Le Cloud

 Aujourd’hui, de nombreux sites internet vous proposent de communiquer ou

d’héberger vos données au travers d’espaces en ligne appelés « cloud ».
 bullet
Le « cloud » c’est-à-dire le « nuage », consiste en la mutualisation des ressources de
calcul et de stockage distribuées dans des datacenters répartis dans le monde entier.
 bullet
Il n’est donc pas nécessaire de stocker les données sur un poste de travail ou d’être
connecté à un réseau local pour consulter ses documents de travail ou ses photos de
vacances.

Notons que de nombreux services du quotidien fonctionnent sur le

cloud comme certaines messageries électroniques par exemple.

Dans ce cas, les emails sont stockés sur un serveur et copiés

localement sur votre ordinateur ou votre smartphone pour vous permettre

de les consulter.

En substance, le cloud vous permet de partager facilement des

données entre plusieurs ordinateurs, un smartphone, une tablette, etc.

Il est important de noter que même si en théorie on peut

mettre toutes ses données dans le cloud (agenda, carnet
d'adresses, fichiers professionnels, photos, vidéos,
etc.) cette activité n’est pas sans risque car même si
les données sont sauvegardées dans plusieurs centres
serveurs (datacenter) plutôt que sur un ordinateur, il existe
tout de même un risque de piratage et de non-respect
de la confidentialité des données.

Une société qui fabrique des jouets connectés et des

tablettes pour enfants a été victime de fuite
d’informations de centaines de milliers de comptes des
parents et de leurs enfants inscrits sur le site, et l’ensemble
des communications entre les parents et les enfants a
également été rendu accessible.

Notons également que les hébergeurs de ces données se conforment

aux lois des pays dans lesquels ils sont implantés comme vous
pourrez le découvrir dans la suite de ce cours, soyez vigilant dans le choix
de vos prestataires de cloud !

D’après vous, les objets connectés dans la maison sont-ils protégés des

risques sur Internet ?

o Oui

o Non

Ces technologies ne sont pas exemptes de risques puisque ces réseaux

rejoignent la toile mondiale, le plus souvent au travers du modem ADSL
qui joue le rôle de passerelle.
Le cyberespace, nouvel espace
de vie
L’ensemble des réseaux qui relient ces objets crée le cyberespace.
Par conséquent, les attaques informatiques utilisent ce territoire pour
atteindre les cibles.
Or, celui-ci possède des propriétés particulières qui font qu’il est
nécessaire de repenser le modèle habituel.

En effet, le cyberespace est un espace sans frontières concrètes.

Mais ces propos sont à nuancer, car les réseaux reposent sur des
infrastructures techniques physiques qui se trouvent sur un territoire bien
déterminé : il y a donc une dimension de territorialité.

Par exemple, dans certains pays, il est interdit de posséder ou de faire

transiter une donnée qui serait chiffrée sans permission.

Une volonté de contrôle

De nombreux états souhaitent contrôler les frontières du numérique pour des
raisons de souveraineté nationale, de sécurité ou pour maîtriser la circulation
iconographique, culturelle ou religieuse.
L’objectif est de bannir les sites ne respectant pas les idéaux du pays et de créer
un Internet national, c’est-à-dire un réseau fermé respectant les normes
religieuses ou idéologiques.
De nouvelles règles
Le cyberespace possède une double
dimension :
 Il s’agit à la fois d’un espace social de partage de biens
immatériels et de connaissances, mais aussi d’un support pour
les nombreux services critiques comme la gestion à distance
des usines.

 Cet espace possède des caractéristiques propres comme une

quasi-instantanéité, des espaces contractés, des mouvements
et extensions perpétuels.

 Chaque individu a la possibilité de créer de nombreux espaces

dans ce monde immatériel.

 Ces caractéristiques donnent un avantage certain aux

attaquants, car l’impact peut être quasi-immédiat. L’attaquant
bénéficie d’un effet de surprise très avantageux.

 Ainsi la défense doit faire preuve d’une forte

réactivité !

Des menaces invisibles

La multiplicité des points d’accès fait qu’il est difficile

d’attribuer une attaque à une personne, une entreprise ou un
gouvernement.

En effet, les attaquants ont tendance à couvrir les traces d’une attaque en
modifiant les caractéristiques des machines utilisées, en passant un grand
nombre de relais pour atteindre la cible, voire en effaçant les journaux
d’enregistrement des cibles.

Enfin, le cyberespace permet l’asymétrie des affrontements.

