositif d’un utilisateur.

Écoute électronique par réseau WI-FI

[Wi-Fi eavesdropping]

Un auteur de menace utilise l’écoute électronique par réseau Wi-Fi pour installer ce qui semble être un point d’accès Wi-Fi légitime dans une zone publique. Les utilisateurs qui se connectent à un tel point d’accès, que l’on appelle souvent un point d’accès malveillant ou indésirable, peuvent alors être victimes d’une attaque de l’intercepteur. Une telle activité permet à un auteur de menace de surveiller les communications et d’obtenir des renseignements nominatifs ou de l’information sensible.

Effaceurs

[Wiper]

Les effaceurs sont des maliciels conçus pour détruire entièrement le disque dur des dispositifs infectés.

Exploits et trousses d'exploit

[Exploits and exploit Kits]

Un exploit est un code malveillant qui permet de tirer avantage d’une vulnérabilité non corrigée. Une trousse d’exploit est une collection d’exploits qui ciblent les applications logicielles non sécurisées. Les trousses d’exploit sont adaptées de manière à chercher des vulnérabilités spécifi ques et à exécuter l’exploit correspondant à la vulnérabilité relevée. Si un utilisateur visite un site Web hébergeant une trousse d’exploit, celle-ci comparera son référentiel d’exploits aux applications logicielles qui se trouvent sur le dispositif de l’utilisateur, et déploiera l’exploit correspondant à la vulnérabilité décelée.


Figure 4: Hameçonnage et harponnage

Hameçonnage, mystification, harponnage, chasse à la baleine et compromission de courriel d’affaires

[Phishing, spoofing, spear-phishing, whaling, and business email compromise]

L’hameçonnage est une technique courante par laquelle les auteurs de menace se font passer pour une entité fi able dans le but d’inciter un grand nombre de destinataires à fournir de l’information les concernant, comme des justifi catifs d’ouverture de session, de l’information bancaire et d’autres renseignements nominatifs. L’hameçonnage est une technique de piratage psychologique qui consiste essentiellement à mystifi er des courriels et des messages texte. Les utilisateurs tombent dans le piège dès qu’ils ouvrent des pièces jointes malveillantes ou cliquent sur les liens intégrés.

La mystification est une technique utilisée pour dissimuler ou falsifi er un site Web, une adresse courriel ou un numéro de téléphone de manière à ce qu’il semble provenir d’une source fi able. Après avoir reçu un message d’hameçonnage, la victime peut être invitée à fournir de l’information personnelle, fi nancière ou sensible, ou à cliquer sur un lien ou une pièce jointe, ce qui permettra d’infecter le dispositif en y installant un maliciel.

Le harponnage est une technique qui consiste à envoyer un message d’hameçonnage personnalisé à un groupe précis de destinataires ou à un seul destinataire. Basée sur le piratage psychologique, cette technique utilise des détails destinés à convaincre la victime que le message provient d’une source digne de confi ance. La chasse à la baleine est un type de harponnage qui vise les cadres supérieurs et les autres destinataires de grande notoriété disposant d’autorisations et d’accès privilégiés.

La compromission de courriel d’affaires est une technique qui consiste à envoyer un courriel pour convaincre un employé d’une entreprise de transférer directement des fonds aux auteurs de cybermenace. Pour ce faire, ces auteurs se font passer pour des cadres supérieurs ou des tiers de confi ance.

Injection de code

[Code injection]

L’injection de code est une technique qui consiste à insérer du code malveillant dans un programme informatique en exploitant une faille dans les instructions d’une fonction du programme ou dans la façon dont ce programme interprète les données saisies. Les deux techniques d’injection de code souvent utilisées sont l’injection de script intersites (XSS pour Cross-Site Scripting) et l’injection SQL (Structured Query Language).

  • Le script intersites (XSS) est une méthode d’injection de code au moyen de laquelle un auteur de menace insère et exécute un programme malveillant dans une application Web en contournant les mécanismes de validation des données saisies. Le programme malveillant est exécuté dans le navigateur des utilisateurs qui accèdent à l’application Web infectée, permettant ainsi au code inséré par XSS de s’exécuter immédiatement ou d’être enregistré pour une exécution ultérieure.
  • L’injection SQL récupère ou modifi e le contenu d’une base de données SQL en insérant du code dans des formulaires Web destinés à saisir des données dans les bases de données SQL ou à les interroger. Ces bases de données peuvent contenir des renseignements nominatifs ou de l’information sensible.

