RGPD : comment déjouer les 7 cyberattaques les plus fréquentes

Bots malveillants, attaques par déni de service distribué (DDoS), phishing.... Ces techniques de cyberattaques font partie des sept les plus utilisées par les hackers. Comment s’en protéger ? A quelques semaines de l’entrée en vigueur du règlement général pour la protection des données (RGPD), Vincent Lavergne, expert en attaque DDoS chez F5 Networks, entreprise américaine spécialisée dans les équipements réseaux, nous donne quelques clés.

Partager
RGPD : comment déjouer les 7 cyberattaques les plus fréquentes

"Grâce aux outils automatisés et aux hackers offrant leurs services pour le compte d’autrui, la cybercriminalité est devenue, pour certains, une source de gains inespérée. Une étude récente menée par F5 Labs montre que les 429 plus importantes violations de données signalées étudiées entre 2005 et 2017 ont permis aux hackers d’empocher 2,75 milliards de dollars sur le marché noir.

Le développement numérique a ouvert la porte à des attaques malveillantes d’un niveau sans précédent, qui mettent en danger les applications, les données professionnelles, les infrastructures opérationnelles et la réputation des entreprises. Par conséquent, nombreux sont les responsables sécurité et dirigeants d’entreprise à être remerciés suite à des violations graves de données. De plus, les coupes budgétaires et la réduction drastique du personnel dans le domaine informatique rendent nombre d’organisations vulnérables aux assauts des cyber-attaques.

Les nouvelles applications dans le cloud engendrent des défis complexes et de nouveaux risques. Cet environnement d’incertitude et de développement rapide est propice aux hackers. En escrime, un « dégagement » est un mouvement qui sert à leurrer l’adversaire en attaquant une cible spécifique, puis en se déplaçant en demi-cercle afin de toucher une autre zone. Le hacker d’aujourd’hui feinte selon ce même principe, en maniant sept techniques de menaces communes pour une perturbation et un profit maximaux. Ces mouvements offensifs clés sont les bots malveillants, le « credential stuffing », l’attaque par déni de service distribué (DDoS), le ransomware, la fraude par internet, le phishing et les logiciels malveillants.

Point commun des 7 attaques-clés

Les bots malveillants servent fréquemment de support de livraison ou de kit d’exploitation. D’après le dernier rapport de Verizon Data Breach Investigations Report (rapport sur les investigations suite aux violations de données), 77 % des violations d’applications web résultent d’une attaque effectuée par des botnets.

Du côté de la fraude par internet, les attaques proviennent souvent de techniques d’injection « Man-in-the-browser » (homme dans le navigateur), qui livrent un cheval de Troie Trickbot par phishing, drive-by download ou ports SMB. Le code JavaScript est ensuite injecté dans les sites bancaires ou de commerce en ligne consultés par les utilisateurs. Ainsi, les assaillants sont en mesure d’accéder aux données d’identification des clients et de commettre des vols directement sur les comptes bancaires. Les attaques de type phishing sont également en constante augmentation. Les assaillants utilisent traditionnellement cette méthode pour inciter les utilisateurs à cliquer sur un lien qui infecte le système avec un logiciel malveillant ou qui les redirige vers un faux site internet conçu pour dérober des informations personnelles. Au cours du premier trimestre 2017, un nouveau spécimen de phishing ou de logiciel malveillant surgissait toutes les 4,2 secondes.

Quatre types d'attaques par DDoS

Le « credential stuffing » constitue également un sujet de préoccupation croissant. Dans ce type de cas, les cybercriminels se tournent vers le Dark Web pour acheter des noms d’utilisateur et mots de passe précédemment dérobés. Ils utilisent ensuite des outils automatisés pour remplir en masse et de manière répétée les champs d’identification d’autres sites internet dans le but d’accéder aux comptes tenus par des utilisateurs professionnels ou des clients. Si les utilisateurs utilisent les mêmes mots de passe sur différents sites, il est encore plus probable que leurs données d’identification aient déjà été volées.

