Comment font les pirates informatiques…

comment-travail-pirate-informatique

Comment sont préparées les attaques des pirates informatiques

Si vous voulez savoir comment les pirates informatiques préparent leurs attaques pour s’introduire dans un ordinateur, une tablette, un téléphone mobile ou carrément dans une entreprise, c’est ce que nous allons expliquer dans cet article.

La méthodologie utilisée par les pirates informatiques

Les pirates informatiques utilisent la méthodologie suivante :

  1. Ils commencent par faire une reconnaissance
  2. Ils passent ensuite à la partie analyse et scan
  3. Avant d’entrer dans l’ordinateur, le smartphone ou le réseau informatique qu’ils ont ciblé
  4. Ils mettent en place un dispositif pour maintenir leur accès frauduleux
  5. Ils récupèrent toutes les informations qui les intéressent
  6. Avant de supprimer toutes traces de leur activité et de leur passage

L’observation et la reconnaissance

Le pirate informatique commence par observer et récupérer un maximum d’informations sur ce qu’il veut pénétrer. Dans le jargon de la cybersécurité, on dit qu’il observe sa cible. Celle-ci peut être :

  • un ordinateur, un téléphone mobile, une tablette,
  • des logiciels,
  • des serveurs,
  • un site internet,
  • le réseau informatique d’une entreprise…

Comment et où collecter des informations pour préparer l’attaque ?

Le pirate va récupérer les informations sur sa cible en suivant le processus suivant :

  1. Il récupère un maximum d’informations générales (on appelle cela une « analyse périmétrique »)
  2. Il affine sa collecte d’informations :
    • les ordinateurs utilisés avec leur système d’exploitation,
    • les antivirus installés,
    • les équipements qui composent le réseau informatique (routeur, firewall, commutateur…),
    • les adresses IP des ordinateurs, des serveurs, des équipements…,
    • les sites internet,
    • les messages d’informations (dits « bannières ») laissés par les équipements et certains logiciels,
    • les sociétés et les prestataires externes…
  3. Il recueille les informations disponibles sans difficulté dans les DNS et celles référencées dans Whois et l’AFNIC.
    Ces informations sont disponibles à tout à chacun sur internet mais depuis quelques années, les informations nominatives ne sont plus disponibles. Auparavant, on pouvait avoir le nom du propriétaire d’un site internet avec son adresse postale.
    Les informations fournies par les DNS donnent des renseignements précis sur les serveurs de messagerie, les serveurs web et de leurs alias, les serveurs utilisés pour des identifications, etc.
  4. Le pirate tri et classe cette collecte d’informations pour voir s’il y a des failles qu’il peut utiliser.
    Cela lui est d’autant plus facile que des sites internet spécialisés donnent les failles et indiquent si elles sont ou non corrigibles… Dans le cas de failles où il n’y a pas de correctif, elles sont appelées « failles Zéro Day ».

Les sites d’offres d’emploi sont une source d’information : une entreprise qui a besoin d’informaticiens va indiquer les systèmes d’exploitation, logiciels, équipements informatiques qu’elle utilise et pour lesquels elle a besoin de compétences. Sans trop de difficulté, on peut même trouver les versions de ces logiciels et équipements. Autant d’informations que le pirate va collecter pour préparer son attaque.

Les données financières communiquées par l’entreprise ciblée par le pirate, peuvent indiquer si une fusion ou une acquisition est envisagée. Dans ce cas, il y a fort à parier que l’informatique de l’entreprise sera concernée et pourra donner lieu à des changements d’équipements, de personnels, d’outils métier, de serveurs, etc. Des informations intéressantes pour le pirate.

En examinant le code source d’un site internet, on peut voir avec quel logiciel il a été construit et en déduire le système d’exploitation du serveur sur lequel il fonctionne. Les langages de programmation utilisés (PHP, .Net, ASP, Javascript…), les commentaires laissés par les développeurs et les cookies permettent au pirate de voir s’il y a des failles de sécurité qui peuvent lui être profitables.

Au niveau de la messagerie électronique, les mails contiennent des données techniques qui ne sont pas affichées par défaut. On les appelle les entêtes SMTP. Parmi ces informations SMTP, on peut avoir :

  • l’adresse IP de l’ordinateur d’où est parti l’email,
  • le logiciel de courrier électronique utilisé (Outlook, Courrier, Mail, Thunderbird…),
  • l’antivirus qui lui est associé,
  • l’adresse IP et la version du serveur de messagerie
  • le chemin qu’a pris le mail avant d’arriver chez son destinataire…

A l’aide de commandes spécifiques tapées dans le moteur de recherche Google, le pirate peut obtenir des informations qui n’apparaissent pas habituellement dans les résultats d’une recherche :

  • des fichiers d’historique,
  • des adresses de pages d’authentification pour accéder à une machine, à un site web…
  • l’arborescence d’un site internet,
  • des fichiers d’une bases de données,
  • la liste des liens figurant dans un site web
  • et si des précautions n’ont pas été prises, des listes de codes d’authentification (noms et mots de passe)…

Sur internet, il y a des sites spécialisés, accessible au grand public mais dont l’utilisateur peut demander des compétences techniques, pour trouver tout ce qui est connecté à internet :

  • des ordinateurs fixes ou portables,
  • des smartphones,
  • des équipements réseau,
  • des webcams…

On peut même choisir le pays, la ville où faire une telle recherche.

Les pirates utilisent 2 techniques pour leur collecte d’informations :

  1. En passant par une reconnaissance dite passive (le pirate n’a aucun contact direct avec sa cible)
  2. En faisant une reconnaissance dite active (le pirate établi un contact avec sa cible par un mail, un échange sur LinkedIn, un groupe de discussions, un réseau social tel que Facebook ou Twitter, etc.)

L’ensemble des informations recueillies permet donc d’avoir une masse d’informations importantes et d’en faire une cartographie. En fonction de ce qui a été recueilli, le pirate peut aller jusqu’à schématiser le réseau informatique de l’entreprise qu’il a ciblé : ordinateurs fixes, ordinateurs portables, serveurs, équipements réseau, dispositifs de sécurité et de protection, etc.

La phase de collecte d’informations s’avère donc être la plus longue lors du processus d’une attaque informatique.

Comment se protéger contre les pirates informatiques

Sensibiliser les employés à la confidentialité des informations dont ils ont connaissance, supprimer les informations techniques inutiles (bannières, système utilisé et numéro de version pour les sites web, informations techniques superflues dans les entêtes des emails, etc.), contrôler les documents diffusés au grand public, maintenir à jour l’informatique, sont quelques unes des règles qu’il faut appliquer pour se protéger des attaques informatiques.

Posez-vous les bonnes questions avant d’être victime d’un pirate informatique

Avant que votre entreprise ne soit victime d’une attaque et que cela puisse avoir de graves conséquences sur son activité, sa comptabilité, sa production, vous pouvez vous poser les bonnes questions :

  • Qu’est-ce qu’un pirate peut faire dans mon entreprise ?
  • Quelles sont les conséquences d’une fuite des informations qui peuvent avoir été dérobées ?
  • Est-ce que je dispose des outils nécessaires pour être alerté d’actions anormales sur l’informatique de mon entreprise ?
  • Est-ce que je suis certain d’avoir des sauvegardes fiables et à jour ?
  • Est-ce que les mesures et les procédures que j’ai mis en place respectent la législation et l’état de l’art en matière de cybersécurité ?

N’hésitez pas à contacter Olivier Informaticien au 09.53.54.70.00 ou en utilisant notre formulaire de contact.