Blog

Top 10 des attaques Web les plus courantes

Top 10 des attaques Web les plus courantes



La sécurité informatique a toujours été un jeu du chat et de la souris. Et l’équipe défensive rattrape toujours l’équipe offensive. En effet, à mesure que nos défenses deviennent plus robustes contre des attaques spécifiques, les attaquants trouvent des moyens de contourner les nouvelles défenses et même de concocter de nouveaux types d’attaques. C’est donc un peu comme un jeu sans fin de Whack-A-Mole.

Dans cet article, nous examinons les 10 attaques en ligne les plus courantes et fournissons des conseils pour vous défendre contre elles.



Quelles sont les attaques en ligne les plus courantes ?

Vous trouverez ci-dessous une liste de 10 des attaques en ligne les plus courantes auxquelles vous pourriez être confronté. Nous aborderons chacun d’entre eux plus en détail, ainsi que la manière d’éviter de devenir une victime.

Voici les attaques en ligne les plus courantes :



  1. Attaques par déni de service (DoS) et par déni de service distribué (DDoS)
  2. Attaques de l'homme du milieu/de l'homme dans le navigateur
  3. Attaques de téléchargement drive-by
  4. Attaques de phishing et de spear phishing
  5. Attaques basées sur des mots de passe
  6. Attaques par injection SQL
  7. Attaques de script intersite
  8. chevaux de Troie
  9. Virus de macro
  10. Rançongiciel

1. Attaques par déni de service (DoS) et par déni de service distribué (DDoS)

Un déni de service ( Deux ) est une attaque dans laquelle les requêtes inondent un serveur au point qu'il ne peut plus faire face à la charge et plante. Un déni de service distribué ( DDoS ) est essentiellement la même attaque, sauf qu’elle est lancée depuis un botnet : plusieurs autres machines hôtes qui ont également été compromises et sont sous le contrôle de l’attaquant.

Contrairement à la plupart des attaques en ligne, conçues pour permettre à l’attaquant d’accéder aux ressources du système, les attaques par déni de service en elles-mêmes ne permettent pas aux attaquants d’accéder à des ressources. Cependant, une fois le serveur mis hors ligne, il peut être vulnérable à d’autres types d’attaques qui profitent directement à l’attaquant, comme le détournement de session.

L’attaque par déni de service la plus courante est une attaque par inondation TCP SYN. Dans cette attaque, l'attaquant inonde le serveur de requêtes d'initialisation de session TCP mais ne répond jamais lorsque le serveur répond à ces requêtes. Après un certain temps, le serveur expire en attendant une réponse et ne répond plus ou plante complètement.

Atténuations

  • Assurez-vous que votre serveur est derrière un pare-feu et configuré pour bloquer tout le trafic qui n'est pas nécessaire au fonctionnement du serveur.
  • Augmentez autant que possible la taille de la file d’attente de connexion de votre serveur.
  • Réduisez le délai d’expiration configuré de votre serveur pour les connexions ouvertes.
  • Les services d’atténuation DDoS (proxy inverses), comme Cloudflare, pourraient valoir la peine d’être étudiés.

2. Homme du milieu / homme dans le navigateur

Si un tiers parvient à s’interposer entre votre appareil et le site/l’application Web auquel vous êtes connecté, vous venez d’être victime d’une attaque de type « homme du milieu ». Il existe en fait deux types d'attaques de l'homme du milieu : les attaques de l'homme du milieu appropriées, qui s'étendent à l'ensemble du système, et attaques de l'homme dans le navigateur , qui sont limités au trafic de votre navigateur Web. Les deux versions de l’attaque fonctionnent de la même manière ; la seule différence est leur étendue (navigateur ou système complet).

Dans les deux versions de l'attaque, l'homme du milieu a la capacité d'observer et de modifier le trafic lorsqu'il passe entre votre navigateur/système et les serveurs Web auxquels vous vous connectez. Ils peuvent le faire parce que l’homme du milieu agit essentiellement comme un serveur proxy entre votre appareil et le serveur Web. Parce qu’il se situe « au milieu » de cette connexion, l’homme du milieu peut intercepter et modifier le contenu de ce qui est transmis et reçu.

