De l’attaque ciblée à l’infection de masse (ou pourquoi les réseaux sociaux sont un terrain de jeux privilégié pour les cyber-délinquants)

Le premier objectif d’un cyber délinquant souhaitant conduire une attaque ciblée est d’entrer en contact avec sa victime.  Pourquoi ?  Par exemple, pour lui envoyer un lien la redirigeant vers un kit d’exploitation. Alors qu’il est nécessaire de connaître l’adresse mail de la cible pour pouvoir lui envoyer un message, les réseaux sociaux tels que Twitter rendent quant à eux possible une interaction directe. Le kit d’exploitation sur lequel « atterrit » la cible va tester en quelques secondes les dizaines de vulnérabilités de l’environnement de cette dernière (voir article). Quand on sait que les environnements PC ne sont quasiment jamais à jour, on se rend compte de la marge de manœuvre dont disposent les cyber-délinquants pour parvenir à leur fin. En quelques secondes, donc, la machine de la cible se retrouve sous le contrôle de l’attaquant. Des logiciels conçus pour « gérer » la machine de la victime sont alors téléchargés à son insu. L’attaquant pourra consulter les fichiers locaux, les télécharger et attendre patiemment que la victime entre son login/mot de passe sur des sites tiers pour récupérer ses informations. Tout cela, sans aucune interaction ! Il suffit que la cible se rende sur le site hébergeant le kit d’exploitation pour en être victime…

Les réseaux sociaux sont du pain béni pour les cyber-délinquants. Si vous étiez une personnalité politique par exemple, ne seriez-vous pas enclin à cliquer sur un lien mettant soi-disant en valeur un point de votre programme de campagne, d’autant plus si ce lien venait d’une personne que vous suivez sur Twitter ? Pour les cyber-délinquants, le challenge ne consiste plus à prendre le contrôle de la machine de la victime, mais simplement à la faire venir sur un site piégé (kit d’exploitation). Or ces kits d’exploitation vont connaitre un essor important. Ils sont déjà facilement accessibles, mais leur industrialisation ne cesse de progresser. Ce qui met à la portée d’un très grand nombre de personnes, une attaque qui serait passée il y a quelque temps pour une attaque de « haut vol ».

Twitter, Facebook et Linkedin sont également susceptibles d’être utilisés comme vecteurs d’attaques ciblées ou d’infection massive.  Il suffit que le compte Twitter d’une personnalité soit compromis, et que le  cyber-délinquant qui en a pris le contrôle twitte un lien vers un kit d’exploitation, pour que le nombre de victimes soit très important (compte tenu du nombre de followers de la victime initiale). Voici par exemple un exemple de scénario de contamination massive :

de-l-attaque-ciblée-a-l-infection-de-masse

Alors, comment limiter les risques de compromission lors de votre navigation sur le Web ?

Les entreprises ont beaucoup de mal à juguler ce genre de menace. Le challenge est donc d’autant plus important pour une personne qui ne dispose pas des moyens d’une entreprise. Néanmoins, certaines bonnes pratiques permettent de limiter les risques :

  • S’efforcer de garder son environnement  à jour

Pourquoi ? Parce que cela permet de réduire sa surface de vulnérabilité et donc le potentiel de ce type d’attaque.

  • Désactiver java de son navigateur

Pourquoi ? Parce que le design de la version 7 est trop propice à l’exploitation de vulnérabilités.

  • Pour sa navigation Web, préférer l’utilisation de  Firefox associé au module Noscript ou Chrome en désactivant JavaScript

Pourquoi ? Parce que les pages des kits d’exploitation qui servent à déterminer quelles vulnérabilités du navigateur peuvent être utilisées (landing page) utilisent JavaScript.

  • Utiliser une solution antimalware s’appuyant sur des mécanismes de réputation d’URL

Pourquoi ? Parce que le serveur hébergeant le kit d’exploitation peut être répertorié parmi les URL douteuses, ce qui protégera les victimes en les empêchant d’accéder à cette page.

Leave a Reply

Your email address will not be published. Required fields are marked *