Auparavant, un état déclenchait une guerre avec un état, une organisation

affrontait une autre organisation, etc.
Par l’intermédiaire du cyberespace, des organisations peuvent attaquer
des états et inversement.
Cette asymétrie permet à un petit groupe d’individus de s’en prendre à un
état et de toucher un point névralgique comme les usines de traitement
de l’eau, par exemple.

D’après vous, est-il facile d’identifier l’auteur d’une cyberattaque ?

o Oui

o Non

La multiplicité des points d’accès fait qu’il est difficile d’attribuer une
attaque à une personne, une entreprise ou un gouvernement.

Contrairement à ce que l’on pourrait penser, ce cyberespace n'est pas

totalement libre et désordonné.
Cependant, la nature décentralisée d’Internet fait de lui un espace
« contrôlé » par plusieurs organismes, états ou entreprises.
À tous les échelons, de nombreux organismes exercent ou
peuvent exercer un contrôle ou une censure sur les informations
qui y circulent.

Notons tout d’abord que pour fonctionner, le réseau est tributaire de

câbles ou de satellites : en l'absence de « tuyaux » suffisamment
grands, le trafic peut être très fortement ralenti. Aujourd’hui, de nombreux
pays sont dépendants, pour leur accès au réseau, d'un ou deux câbles
sous-marins ou souterrains.
En Afrique par exemple, des pays entiers voient leur accès
tributaire des décisions des pays voisins ou des choix des
entreprises privées.

Notons également que certains pays disposent techniquement de la

capacité de bloquer ou de censurer tout ou partie d'Internet.
Durant les manifestations qui ont précédé la chute de Hosni Moubarak, par
exemple, l'Égypte a pu couper quasi-instantanément l'accès au réseau
en faisant pression sur les fournisseurs d'accès à Internet (FAI).

Sans aller jusqu'à ces extrémités, de nombreux pays exercent aussi

un contrôle très fort sur le réseau.
Des contenus contraires aux lois nationales sont ainsi bloqués dans la
plupart des pays autoritaires, mais aussi dans des démocraties : en
France, la loi sur les jeux d'argent en ligne permet d'ordonner le filtrage
des sites qui n'ont pas reçu un agrément.
LÉGISLATION ET DROIT DU MONDE CYBER EN

FRANCE

La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers

et aux libertés, plus connue sous le nom de « loi informatique et
libertés », est une loi française qui règlemente la liberté de traitement
des données personnelles, c’est-à-dire la liberté de ficher les personnes.

Les données personnelles correspondent à toute information relative à

une personne physique.

Ces moyens d’identification sont nombreux : nom, prénom, adresse

(physique et électronique), numéro de téléphone, lieu et date de
naissance, numéro de sécurité sociale, numéro de carte de paiement,
plaque d’immatriculation d’un véhicule, photo, empreinte digitale,
données médicales et génétiques, etc.

LA CNIL (Commission Nationale Informatique et Libértés) a 4

missions principales :

1. Informer et protéger les particuliers et les professionnels

2. Accompagner et conseiller

3. Contrôler et sanctionner
(financièrement et/ou juridiquement)

4. Anticiper

LOI GODFRAIN

La loi Godfrain du 5 janvier 1988, relative à la fraude informatique, est

la première loi française réprimant les actes de criminalité informatique et
de piratage.
Nommée ainsi d'après le député Jacques Godfrain, c'est l'une des lois
pionnières concernant le droit des NTIC, après, la loi Informatique et
libertés de 1978, qui introduit la notion de système de traitement
automatisé de données (STAD).
Elle concerne notamment les obligations du responsable du traitement
quant à la garantie de la sécurité des données.

LCEN La loi pour la confiance dans l'économie numérique

Elle vise à promouvoir le commerce électronique au sein de
l'Union européenne, suivant

SECRET DES CORRESPONDANCES

Le secret des correspondances est un droit au maintien du caractère

privé et secret.
Il s'applique aux correspondances dont l'expéditeur pouvait attendre
qu'elles bénéficient d'un minimum de confidentialité.
En général, il s'applique aux courriers postaux et aux courriers
électroniques.
Une correspondance est en général définie comme toute relation par écrit
entre deux personnes identifiables, qu’il s’agisse de lettres, de messages
ou de plis ouverts ou fermés.

Il y a violation du secret de la correspondance lorsqu'une tierce personne

prend connaissance, sans le consentement préalable de l'émetteur, d'un
courrier à caractère privé.

