L’actualité de la cybersécurité a tendance à se traduire dans un jargon technique, difficile d’accès aux néophytes. Chez Numerama, nous sommes persuadés que les enjeux liés au secteur concernent le plus grand nombre, et qu’il est possible de les appréhender sans s’attarder sur les nuances techniques.
En revanche, il faut tout de même avoir quelques concepts en tête. Alors pour vous aider à mieux suivre la cybersécurité, voici un petit tour des termes récurrents dans le milieu.
Backdoor
Une backdoor, ou « porte dérobée » en français, est un accès alternatif à un réseau informatique. Dans la plupart des cas, la backdoor est installée par des cybercriminels à l’insu des responsables du réseau, à la suite d’une cyberattaque. Elle leur permet d’installer des programmes sur le réseau de la victime et d’extraire certains fichiers vers leurs propres serveurs. Détail important : certaines backdoors sont installées par l’entreprise elle-même, notamment dans certains cas légaux précis.
Botnet
Un botnet est un ensemble de milliers machines « zombies » infectées par un malware. Ces machines peuvent être des ordinateurs, mais aussi des appareils connectés bien plus petits comme des lampes, des enceintes, ou encore de l’électroménager.
Tous ces appareils connectés à Internet répondent à un même ordinateur, un centre de commande contrôlé par les cybercriminels. Ces derniers pourront s’en servir pour envoyer des instructions et ainsi coordonner des opérations massives, comme des attaques DDoS, à partir d’appareils qui ne leur appartiennent même pas.
Le plus souvent, les opérateurs des botnets le louent à d’autres malfaiteurs pour une certaine durée ou opération. Parmi les exemples de botnet célèbres se trouvent Emotet, TrickBot, ou plus récemment Mēris.
Brute force
L’attaque par force brute (brute force, en anglais) consiste à tester toutes les possibilités existantes, une à une, pour trouver un code ou un mot de passe. Deux critères entrent alors en compte :
- La complexité de la combinaison. Plus la combinaison à trouver sera complexe, plus il faudra tester de possibilités, et donc y passer du temps. Un code à 4 chiffres peut être trouvé en un rien de temps, tandis qu’un mot de passe de 12 caractères est déjà bien plus compliqué à deviner. Au-delà d’un certain niveau de complexité, l’attaque par force brute ne fonctionne plus, car le temps de calcul pour tester toutes les éventualités devient trop important.
- La puissance de calcul. Plus l’attaquant aura un (ou des) ordinateur puissant, plus il pourra rapidement calculer les possibilités, et donc gagner du temps.
La plupart des portails d’authentification en ligne ont désormais des protections contre ce genre d’attaque : ils limitent par exemple le nombre de saisies de mots de passe à un certain seuil.
Il existe plusieurs sous-genres de l’attaque par force brute, la plus connue étant « l’attaque par dictionnaire », très utilisée dans la découverte de mots de passe. Plutôt que de tester toutes les combinaisons de chiffres et de caractères possibles, les attaquants vont tester les mots de passe les plus utilisés, et leurs dérivés proches. Ainsi, ils ne testent pas l’intégrité des combinaisons possibles — ce qui devient rapidement infaisable — mais ils se concentrent sur celles qui ont la plus haute probabilité de fonctionner.
Bug bounty
Un bug bounty mobilise des hackers extérieurs à l’organisation pour tester la sécurité de son site ou de son app, selon un cadre prédéfini en amont. L’entreprise prévoit une grille de récompense financière (un bounty) selon le type de problème (ou bug) découvert.
Lorsqu’un des chercheurs découvre un problème, il doit en fournir une preuve de concept, c’est-à-dire un exemple vérifiable. Les entreprises peuvent gérer elles-mêmes leurs programmes de bug bounty, mais la plupart passent par des plateformes dédiées comme HackerOne ou YesWeHack. Ces sociétés aident à définir les règles du bug bounty, puis endossent le rôle de médiateur entre les entreprises et les hackers, sur l’évaluation des failles rapportées.
Chiffrement
Pour protéger les données, les équipes de sécurité ont la possibilité d’appliquer des couches de chiffrement. Concrètement, les données apparaîtront sous la forme d’une suite de caractères en apparence sans logique si elles sont découvertes par une personne extérieure. Pour les lire, il faudra avoir le clé capable de lever le chiffrement.
- Chiffrer est l’action d’appliquer un chiffrement à l’aide d’une clé.
- Déchiffrer consiste à lever le chiffrement à l’aide de la clé.
- Décrypter revient à casser le chiffrement par la force, sans la clé.
- Le terme « crypter » ne s’applique pas aux questions de chiffrements.
Il faut noter que le chiffrement peut aussi être appliqué par un malfaiteur, par exemple dans le cadre d’une attaque rançongiciel.
DDoS
L’attaque DDoS — « par déni de service distribué », en français — consiste à surcharger le serveur de la victime en trafic ou en requêtes, dans l’objectif de le forcer à passer hors ligne ou à s’arrêter.
