06 - LES GRANDES PH...
 
Notifications
Clear all

06 - LES GRANDES PHASES D’INTRUSION SUR UN RÉSEAU INFORMATIQUE : LA KILL CHAIN


Michael
Membre Admin
Inscription: Il y a 4 ans
Posts: 39
Topic starter  

Ce sujet est un peu plus technique, mais il a pour but de vous faire comprendre comment les hackers procèdent pour lancer une attaque informatique.

En 2011, la société américaine Lockheed Martin a modélisé les cyberattaques en 7 phases. Les attaques passent par les différentes phases de ce modèle appelé « Kill Chain » :

  • La reconnaissance: l’attaquant choisit sa cible, se renseigne sur son environnement professionnel et personnel. Il va aussi déterminer quelles failles peuvent être utilisées.
  • Armement: C’est l’étape de choix ou de création du logiciel malveillant (ransomware, virus), en fonction du contexte déterminé à l’étape précédente.
  • Livraison: l’envoi de l’arme. Par exemple un email avec le logiciel en pièce jointe ou une clé USB déposée à proximité de la cible.
  • Exploitation: Une fois le logiciel ouvert par la cible, il exploite la vulnérabilité.
  • Installation: le logiciel s’installe sur le terminal (PC, Serveur, Smartphone…) et ouvre en générale une porte dérobée qui sera utilisée dans les étapes suivantes.
  • Commande et contrôle (C&C) : Le logiciel malveillant permet à l’attaquant de prendre le contrôle à distance de le terminale cible. Il peut à ce moment-là récupérer tout ce que vous tapez au clavier, affichez à l’écran. Il peut lire tous vos fichiers, démarrer la caméra, redémarrer votre ordinateur….

A ce stade, l’attaquant n’a encore rien volé ni détruit. La plupart du temps, il n’a pas été détecté. Il va alors attendre le moment propice pour passer aux étapes suivantes. En moyenne, dans les entreprises, les attaquants attendent 3 mois avant de passer à l’action.

  • Actions: Le hackers effectue l’action finale de son attaque. Il peut chiffrer toutes les données dans le cas d’un Ransomware, exfiltrer les données pour le vol, détruire des biens, etc…

D’autres modèles plus complexes sont utilisés, notamment le modèle ATT&CK édité et maintenu à jour par l’organisme MITRE. Ce modèle sert aux Security Operating Center (SOC) pour leur permettre de mettre en place des contre-mesures en fonction de chaque phase des attaques.

This topic was modified Il y a 8 mois 4 times by Michael

Quote