2. LES MENACES SUR LE
RESEAU INFORMATIQUE DE LA FIRST BANK
Une menace1(*) est un événement,
d'origine accidentelle ou délibérée, capable s'il se
réalise de causer un dommage au sujet étudié. Le
réseau informatique de la First Bank comme tout autre réseau
informatique est en proie à des menaces de toutes sortes qu'il convient
de recenser.
2.1. MENACES RELEVANT DES
PROBLÈMES NON SPÉCIFIQUES À L'INFORMATIQUE
Certaines menaces aux réseaux informatiques ne sont pas
spécifiques à ce secteur. Parmi elles, nous pouvons
citer :
§ les risques accidentels : incendie, explosion,
inondation, tempête, foudre. Ici les techniques de prévention sont
assez bien maîtrisées ;
§ les vols et sabotages de matériels : vols
d'équipements matériels, destruction d'équipements,
destruction des supports de sauvegarde ;
§ autres risques : départ du personnel
stratégique, grèves, etc.
2.2. LES PANNES ET ERREURS (NON
INTENTIONNELLES)
Ce sont :
§ pannes/dysfonctionnement du matériel ;
§ pannes/dysfonctionnement du logiciel de base ;
§ erreurs d'exploitation :
o oubli de sauvegardes,
o écrasement de fichiers ;
§ erreurs de manipulation des informations :
o erreurs de saisie,
o erreurs de transmission,
o erreurs d'utilisation ;
§ erreurs de conception des applications.
2.3. LES MENACES
INTENTIONNELLES
C'est l'ensemble des actions malveillantes qui constituent la
plus grosse partie du risque. Elles font l'objet principal des mesures de
protection. Parmi elles, on compte les menaces passives et les menaces
actives.
Les menaces passives sont :
§ les détournements des données
(l'écoute sur le réseau à l'aide des sniffeurs2(*), les
indiscrétions) : c'est le cas le cas de l'espionnage industriel,
l'espionnage commercial, les violations déontologiques ;
§ les détournements de logiciels : les copies
illicites par exemple.
Quant aux menaces actives, nous pouvons citer :
§ les modifications des informations : le fraude
financière informatique ;
§ le sabotage des informations ;
§ les modifications des logiciels :
o le virus : c'est un programme qui se reproduit en
s'insérant partiellement dans d'autres fichiers ;
o le ver : un ver (en anglais worm) est un programme qui
se propage d'ordinateur à ordinateur via un réseau comme
l'Internet. Ainsi, contrairement à un virus, le ver n'a pas besoin d'un
programme hôte pour assurer sa reproduction. Son poids est très
léger, ce qui lui permet de se propager à une vitesse
impressionnante sur un réseau, et pouvant donc saturer ce
dernier ;
o le spyware : ce logiciel espion est un logiciel
nuisible qui transmet à des tiers des informations contenues dans votre
ordinateur ;
o le hijacker : c'est un pirate de navigateur qui utilise
les failles de sécurité d'Internet Explorer pour s'installer sur
votre ordinateur. Ce genre de programme s'installe donc juste en surfant sur le
net, souvent sur des sites de piratage, de jeux, de cracking, ou encore sites
à caractère pornographique ;
o le troyen : un troyen (en anglais trojan horse) tire
son nom du mythe du cheval de Troie. Ce programme a une apparence saine,
souvent même attirante, mais lorsqu'il est exécuté, il
effectue, discrètement ou pas, des actions supplémentaires. Ces
actions peuvent être de toutes formes, comme l'installation d'une
backdoor3(*) par
exemple.
o la bombe logique : une bombe logique est un troyen qui,
une fois exécutée, produira ses effets à un moment
précis. Par exemple, la bombe logique Tchernobyl s'est activée le
26 avril 1999 (jour du 13ème anniversaire de la catastrophe
nucléaire en Ukraine), mais la bombe peut également attendre une
combinaison de touches bien précise de la part de l'utilisateur pour se
déclencher ou attendre qu'un fichier s'exécute ;
o le hoax : un hoax (canular) est un courrier
électronique contenant une fausse information. Si certains sont
inoffensifs, d'autres peuvent être dangereux ;
o le spam : le spamming consiste à envoyer des
messages appelés "spam" à une ou plusieurs personnes. Ces spams
sont souvent d'ordre publicitaire ;
o le mailbombing : le mailbombing s'apparente un peu au
spamming puisqu'il a pour but de provoquer une gêne pour la victime. Mais
cette fois, le but n'est pas le même, il s'agit de saturer la boîte
aux lettres électronique de la victime en envoyant plusieurs mails, des
milliers par exemple ;
o le pishing : le phishing est très à la
mode aujourd'hui et consiste à soutirer des informations confidentielles
(comme les codes bancaires, ...) auprès des clients par usurpation
d'identité ;
o le ransomware : le ransomware est un logiciel
malveillant qui chiffre les données, les « prend en otage » et
ne donne le mot de passe que lorsque la rançon a été
versée. Des variantes plus agressives menacent d'effacer
définitivement un fichier toutes les 30 minutes, jusqu'à ce que
la rançon ait été versée. Le paiement d'une
rançon est habituellement demandé via e-Gold ou Western Union
afin de ne pas dévoiler à l'utilisateur la véritable
identité du pirate. Cette technique d'abord utilisée en Russie
s'est maintenant étendue au monde entier. Le ver Arhiveus et le
cheval de Troie Zippo sont deux exemples de ransomware ayant
sévi en 2006 ;
o le scareware : c'est un logiciel conçu pour
faire croire aux utilisateurs d'Internet que leur PC est infecté ou
qu'il est touché par un autre problème de sécurité
et les encourager à acquérir une version « totalement
opérationnelle » d'un logiciel qui désinfectera leur poste
de travail.