Cette attaque peut être motivée par une tentative d’extorsion d’argent, une volonté de représailles ou encore une action militante. Les lanceurs de DDoS s’offrent le plus souvent l’accès à un botnet pour y parvenir.
Parfois, les DDoS sont tellement massifs qu’il n’existe pas de moyen d’y résister. Mais la plupart des sites disposent de protections automatiques, comme celles proposées par Cloudflare, et ils peuvent réaliser des ajustements le temps de l’attaque.
Dark web
Le « dark web » est un terme flou, qui englobe toute la partie d’Internet qui n’est pas accessible depuis un navigateur Internet classique comme Firefox, Chrome, Edge ou encore Safari.
Le plus souvent, le terme désigne des sites en .onion, accessibles uniquement via le réseau Tor. Cette partie dérégulée d’Internet, dont l’infrastructure est maintenue par des bénévoles, protège certains activistes et lanceurs d’alertes, mais permet aussi aux cybercriminels de s’organiser.
On y trouve des marchés illégaux de données, de drogues ou d’armes à feu ; les sites de négociation et d’extorsion des rançongiciels ; ou encore des forums où discutent les cybercriminels. Souvent fantasmés, ces sites sont en grande majorité très rudimentaires, et peu stables.
Fuite de données
À partir du moment où une personne obtient l’accès à des données qu’elle ne devait pas voir, on peut parler d’une fuite de données. Une fuite peut provenir d’une base de données mal sécurisée, d’une attaque informatique, ou d’une source interne.
Toutes sortes de critères entrent en compte pour estimer la dangerosité d’une fuite de données, et il faut les évaluer au cas par cas. Mais généralement, plus les données seront précises et nombreuses sur un même individu, plus la fuite sera intéressante pour les malfaiteurs. Le volume général de données n’est qu’un indicateur secondaire de la gravité d’une fuite.
En France, la gestion d’une fuite de donnée est dictée par le règlement général sur la protection des données, le fameux RGPD européen. Les entreprises doivent notifier l’autorité des données, la Cnil, dans les 72 heures suivant l’incident. Ensuite, elles auront l’obligation de prévenir les personnes concernées par la fuite dans les 72h suivantes, dans le cas où elle représenterait un « risque élevé ».
Hacker
Le terme « hacker » désigne les personnes qui détournent l’usage des logiciels, parfois à des fins malveillantes. Pour autant, « hacker » n’est pas le synonyme de « cybercriminels». Par exemple, le terme « hacker éthique » ( qui correspond à une certification) désigne plus largement les chercheurs en cybersécurité qui signalent leurs découvertes aux entreprises concernées, au lieu de les utiliser à leur profit.
Malware
Appelés « maliciels » en français, les malwares sont des logiciels développés dans l’objectif d’accomplir des tâches malveillantes. Il en existe de toutes sortes, adaptés à tous types d’appareils.
Souvent, le terme « virus » est utilisé à tort pour parler des malwares, alors qu’il n’est qu’un type spécifique de malware, capable de se répandre et de se multiplier rapidement sur un système.
Pentest
Le pentest, ou test de pénétration, est un type d’audit de sécurité. Il est mené par une « red team », une équipe de « pentesters » professionnels qui va endosser le rôle de hackers malveillants le temps d’identifier les faiblesses du réseau ou de l’outil du client. Cette équipe va ensuite rédiger un rapport et émettre des recommandations pour améliorer la sécurité du réseau.
Pour obtenir certaines certifications de sécurité, les entreprises s’engagent à régulièrement effectuer un pentest.
Phishing
Un phishing (hameçonnage, en français) est un message trompeur à but malveillant. Dans la majorité des cas, les malfaiteurs essaieront d’obtenir vos données bancaires ou vos identifiants. Pour y parvenir, ils vont imiter des personnalités ou des entreprises comme l’Assurance maladie, la Fnac, la Poste, le gouvernement ou encore le service des impôts.
Le plus souvent envoyés par email, les phishings peuvent aussi être envoyés par SMS (on parlera alors de « smishing »), et ils se déclinent même sur les apps de messagerie comme WhatsApp et Signal
La majorité des campagnes de phishing visent plusieurs milliers de personnes avec un message plutôt vague et impersonnel. Mais d’autres opérations ciblent seulement une poignée d’individus, voire une personne en particulier. On parlera alors de « spear phishing », soit littéralement de « phishing au harpon ». Ce type de phishing est plus dangereux, car bien plus détaillé : le malfaiteur sera renseigné sur sa victime et écrira un message personnalisé. Plus les détails qu’il fournira seront nombreux, plus la victime risque de mordre au phishing et de se faire piéger.
Un sous-genre du phishing, « l’arnaque au président » revient régulièrement dans l’actualité : des malfaiteurs se font passer pour un ou une responsable d’une entreprise, et demandent à des employés plus bas dans la hiérarchie de cette même entreprise d’effectuer des virements ou de leur donner des identifiants.
Se protéger des phishings est à la fois simple, car il n’y a pas besoin de compétences techniques, et difficile, car il faut toujours être à l’affût de détails louches qui révèleraient un subterfuge.