En France, la violation du secret des correspondances, qu'elles circulent

par voie postale ou par télécommunication, est actuellement punie d'un
an d'emprisonnement et de 45 000 euros d'amende.
Cette peine peut s’alourdir à 3 ans d’emprisonnement pour les
personnes facilitant cette violation dans l’exercice de leurs fonctions (hors
cas prévus par la loi).
D’après vous, les lois et directives françaises ont pour objectif(s) de :

(plusieurs réponses possibles)

o Protéger les données personnelles des utilisateurs

o Assurer la confiance des utilisateurs

o Protéger de la fraude informatique

o Contrôler les communications

Comme vous avez pu le constater au travers de ces

différentes réglementations et directives, le cyberespace
n’est pas sans limites.
Il est soumis à de nombreuses règles qui permettent
de contrôler et réguler l’utilisation de vos données.

N’oubliez pas qu’un service gratuit en ligne ne vous

apporte aucune garantie de service, ce service pouvant
s’arrêter à tout moment…
Il est donc important de bien réfléchir aux coûts cachés
derrière ces services gratuits hébergés à l’étranger !
Cyberattaque
Une atteinte à des systèmes informatiques réalisée dans un but malveillant
Elle cible différents dispositifs informatiques :
Ordinateurs
Serveurs
Smartphones, tablettes
Imprimantes

4 types de risques
Cybercriminalité
Atteinte à l'image
Espionnage
Sabotage

Cybercriminalité et Atteinte à l'image

Déstabilisation
Exfiltration des données personnelles
Défiguration des sites web
Défacement des sites web (remplacement du contenu)

Espionnage
Attaque ciblée, l'espion reste discret pour espionner les infos stratégiques de l'entreprise
Sabotage
Rendre inopérant le système d'information via une attaque informatique
Perte de disponibilité, pertes financières, dégradation de l'image de l'entreprise qui ne peut
protéger les données
Crise et impact sur l'entreprise :
Informatique
Juridique
Financière
Réputation
Compétitivité
Pérennité

Webcam très vulnérable (configuration par défaut non sécurisée mot de passe facile 0000)
Caméra de surveillance

Botnet : réseau formé par un pirate qui contrôle des pcs ou caméra, …, infectés à distance
pour faire des attaques.

Attaques ciblées (connaissance de la cible informations sur l'entreprise, mail avec pièce jointe
malveillante)
Attaques de masses
Les pirates

Les types de pirates :

Il existe plusieurs types de pirates ayant des motifs

d’attaques différents : du hacker isolé agissant par
vengeance ou démonstration de compétence, au groupe
de hackers organisé ayant pour objectif de revendre ses
services pour déstabiliser des entreprises, ou de revendre
des informations subtilisées dans des bases de données
non-sécurisées comme des informations bancaires ou des
données nominatives.

Des groupes organisés tels que le réseau Anonymous quant

à eux procèdent par exemple à des actions de défacement,
de piratage de sites web, ou de divulgation d'informations
pour revendiquer des actions auprès d’entreprises réputées
ou pour procéder à des opérations punitives.

LES ATTAQUES DE MASSE : CONCEPTS

Pensez-vous que les attaques de phishing, c'est-à-

dire des attaques utilisant des mails piégés, sont
toujours ciblées ?

o Oui

o Non

Les attaques de masse sont aujourd’hui très courantes, car leur coût est

très faible pour l’attaquant et les revenus générés peuvent rapidement

devenir intéressants.

Les attaques de masse scannent ou balayent Internet pour trouver des

objets non-sécurisés comme les caméras que nous avions citées en

introduction pour en prendre le contrôle facilement si le mot de passe n’a

pas été changé.

Les attaquants arrivent ainsi à se constituer un réseau d’objets connectés

pour en faire un « botnet », c’est-à-dire un réseau de machines

compromises, autrement dit un groupe d’ordinateurs infectés et contrôlés

par un pirate à distance.

Ce réseau servira par la suite à commettre une attaque sur une cible

prédéfinie par l’intermédiaire des objets connectés des entreprises ou des

logements personnels sans que personne ne le sache.

EXEMPLE D'ATTAQUE DDoS

Notons qu’on appelle DDoS ou « Distributed Denial of Service » une
attaque par déni de service visant à rendre indisponible un ou plusieurs
services.

C’est cette situation qu'a connu un hébergeur français lors de l’attaque

DDoS la plus puissante jamais enregistrée pour atteindre les 1Tbits/s (le
débit demandé aux serveurs pour envoyer les données aux appareils
connectés).

Cette attaque a ainsi utilisé un réseau de plus de 145 000 objets

connectés sur Internet pour établir des connexions sur les serveurs de
l’hébergeur de manière à les rendre instables.

Le nombre de connexions par seconde était bien plus important que

le nombre de connexions que les serveurs avaient l’habitude de recevoir.
Même si l’attaque a été absorbée, certains sites ont tout de même été
rendus instables.
LES RANSOMWARES OU RANÇONGICIELS

1. Les attaques de masse ne se soucient pas de l’identité des

victimes.
L’objectif est de faire l’attaque la plus large qui soit pour avoir un
impact maximal et récolter le plus d’argent possible.
Les dernières attaques de masse connues sous le nom de
ransomware représentent bien cette théorie.
2. 2
2. Le « ransomware » ou « rançongiciel » est une technique d’attaque
courante de cybercriminalité qui consiste en l’envoi à la victime
d’un logiciel malveillant qui chiffre l’ensemble de ses données et
lui demande une rançon en échange d’une clé de déchiffrement.
Comment se diffusent les rançongiciels

Par mail phishing (imiter les couleurs d'une société, banque,

services impôts)

Dans le mail il y a un lien ou pièce jointe

Une fois l'utilisateur clique un logiciel s'installe sur le pc et chiffre

toutes les données.

Pour déchiffrer il faut payer un rançon

Face à ces attaques de rançongiciels, mon antivirus suffit à me

protéger.

o Oui

o Non

Il est important d’être conscient qu’un antivirus vous protège de

nombreuses menaces déjà connues mais qu’il sera inefficace face
à ce type d’attaques.
Votre messagerie peut dans certains cas vous aider à identifier
des mails suspects mais vous devez toujours rester vigilant.

SE PROTÉGER DES RANÇONGICIELS

Notez qu’un rançongiciel est destructeur pour votre ordinateur et vos

données. Une fois exécuté, son action est irréversible !

Il chiffre les documents présents sur le disque dur et sur l’ensemble du

réseau de l’entreprise où l’ordinateur est connecté.

Pour se protéger des conséquences d’un rançongiciel, il est

important de sauvegarder régulièrement vos données,
de vérifier les expéditeurs des emails, d’être vigilant avec
les extensions de fichier en .exe.

 Utilisez un antivirus à jour

 N'ouvrez pas de pièces jointes en cas de doute sur leur
légitimité
 Ne téléchargez rien sur des plateformes douteuses

Et surtout, n'encouragez pas le cybercrime en payant une

rançon !
Les attaques ciblées

CONCEPT ET OBJECTIFS

En parallèle des attaques massives que nous venons de voir, les

entreprises ou les personnes peuvent être victimes d’attaques ciblées.
A contrario des attaques de masse, les attaques ciblées sont moins
courantes.
En effet, les modes opératoires sont plus complexes et demandent des
compétences spécifiques ou une connaissance particulière de l’entreprise.

Concrètement, cela veut dire que l’attaquant connaît sa victime et qu’il

met en œuvre tout un procédé pour l’atteindre.

Il s’agit principalement de cas d’espionnage pour obtenir une information

qui n’est pas publique : espionnage économique ou industriel,

atteinte à la propriété intellectuelle, ou encore pour des raisons politiques.

Ces attaques sont appelées APT pour « Advanced Persistent Threat »

qui se traduit littéralement par « menace persistante avancée ».
Ces attaques très subversives sont souvent repérées des années
après la première infiltration sur le réseau de la personne visée.

Elles utilisent généralement un code malveillant développé

spécifiquement sur un ou plusieurs ordinateurs pour effectuer des
tâches spécifiques et rester inaperçu le plus longtemps possible.
PRINCIPES DE FONCTIONNEMENT

Pour réaliser une attaque ciblée, l’attaquant va utiliser l’ensemble des

informations de l’entreprise visée trouvées sur Internet pour en faire une
cartographie précise.

Par la suite, l’attaquant va infecter le réseau de l’entreprise, via un email

envoyé à un employé qui contient une pièce jointe malveillante par
exemple.
Cet employé, peu regardant sur le fichier en question et n’étant pas
conscient d’être une potentielle victime, va ainsi sans le vouloir ouvrir son
poste à l’attaquant.

L’attaquant prenant ainsi le contrôle du poste de l’employé, pourra se

connecter au réseau interne de l’entreprise, puis contaminer l’ensemble
du réseau jusqu’à trouver l’ordinateur qui contient l’information à
protéger.

Dans ce cas, on dit que le collaborateur a servi de « tête de pont » à

l’attaquant pour commettre son attaque.

Face à ces attaques ciblées, les mesures techniques de sécurité de mon

entreprise suffisent à me protéger.

o Oui

o Non

Face à ces attaques ciblées, les protections « classiques » telles que les
antivirus ou les pare-feu ne vous protègeront pas d’un attaquant très
motivé qui vous a bien observé, vous devez donc être vigilant !