Pour parvenir à leurs fins, les pirates ont recours
à un certain nombre de stratagèmes pour maximiser le taux
d'infections. Nous pouvons citer parmi les stratagèmes utilisés
les suivants :
1. Accroissement de la portée des infections
grâce au détournement de réputation : 83 pour
cent des pages Web infectées par des malwares4(*) se trouvent sur des sites Web
parfaitement légitimes5(*). Pour les auteurs de malwares, la manière la
plus efficace et la moins coûteuse d'infecter des ordinateurs par
l'intermédiaire du Web consiste à héberger leurs malwares
à l'endroit où le plus grand nombre de personnes les verront.
C'est précisément ce qu'ils font quand ils détournent la
réputation de sites Web existants en attirant des utilisateurs qui se
méfient d'autant moins qu'ils font confiance à la
popularité et à la crédibilité de ces URL qui
semblent sûres.
2. Dissimulation de l'attaque derrière un
téléchargeur : au lieu de placer directement leur code
malveillant sur une page Web, de nombreux cybercriminels insèrent des
«téléchargeurs». Ces chevaux de Troie sont
conçus pour éviter la plupart des mécanismes de
défense. Ils contiennent très peu de code et ne contiennent pas
par eux-mêmes de charge malveillante. Ce n'est qu'une fois
installés sur un ordinateur qu'ils téléchargent cette
charge à partir d'un autre site Web, souvent via un port
différent.
3. Infection silencieuse par téléchargement
passif : Pour que ce type d'infection se produise, il suffit qu'un
utilisateur navigue sur le Web et visite une page infectée à
l'aide d'un navigateur auquel aucun correctif n'a été
appliqué. L'utilisateur n'a même pas besoin de cliquer sur des
liens particuliers, ni d'ouvrir des fichiers précis. Son ordinateur
devient infecté simplement parce qu'il a visité un site sur
lequel les vulnérabilités connues du navigateur sont
exploitées par l'auteur d'un malware.
4. Exploitation des noms de domaine résultant de
fautes de frappe : Les pirates ont eu l'idée de créer
des noms de domaine ressemblant à des sites parfaitement
légitimes (par exemple, « Goggle » au lieu de « Google
», ou un « .tv » à la fin au lieu de « .com »),
ce qui leur permet d'utiliser des fautes de frappe courantes pour faire
atterrir très simplement des utilisateurs sur leurs pages Web. Ces pages
sont en quelque sorte des pièges, qui n'attendent que des proies
à capturer et à infecter. Comme ces sites ressemblent
généralement au site initialement souhaité, il est
très facile d'obtenir du visiteur qu'il ouvre ou
télécharge du contenu, d'autant que ce contenu semble
sûr.
5. Utilisation d'attaques de spam à flux rapide
pour envoyer des malwares : Alors qu'ils envoyaient souvent les
malwares sous forme de pièces jointes aux messages électroniques,
les pirates tendent aujourd'hui à envoyer des messages
électroniques contenant des liens qui conduisent à des pages Web
infectées. Derrière ces liens se cachent des armées
d'ordinateurs infectés, appelés « botnets », qui font
office d'hôtes Web. Les auteurs de malwares alternent constamment entre
ces différents ordinateurs pour fournir une page d'accueil
infectée toujours différente aux personnes qui suivent un lien.
Cette opération consistant à modifier rapidement l'adresse IP de
l'ordinateur qui héberge le malware est appelée « flux
rapide ». Elle complique la tâche aux filtres en charge de
détecter et de bloquer les attaques de spam correspondantes.
6. Toujours avoir une longueur d'avance sur les
systèmes de défense de sécurité :
Contrairement aux virus et aux vers véhiculés par messagerie, qui
cessent d'être dangereux une fois qu'ils ont été
éradiqués, les menaces Web modernes ne cessent d'être
adaptées et modifiées afin d'esquiver les systèmes de
défense. En présentant continuellement les menaces sous une forme
différente, les pirates peuvent créer de nombreuses variantes
mineures, dont certaines ne sont pas reconnues par les solutions de
sécurité. Ce processus peut même être
automatisé, ce qui permet aux criminels de générer
plusieurs variantes d'un même malware le même jour.
La liste des menaces et stratagèmes que nous venons
donner est loin d'être exhaustive. Nous avons surtout
énuméré ici les menaces et stratagèmes les plus
connues.
* 1Définition
tirée du manuel de sécurité de la méthode
EBIOS
* 2 Un sniffeur
est un Logiciel qui observe les informations véhiculées sur le
réseau. Par exemple : RealSecure, Netmon, et Readsnmb sous Windows,
et Tcpdump sous Unix.
* 3Une backdoor
(en français, une porte dérobée) est un moyen
laissé par une personne malveillante pour revenir dans un
système.
* 4 Logiciel
malveillant
* 5 Rapport Sophos
2008 sur les menaces de sécurité
| 
