Les attaques dites « directes » sont celles par lesquelles un attaquant va s'attaquer de manière très concrète à votre mot de passe ou au système d'authentification.
Ce type d’attaque lui permet de récupérer vos identifiants et mots de passe pour se connecter ensuite sur votre compte en utilisant les mêmes moyens que les vôtres.
L'attaque par force brute est la première attaque à connaître car il s'agit de l’attaque directe la plus simple.
Elle consiste tout simplement à tester tous les mots de passe possibles un à un jusqu'à tomber sur le bon, c’est pourquoi elle est souvent considérée comme l'attaque la moins rapide.
Un individu malveillant pourra par exemple utiliser un programme qui testera automatiquement et successivement les mots de passe :
« a… b… c... aa… ab… ac… »
…et ainsi de suite jusqu'à trouver le bon mot de passe.
L'attaque par dictionnaire suppose que vous allez utiliser un mot de passe facile à retenir, comme un lieu de naissance, un prénom, une date marquante ou des combinaisons de ces différents éléments.
Dans ce cas, l’attaquant peut recourir à de l'ingénierie sociale pour trouver des informations vous concernant par exemple en recherchant sur les réseaux sociaux, et réussir plus rapidement son attaque
Pour préparer cette attaque, les attaquants fabriquent des « dictionnaires » composés d’une liste de mots de passe potentiels contenant des mots du dictionnaire (de langue française ou étrangère), avec plus ou moins de personnalisation selon la personne, la nationalité, l'âge, etc.
Des dictionnaires prêts à l’emploi et adaptés à la langue de la cible sont disponibles sur Internet et certains plus complets peuvent aussi s'acheter ou s'échanger entre attaquants.
Notez que les attaques par force brute commencent très souvent par des attaques par dictionnaire, afin de tester les mots de passe les plus vraisemblables dans un premier temps.
Une variante de l’attaque par dictionnaire est l’attaque par permutation.
Elle consiste à fabriquer des dictionnaires en modifiant certains caractères. Les attaquants se servent ainsi des ruses utilisées par la plupart d'entre nous par exemple un @ à la place d'un a, le chiffre 0 à la place d'un O, ajouter 123 après un mot, etc.
Le dictionnaire est l'ensemble des mots « communs » (qu'ils soient génériques ou spécifiques à la victime) et les règles de permutation vont effectuer les transformations sur le mot à la volée en changeant par exemple le mot ballon par « b@llon » ou encore « b@11on ».
L'attaque peut être facilitée lorsqu'il est possible de la « distribuer », autrement dit de répartir la charge de travail entre plusieurs ordinateurs en testant un ensemble de mots de passe en parallèle.
Ainsi, un attaquant qui aurait accès à 10 000 ordinateurs et qui pourrait lancer son programme sur ces 10 000 ordinateurs en distribuant les calculs, pourrait accélerer de 10 000 fois le temps de calcul de son attaque.
D’autres attaques nommées « attaques de proximité » regroupent toutes les attaques qui seront sans intermédiaire, qu’il s’agisse d’humain ou de machine.
Il peut s’agir d’un coup d'œil au-dessus de votre épaule lors de vos opérations au distributeur automatique de billets, ou encore d’un visiteur dans l'entreprise qui regarde sous le clavier s'il n'y a pas un post-it ou si le mot de passe de l'équipe n'est pas noté au tableau.
Les prestataires de services externes à l'entreprise et disposant d'un accès aux locaux sont également des attaquants de proximité possibles.
On désigne ces attaques par le terme anglais « evil maid attack ».
D'autres attaques peuvent être plus sophistiquées comme un hall de gare avec une caméra équipée d’un bon zoom, ou plus complexe mais très efficace, comme deviner le mot de passe par écoute du spectre électromagnétique du clavier dans la salle, comme l'a réalisée l'École Polytechnique Fédérale de Lausanne en 2008.
Une autre attaque consiste à piéger un matériel informatique (poste de travail, téléphones portables, équipements de paiements, etc.).
Ce piégeage peut concerner n'importe quelle partie de l'équipement : port USB, carte mère, disque dur, clavier, lecteur de carte, etc.
Ces attaques nécessitent que l'attaquant ait un accès physique au matériel ce qui lui fait prendre un risque.
Mais l'enjeu peut en valoir la peine et c'est la raison pour laquelle ces attaques sont malgré tout non seulement réalistes mais même assez courantes (en particulier, dans le monde de la monétique).