Se protéger des attaques ciblées

1. Détruire les messages non-sollicités sans répondre

 2. Choisir des mots de passe sécurisés
3. Ne pas exécuter d'instructions venant d'un inconnu
4. Toujours effectuer les mises à jour
5. Ne pas diffuser d'informations personnelles et/ou
confidentielles sur Internet

Les différents types de

menaces
Outre les attaques de types APT ou déni de
service, il existe de nombreuses formes de
menaces : ver, virus, botnet, cheval de
Troie... les connaissez-vous et savez-vous
les différencier ?
LES MALWARES

Il est intéressant de noter qu’aujourd’hui ces menaces ou « malwares » ne

sont plus aussi différenciées qu'auparavant. En effet, ce qui varie est
plutôt le comportement de ces virus, vers, etc.

Par exemple un « Trojan » ou « Cheval de Troie » va généralement

embarquer des fonctions de « backdoor » (porte dérobée) lui permettant
de maintenir son accès sur le système ou embarquer des fonctions de
« keylogger » pour enregistrer la caméra ou encore les frappes du clavier
effectuées sur le poste.

LES ROOTKITS

D’autres programmes connus sous le nom de « rootkit » s’installent sur

votre machine pour dissimuler une activité sur le système de fichiers
(création, lecture, écriture), une activité réseau, ou encore une activité en
mémoire (calculs).
Un rootkit peut travailler dans l’environnement de l’utilisateur, sans droits
particuliers, ou en profondeur dans le système d’exploitation, nécessitant
par conséquent des droits d’exécution élevés.

LES ADWARES

D’autres menaces sont moins dangereuses pour vos données à court

terme mais tout aussi envahissantes pour votre poste de travail tels que
les « adwares » ou les « publiciels », ces logiciels publicitaires qui
contiennent des programmes utiles comprennent également une partie
illégitime permettant de vous restituer des publicités ciblées ou non.
Plusieurs sources de
motivation

LE DÉFI TECHNIQUE

Étudions en détail les sources de motivation

des pirates informatiques.

De manière générale, il y a plusieurs sources de motivation pour qu’une

personne ou une organisation décide de s’en prendre à un système
d’information.

On trouve en premier lieu, et de manière « historique », certains

individus souvent assez jeunes, qui possèdent une certaine maîtrise de

l’outil informatique et souhaitent relever un défi en attaquant des

systèmes d’information.

C’est ce qu’on appelle des « script kiddies » qui utilisent bien souvent

des logiciels d’attaque existants ou des tutoriels trouvés sur Internet pour

réaliser certaines attaques.

En revanche, certains attaquants ont un profil beaucoup plus technique.

Ce sont souvent eux qui conçoivent les outils utilisés par les « scripts
kiddies ».
Ces profils techniques vont s’atteler à rechercher des failles informatiques
inconnues et mettre à disposition des outils simples pour les exploiter.
De tels attaquants peuvent même vendre certaines découvertes.
C’est ce qui alimente un marché noir sur les failles informatiques, dites
failles 0-day.
Ces failles ont pour particularité d’être inconnues avant qu’elles ne soient
exploitées par la personne les ayant découvertes.
Ainsi, des failles 0-day pour des logiciels très utilisés peuvent valoir bien
plus cher qu’une faille 0-day pour un logiciel métier peu connu.

Ces profils techniques peuvent se structurer entre eux pour constituer des

« cyber-gang » qui mettent à disposition leurs services payants pour

réaliser des attaques informatiques sur catalogue.

Ces profils ont donc le profit comme principale motivation

LES HACKTIVISTES
Au-delà de l’aspect lucratif, certains hacktivistes recherchent l’impact le
plus large possible pour avoir un effet ayant une taille critique.
Assurément, l’objectif est bien de diffuser un message idéologique et
d’influencer l’opinion à travers des attaques informatiques.

En général, le niveau technique utilisé alors par les attaquants n’est pas
très élaboré. Il s’agit par exemple d’utiliser la défiguration de sites Internet
qui ne nécessite pas de niveau technique élevé mais pour lequel l’impact
peut être important.

Concrètement, défigurer un seul site Internet pour faire passer un

message aura bien moins d’impact que si 5 000 sites Internet diffusent le
même message. L’impact dépend également de la nature du site Internet
ciblé. Par exemple, si le site d’une société de sécurité informatique est
attaqué, même si l’attaque ne dure que peu de temps, l’image de la
société sera ternie de même que sa réputation, et donc à terme, son
chiffre d’affaires.

ATTAQUE ÉTATIQUE
Certaines attaques sont dites « étatiques » et se caractérisent
généralement par leur aspect très ciblé, leur degré de sophistication et
l’utilisation de vulnérabilités inconnues de manière coordonnée.

Des lanceurs d’alertes ont ainsi révélé par exemple que certains
opérateurs téléphoniques américains livraient chaque jour aux services de
renseignements, la totalité des données téléphoniques en leur possession
concernant les communications téléphoniques au sein des États-Unis,
mais aussi entre les États-Unis et l'étranger.
De même, d’autres révélations ont montré que les internautes étaient
également surveillés via des programmes installés dans les serveurs de
grandes entreprises américaines.

ESPIONNAGE

Les cyberattaques peuvent également servir pour de l’espionnage.

Dans ce cas, les attaquants vont rechercher à exfiltrer les informations
stratégiques des entreprises et des particuliers comme des secrets de
fabrication, des orientations de recherche et de développement, etc.
Les secteurs les plus touchés sont l’armement, le spatial et le secteur
pharmaceutique.

En 2014, un éditeur d’anti-virus a ainsi découvert un virus d’espionnage

nommé « REGIN ».
Actif depuis au moins 2008, il serait utilisé comme plateforme de
cyberespionnage contre des organisations privées et publiques.
Il aurait pour rôle principal de collecter des données, mais il pourrait
également prendre le contrôle d'ordinateurs cibles, prendre des captures
d'écrans et voler des mots de passe sur des cibles bien identifiées.

Autre exemple, en mai 2012, le virus nommé « FLAME » était chargé

d’intercepter les emails, fichiers PDF, fichiers de bureautique (comme
Word ou Excel) et d’enregistrer des conversations à distance, sur plus de 1
000 postes notamment basés au Proche-Orient. Il s’agit d’une véritable
trousse à outils pour récupérer n’importe quel type d’information à
distance.
Ce virus est présumé créé par les États-Unis et Israël, on parle de virus
d’état ou de cyberespionnage.

VENGEANCE

Enfin, il existe une autre catégorie d’attaques ciblées, lorsque l’attaquant

est tout simplement un ancien employé de l’entreprise victime par
exemple.
En effet, les anciens employés connaissent assez bien les systèmes
d’information et connaissent les potentielles vulnérabilités.
Dans ce cas-là, les motivations de ce type de profil sont d’ordre
émotionnel ou pour tirer profit de la situation.
Un ex-employé mécontent des pratiques de son ancienne entreprise
pourrait vouloir se retourner contre son employeur et attaquer les
systèmes d’information pour avoir un impact financier ou un impact sur la
réputation de l’organisme ciblé.

VOL DE DONNÉES

Mot de passe
Carte bancaire

Principe
Exploiter une faille (humaine ou technique ) dans le système d'information
d'une entité afin d'accéder à des données (base de données ou fichiers)
non autorisées.

Faire chantage

Les conséquences pour les

victimes de cyberattaques
LA PERTE FINANCIÈRE

Pour les entreprises et les particuliers, les conséquences des

cyberattaques peuvent être de plusieurs natures mais la conséquence la
plus couramment rencontrée est la perte financière engendrée par la
fraude.
La fraude est un acte commis dans l’intention de nuire et d’en tirer un
profit illicite.

Plusieurs conséquences sont alors possibles : les « pirates » peuvent se

connecter aux systèmes dans le but de détruire des données, ou au
contraire d’accumuler les données pour mieux connaitre leur « proie »
et parvenir à détourner de l’argent.

Fraude au président
Virement vers un compte à l'étranger sur ordre supposé d'un dirigeant ou
fournisseur, derrière lequel se cache en réalité un internaute malveillant.

L'ATTEINTE À L'IMAGE

Au-delà de l’aspect financier, les attaques informatiques peuvent jouer sur

l’avenir des dirigeants.

Par exemple, lors du piratage d’un site de rencontres extraconjugales, le

PDG de la société propriétaire du site a décidé de démissionner suite à la

publication de 30 Go de données du site contenant les noms, les comptes

utilisateurs, les courriels et les adresses ainsi que les historiques de

navigation de ses clients.

Malheureusement cette expérience a démontré que cela pouvait aller

tragiquement plus loin puisque certaines personnes se sont suicidées suite

aux révélations du site.

Il s’agit là d’un aperçu des conséquences sociales que peut avoir un

piratage.

De manière plus poussée, les cyberattaques peuvent également aller

jusqu’à détruire du matériel physique.
Par exemple, il est possible de leurrer les capteurs de sécurité d’un
système industriel afin de modifier ses réglages et donc l’obliger à détruire
voire à s’autodétruire.
Ces attaques sont rares, mais restent envisageables.
Enfin, les attaques informatiques peuvent servir à neutraliser les systèmes
ciblés.
Par exemple, l’attaque par déni de service distribué (DDoS) va saturer le
réseau pour rendre un site Internet indisponible par exemple.
Pour une entreprise, cela peut se traduire par des pertes financières
élevées lors de l’indisponibilité de ses services.