Rançongiciel
Les rançongiciels (ransomwares, en anglais) sont des malwares dévastateurs. Ils chiffrent le réseau des victimes, ce qui a pour conséquence de mettre hors service les ordinateurs touchés. Dans les cas où les victimes sont des entreprises, le programme malveillant affecte aussi le fonctionnement des machines connectées comme les imprimantes, les portiques de sécurité ou encore des instruments utilisés sur la chaîne de montage des usines. Même les lignes téléphoniques professionnelles et les adresses email peuvent être paralysées.
Juste après le chiffrement, les rançongiciels déposent sur les machines infectées des notes de rançon à destination de leurs victimes, à régler en cryptomonnaies. Le montant s’élève à plusieurs centaines d’euros pour les rançongiciels qui visent les particuliers, et peut se compter en dizaines de millions d’euros pour ceux qui visent les entreprises.
Si la victime paie, le gang s’engage à lui fournir un outil pour déchiffrer ses systèmes et revenir (en théorie) à la normale. Si elle refuse de payer, il la menace de publier des données confidentielles volées sur le réseau. Pour de nombreuses raisons, les professionnels de la cybersécurité conseillent de façon quasi unanime de ne pas payer.
L’écrasante majorité des rançongiciels fonctionnent sur un modèle de ransomware-as-a-service (ou RaaS) :
- Les « opérateurs » développent le malware, et en font la publicité sur des forums spécialisés ou leurs propres sites. Ils gèrent également la négociation de la rançon, mais ne participent pas directement à l’attaque qui permettra de déployer le rançongiciel.
- Les opérateurs délèguent les attaques à des « affiliés », des hackers indépendants qu’ils auront sélectionnés. Ces hackers essaieront d’exploiter des vulnérabilités pour diffuser le rançongiciel.
- Si une victime paie la raison, l’opérateur gardera généralement entre 20 et 30 % du montant, et enverra le reste à l’affilié qui a réussi l’attaque.
Sextorsion
La sextorsion est un type d’arnaque en ligne récurrente. Le malfrat fera croire à sa victime qu’il dispose de contenus sexuels compromettants sur elle, et menacera de les divulguer. Par exemple, il laissera entendre qu’il a piraté la caméra de son ordinateur et qu’il a obtenu des vidéos de masturbation.
L’arnaqueur proposera à sa victime de ne pas publier les prétendues images sexuelles en échange du paiement d’une rançon.
Supply chain attack
La supply chain attack fait partie des cyberattaques les plus laborieuses à mettre en place. Elle consiste à infecter un logiciel à la racine de son développement, de manière à corrompre toutes ses versions. Cette manipulation permet aux cybercriminels d’attaquer tous les utilisateurs du logiciel à la fois.
Le cas SolarWinds, découvert à la fin de l’année 2020 en est l’exemple le plus récent. Des hackers russes se sont introduits dans le moteur de production du logiciel de gestion de réseau Orion, afin d’y déposer du code malveillant. SolarWinds n’a pas détecté leurs manipulations, et elle a ainsi diffusé une version infectée de son propre logiciel à plus de 18 000 clients. Orion embarquait Sunburst, une porte dérobée que les espions ont pu employer pour s’infiltrer sur les réseaux de plusieurs branches du gouvernement américain et de géants de la tech.
VPN
Le VPN ou Virtual private network, est un outil qui permet de faire passer votre connexion Internet par un autre serveur.
Dans le cadre professionnel, ce serveur peut être celui de votre entreprise, ce qui lui permettra de détecter des actions suspectes sur le réseau.
Dans le cadre privé, les VPN permettent de cacher — de façon superficielle — l’adresse IP de son appareil, ou encore d’accéder à des services étrangers.
Vulnérabilité
Les vulnérabilités, communément appelées failles, sont des défauts de conception du logiciel. Le plus souvent, le terme « cyberattaque » désigne l’exploitation d’une ou plusieurs vulnérabilités, dans un but malveillant.
Les vulnérabilités reçoivent un identifiant (débutant par CVE) et une évaluation de leur criticité. À titre d’exemple, les vulnérabilités RCE (pour remote code execution) font partie des plus dangereuses car elles permettent à un attaquant d’installer des programmes malveillants sur l’appareil de la victime, le tout à distance. D’autres permettent de défigurer un site, ou de tout simplement faire crasher un programme.
Lorsque de nouveaux types de vulnérabilités sont découverts, on parle de « zero day ». Puis elles finissent pour la plupart par recevoir un correctif, ou « patch », qui répare le défaut, et empêche de l’exploiter.
La plupart des grands éditeurs émettent un grand patch de sécurité par mois, lors duquel ils corrigent des dizaines de vulnérabilités à la fois. Autrement dit, tous les logiciels en ont : il faut juste que les éditeurs les découvrent et les réparent avant que des malfaiteurs ne les exploitent. Malheureusement, cette confrontation est déséquilibrée à l’avantage des cybercriminels.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !