22 - DÉCOUVREZ 3 GR...
 
Notifications
Retirer tout

22 - DÉCOUVREZ 3 GRANDES ATTAQUES QUI ONT MARQUÉ LE MONDE DE LA CYBERSÉCURITÉ, CES DERNIÈRES ANNÉES


Michael
Membre Admin
Inscription: Il y a 4 ans
Posts: 39
Début du sujet  

Il n’existe pas de classement des plus grandes attaques informatiques, mais voici 3 attaques de différents types, qui ont marqué le monde de la cybersécurité. 

WannaCry, sans doute l’attaque la plus connue 

Le monde de la cybersécurité a basculé le 12 Mai 2017, jour du déclenchement de l’attaque mondiale WannaCry. C’est l’attaque informatique qui a transformé la vision des risques cyber dans de nombreuses entreprises, risque passant de possible à probable. 

WannaCry est ce qu’on appelle un « Cheval de Troie ». Son principe de propagation est l’utilisation d’une faille de sécurité majeure qui touchaient toutes les versions de Windows : EthernalBlue. Une fois un ordinateur infecté (par une pièce jointe dans un email, un phishing etc…), le logiciel WannaCry scanne le réseau où il est installé et détecte tous les ordinateurs vulnérables à EthernalBlue. Il se propage alors silencieusement, pendant un mois (du 14 Avril au 12 Mai), à l’ensemble des PC vulnérables. 

La faille EthernalBlue avait été détectée depuis un certain temps (au moins 1 an) par la NSA, qui l’avaient gardé secrète pour l’utiliser comme moyen d’espionnage. Début 2017, la NSA informe Microsoft que la faille a fuitée et qu’il est nécessaire de la corriger au plus vite. Le patch d’EthernalBlue sort le 14 avril 2017 (MS17-010), mais n’est malheureusement que trop peu installé. 

Le 12 Mai 2017, la charge du virus se déclenche. Le ransomware commence à chiffrer les fichiers sur l’ensemble des ordinateurs infectés dans le monde. Les victimes prises en otage doivent payer une rançon de 300$ dans les 3 jours, puis 600$ dans la semaine, pour récupérer leurs données. 200 000 ordinateurs dans 150 pays auraient été infectés par WannaCry, pendant ces 3 jours. 

Pour chiffrer les données, le ransomware utilisé une clé « publique ». Seule une clé « privée », uniquement connue par celui qui a généré les clés, était alors en mesure d’inverser l’algorithme et déchiffrer les données. Pour démarrer le chiffrage des fichiers, le Ransomware doit surfer sur un site Internet pour récupérer la clé publique, puis démarrer le chiffrage. Dans le cas de WannaCry, il suffisait d’empêcher cette étape de récupération pour bloquer l’agissement du virus, qui devenait alors qu’un simple programme inutile. C’est ce que le monde informatique a mis en œuvre le 15 Mai pour bloquer l’attaque.  

A ce jour, nous n’avons aucune certitude sur l’identité des auteurs des faits. Des enquêtes évoquent cependant le manque d’expertise des pirates, qui n’auraient récupérés qu’une centaine de milliers de dollars, faible montant pour un ransomware de cette ampleur. 

Plus de détails :  https://blog.xmco.fr/synthese-des-elements-disponibles-concernant-wannacry/  

SunBurst, la dernière attaque qui fait l’actualité 

Depuis une dizaine de jours, l’actualité évoque une attaque contre le gouvernement américain. Cette attaque, appelée SunBurst, prend le même chemin qu’un ransomware connu : NotPetya. Elle utilise une attaque de type « Supply-chain attack » pour introduire du code malveillant dans une mise à jour logicielle. Pour SunBurst, il s’agit d’Orion, un logiciel d’administration du réseau informatique édité par SolarWinds. C’est l’un des logiciels très répandu, permettant d’automatiser des tâches d’administration des équipements de sécurité et de réseauLes ordinateurs où Orion est installé ont donc accès, avec des privilèges avancés, à toute l’infrastructure des organisations. Le logiciel qui a été introduit dans le code d’Orion est une porte dérobée permettant de prendre la main à distance (C&C), et donc de s’introduire de manière permanente dans l’entreprise. 

En quelques mois, le logiciel a été mis à jour environ 18 000 fois, déployant le code malveillant aux seins de nombreuses entreprises et administrations. Solarwinds a comme client 425 des 500 plus grosses entreprises dans le monde, les 5 branches de l’armée américaine, ou encore la NASA. 

Deux répercussions s’avèrent particulièrement inquiétantes. La première est le vol de codes sources chez FireEye, qui édite des outils pour détecter les failles de sécurité dans les entreprises. Ils contiennent donc l’ensemble des stratégies d’attaques actuelles et la méthodologie pour les détecter. C’est comme fournir aux voleurs les plans d’une banque, avec les moyens connus pour ouvrir le coffre. 

Seconde répercussion, l’espionnage des emails du trésor et du département du commerce Américain. Pendant des mois, les hackeurs ont eu accès à l’ensemble des échanges aux seins de ces deux départements clés de l’administration américaine.  

FireEye indique que l’attaque est particulièrement compliquée à mettre en œuvre, car elle consiste à injecter manuellement le code malveillant dans le processus de création du logiciel Orion. La difficulté de ce mode opératoire indique la signature probable d’une organisation étatique. La plus probable étant le groupe « Cozy Bear », liée aux services de renseignement Russe. Nous n’avons donc probablement pas fini d’entendre parler des conséquences de cette attaque, et de potentielles représailles … 

Stuxnet, l’attaque la plus inquiétante 

Stuxnet est l’attaque la plus importante revendiquée par un état. L’attaque a permis aux gouvernements américain et israélien de perturber le programme nucléaire iranien pendant plusieurs annéesElle ciblait les centrifugeuses de la centrale de Natanz, dont elle perturbait légèrement le fonctionnement, entraînant la destruction de plusieurs centaines d’entre elles. 

L’introduction du virus dans la centrale, isolée d’Internet, a probablement dû se faire par le biais d’une clé USB ou d’un ordinateur portable, et devait rester cantonné à ce réseau spécifique. Ce virus a pour caractéristiques d’être particulièrement viral. Il a malheureusement aussi été introduit sur Internet, probablement par erreurIl s’est répandu sur un très grand nombre d’ordinateurs, partout dans le monde, ce qui a rendu publique l’attaque étatique contre le programme nucléaire iranien. 


Citation