Certaines attaques peuvent être combinées : elles profitent d'un défaut de conception du matériel (port FireWire à une certaine époque) pour récupérer des données (mot de passe par exemple) ou modifier le système d'exploitation en fonctionnement. Quelques secondes peuvent suffire et il est quasiment impossible de s'en rendre compte.
Les attaques matérielles sont souvent très difficiles à détecter.
C'est pourquoi, si vous pensez que votre équipement contient des données suffisamment sensibles pour qu'il puisse être une cible, vous devez le conserver en permanence sous votre contrôle (sur vous ou dans un lieu réputé sûr).
Plutôt que de mener une attaque complexe, un attaquant pourra donc se contenter de corrompre votre poste pour y récupérer des mots de passe.
Des keyloggers, ou enregistreurs de frappe sont ainsi disponibles pour une cinquantaine d'euros, à brancher au niveau des ports USB de votre poste, ou directement au niveau de la carte mère.
Ces enregistreurs peuvent ensuite être récupérés par l'attaquant, mais ces dispositifs peuvent aussi parfois envoyer les frappes enregistrées par réseau wifi ou 3G.
Il suffit alors à un individu malveillant de les brancher entre votre câble USB de clavier et votre unité centrale pour récupérer l’ensemble des caractères que vous saisissez au clavier, dont vos mots de passe
Ce piégeage peut aussi être réalisé par un programme malveillant (virus, maliciel, etc.) qui lui aussi enregistrera toutes les frappes clavier et les transmettra par Internet aux individus qui contrôlent le programme en question.
Certains sont mis à disposition gratuitement sur Internet.
D'autres, plus perfectionnés, sont en vente libre (leur prix varie généralement en fonction de leur capacité de contournement des protections antivirus).
Notez que lorsque le disque dur d'un ordinateur n'est pas chiffré, il est possible d'en extraire beaucoup d'informations sans avoir besoin de connaître le mot de passe de l'utilisateur.
Pour éviter que vos mots de passe ne soient facilement interceptés, ne les écrivez pas sur un post it, ne les sauvegardez pas dans un fichier texte utilisé comme mémo et ne les partagez pas par e-mails.
Les solutions de chiffrement sont encore assez peu utilisées mais elles permettent de rendre le contenu du disque illisible par un individu malveillant qui ne possède pas le mot de passe de déchiffrement.
Le chiffrement sera abordé dans un prochain module.
D'autres attaques font également appel à des technologies beaucoup plus évoluées, permettant de récupérer les mots de passe directement dans la mémoire vive d'un poste, telles que les attaques par démarrage à froid.
Celles-ci consistent à couper l'alimentation d'un poste allumé, par exemple le poste d'un utilisateur l'ayant verrouillé, puis à remettre les composants sous tension au sein d'un poste contrôlé par l'attaquant.
Les mémoires volatiles (aussi appelées RAM) conservent alors les traces du contenu de la session précédente.
Un autre type d’attaque, l’attaque indirecte, permet également de récupérer vos mots de passe.
À l’inverse des attaques directes qui volent vos mots de passe sur vos postes ou lors de vos frappes au clavier, les attaques indirectes utilisent la ruse pour vous piéger et récupérer vos informations d’authentification à votre insu.
L’ingénierie sociale est une technique fréquemment utilisée par les pirates pour vous atteindre et accéder à vos informations par la ruse.
Rappelez-vous ce que nous avons vu dans les précédentes unités, l’hameçonnage (ou phishing) qui tire son nom de la pêche en anglais, consiste à tendre un hameçon, sous la forme d'un mail, d'un message de forum, d’un sms, d’une fausse pub, etc.
Il suffit ensuite d'attendre que nous autres, petits poissons, mordions à l'hameçon et donnions à l'attaquant ce qu'il veut.
Qui n'a jamais reçu d'email indiquant que son compte de messagerie, ou qu’un service web un tant soit peu connu, soit suspecté de malveillance ou piraté ?
Initialement rédigés dans un français douteux, ces courriers vous incitent à cliquer sur un lien web pour résoudre le problème.
Et c’est là que les ennuis commencent en réalité, puisque le lien ne mène pas à « monservicemail.com » mais à « monservicemaii.com », ou encore vers le très convainquant « monserviceemaiI.com ».
Les services de transport postal, web-marchands, magasins d'applications, services de cloud, messageries en ligne, sites bancaires etc. sont souvent l'objet de campagnes de hameçonnage.
