Déstabilisation
Publié le 12/05/2023|Modifié le 28/09/2023
De plus en plus fréquentes, les cyberattaques lancées à des fins de déstabilisation contre les administrations, entreprises peuvent faire appel à des outils et des services disponibles en ligne et visent à porter atteinte à l’image de la victime.
Les différents types d'attaques
Attaque par déni de service (Distributed Denial of Service ou DDOS)
Le déni de
service peut porter atteinte à l’image de la victime et constitue une menace pour
toute organisation disposant d’un système d’information en ligne. L’objectif : rendre le site, et donc le service attendu, indisponible.
Les
motivations des attaquants sont diverses, allant des revendications
idéologiques à la vengeance, en passant par les extorsions de fonds.
Le cybercriminel peut :
- exploiter une vulnérabilité logicielle ou matérielle.
- solliciter une ressource particulière (bande passante du réseau, la capacité de traitement globale d'une base de données, etc.) du système d'information de la cible, jusqu'à « épuisement ».
Plusieurs indices classiques se manifestent : accroissement de la consommation de la bande passante sans explication légitime ; ruptures de communications sur délai de garde (« timeout ») ou signalées par message d'erreur (« host unreachable »), etc.
Plusieurs méthodes pour un résultat unique : dysfonctionnements ou paralysie complète d’un ou de plusieurs services de la victime.
- Je consulte l’affiche sur les DDOS de l’ANSSI.
- J’intègre l'action contre les dénis de service dans votre politique de sécurité des systèmes d’information.
- Je mets en place un certain nombre de mesures techniques : architecture adaptée, cloisonnement des systèmes, pare-feux, etc.
Attaque par « défiguration » (« defacement »)
Généralement
revendiqué par des hacktivistes, ce type d’attaque peut être réalisé à des
fins politiques ou idéologiques, ou à des fins de défi technique (défis entre
attaquants).
L’objectif :
modifier l’apparence ou le contenu d’un site, et donc altérer l’intégrité des
pages.
- Le cybercriminel exploite souvent des vulnérabilités du site (défaut de sécurité), parfois connues mais non corrigées.
- Visible ou bien plus discrète pour le visiteur, l'atteinte réussie du site peut prendre différentes formes : ajout d’informations sur une page ou remplacement intégral d’une page par une revendication.
- J’effectue des sauvegardes régulières.
- Je respecte toutes les étapes lors de la procédure d'installation de mon site afin de supprimer manuellement des éléments temporaires générés au moment de l'installation (exemple : mots de passe par défaut).
- J’utilise des mots de passe d'accès aux interfaces d'administration complexes et régulièrement renouvelés.
- Je gère les droits d’accès pour chaque répertoire de votre site.
- J’applique les correctifs de sécurité régulièrement.
- Je m’assure de la mise en place d’une politique de sécurité efficace si mon site est hébergé chez un prestataire, surtout dans le cadre d’un hébergement mutualisé (plusieurs sites hébergés).
Je suis victime d’attaque à des fins de déstabilisation
Je notifie l’attaque
à mes équipes informatiques, mon prestataire, pour qu’ils puissent, si je ne
peux pas le faire directement :
- Garder des traces de l’attaque : copie de l'état altéré du site (ou du serveur, si l'environnement n'est pas mutualisé), des équipements environnants (pare-feux, serveurs mandataires, etc.) et des journaux d'accès au site, et ceux de tous les services permettant de modifier le site à distance.
- Rechercher d’autres intrusions opérées suite à l’exposition du site à une attaque.
- Reconstruire le site uniquement après l’identification et la correction de la vulnérabilité utilisée par l'attaquant pour altérer le site. La simple restauration du site dans un état « sain » ne bloquera pas la faille utilisée par l'attaquant, qui pourra rapidement l'altérer à nouveau.
Des services
spécialisés se chargent ensuite de l'enquête :
- Police nationale : l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) qui dépend de la Sous-direction de lutte contre la cybercriminalité (SDLC)
- Gendarmerie nationale : le centre de lutte contre les criminalités numériques (C3N) du Service Central du Renseignement Criminel (SCRC) : cyber@gendarmerie.interieur.gouv.fr
- Préfecture de police : la brigade de lutte contre la cybercriminalité (BL2C) compétente uniquement pour Paris et petite couronne (75, 92, 93 et 94) :
Liens utiles
- Agence nationale de la sécurité des systèmes d'information (conseils)
- Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR)
- Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC)
- Brigade contre la cybercriminalité (BL2C)