25
Fév
2016

Difficile pour les non-initiés de savoir les différences entre DDoS, phishing, cryptage et autres cyberattaques. Mieux les connaître, c'est mieux surfer.

Photo : Sai Kiran Anagani (Unsplash, Creative Commons)

Difficile pour les non-initiés de savoir les différences entre DDoS, phishing, cryptage et autres cyberattaques. Mieux les connaître, c'est mieux surfer.

25 Fév
2016

Quelles sont les principales techniques des hackers ?

Héros ou simples casse-pieds, les avis sont plus ou moins nuancés à propos de Down-Sec et de ses récentes attaques sur des sites web du gouvernement, de l’autorité de contrôle nucléaire ou encore de la Banque Nationale. Quoi qu’il en soit, le procédé utilisé par les hackers belges n’a rien de très dangereux, l’équipe affirmant qu’elle manifeste, comme on le ferait dans la rue.

Cependant, toutes les attaques informatiques ne sont pas de simples désagréments passagers, certaines vont jusqu’à l’usurpation d’identité pour soutirer des informations très sensibles ou de grosses sommes d’argent. Coup d’œil sur les techniques les plus répandues.

Empêcher l’accès à un site

Le DDoS (pour Distributed Denial of Service, ou distribution par déni de service) est un type d’attaque consistant à envoyer un grand nombre de requêtes vers un serveur censé répondre à toutes les demandes pour lesquelles il est en service. Par exemple, un serveur web traite les requêtes des internautes pour renvoyer sur leur écran le site web demandé. S’il reçoit des millions de requêtes simultanément, le serveur n’a pas forcément les capacités pour y répondre et se voit débordé. Il est en quelque sorte noyé sous les requêtes et se retrouve paralysé. Pour augmenter la portée de leur attaque, les hackers utilisent des zombies : ils infectent des ordinateurs « innocents » pour faire passer des demandes via ceux-ci. Le nombre de requêtes augmente alors de manière exponentielle. C’est ce à quoi s’est amusé Down-Sec la semaine dernière. Ce n’est pas encore du piratage, car rien n’a été volé ou détérioré sur les sites victimes. Le but est ici d’ennuyer la cible, mais cette pratique n’est pas très bien vue dans le milieu, car elle ne nécessite pas de réelles compétences pour la mettre à exécution. Le nombre de tutoriels rapides sur YouTube en atteste la facilité.

Schéma représentatif d'un DDoS

Schéma représentatif d’un DDoS (Illustration réalisée par le BBB avec Piktochart)

Voler de l’argent…

Les tracas occasionnés sont beaucoup plus graves et conséquents quand il s’agit de voler des informations délicates ou de soutirer de l’argent aux cybernautes. Une technique de plus en plus répandue est celle du rançongiciel (ou ransomware en anglais). Elle consiste à prendre en otage des informations présentes sur un ordinateur, un serveur, un espace de stockage en les cryptant pour ensuite demander à la victime de l’argent en échange de la méthode de décryptage. Ce type d’attaques est plutôt tourné vers les entreprises, plus à même de débourser de grosses sommes pour récupérer des données indispensables au fonctionnement de leur business. Le dernier exemple d’actualité est celui de l’hôpital Hollywood Presbyterian Medical Center qui a payé à la mi-février 17.000 dollars à des hackers pour récupérer le contrôle de son réseau informatique.

… ou des informations

Un autre type d’attaque assez connu est le « man in the middle » (l’homme au milieu). Comme son nom l’indique, il suffit de se mettre entre deux interlocuteurs pour intercepter, voire modifier, le contenu des messages échangés entre émetteur et récepteur. L’intérêt pour le pirate est ici de récupérer des informations, mais il peut également se substituer à l’un des protagonistes, à son insu, pour faire parler l’autre encore plus.

Plus sournois encore, l’hameçonnage (ou phishing) est un procédé par lequel le pirate raconte une histoire à sa victime dans le but d’usurper son identité. Un cas classique est celui du remboursement d’impôts : le malfaiteur envoie un email à une personne lambda en se faisant passer pour l’administration fiscale, lui demandant, comme dans l’exemple ci-dessous, de renseigner ses coordonnées et codes bancaires sur un faux site internet, réplique d’un site officiel, pour bénéficier d’un prétendu remboursement.

Tentative de phishing

Tentative de phishing

Savoir naviguer

Pour éviter de se retrouver confronté à l’une de ces embarrassantes situations, une hygiène informatique est indispensable : crypter ses communications, utiliser des mots de passe complexes et les changer régulièrement, éviter de cliquer sur tout et n’importe quoi et toujours se demander de qui provient une faveur non sollicitée. Car sur internet, les hommes sont des hommes, les femmes sont des hommes, et les petites filles sont des agents du F.B.I.

Charte des commentaires

Le contenu des commentaires ne doit pas contrevenir aux lois et réglementations en vigueur. Sont notamment illicites les propos racistes, antisémites, diffamatoires ou injurieux, divulguant des informations relatives à la vie privée d’une personne, et utilisant des œuvres protégées par les droits d’auteur (textes, photos, vidéos…) sans en mentionner la source. La rédaction du BBB se réserve le droit de supprimer tout commentaire susceptible de contrevenir à la présente charte, ainsi que tout commentaire hors-sujet, répété plusieurs fois, promotionnel ou grossier. Par ailleurs, tout commentaire écrit en lettres capitales sera supprimé d’office. Les commentaires sont modérés a priori.

Laisser un commentaire

Lire les articles précédents :
sortie du camp de Calais
Le Belgique tremble face à quelques migrants expulsés de Calais

La préfecture du Pas-de-Calais a donné un arrêté d’expulsion de la partie sud du bidonville de Calais, ce vendredi 19...

Fermer