L’attaque DDoS, quant à elle, n’est pas prête à déclarer forfait et devient de plus en plus compliquée à parer. De nos jours, certaines de ces attaques sont des canulars, mais d’autres constituent des actes ciblés de vengeance, de protestation, de vol voire d’extorsion. Les hackers exploitent souvent des outils de déni de service « prêts à l’emploi » pour perturber la disponibilité des services et les performances de l’entreprise. Il existe quatre principaux types d’attaques : volumétriques (attaques type inondation), asymétriques (expiration des lancements), calculatoires (consomment les ressources du processeur et de la mémoire) et sur vulnérabilités (exploitent le logiciel de l’application). Les attaques DDoS les plus nuisibles combinent des attaques volumétriques à des attaques ciblées, spécifiques à une application donnée.

Les stratégies pour se protéger

Les experts en sécurité recommandent l’utilisation d’un pare-feu pour application web (web application firewall, WAF) robuste en première ligne de défense des attaques de « credential stuffing ». Il s’agit de l’équivalent de la « riposte » de l’escrimeur : une défense adroitement transformée en attaque. Un WAF moderne et complet permet aux entreprises de combattre les manœuvres offensives de front grâce à la détection des bots et à la prévention avancées. Cet outil est essentiel dans la mesure où la plupart des attaques proviennent de programmes automatisés. En analysant les comportements tels que la localisation de l’adresse IP, l’heure ou le nombre de tentatives de connexion par seconde, un WAF aide votre équipe de sécurité à identifier les tentatives de connexions qui n’émanent pas d’un navigateur.

Il est également important d’assurer le chiffrement des données du navigateur ou des applications mobiles, ce qui protège les données envoyées par l’utilisateur et rend toute interception inexploitable. Pour un degré de sécurité supplémentaire, vous pouvez forcer le cryptage des paramètres de formulaire à l’aide d’une fonction côté client. Les outils automatisés de « credential stuffing » auront des difficultés à exécuter correctement la page de cryptage des champs du formulaire et à envoyer le cookie de canal sécurisé adéquat. Lorsque les bots soumettent des données d’identification non cryptées, cela déclenche une alerte système qui avertit l’équipe sécurité qu’une attaque de credential stuffing est en cours.

Une manœuvre intelligente

Définissez des règles qui facilitent la modification régulière des mots de passe afin d’éviter une utilisation répétée sur différents sites, et signalez immédiatement tout incident au service informatique si un utilisateur pense avoir cliqué sur un lien frauduleux dans un e-mail de phishing.

Dans le feu de l’activité cybercriminelle, obtenir des informations sur les menaces est primordial. Un contexte plus défini, une visibilité et un contrôle plus importants sont essentiels à la protection des infrastructures, des applications et des données sensibles. Il est vital d’adapter votre stratégie en renforçant vos applications par des outils de sécurité de pointe, et en transférant les ressources pour donner rapidement le coup d’arrêt aux manœuvres malveillantes des hackers. Ainsi, vos opérations restent judicieuses, rapides et sûres. En garde !

SUR LE MÊME SUJET

PARCOURIR LE DOSSIER

Tout le dossier

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS

LES PODCASTS

Le Mans, capitale du son

Le Mans, capitale du son

Dans ce nouvel épisode de La Fabrique, Olivier James nous emmène au Mans pour nous faire découvrir un écosystème surprenant : celui de l'acoustique. En quelques années, la...

Écouter cet épisode

Le design dans le monde d'après

Le design dans le monde d'après

L'ancien secrétaire d'Etat socialiste, Thierry Mandon, est président de la Cité du Design de Saint-Etienne. Dans ce nouvel épisode du podcast Inspiration, il présente la Biennale...

Écouter cet épisode

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Dans ce nouvel épisode de « Demain dans nos assiettes », notre journaliste reçoit Frédéric Wallet. Chercheur à l'Inrae, il est l'auteur de Manger Demain, paru aux...

Écouter cet épisode

La fin du charbon en Moselle

La fin du charbon en Moselle

Dans ce nouvel épisode de La Fabrique, Cécile Maillard nous emmène à Saint Avold, en Moselle, dans l'enceinte de l'une des trois dernières centrales à charbon de...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE

Trouvez les entreprises industrielles qui recrutent des talents

VILLE DE CALLAC

Technicien des Services Techniques H/F

VILLE DE CALLAC - 31/03/2022 - CDD - CALLAC DE BRETAGNE

+ 550 offres d’emploi

Tout voir
Proposé par

ARTICLES LES PLUS LUS