Chapitre 2 : Attaques,

Chapitre 2 : Attaques,
concepts et techniques
concepts et techniques
Supports de l'instructeur

Introduction to Cybersecurity v2.1

Guide de planification
Introduction to Cybersecurity v2.1

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 3

Chapitre 2 - Sections et objectifs

▪ 2.1 Analyser une cyberattaque
• Expliquez les caractéristiques et le déroulement d’une cyberattaque.
• Expliquez comment une vulnérabilité de sécurité est exploitée.
• Identifiez des exemples de vulnérabilité de sécurité.

Chapitre 2 : Attaques, • Décrivez les différents types de malwares et leurs symptômes.

• Décrivez les différentes méthodes d'infiltration.

concepts et techniques • Décrivez les différentes méthodes utilisées pour lancer une attaque par déni de service.

▪ 2.2 Les problématiques de la cybersécurité

• Expliquez les tendances dans les problématiques de la cybersécurité.
• Décrivez une attaque combinée.
• Expliquez l'importance de la réduction de l'impact.

Introduction to Cybersecurity v2.1

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 10
 Vulnérabilité de sécurité et exploits
Détecter les vulnérabilités de sécurité
▪ Un exploit est le terme employé pour désigner un programme créé pour exploiter une vulnérabilité connue.

▪ Une attaque consiste à utiliser un exploit contre une vulnérabilité.

▪ Vulnérabilité des logiciels

• Erreurs dans le système d’exploitation ou dans le code

d’application

2.1 Analyser une cyberattaque • SYNful Knock – Une vulnérabilité dans Cisco IOS
• Permet aux hackers de prendre le contrôle des routeurs
• Surveille les communications réseau
• Infecte d'autres appareils réseau
• Project Zero – Google a créé une équipe permanente dédiée
à la recherche des vulnérabilités logicielles

▪ Vulnérabilité des matériels

• Défaut de conception des matériels

• Rowhammer – Un exploit de mémoire RAM qui permet de récupérer des données à partir des cellules de mémoire d'une adresse à
proximité

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 11 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 12

Types de vulnérabilités de sécurité Types de malwares et symptômes

Classer les vulnérabilités de sécurité Types de malwares
▪ Débordement de tampon ▪ Les malwares permettent de voler des données, de contourner les contrôles d'accès, de causer
• Les données sont écrites au-delà des limites d’une mémoire tampon des dégâts ou de compromettre un système

▪ Entrée non validée ▪ Types de programmes malveillants

• Forcer les programmes à se comporter d’une manière • Spyware : suivre et espionner un utilisateur
indésirable
• Logiciel publicitaire : diffuser des publicités, habituellement accompagnées de spyware
▪ Situations de concurrence
• Robot : effectuer automatiquement une action
• Événements mal commandés ou planifiés
• Ransomware : tenir en otage un système informatique ou les
▪ Failles dans les mesures de sécurité données qu'il contient jusqu'à ce qu'un paiement soit effectué
• Protéger les données sensibles grâce à l'authentification, • Scareware : convaincre l'utilisateur d'effectuer une action
à l'autorisation et au chiffrement donnée en jouant sur la peur
▪ Problèmes de contrôle d’accès
• Contrôle d'accès à l'équipement physique et aux ressources
• Pratiques de sécurité État initial de l’infection par le ver
Code Red
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 13 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 14
Types de malwares et symptômes Types de malwares et symptômes
Types de malwares (suite) Les symptômes d'un malware
▪ Types de malwares (suite) ▪ Augmentation de l’utilisation du CPU ;

• Rootkit : modifie le système d'exploitation pour créer une porte dérobée ▪ Diminution de la vitesse de l’ordinateur ;
• Virus : code exécutable malveillant qui est joint à d'autres fichiers exécutables
▪ l’ordinateur se fige ou tombe souvent en panne ;
• Cheval de Troie : effectue des opérations nuisibles sous couvert d'une opération souhaitée
▪ Diminution de la vitesse de navigation sur Internet ;
• Ver : se réplique pour exploiter de façon indépendante les vulnérabilités des réseaux
• Homme du milieu ou Homme du mobile : prend le contrôle d'un appareil à l'insu de l'utilisateur ▪ Problèmes inexplicables avec les connexions réseau ;

▪ Des fichiers sont modifiés ;

▪ Des fichiers sont supprimés ;

▪ Présence de fichiers, de programmes ou d'icônes de bureau inconnus ;

▪ Des processus inconnus sont exécutés ;

▪ Des programmes s’éteignent ou se reconfigurent ;

▪ Envoi d’e-mail à l’insu de l’utilisateur ou sans son consentement.

Infection par le ver Code Red 19 heures plus tard
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 15 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 16

Méthodes d'infiltration Méthodes d'infiltration

Ingénierie sociale Décryptage de mot de passe Wi-Fi
▪ Ingénierie sociale : manipulation d'un individu pour le pousser à effectuer des actions ou à ▪ Décryptage de mot de passe Wi-Fi – Découverte du
divulguer des informations confidentielles mot de passe
• Usurpation : un hacker appelle un individu et lui ment pour essayer d'accéder à des données • Ingénierie sociale : le hacker manipule une personne
privilégiées qui connaît le mot de passe pour qu'elle le lui donne
• Talonnage (tailgating) : un hacker suit de près une personne autorisée dans un endroit sécurisé • Attaques brutales : le hacker tente plusieurs mots de
• Une chose pour une autre (contrepartie) : un hacker demande des informations personnelles d'une passe possibles pour tenter de deviner le bon
partie en échange de quelque chose • Reniflement de réseau : en étant attentif et en
capturant des paquets envoyés sur le réseau, un
hacker peut découvrir le mot de passe

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 17 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 18
Méthodes d'infiltration Méthodes d'infiltration
Phishing Exploitation des vulnérabilités
▪ Phishing ▪ Exploitation des vulnérabilités – analyser afin de découvrir une vulnérabilité à exploiter

• Une personne malveillante envoie un e-mail frauduleux, mais qui a l'air de provenir d'une source • Étape 1 : recueillir des informations sur le système cible à l'aide de l'analyseur de ports ou de méthodes d'ingénierie
légitime, digne de confiance sociale
• Étape 2 : déterminer les informations recueillies à l'étape 1
• L'objectif est de piéger le destinataire pour l'inciter à installer un malware sur son appareil ou à partager
des informations personnelles ou financières • Étape 3 : chercher une vulnérabilité
• Étape 4 : utiliser un exploit connu ou en écrire un nouveau
▪ Hameçonnage ciblé
▪ Menaces persistantes avancées : une opération furtive et avancée, comptant plusieurs étapes et à long
• Une attaque de phishing très ciblée terme, contre une cible spécifique
• Reposant généralement sur un solide financement
• Déploiement de malwares personnalisés

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 19 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 20

Déni de service Déni de service

DoS DDoS
▪ Une attaque DoS est une interruption des services de réseau ▪ Attaque similaire au déni de service, mais
provenant de multiples sources coordonnées
• Volume de trafic trop important : un réseau, un hôte ou une application reçoit une énorme quantité de
données à un rythme ingérable ▪ Botnet : un réseau d'hôtes infectés
• Paquets formatés de manière malveillante : un paquet formaté de manière malveillante est envoyé à
un hôte ou à une application et le destinataire est incapable de le traiter ▪ Zombie : hôtes infectés

▪ Les zombies sont contrôlés par des systèmes

de gestionnaire.

▪ Les zombies continuent d'infecter d'autres

hôtes, créant ainsi plus de zombies.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 21 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 22
Déni de service
Empoisonnement par SEO
▪ SEO
• Optimisation pour les moteurs de recherche
• Techniques pour améliorer le classement d'un site web sur un
moteur de recherche 2.2 Les problématiques de
▪ Empoisonnement par SEO
• Augmenter le trafic vers des sites malveillants
• Forcer l’avancée des sites malveillants au niveau des
la cybersécurité
classements

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 23 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 24

Attaque mixte Réduction d'impact

Qu'est qu'une attaque mixte ? Qu'est-ce que la réduction d'impact ?
▪ Utilise plusieurs techniques pour compromettre une cible ▪ Communiquer le problème

▪ Utilise un mélange hybride de chevaux de Troie, de vers, de spywares, d'enregistreurs de frappe, ▪ Être sincère et responsable
de spam et de phishing
▪ Fournir des détails
▪ Exemple d'attaque mixte courante
▪ Comprendre l’origine de la brèche
• Messages indésirables, messages instantanés ou sites
web légitimes pour diffuser des liens ▪ Prendre des mesures pour éviter une autre brèche
• Attaque DDoS combinée avec des e-mails de phishing similaire à l’avenir

▪ Exemples : Nimbda, CodeRed, BugBear, Klez, ▪ S’assurer que tous les systèmes sont désinfectés
Slammer, Zeus/LICAT et Conficker
▪ Éduquer les employés, les partenaires et les clients

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 25 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 26
 Résumé du chapitre
Résumé
▪ Identifiez des exemples de vulnérabilité de sécurité.

▪ Expliquez comment une vulnérabilité de sécurité est exploitée.

▪ Décrivez les types de programmes malveillants et leurs symptômes, les méthodes d’infiltration, ainsi que
les méthodes utilisées pour le déni de service.

2.3 Synthèse du chapitre ▪ Décrivez une attaque mixte et parlez de l’importance de la réduction d’impact.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 27 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 28