Souvent, l'individu malveillant a pris la précaution de positionner le lien sur une image Web qui affiche bien la bonne orthographe, mais qui dirige vers une adresse contrôlée par un pirate.
Ces différentes ruses n'ont qu'un seul objectif : vous emmener sur un site conçu par l'attaquant et qui ressemble en tous points au service attendu, mais qui se contente de récupérer vos identifiants.
Dès que vous saisissez ceux-ci, le site de l'attaquant pourra alors prétexter une erreur réseau ou tout simplement les utiliser pour se connecter au service de messagerie officiel et vous y rediriger, rendant l'attaque alors quasiment invisible.
Ce dernier exemple s'applique à quiconque, mais lorsque c'est une entreprise privée ou une administration publique, qui est visée, l'attaque peut être beaucoup plus ciblée et donc redoutablement efficace : utilisation des adresses électroniques du support informatique, signature avec l'adresse d'un collègue de confiance, envoi de plusieurs mails coordonnés, etc.
Une autre technique utilisée par les pirates consiste à se renseigner sur vous pour déjouer les mécanismes de recouvrement qui reposent souvent sur une question secrète.
Il y a quelques années, la solution la plus utilisée sur de nombreux sites pour résoudre le problème de la perte du mot de passe était la « question secrète ».
Ce genre d'informations n'étant, de manière générale, pas confidentiel, il suffisait à l'attaquant de se renseigner un minimum sur sa cible, voire de lui demander directement les réponses à ses questions en se faisant passer pour un service municipal ou tout autre possibilité selon l'inventivité de l'attaquant et le manque de vigilance de la victime.
Les méthodes de recouvrement plus modernes basées sur l'envoi de SMS et la récupération à partir d'adresses électroniques de secours présentent elles aussi des risques.
En effet, les SMS peuvent être interceptés avec du matériel d'interception téléphonique (IMSI catcher), ou d'autres méthodes.
Notez cependant que ces moyens techniques évolués sont rarement utilisés sur les utilisateurs lambda et qu’ils nécessitent de se trouver « au bon endroit » et « au bon moment » pour fonctionner.
Pour la plupart des usages courants, les SMS représentent donc un « second facteur » d’authentification adapté.
Nous avons parlé des attaques sur le mot de passe, mais le même principe peut être utilisé pour vous pousser à donner à un attaquant l'accès à vos informations sensibles : documents de travail, ou encore les coordonnées de collègues qui serviront à faciliter de futures attaques, etc.
Il est malheureusement impossible d'être exhaustif quant aux possibilités d'attaques de manière générale, mais plus encore dans le domaine de l'ingénierie sociale où l'inventivité des attaquants trouve peu de limites.
Il est possible pour une entreprise ou un fournisseur de services sur le web de disposer d'un système d'information à l'état de l'art de la sécurité et de voir certains de ses utilisateurs piratés sans que la sécurité du système en lui-même ne présente de défaut.
En effet, de nombreux utilisateurs utilisent aujourd’hui encore le même mot de passe pour un certain nombre de sites.
Enfin, un autre type d’attaque indirecte utilise les interceptions réseaux.
Celles-ci interviennent lorsqu'un pirate a pu se placer sur le lien de la communication et peut dans certains cas, lire les échanges non chiffrés (mails, recherches internet, etc.) ou encore les modifier, par exemple en se plaçant sur le même réseau Wifi de l'hôtel où vous résidez.
De nombreuses attaques sont possibles.
L’attaquant peut par exemple se faire passer pour votre correspondant et ainsi récupérer les données attaquées.
Il peut également forcer l’utilisation de protocoles obsolètes ou de technologies moins sécurisées pour exploiter des vulnérabilités connues.
À titre d'exemple, nous avons cité l’outil IMSI Catcher permettant d'intercepter les communications téléphoniques.
Notons que cet outil reste incapable de percer le chiffrement des nouvelles technologies mais se contente de les brouiller.
Les téléphones, afin de continuer à fournir le service téléphonique, choisissent alors des méthodes plus anciennes, comme si vous étiez en montagne dans une zone couverte en 2G, mais pas en 4G, et l'attaque peut alors se faire.
Ce principe se retrouve sur la plupart des communications et nécessite un compromis entre sécurité et continuité de service.
Rares sont les cas où nous acceptons de ne pas accéder au service car la sécurité n'est plus au rendez-vous.