Réagir à une cyberattaque

CONCLUSION

Le cyberespace est un monde à hauts risques qu’il est important d’identifier afin de mettre
en place les mesures de protection adaptées pour protéger les systèmes d’information visés
par les attaquants.

Si malgré toutes vos précautions vous êtes la cible d’une cyberattaque, quelques
recommandations s’imposent.
Quelques recommandations

Débranchez votre ordinateur du réseau

Couper WiFi

Signaler l'attaque au service informatique dans les plus brefs délais afin
qu'il puisse intervenir pour évaluer les dommages et limiter les
conséquences

D’autre part, la plateforme [Link] mise en place

par l’ANSSI a pour objectif de venir en aide aux victimes d’actes de

cybermalveillance.

La plateforme s’adresse aux particuliers et également à toutes les

entreprises et collectivités territoriales (hors OIV).

Elle a pour objectifs :

 La mise en relation des victimes via une
plateforme numérique avec des prestataires de
proximité susceptibles de les assister
techniquement ;

La mise en place de campagnes de prévention et de

sensibilisation à la sécurité du numérique, sur le modèle
de la sécurité routière ;

La création d’un observatoire du risque numérique
permettant de l’anticiper.
Les acteurs de la cybersécurité

Les règles d'or de la sécurité

INTRODUCTION

Nous l’avons vu en introduction de ce module, protéger

le cyberespace permet d’éviter les conséquences ravageuses d’une
cyberattaque.
Pour cela, il faut respecter une règle générale : utiliser une défense en

profondeur sans jamais perdre de vue que la cybersécurité est l’affaire

de tous.

De même, penser qu’utiliser un logiciel de sécurité (anti-virus, pare-feu,

logiciel de chiffrement, etc.) est le remède universel contre les

attaquants est illusoire car les outils seuls ne suffisent pas.

Pour mieux comprendre comment sécuriser son SI, nous vous proposons

d'étudier les 12 règles éditées par l’ANSSI et présentées aux

entreprises.

Ces règles vous permettront de comprendre certaines contraintes

imposées par les personnes responsables de l'informatique dans votre

entreprise.
Bien entendu, elles peuvent souvent être adaptées et avoir un intérêt

pour vos équipements personnels à la maison.

Choisir ses mots de passe
La première règle de ce guide et de loin la plus évidente consiste

à choisir ses mots de passe avec soin.

L’exemple présenté dans le guide illustre bien le risque pour l’utilisateur

dans ses activités personnelles et par extension pour son entreprise, s’il

utilise un mot de passe faible.

En effet, la majorité des tentatives de cyberattaques parvient à

compromettre un système à cause d’un mot de passe trop faible, voire

jamais changé.

Ainsi, il est courant de retrouver des mots de passe par défaut sur les

objets qui se connectent à Internet comme « 0000 » ou « admin ».

Les attaquants n’ont alors qu’à tester ces possibilités pour parvenir à leurs

fins.

De plus, notez qu’il est nécessaire d’avoir un mot de passe

différent pour chaque usage avec une robustesse différente selon la
criticité du service et sans lien avec le service utilisé.

En effet, votre mot de passe de messagerie ou votre code de connexion à

votre banque doit avoir une robustesse supérieure à celle de votre de
mot de passe de compte de réseaux sociaux par exemple.

Choisissez des mots de passe de qualité :

Définissez pour cela une formule connue de vous seul, c’est-à-dire un mot
de passe difficile à retrouver à l’aide d’outils automatisés et à deviner par
une tierce personne.
Pour le construire, utilisez par exemple une phrase de passe composée de
12 caractères dont au moins 1 majuscule, 1 minuscule, 1 chiffre, 1
caractère spécial.

Bien sûr, il faut éviter que cette phrase soit évidente.

Pour conserver vos différents mots de passe, il existe des coffres-forts

de mots de passe comme nous le découvrirons dans le module suivant.

nfin, notez que le mot de passe de l’ordinateur permet d’accéder aux

données qu’il contient.

Il est donc important de le protéger et de ne pas le communiquer.

N’écrivez aucun mot de passe sur des documents, ne les sauvegardez pas
sur votre navigateur et ne les affichez pas sur des post-it !

Que pourrait faire un pirate si j’utilisais un mot de passe non sécurisé

sur ma messagerie ?

(Plusieurs réponses possibles)

o Récupérer mes informations personnelles

o Usurper mon identité pour son bénéfice personnel
o Porter atteinte à mon image ou à ma réputation
o Essayer de piéger mes contacts à leur tour

Toutes ces réponses sont possibles.

