©2018 by Assouline Jordan.

  • Jordan Assouline

Les attaques par reconnaissance et le phishing


Les attaques de type recon


La très grande majorité des attaques ne sont pas dirigées sur votre réseau en entier. Au contraire, des attaques réseau sont conçues spécifiquement pour passer inaperçues. D'ailleurs les attaques par reconnaissance (recon en anglais) ont pour but de récupérer un maximum d'informations pour des attaques futures.


Les attaques de type recon recherchent des faiblesses ou des vulnérabilités dans les défenses de notre réseau. Lorsque des vulnérabilités sont trouvées elles ne sont pas directement exploitées par l'attaque recon, mais les informations inhérentes à ces vulnérabilités sont remontées aux attaquants afin de leur permettre de mieux organiser des attaques futures, qui elles, vont cibler spécifiquement ces vulnérabilités. Un bon attaquant, cherche à obtenir un maximum d'informations sur l'infrastructure qu'il souhaite attaquer, plutôt que de lancer des attaques à l’aveugle.


L'absence apparent de dégâts causés par les attaques de type recon, est totalement volontaire puisque l'attaquant veut passer inaperçu. Si jamais les administrateurs détectent ce type d'attaque, ils vont prendre immédiatement les contre-mesures nécessaires, ce qui va empêcher l'attaquant d'arriver à ses fins. Bien sûr les dommages causés par l'attaque suivant la reconnaissance, vont eux, être probablement bien visibles.



Le social engineering


Les attaques de type Social Engineering se concentrent sur la partie la moins prévisible de notre réseau, c'est-à-dire l'humain. En général l'humain est une des plus grosses failles de sécurité existante. On peut souvent récupérer beaucoup plus d'informations en effectuant du social engineering, qu’en essayant d’attaquer directement un firewall.


Pour preuve, le patron d'une grande société (dont le nom est volontairement tû) avait demandé à une société spécialisée dans les audits de sécurité de tester la vulnérabilité de son entreprise aux attaques informatiques. Le testeur découvrit qu'un membre de la famille du PDG avait lutté contre le cancer et y avait survécu. Ainsi le patron s'était rapproché d'une fondation participant à la recherche contre ce cancer dont le testeur identifia le nom. En parallèle il découvrit le nom de son restaurant et de son équipe de football préférés. Grâce à toutes ces informations, le testeur a appelé le PDG en se faisant passer pour la fondation de lutte contre le cancer, et l'informa que cette fondation organisait une loterie en échange de donations et que parmi les prix se trouver une place pour le match de football avec son équipe préférée, et également une soirée offerte dans divers restaurants incluant son préféré. Le patron qui semblait très intéressé donna donc son adresse mail au testeur qui lui envoya un PDF d'inscription à la loterie que celui-ci téléchargera et signa. Le problème, c'est que le PDF d'inscription à la loterie était piégé. Il utilisait une faille d’Adobe Reader qui permettait de prendre le contrôle de l'ordinateur à distance.


Certaines attaques ne sont pas aussi élaborées, et parfois simplement avec un petit peu de zèle et d'assurance, il est possible de se faire passer pour le PDG lui-même auprès, par exemple, du comptable.



Le phishing


Le Phishing est une attaque, souvent effectuée en envoyant un lien dans un e-mail en prétendant être une banque, les impôts, eBay, Facebook, PayPal, etc… vous avez vous-même, sûrement reçu un de ses e-mails vous disant par exemple qu'un trop-perçu doit vous être restitué en cliquant sur le lien contenu dans le mail. Cependant ce lien ne vous redirige pas vers le site officiel, mais vers un site pirate, dont le but est d'obtenir vos informations bancaires et vos informations personnelles. Ces tentatives de phishing mettent l'accent sur les émotions humaines telles que la peur, la joie, ou l'appât du gain.


Voici deux exemples de ce type de mail :


Exemple 1 de tentative de phishing


Cet expéditeur se fait passer pour la banque populaire, alors que si on regarde son adresse mail on observe qu'il ne s'agit pas du tout d'une adresse pouvant appartenir à cette société. De plus le contenu met l'accent sur la peur qu'un moyen de paiement puisse être par la suite refusé, et invite à cliquer sur un lien dirigeant vers un site pirate.


Exemple 2 de tentative de phishing :

Dans ce deuxième exemple l'expéditeur se fait passer pour Cdiscount, alors que l'adresse ici encore, ne correspond pas à une adresse type de Cdiscount. Cette fois le contenu du mail met l'accent sur l’appât du gain, puisqu'il me fait croire que j'ai gagné un équipement très coûteux et que je n'ai plus qu'à cliquer sur le lien pour obtenir mon gain. Bien entendu, là encore, le lien me dirige vers un site pirate.



Le Spear Phishing


On parle également de spear phishing lorsque l’e-mail est directement adressé à la victime en utilisant des données récupérées notamment sur les réseaux sociaux comme Linkedin ou Facebook et en utilisant des termes familiers. Par exemple, le corps du message peut commencer par « Salut Jordan ! Je voulais te parler de ton dernier projet concernant le livre sur le CCNA Security… »


Lors des dernières attaques recencées de spear phishing, l'attaquant se faisait passer pour l'administrateur du réseau de la société de la victime. L'attaquant demandait à la victime de s'identifier sur une « Nouvelle page de login en cours de test ». Il récupérait ainsi les informations du type identifiant et mot de passe, et les utilisait pour pirater le réseau de la victime. Cette page pouvait également servir à télécharger sur l'ordinateur un malware, ou un cheval de Troie, permettant ainsi à l'attaquant de pouvoir accéder à l'ordinateur de la victime à distance et sans que celle-ci ne puisse s’en rendre compte.



Le Pretexting


Enfin le Pretexting est une attaque où l’attaquant vous demande des informations sous un faux prétexte. Par exemple « Bonjour, je m'appelle Jordan Assouline de la banque BNP Paribas et nous pensons que quelqu'un essaie de pirater votre compte en banque. Nous avons besoin de vérifier certaines choses avec vous, pouvez-vous me confirmer votre numéro de compte ? » Puis quelques questions plus tard l'attaquant possède toutes les informations dont il a besoin pour vider votre compte en banque, et vous ne vous êtes rendus compte de rien.


De la même manière, l’attaquant peut avoir découvert grâce à Facebook que vous avez voyagé aux Etats-Unis dernièrement et que vous êtes rentré, puis vous dire qu’il y a eu des opérations depuis les états-unis sur votre compte et qu’on vous a surement subtilisé les numéros de votre carte bancaire. Il vous demande alors de lui donner le numéro de votre carte, la date d’expiration et le cryptogramme afin de faire opposition à votre carte. Sauf que tout cela est faux, et n’a servi que de prétexte pour vous voler les numéros de votre carte et effectuer des achats sur internet avec, ou revendre ces informations à quelqu’un d’autre.


103 vues