Logiciel publicitaire ou publiciel

[Adware]

Le principal objectif du logiciel publicitaire ou publiciel est de générer des revenus en affi chant des annonces adaptées à l’utilisateur. Par exemple, les logiciels publicitaires basés sur navigateur et sur application recueillent les informations liées aux utilisateurs et aux dispositifs, dont les données de localisation. Les logiciels publicitaires peuvent mener à l’exploitation des paramètres de sécurité, des utilisateurs et des systèmes. Les maliciels, les attaques de l’intercepteur et les logiciels espions sont souvent associés à cet outil.

Logiciels espions ou espiogiciels

[Spyware]

Les logiciels espions ou espiogiciels sont des logiciels malveillants utilisés pour recueillir et transmettre les activités numériques et les données personnelles de l’utilisateur à son insu et sans sa permission. Ils peuvent être utilisés dans le cadre de plusieurs activités, notamment l’enregistrement de la frappe, l’accès au microphone et à la caméra Web, la surveillance des activités de l’utilisateur et de ses habitudes de navigation, et la capture des noms d’utilisateurs et des mots de passe.

Ordinateurs zombies et réseaux de zombies

[Bots and botnets]

Un ordinateur zombie, ou zombie, est un dispositif connecté à Internet (p. ex. des ordinateurs, des appareils mobiles et les dispositifs qui composent l’Internet des objets) et infecté par un maliciel à l’insu du propriétaire, qu’un auteur de menace peut contrôler à distance afi n de mener des opérations illicites. Ensemble, ces dispositifs compromis forment un réseau de zombies coordonné par un auteur de menace. Les réseaux de zombies se répandent généralement en sondant l’environnement en ligne dans le but de trouver des dispositifs vulnérables susceptibles d’accroître la puissance informatique et d’ajouter de nouvelles capacités. Ils servent à des fi ns diverses, telles que pour mener une attaque par déni de service distribué (DDoS pour Distributed Denial of Service), propager des rançongiciels et des maliciels, lancer des campagnes publicitaires frauduleuses, envoyer des pourriels, détourner le trafi c, voler des données, ou encore pour manipuler, enfl ammer et censurer les médias sociaux et le contenu de plateformes Web de manière à infl uencer les débats publics.

Figure 4 : Hameçonnage et harponnage - Description

L'auteur de menace conçoit et envoie une fichier joint ou un lien malveillant.

La victime ouvre le fichier joint ou clique sur le lien.

La maliciel s'exécute. entrainant le vol des identifiants ou l'installation du maliciel.


Perçage de mots de passe

[Password cracking]

Le perçage de mots de passe est une tentative d’accéder directement aux comptes. Deux techniques sont communément utilisées : par force brute et par dictionnaire. L’attaque par force brute consiste à utiliser un nombre exhaustif de mots de passe générés aléatoirement pour tenter d’accéder au compte, alors que l’attaque par dictionnaire teste une liste des mots les plus courants.

Porte dérobée

[Backdoor]

Une porte dérobée est un point d’entrée au système ou à l’ordinateur d’un utilisateur, qui permet de contourner les mesures d’authentifi cation, le chiffrement ou les systèmes de détection d’intrusion. Les auteurs de menace qui disposent d’un tel accès à distance peuvent voler l’information, installer des maliciels ou contrôler les processus et procédures du dispositif. Les portes dérobées sont souvent créées délibérément aux fi ns de dépannage, d’application de mises à jour logicielles ou de maintenance des systèmes. Les auteurs de menace peuvent utiliser ces portes dérobées légitimes à des fi ns malveillantes.

Programme potentiellement indésirable ou application potentiellement indésirable

[Potentially unwanted program or application]

Les programmes ou les applications potentiellement indésirables (PPI ou API) sont des logiciels perçus comme étant indésirables et pouvant affaiblir la sécurité globale d’un dispositif et porter atteinte à la vie privée de l’utilisateur. Ils sont souvent compris avec d’autres logiciels téléchargés avec le consentement de l’utilisateur.

Rançongiciel

[Ransomware]

Un rançongiciel est un programme malveillant qui, dans plusieurs cas, permet de bloquer l’accès à un ordinateur ou à un dispositif et d’en chiffrer les données. L’accès aux systèmes et à l’information n’est rendu à l’utilisateur qu’après le versement d’une rançon, généralement une cryptomonnaie comme le bitcoin. Un rançongiciel peut également verrouiller des systèmes de différentes manières, sans faire appel au chiffrement, nuisant ainsi au rendement du dispositif. Les auteurs peuvent menacer la victime de divulguer de l’information sensible, personnelle ou embarrassante la concernant jusqu’au paiement de la rançon. Un rançongiciel est généralement installé au moyen d’un cheval de Troie ou d’un ver déployé par hameçonnage ou sur consultation d’un site Web compromis.

Certains cybercriminels se livrent à des campagnes de rançongiciel de type chasse au gros gibier. Ils concentrent ainsi leurs activités sur de grandes organisations (fournisseurs d’infrastructures essentielles, gouvernements ou grandes entreprises), qui doivent éviter que leurs réseaux soient perturbés et qui sont prêtes à payer de lourdes rançons pour rétablir rapidement leurs opérations.

Typosquattage

[Typo-squatting]

Le typosquattage est une technique qui consiste à enregistrer des noms de domaines graphiquement apparentés à une adresse de domaine légitime afi n de tirer avantage des fautes de frappe faites par les internautes. Basée sur le détournement d’adresses URL, elle permet aux auteurs de menace de rediriger un utilisateur ayant fait une erreur au moment de saisir l’adresse d’un site Web vers un domaine en apparence similaire sous leur contrôle. Le nouveau domaine peut alors servir à installer un maliciel et à obtenir des renseignements nominatifs ou de l’information sensible. Des techniques d’hameçonnage peuvent également être utilisées pour attirer les utilisateurs vers une adresse URL détournée.

Virus, Ver, Charge de virus et cheval de troie

[Virus, worm, payload, and trojan]

Les maliciels sont souvent transmis au moyen de virus, de vers et de chevaux de Troie, et ont d’importantes conséquences. Un virus est un programme exécutable et reproductible qui insère son propre code dans des programmes légitimes dans le but de causer des dommages sur l’ordinateur hôte (p. ex. en supprimant des fi chiers et des programmes ou en corrompant les systèmes d’exploitation et de stockage). Dans sa forme la plus simple, le ver est un programme informatique capable de se reproduire par lui-même et de se propager sur d’autres ordinateurs afi n de drainer les ressources du système. Comme le virus, il a également la capacité de propager du code de manière à causer des dommages sur son hôte. Ce code est ce qu’on appelle la charge de virus (p. ex. la capacité de chiffrer les fi chiers d’un rançongiciel et l’installation de portes dérobées sur les systèmes pour obtenir un accès à distance). Un cheval de Troie est un programme malveillant qui prend l’apparence d’un programme légitime ou s’intègre à un tel programme. Bien que ses objectifs soient similaires à ceux des virus et des vers, il ne peut se reproduire ou se propager par lui-même.

Vulnérabilités et attaques du jour zéro

[Zero-day vulnerabilities and zero-day exploits]

Par vulnérabilités du jour zéro, on entend les vulnérabilités non corrigées qui ne font pas partie du domaine public et qui ne sont connues que par quelques personnes. Un exploit tirant avantage d’une telle vulnérabilité est appelé un exploit du jour zéro.

Figure 5: Rançongiciel

Figure 5 : Rançongiciel - Description

Un auteur de menace crée et envoie un message qui contient un rançongiciel.

Le destinataire ouvre le pourriel et clique sur le fichier joint

Installation du rençoongiciel dans l'ordinateur

Les fichiers contenus dans l'ordinateur infecté sont chiffrés

Un message de rançon s'affiche, indiquant le montant à payer et la date limite

Les victimes peuvent payer avec de la crytomonnaie, p. ex. en bitcoin

Après avoir procédé au paiement, la victime pourrait recevoir une clé de chiffrement pour déverrouiller les fichiers

Dernière mise à jour: