Définition d’un vecteur d’attaque
Un vecteur d’attaque est la méthode ou la combinaison de méthodes que les cybercriminels utilisent pour pénétrer ou s’infiltrer dans le réseau d’une victime
Les cyberattaquants développent généralement un arsenal de vecteurs qu’ils utilisent régulièrement pour mener à bien leurs attaques. Avec le temps et l’utilisation répétée, ces vecteurs d’attaque peuvent devenir des « cartes de visite » virtuelles pour les cybercriminels ou les bandes organisées, ce qui permet aux analystes de la cyberveille, aux fournisseurs de services de cybersécurité, aux forces de l’ordre et aux agences gouvernementales d’attribuer une identité à différents cyberadversaires.
Reconnaître et suivre les vecteurs d’attaque d’un adversaire peut aider les entreprises à mieux se défendre contre les attaques ciblées existantes ou à venir. De plus, identifier l’auteur d’une attaque, en partie grâce à l’emploi d’un vecteur d’attaque spécifique, permet à l’entreprise de comprendre les compétences de ses cyberadversaires. Cette connaissance facilite ensuite l’élaboration de stratégies de protection pour l’entreprise et ses ressources dans le futur.
Vecteur d’attaque, surface d’attaque, vecteur de cybermenace et cybercriminels
Qu’est-ce que la surface d’attaque ?
Une surface d’attaque représente l’ensemble des expositions potentielles à des risques de sécurité au sein de l’environnement d’une entreprise. En d’autres termes, il s’agit de l’ensemble des vulnérabilités potentielles (connues et inconnues) et des contrôles sur l’ensemble du matériel, des logiciels, des composants du réseau et des personnes.
On distingue trois types de surfaces d’attaque de base :
- Surface d’attaque numérique : englobe l’ensemble du réseau et de l’environnement logiciel d’une entreprise. Elle inclut les applications, le code, les ports ainsi que les autres points d’entrée et de sortie.
- Surface d’attaque physique : Toute l’infrastructure d’une entreprise, comme les systèmes de bureau, les ordinateurs portables, les appareils mobiles, les serveurs, les portails d’accès, l’infrastructure de télécommunication et même les alimentations électriques.
- Surface d’attaque de l’ingénierie sociale : attaques ciblant la psychologie humaine, fréquemment employées dans des techniques comme le phishing, le pretexting (smiShing), le vishing via la messagerie vocale, et d’autres méthodes de tromperie.
Qu’est-ce qu’un vecteur de cybermenace ?
Le vecteur de cybermenace est un terme utilisé pour décrire la méthode utilisée par un cybercriminel pour obtenir un accès initial au réseau ou à l’infrastructure d’une victime. On emploie souvent les termes « vecteur de cybermenace » et « vecteur d’attaque » de façon interchangeable.
Qu’est-ce qu’un cybercriminel ?
Un cyberattaquant, également connu sous le nom de cybercriminel, cyberadversaire, cyberpirate ou auteur de menace, est une personne ou une organisation malveillante qui cause intentionnellement du tort au sein de l’environnement numérique. Il exploite les failles des ordinateurs, des réseaux et des systèmes pour perpétrer des attaques dévastatrices à l’encontre de particuliers ou d’entreprises.
Le terme « cyberattaquant » inclut les cybercriminels, mais a un sens beaucoup plus large. Les idéologues tels que les cyberactivistes, les cyberterroristes, les utilisateurs internes et même les trolls Internet appartiennent tous à la catégorie des cybercriminels.
2023 CrowdStrike Global Threat Report
Téléchargez le Global Threat Report 2023 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.
TéléchargerMéthode d’exploitation des vecteurs d’attaque
Les vecteurs de cybermenace se répartissent généralement en deux catégories :
- Vecteurs d’attaque passifs
- Vecteurs d’attaque actifs
Vecteurs d’attaque passifs
Un vecteur d’attaque passif est une technique d’attaque dans laquelle l’adversaire surveille le système d’une victime à la recherche d’une vulnérabilité, telle qu’un port ouvert, d’une mauvaise configuration ou une d’application logicielle non corrigée, qu’il peut exploiter pour obtenir un accès.
Dans une attaque passive, les cyberattaquants ne cherchent généralement pas à endommager le système ou à perturber les activités de l’entreprise. Leur objectif est plutôt d’accéder aux données et autres informations confidentielles.
Comme les vecteurs d’attaques passives ne perturbent généralement pas le système ou ne modifient en rien l’environnement, il peut être difficile pour les entreprises de savoir qu’une attaque est en cours et de prendre les mesures nécessaires pour protéger l’entreprise contre d’autres dommages.
Parmi les vecteurs d’attaques passifs, nous pouvons citer l’analyse (scanning et sniffing) et l’écoute des ports (comme les attaques de type man-in-the-middle) et de nombreuses attaques d’ingénierie sociale.
Vecteurs d’attaque actifs
Un vecteur d’attaque actif est une technique d’attaque utilisée par un adversaire qui modifie un système ou en perturbe le fonctionnement.
À l’instar des attaques passives, de nombreux cyberattaquants qui exploitent des vecteurs d’attaque actifs tentent d’accéder à des données sensibles. Toutefois, contrairement aux attaques passives, les cybercriminels qui se livrent à une attaque active peuvent aussi le faire simplement pour semer la pagaille et provoquer le chaos dans l’environnement informatique de la victime.
Parmi les exemples de vecteurs d’attaque actifs figurent les logiciels malveillants, les ransomwares, les attaques par déni de service distribué (DDoS), le vol d’identifiants et d’autres techniques courantes.
10 types de vecteurs d’attaque courants
Attaques par ingénierie sociale
On parle d’ingénierie sociale lorsqu’un cyberadversaire cible un être humain et utilise le pouvoir des émotions, telles que l’amour, la peur ou l’avidité, pour manipuler la personne afin qu’elle entreprenne une action souhaitée. En règle générale, l’objectif d’une attaque par ingénierie sociale est d’obtenir des informations qui peuvent être utilisées pour mener une attaque plus élaborée, accéder à des données sensibles ou à des identifiants d’utilisateurs, ou obtenir un gain rapide relativement faible, comme inciter un employé à acheter et à partager des cartes-cadeaux numériques avec le cyberattaquant.
Les attaques par ingénierie sociale sont une source de préoccupation majeure pour les professionnels de la cybersécurité car, quelles que soient la solidité de l’infrastructure de sécurité et l’efficacité des politiques, un utilisateur peut toujours être amené à donner ses identifiants à un acteur malveillant. Une fois à l’intérieur du réseau, le cybercriminel peut utiliser ces identifiants volés pour se faire passer pour l’utilisateur légitime et parvenir ainsi à se déplacer latéralement, à identifier les défenses en place, à installer des portes dérobées, à usurper des identités et, bien sûr, à voler des données.
Le phishing, le pretexting et le baiting sont des exemples courants d’ingénierie sociale.
Identifiants compromis et faibles
Un vecteur d’attaque fréquent consiste à exploiter des identifiants vulnérables ou compromis. Les cyberattaquants utilisent différentes techniques pour s’emparer, déchiffrer, deviner ou s’approprier l’identifiant et le code secret d’un individu lors d’attaques fondées sur les identifiants. Cette démarche leur permet d’accéder au système et d’accomplir des actions en se faisant passer pour cet utilisateur.
L’obtention d’identifiants permet aux cyberattaquants d’usurper l’identité du propriétaire du compte et d’apparaître comme une personne disposant d’un accès légitime, comme un employé, un sous-traitant, un compte de service ou un fournisseur tiers. Comme le cyberattaquant semble être un utilisateur légitime, ce type d’attaque est difficile à détecter pour les systèmes de défense.
Voici quelques exemples de cyberattaques ciblant les identifiants :
- Vol d’identifiants : fait de voler des informations personnelles telles que des noms d’utilisateur, des mots de passe et des informations financières afin d’accéder à un compte ou à un système en ligne.
- Pass the Hash (PtH) : attaque par laquelle un cyberattaquant vole un identifiant « haché » et l’utilise pour créer une nouvelle session d’utilisateur sur le même réseau. À la différence d’autres types de vol d’identifiants, lors d’une attaque Pass the Hash, le cyberattaquant n’a pas besoin de connaître ni de craquer le mot de passe pour accéder au système. À la place, il utilise une version stockée du mot de passe pour ouvrir une nouvelle session.
- Pulvérisation de mots de passe (« password spraying ») : lorsqu’un adversaire utilise un mot de passe commun (par exemple, password123) pour plusieurs comptes d’une même application afin de tenter d’accéder au système par hasard.
Menaces internes
Une menace interne est un risque de cybersécurité qui émane de l’intérieur de l’entreprise — généralement un ex-employé ou un collaborateur toujours en poste, ou toute autre personne ayant un accès direct au réseau, aux données sensibles et aux éléments de propriété intellectuelle de l’entreprise, et connaissant les processus métier, les règles d’entreprise ou d’autres informations utiles pour lancer une attaque. Tous les cybercriminels agissant de l’intérieur n’agissent pas intentionnellement ; certains peuvent être devenus des pions et leurs actifs numériques ont été compromis pour être utilisés par des cybercriminels externes.
Erreurs de configuration et vulnérabilités en matière de sécurité
Une mauvaise configuration de la sécurité est une erreur ou une vulnérabilité présente dans la configuration du code qui permet à des cyberattaquants d’accéder à des données sensibles, ce qui entraîne une violation des données ou une compromission complète du système.
Parmi les erreurs de configuration les plus courantes en matière de sécurité, vous avez les erreurs de configuration AD, qui sont des vulnérabilités dans le domaine Active Directory. Ces erreurs courantes de configuration de la sécurité vont de l’obtention de privilèges administratifs par des cyberattaquants à des problèmes liés à des services fonctionnant sur des hôtes dotés de plusieurs administrateurs.
Autre exemple : une erreur de ce type a été découverte dans JIRA, un outil de collaboration. Celle-ci a laissé de nombreuses entreprises exposées à la divulgation de leurs données professionnelles et personnelles. Dans ce cas, c’est une mauvaise configuration des autorisations globales qui est à l’origine du risque de sécurité.
Ransomwares
Les ransomwares sont des logiciels malveillants qui chiffrent les données d’une victime et pour lesquels l’attaque exige une « rançon », ou un paiement, afin de rétablir l’accès aux fichiers ou au réseau de l’utilisateur. Généralement, la victime reçoit une clé de déchiffrement une fois le paiement effectué pour restaurer l’accès à ses fichiers. Si le paiement de la rançon n’est pas effectué, le cybercriminel peut publier les données sur des sites de fuite de données (DLS) ou bloquer l’accès aux fichiers pour toujours.
Les ransomwares sont devenus l’un des types de logiciels malveillants les plus répandus, ciblant un large éventail de secteurs, notamment les secteurs de l’administration publique, de l’éducation, de la finance et de la santé, avec des millions de dollars extorqués chaque année dans le monde entier.
Logiciel malveillant
Un logiciel malveillant est un programme ou un code créé pour nuire intentionnellement à un ordinateur, un réseau ou un serveur. Les cybercriminels développent des logiciels malveillants pour s’infiltrer discrètement dans un système informatique afin de compromettre ou de détruire des données et des systèmes informatiques sensibles.
Les types de logiciels malveillants les plus courants sont les virus, les ransomwares, les enregistreurs de frappe, les chevaux de Troie, les vers, les spywares, la publicité malveillante, les scarewares, les portes dérobées et les logiciels malveillants sur mobile.
Attaques de type man-in-the-middle (MITM)
Une attaque de type man-in-the-middle est un type de cyberattaque dans lequel un cyberattaquant écoute une conversation entre deux cibles. Le cyberattaquant peut essayer « d’écouter » une conversation entre deux personnes, deux systèmes ou une personne et un système.
L’objectif de cette attaque est de collecter des données personnelles, des mots de passe ou des informations bancaires, et/ou de convaincre la victime de réaliser une opération comme changer ses identifiants de connexion, effectuer une transaction ou initier un transfert de fonds.
Hijacking de session
Le hijacking de session est une technique de cyberattaque dans laquelle un cyberadversaire prend le contrôle ou détourne, la session d’un utilisateur légitime en obtenant l’identifiant de la session. Une fois que le cybercriminel a pris le contrôle de la session, il peut se faire passer pour l’utilisateur compromis et accéder à n’importe quel système ou actif pour lequel l’utilisateur a des privilèges.
Attaques par force brute
Une attaque par force brute utilise une approche d’essai et d’erreur pour deviner systématiquement les informations de connexion, les identifiants et les clés de chiffrement. Le cyberattaquant tente différentes associations de noms d’utilisateur et de mots de passe jusqu’à ce qu’il trouve la combinaison exacte.
Après avoir réussi, il peut s’introduire dans le système en se faisant passer pour l’utilisateur légitime et y rester jusqu’à ce qu’il soit démasqué. Il en profite pour se déplacer latéralement, installer des portes dérobées, collecter des informations sur le système en vue de les utiliser lors d’attaques ultérieures et de voler des données.
attaques par déni de service distribué (DDoS)
Une attaque par déni de service distribué (DDoS) est une attaque ciblée qui inonde délibérément un réseau de fausses requêtes dans le but de perturber les activités de l’entreprise. Lorsqu’une organisation subit ce type d’attaque, les utilisateurs sont incapables d’effectuer des tâches courantes et nécessaires, comme accéder à la messagerie électronique, à des sites web, à des comptes en ligne ou à d’autres ressources gérées par un ordinateur ou un réseau compromis.
Si la plupart des attaques DDoS n’entraînent pas de perte de données et sont généralement résolues sans versement de rançon, elles coûtent du temps, de l’argent et d’autres ressources à l’entreprise pour le rétablissement des activités stratégiques.
Comment sécuriser les vecteurs d’attaque ?
Il existe un large éventail de vecteurs d’attaque, chacun exploitant une vulnérabilité spécifique, qu’il s’agisse d’une personne, d’un logiciel non corrigé, d’un service mal configuré ou d’un mot de passe faible. Il n’existe pas de mécanisme de défense unique permettant de protéger l’entreprise contre tous les types d’attaques. En outre, il est important de reconnaître que de nombreux vecteurs d’attaque ciblent les personnes, ce qui signifie que la plupart des outils de sécurité, aussi avancés soient-ils, seront d’une utilité limitée pour protéger l’entreprise contre de telles techniques.
La combinaison de vecteurs d’attaques numériques et personnelles explique pourquoi il est si important pour les entreprises d’adopter une approche globale de la sécurité et d’intégrer un ensemble de mesures de sécurité préventives, défensives, proactives et réactives afin de protéger au mieux l’entreprise et ses actifs. Nous partageons ici une liste de bonnes pratiques pour élaborer et déployer une stratégie de sécurité globale :
1. Élaborez un solide programme de formation des employés à la cybersécurité.
Vos collaborateurs constituent votre première ligne de défense. Assurez-vous qu’ils respectent les bonnes pratiques en matière d’hygiène IT — utilisation de mots de passe forts, connexion à des réseaux Wi-Fi sécurisés uniquement et surveillance constante des attaques de phishing — sur l’ensemble de leurs terminaux. Organisez des sessions de formation complètes et régulières afin de sensibiliser les collaborateurs à la sécurité. Ils pourront ainsi mieux comprendre l’évolution du paysage des menaces et prendre toutes les mesures nécessaires pour se protéger eux-mêmes ainsi que l’entreprise contre tous es types de cyberrisques.
2. Contrôlez la configuration du système d’exploitation et veillez à ce que tous les logiciels soient corrigés et mis à jour.
Les cyberpirates sont constamment à la recherche de failles et de portes dérobées à exploiter. En mettant à jour vos systèmes avec vigilance, vous minimiserez votre exposition aux risques connus et limiterez les vecteurs d’attaque qui utilisent des configurations erronées et d’autres vulnérabilités informatiques comme voie d’accès.
3. Donnez la priorité à la protection du cloud
Les adversaires ciblent l’infrastructure cloud de façon agressive. Le nombre de cas d’exploitation du cloud observés a augmenté et les cyberadversaires utilisent un large éventail de TTP (par exemple, mauvaises configurations, vol d’identifiants, etc.) pour compromettre les données et les applications stratégiques des entreprises dans le cloud. Stopper les brèches dans le cloud nécessite des solutions sans agent pour éliminer les erreurs de configuration, les attaques visant le plan de contrôle et celles basées sur l’identité, tout en ajoutant une couche de sécurité pendant l’exécution pour protéger les workloads du cloud.
4. Surveillez en continu votre environnement afin d’identifier les activités malveillantes et les indicateurs d’attaque (IOA).
Utilisez un système EDR pour surveiller tous vos endpoints et capturer les événements bruts à des fins de détection automatique des activités malveillantes non identifiées par les méthodes de prévention.
5. Intégrez la cyberveille à votre stratégie de sécurité.
Surveillez les systèmes en temps réel et consultez les nouveaux renseignements sur les menaces afin d’identifier l’univers d’adversaires susceptibles de cibler votre entreprise. Les données permettant de prévoir le prochain coup des cybercriminels sont indispensables pour adapter vos défenses et prévenir les futures attaques.
6. Protégez-vous contre les cyberattaques basées sur l’identité
Bénéficiez d’une visibilité en temps réel complète sur AD, tant sur site que dans le cloud, et identifiez les administrateurs fictifs, les comptes inactifs, les identifiants partagés et autres voies d’attaque ciblant AD.
Renforcez la sécurité d’Active Directory et réduisez les risques en surveillant le trafic d’authentification et le comportement des utilisateurs. Appliquez des règles de sécurité robustes pour détecter les anomalies de façon proactive.
Activez la surveillance continue afin d’identifier les identifiants faibles, les anomalies d’accès et les mots de passe compromis grâce à l’attribution de scores de risque dynamiques à chaque compte utilisateur et de service.
7. Étendez l’authentification multifacteur (MFA).
Protégez les endpoints non managés grâce à un accès conditionnel basé sur le risque, et étendez la protection par authentification multifacteur (MFA) aux applications et outils d’ancienne génération à l’aide d’analyses propriétaires du comportement des utilisateurs et du trafic d’authentification.
Appliquez des règles cohérentes basées sur le risque pour bloquer, autoriser ou vérifier chaque identité, ou pour activer l’authentification en plusieurs étapes, tout cela de façon automatique.
8. Créez une base de référence des activités des utilisateurs.
Centralisez les données relatives aux activités et au comportement des utilisateurs au moyen de tous les journaux pertinents, notamment les accès, les authentifications et les endpoints.
Exploitez ces données pour créer une base de référence d’activités pour chaque utilisateur, groupe d’utilisateurs, fonction, rôle et terminal, ce qui vous aidera à identifier les activités inhabituelles ou suspectes.
Attribuez un score de risque personnalisé à chaque utilisateur et endpoint pour fournir davantage de contexte à l’équipe de sécurité.
9. Exploitez l’analyse comportementale et l’IA pour identifier les menaces.
Utilisez des outils d’analyse et basés sur l’IA pour surveiller en temps réel le comportement des utilisateurs et des terminaux.
Recoupez les alertes avec les scores de risque pour obtenir davantage de contexte sur les événements et prioriser les interventions.
10. C’est en forgeant qu’on devient forgeron
Réalisez des exercices Red Team / Blue Team. Si la technologie a de toute évidence un rôle essentiel à jouer dans la détection et la neutralisation des intrusions, les équipes de sécurité n’en demeurent pas moins un maillon crucial de la chaîne de blocage des compromissions. Pour les équipes de sécurité, c’est en forgeant qu’on devient forgeron. Mettez en place un environnement qui effectue régulièrement des exercices de simulation en salle et des exercices Red/Blue Team pour identifier les failles et éliminer les lacunes dans vos pratiques et interventions de cybersécurité. Non seulement les équipes de sécurité doivent se former, mais il faut aussi instaurer des programmes de sensibilisation pour les utilisateurs afin de combattre la menace constante du phishing et d’autres tactiques d’ingénierie sociale.
Identifier les vecteurs d’attaque avec CrowdStrike
Chez CrowdStrike, nous pensons qu’une partie essentielle de la prévention et de la défense contre les cyberattaques consiste à comprendre les adversaires qui peuvent cibler votre entreprise et les vecteurs d’attaque sur lesquels ils s’appuient.
Nous proposons de solides services de profilage des acteurs afin d’identifier les adversaires susceptibles de cibler nos clients, ainsi que leurs capacités et leurs intentions. Nous pouvons ainsi élaborer avec nos clients des stratégies personnalisées pour protéger leurs données et leurs actifs les plus exposés et renforcer les défenses dans les domaines les plus souvent exploités par les cybercriminels.
Dans le cadre de nos offres de renseignement humain (HUMINT), nous avons développé CrowdStrike Adversary Universe pour aider les entreprises à mieux comprendre les humains qui se cachent derrière ces attaques et les méthodes qu’ils utilisent.