Étant donné que l'attaquant dans une attaque de l'homme du milieu peut manipuler le trafic entrant et sortant de votre navigateur, il peut modifier les messages que vous recevez, rediriger votre trafic, manipuler DNS réponses, etc. Si vous êtes victime d’une attaque de l’homme du milieu, vous ne pouvez tout simplement pas faire confiance à ce qui est affiché dans votre navigateur.

Alors que l'utilisation de TLS/HTTPS peut aider à atténuer cette attaque, ce n’est pas infaillible. Les attaquants ont généralement du mal à usurper les certificats utilisés par le serveur pour s'authentifier auprès du navigateur. Mais de nombreux internautes ont été conditionnés à ignorer les avertissements du navigateur et à cliquer dessus lorsqu'ils apparaissent. Ainsi, les attaquants utiliseront fréquemment un certificat invalide/auto-signé et, dans de nombreux cas – voire la plupart – les utilisateurs ignoreront l’avertissement de leur navigateur et l’attaque réussira quand même.

Atténuations

  • Je ne saurais trop insister sur cette mesure d’atténuation : n’ignorez pas les avertissements de votre navigateur – mais ne le faites pas. Si votre navigateur affiche un avertissement indiquant que vous accédez peut-être à un site malveillant ou qu'il existe une incompatibilité de certificat TLS/HTTPS, ne l'ignorez pas. Soyez très attentif et suivez les conseils de votre navigateur (sauf si vous savez absolument qu’il s’agit d’un faux positif). Et même dans ce cas, si vous avez des raisons de douter, essayez une autre machine ou une autre connexion Internet.
  • N'utilisez pas le WiFi public sans VPN. Les hotspots non sécurisés sont une mine d’or pour les acteurs malveillants. Le cryptage d’un VPN rendra les attaques de l’homme du milieu beaucoup plus difficiles, voire impossibles, à réaliser.
  • Les administrateurs de sites Web doivent s'assurer que leurs sites utilisent TLS/HTTPS.

3. Attaques par téléchargement au volant

UN téléchargement en voiture est un téléchargement qui se produit sans le savoir lorsqu'un utilisateur visite un site Web. Le téléchargement drive-by peut se produire lorsque l’utilisateur télécharge autre chose, mais ce n’est pas obligatoire. La plupart de ces téléchargements s'effectuent sans aucune intervention de l'utilisateur. Les attaques par téléchargement drive-by sont l’un des moyens les plus courants de propagation des logiciels malveillants.

Les acteurs malveillants recherchent généralement des sites Web non sécurisés pour insérer des scripts malveillants dans leur code HTTP ou PHP. Ces scripts pourraient installer directement des logiciels malveillants sur la machine du visiteur sans méfiance ou rediriger le visiteur vers un autre site contrôlé par les pirates. Comme indiqué ci-dessus, les téléchargements drive-by ne nécessitent généralement aucune intervention de l’utilisateur pour mener à bien l’attaque. Ils peuvent se produire lorsqu'un utilisateur visite un site Web, ouvre un e-mail ou clique sur une fenêtre contextuelle.

Atténuations

  • Les téléchargements drive-by tentent généralement d'exploiter les vulnérabilités de sécurité trouvées dans les navigateurs Web, les applications et les systèmes d'exploitation. Il est donc crucial de les maintenir à jour afin que votre appareil dispose de tous les derniers correctifs de sécurité.
  • Limitez le nombre d'applications installées sur votre appareil à ce qui est réellement nécessaire. Cela réduit votre surface d’attaque.
  • Limitez le nombre de plugins de navigateur Web que vous utilisez. Les plugins de navigateur sont un vecteur courant de vulnérabilités qui permettent des attaques par téléchargement par lecteur.

4. Attaques de phishing et de spear phishing

Hameçonnage les attaques sont une forme d'ingénierie sociale qui tente de tromper un utilisateur sans méfiance en lui faisant fournir des informations sensibles (numéros de carte de crédit, mots de passe, etc.). Les attaquants enverront à leurs victimes un e-mail ou un SMS d'apparence légitime (ou un appel téléphonique, d'ailleurs) qui semble provenir d'une source fiable (votre banque, un fournisseur de services avec lequel vous entretenez une relation, un ami ou un membre de votre famille). membre). Il peut s'agir d'un e-mail contenant une pièce jointe qui télécharge des logiciels malveillants sur votre ordinateur lorsque vous cliquez dessus. Ou encore, il peut s’agir d’un lien vers un site Web d’apparence légitime sous le contrôle de l’attaquant qui tente de vous inciter à télécharger des logiciels malveillants ou à transmettre vos informations personnelles.

Hameçonnage est un type d’attaque de phishing qui suit le même principe que ci-dessus, sauf qu’il cible un utilisateur spécifique. Dans une attaque de spear phishing, les attaquants recherchent leur cible et élaborent des messages personnels et pertinents pour cette cible. Le mode opératoire des deux attaques est donc essentiellement le même (faux e-mails, SMS, sites Web), mais cette dernière est plus finement adaptée à une cible spécifique. Pour cette raison, le spear phishing peut être plus difficile à identifier et à combattre.

Atténuations

  • Achetez uniquement des produits bien évalués et authentiques antivirus logiciel auprès de fournisseurs légitimes et configurez-le pour exécuter des analyses fréquentes à intervalles réguliers.
  • Ne cliquez jamais sur les pop-ups . Juste. Ne le faites pas. Faire. Que. Vous ne savez jamais où ils vous mèneront.
  • Si votre navigateur affiche un avertissement à propos d'un site Web auquel vous essayez d'accéder, Faites attention et obtenez les informations dont vous avez besoin ailleurs.
  • N'ouvrez pas les pièces jointes dans les e-mails à moins que vous puissiez confirmer qui a envoyé l'e-mail et savoir quelle est la pièce jointe.
  • Ne cliquez pas sur les liens (URL) dans les e-mails à moins que vous sachiez exactement qui a envoyé l'URL et où elle renvoie. Mais avec les URL, vous pouvez aller un peu plus loin en inspectant attentivement le lien. Est-ce un lien HTTP ou HTTPS ? L'écrasante majorité des sites légitimes utilisent HTTPS . Le lien contient-il des fautes d'orthographe (faceboook au lieu de facebook) ? Si vous pouvez accéder à votre destination sans utiliser le lien (via des favoris ou un moteur de recherche, par exemple), faites-le plutôt.
  • Ne répondez pas aux e-mails ou aux SMS qui vous demandent des informations personnelles . C’est un signe classique d’une escroquerie par phishing. Les organisations légitimes ne vous demanderont jamais d'informations personnelles par e-mail ou par SMS lorsqu'elles vous contactent.
  • Limitez la quantité d’informations personnelles que vous publiez sur Internet. Le risque que vous soyez victime d’une attaque de spear phishing est proportionnel à la quantité d’informations personnelles disponibles publiquement à votre sujet. Plus les attaquants peuvent obtenir d’informations sur vous, plus leur stratagème de spear phishing peut être convaincant. Internet est un endroit hostile. Avant de publier quelque chose de révélateur, demandez-vous si c’est vraiment nécessaire ou non.

5. Attaques basées sur des mots de passe

La meilleure façon d’entrer dans une maison est par la porte d’entrée. Cela est également vrai pour vos comptes en ligne. Si un acteur malveillant parvient à mettre la main sur vos informations d’identification, il peut accéder à vos informations, modifier votre compte, changer votre mot de passe et vous empêcher d’accéder à votre propre compte.

Il existe de nombreuses attaques basées sur des mots de passe. Certains sont sophistiqués, tandis que d’autres sont plutôt simplistes. Mais ils partagent tous le fait que vos mots de passe ont été divulgués.

Les attaques notables basées sur les mots de passe incluent :

  • Force brute /Attaques de dictionnaire – Un attaquant utilise un logiciel spécialisé pour tenter de « deviner » le mot de passe de la victime. Le logiciel est capable d'essayer des milliers de mots de passe par minute.
  • Attaques de credential stuffing – Les acteurs malveillants utilisent des listes d’identifiants compromis pour tenter de se connecter à un large éventail de comptes en ligne.
  • Attaques de dumping d'informations d'identification – Des acteurs malveillants piratent votre appareil et volent vos informations d’identification, généralement à partir de la mémoire vive (RAM) de l’appareil.
  • Passer les attaques de hachage (PtH) – Des acteurs malveillants volent un identifiant d'utilisateur haché – et non le mot de passe lui-même – et utilisent le hachage pour tromper le mécanisme d'authentification afin de créer une nouvelle session authentifiée au sein du même réseau. Leur objectif est d'utiliser l'ensemble initial d'informations d'identification pour se déplacer latéralement entre les appareils et les comptes dans l'espoir d'augmenter leurs autorisations d'utilisateur pour accéder aux systèmes critiques, comme le compte d'administrateur réseau.
  • Attaques masquées – Un attaquant se fait passer pour un utilisateur légitime pour accéder à un appareil. Cela peut se produire via le vol d’informations d’identification (généralement via un stratagème de phishing), l’exploitation de bogues logiciels ou le contournement du processus d’autorisation lui-même.

Atténuations

  • Vous devez limiter les autorisations des utilisateurs autant que possible. La mise en œuvre du principe des moindres privilèges est fortement recommandée, fournissant à chaque utilisateur de votre organisation le moins d'autorisations requises pour faire son travail et rien de plus. Cela limitera les dégâts si l’un de vos comptes utilisateur est compromis par une attaque par mot de passe.
  • Mettez en œuvre la signature de code numérique. La signature numérique empêche l'exécution de logiciels non autorisés à moins qu'ils ne soient signés par une entité de confiance. Tout comme les autorisations limitées, cela peut limiter ce qu’un attaquant peut faire s’il met la main sur vos informations d’identification.
  • Installation authentification à deux facteurs (2FA) sur tous les comptes qui le prennent en charge. 2FA rend plus difficile pour un attaquant d’abuser de vos informations d’identification, et cela peut sembler plus problématique que cela n’en vaut la peine pour beaucoup d’entre eux.
  • Appliquez des exigences strictes en matière de mots de passe dans votre organisation. Bien que cela puisse paraître évident, vous seriez surpris par le nombre d’organisations qui permettent à leurs utilisateurs de créer des mots de passe faibles. Les mots de passe forts constituent votre première ligne de défense. Les utilisateurs ne doivent pas être autorisés à utiliser des mots de passe faibles. Assurez-vous qu’ils sont aussi forts que possible dans votre organisation.

6. Attaques par injection SQL

Injection SQL est l’une des attaques en ligne les plus répandues et les plus réussies de la dernière décennie. Lors d'une attaque par injection SQL, des acteurs malveillants envoient des commandes SQL à un serveur Web pour accéder, modifier ou voler des données stockées sur le serveur – la charge utile classique.

Les attaquants peuvent compromettre les formulaires Web, les cookies ou les publications HTTP d’un serveur et les « inciter » à injecter leur code malveillant dans le navigateur de la victime. Et le navigateur exécutera automatiquement le code car il le considère comme provenant d’une source fiable. Une fois que les attaquants peuvent accéder au navigateur de l’utilisateur, ils vont vaquer à leurs occupations et récolter leurs informations sensibles.

Atténuations

  • Ne faites jamais confiance aux entrées des utilisateurs. Assurez-vous toujours que votre serveur Web nettoie et filtre les entrées des utilisateurs.
  • Limitez les fonctions pouvant être exécutées via des commandes SQL.
  • Déployez des pare-feu d'applications Web pour protéger votre organisation contre les attaques par injection SQL.
  • Activez l'en-tête Content Security Policy (CSP), qui fournira à votre serveur une couche de sécurité supplémentaire en codant en dur les ressources autorisées à se charger sur une page Web donnée.
  • Activez l'indicateur HTTPOnly pour réduire les chances que les scripts côté client puissent accéder aux cookies protégés.
  • Encodez la sortie des réponses HTTP de votre serveur pour vous assurer que les navigateurs Web ne les interprètent pas comme étant du contenu actif et exécutant le code qu'il contient.

7. Scripts intersites

Scripts intersites (XSS) manipulent un serveur Web pour qu'il transmette des scripts côté client malveillants au navigateur de la victime, qui les exécutera sans aucune intervention de l'utilisateur. Une fois exécuté, le script malveillant exfiltre généralement les informations sensibles du serveur, télécharge et installe des logiciels malveillants ou redirige le navigateur de la victime vers un site Web malveillant contrôlé par l'attaquant.

Comme c’est le cas pour les attaques par injection SQL, les scripts intersites dépendent de l’incapacité d’un serveur Web à nettoyer correctement les entrées des utilisateurs. En raison de cet échec, un code malveillant peut être poussé vers le serveur, qui le renvoie involontairement à ses utilisateurs légitimes. Cette vulnérabilité peut également permettre Attaques CSRF , détournement d'action de formulaire , détournement de session , et Attaques SSRF .

Atténuations

  • Encore une fois, ne faites confiance à aucune entrée de l’utilisateur et nettoyez-la toujours. C’est la mesure d’atténuation la plus importante.
  • Et comme pour les mesures d'atténuation des injections SQL ci-dessus, activez l'en-tête Content Security Policy (CSP), l'indicateur HTTPOnly et codez la sortie des réponses HTTP de votre serveur afin que les navigateurs Web n'exécutent pas le code intégré.

Logiciel malveillant

Les trois prochaines attaques Web sont des formes de malware (chevaux de Troie, virus de macro et ransomwares) et ils sont aussi graves que courants – ils figurent donc dans notre Top 10. Cependant, leurs atténuations sont essentiellement les mêmes, donc pour plus de commodité, nous les avons répertoriés après le 10ème point comme ils s'appliquent aux trois. Vous remarquerez également un certain chevauchement avec les mesures d’atténuation du phishing et du spear phishing, mais c’est la nature de la bête. On peut tolérer un peu de redondance au nom de la clarté.

8. Chevaux de Troie

UN troyen n’est pas un virus, bien qu’il fasse partie de la famille des « malwares ». Contrairement à un virus informatique, un cheval de Troie ne se réplique pas en infectant d’autres fichiers ou ordinateurs. Un cheval de Troie est un leurre qui peut bien finir par télécharger des virus sur votre machine, mais ce n'est pas en soi un virus. Un cheval de Troie est essentiellement un petit logiciel malveillant caché dans un programme utile. Une fois installé, un cheval de Troie peut :

  • Établir un porte arrière que les attaquants peuvent exploiter.
  • Volez vos informations sensibles et transmettez-les à un serveur malveillant.
  • Téléchargez plus de logiciels malveillants et de virus.
  • Prenez le contrôle de votre appareil
  • Et plus

9. Macrovirus

Virus de macro infecter des applications comme Microsoft Word ou Excel. On les appelle virus de macro car ils sont écrits dans le langage macro utilisé par les applications qu’ils infectent. Un langage macro est un langage de programmation simple qui permet aux utilisateurs d'écrire et d'exécuter des tâches automatisées en séquence. Ce « raccourci » s’appelle une macro. Si les macros sont activées dans l’application, des macros légitimes et des virus de macro s’exécuteront pendant la séquence d’initialisation d’une application. Heureusement, Microsoft les a désormais désactivés par défaut, mais de nombreux utilisateurs leur permettent de travailler de manière plus productive. Ainsi, malgré les mesures prises par Microsoft, les virus de macro restent un vecteur d’infection sérieux.

Une fois infectés, les virus de macro peuvent faire tout ce que le langage de macro dans lequel ils sont écrits le prend en charge. Cela signifie:

  • Création de nouveaux fichiers
  • Déplacer du texte
  • Transmission de fichiers
  • Insérer des images ou des vidéos dans des documents
  • Modèles de documents corrompus afin que tous les nouveaux documents créés à partir de ce modèle soient infectés
  • Les virus de macros pourraient même formater votre disque dur

10. Ransomwares

Rançongiciel est un type de malware qui crypte les données de la victime. L'attaquant demande alors une rançon à la victime en échange de la clé de déchiffrement.

Il existe d’autres formes de ransomwares qui ne chiffrent pas nécessairement les données de la victime. Mais ils la rendent inaccessible à l'utilisateur et exigent le paiement d'une rançon pour en récupérer l'accès, sous peine de publier les données ou de les détruire. Dans les deux cas, il s’agit d’une attaque grave qui peut détruire la réputation et les moyens de subsistance des populations.

Atténuations

  • Utiliser un pare-feu – Chaque système d'exploitation majeur fournit un pare-feu entrant intégré, et tous les routeurs commerciaux disponibles dans le commerce disposent d'un pare-feu intégré. Pare-feu NAT . Assurez-vous de les activer.
  • Utilisez un programme antivirus – Et n’achetez que des logiciels antivirus authentiques et bien évalués auprès de fournisseurs légitimes. Une fois installé, configurez-le pour exécuter des analyses fréquentes à intervalles réguliers.
  • Gardez votre système d'exploitation et vos applications à jour – Les dernières mises à jour du système d’exploitation et des applications contiennent les derniers correctifs de sécurité. Assurez-vous d'installer les mises à jour/correctifs dès qu'ils sont disponibles.
  • Ne cliquez jamais sur les fenêtres pop-up - Jamais.
  • N'ignorez pas votre navigateur s'il affiche un avertissement sur le site Web auquel vous essayez d’accéder. Soyez attentif et trouvez les informations dont vous avez besoin ailleurs.
  • Ne téléchargez jamais de logiciel piraté – Nous aimons tous les choses gratuites. Mais ceux qui téléchargent des logiciels piratés cherchent généralement à gagner de l’argent, soit en compromettant votre système, soit en vendant vos informations à d’autres acteurs malveillants.
  • N'ouvrez pas les pièces jointes des e-mails à moins que vous puissiez identifier et faire confiance à l'expéditeur. Les virus arrivent par courrier et vous devez toujours analyser votre courrier entrant avec un programme antivirus.
  • Faites des sauvegardes régulières de vos appareils – Des sauvegardes régulières vous permettront de récupérer vos fichiers si jamais votre appareil est infecté.
  • Ne cliquez pas sur les liens (URL) dans les e-mails à moins que vous sachiez exactement qui l'a envoyé et où il renvoie. Vous devez également examiner attentivement le lien. Est-ce un lien HTTP ou HTTPS ? La plupart des sites légitimes utilisent aujourd'hui HTTPS. Le lien contient-il des fautes d'orthographe (google au lieu de google) ? Si vous pouvez accéder à la destination sans utiliser le lien (c'est-à-dire via un signet ou en utilisant un moteur de recherche), vous devriez plutôt le faire.

Conclure

Voilà donc le Top 10 des attaques Web. Et quelle que soit leur place sur la liste, vous voulez les éviter tous. Même si ces publications de type « Top 10 » ne donnent qu’une vue d’ensemble de chaque type d’attaque, j’estime qu’elles sont utiles dans la mesure où elles permettent aux internautes moins férus de technologie de savoir à quoi se méfier. Espérons que les conseils fournis en guise d’atténuation aideront les techniciens et les non-techniciens à vivre une expérience en ligne plus sûre.

Comme toujours, restez en sécurité.

^