N’oubliez pas que le mot de passe de votre messagerie est l’élément de
sécurité le plus important.
Il permet notamment d’accéder à vos contacts et à toutes vos
correspondances.

Mettre à jour régulièrement ses logiciels

La deuxième règle consiste à mettre à jour régulièrement son

matériel et ses logiciels (système d’exploitation, navigateur, base virale

de l'antivirus, pare-feu personnel, etc.).

Les éditeurs de vos logiciels mettent des correctifs à votre disposition pour

vous protéger davantage.

Ne pas faire les mises à jour revient, en revanche, à vous exposer

davantage comme vous pouvez le voir sur la situation présentée.

En effet, les mises à jour de logiciels n’apportent pas uniquement des

nouvelles fonctionnalités puisqu’elles permettent souvent de corriger

des failles de sécurité découvertes depuis la dernière mise à jour.

Nous l’avons vu dans une précédente unité, de nombreuses attaques

tentent d’utiliser les failles d’un ordinateur (failles du système
d’exploitation ou des logiciels).

Ainsi, si un attaquant arrive à déceler la version d’un logiciel

couramment utilisé et que ce logiciel n’est pas à jour, alors l’attaquant
connaîtra exactement le chemin à prendre et les vulnérabilités à utiliser
pour compromettre votre système.

C’est pourquoi il est fondamental de mettre à jour tous ses logiciels afin de
corriger ces failles.

Ces mises à jour doivent concerner l’ensemble des objets numériques

connectés : ordinateur, télévision, smartphone, etc.

Bien connaître ses utilisateurs et ses

prestataires
La troisième règle de ce guide explique qu’il est nécessaire de bien

connaître ses utilisateurs et ses prestataires.

En effet, comme nous pouvons le constater sur l’exemple, des liens piégés

peuvent vous attirer sur des pages web infectées.

Pour éviter l’infection de votre poste, vous devez être vigilant avant

d’accéder à une adresse internet (URL), d’installer un logiciel ou d’accéder

à toute autre ressource disponible sur un support externe (clé USB, disque

dur).

Pour éviter de répandre une contamination, il est judicieux de définir deux

rôles : administrateur et utilisateur.

Le compte administrateur permet de configurer son poste, installer des

logiciels, modifier des paramètres de sécurité ou encore accéder à des
fichiers systèmes.

Le compte utilisateur quant à lui, permet d’exploiter des fonctionnalités

et logiciels de l’ordinateur (préalablement installés par l’administrateur),
d’envoyer des messages et d’accéder à internet.

Pour des raisons de sécurité, il est important de ne pas utiliser le compte

administrateur pour naviguer sur internet afin de limiter les impacts du
virus.

Le virus n’aura alors pas les pouvoirs nécessaires pour installer et

supprimer d’autres logiciels.

Rappelez-vous d’être vigilant avec les prestataires externes qui

demandent des droits sur vos machines.

En effet, une fois leur programme installé, il est déjà trop tard pour
stopper l’infection d’un logiciel malveillant.
Notez que pour certaines activités liées aux systèmes
d’information, l’ANSSI a listé un ensemble de prestataires de confiance.
Vous pourrez trouver cette liste sur le site internet.

Pour éviter le téléchargement ou l’installation de logiciels malveillants, il

est nécessaire de :

 Sensibiliser les utilisateurs (sur les impacts) ;

 Utiliser des outils de détection de malwares (antivirus…) ;
 Séparer les droits d’administrateur de ceux des utilisateurs ;
 Télécharger les logiciels sur les sites de leur éditeur ;
 Utiliser des supports amovibles sains.

Effectuer des sauvegardes régulières

La quatrième règle de notre guide propose d’effectuer des sauvegardes

régulières et sur différents supports. Ne pas faire de sauvegarde vous

expose et expose votre société à de lourds préjudices en cas de perte.

En effet, l’un des premiers principes de défense est de conserver une

copie de ses données afin de pouvoir réagir à une attaque ou un

dysfonctionnement sans affecter son activité.

Dans le cas d’une attaque informatique (virus, rançongiciel, etc.) ou d’une

erreur humaine (suppression/altération de dossiers/fichiers), il est

indispensable de pouvoir retrouver les documents disparus.

Pour assurer la continuité de son activité, il est nécessaire d’avoir une

politique de sauvegarde régulière de vos fichiers et applications.

Il est possible de faire des sauvegardes dites « différentielles » et des

sauvegardes « entières ».
Les sauvegardes différentielles vont comparer les changements entre la
dernière sauvegarde et l’état actuel du document et enregistreront les
changements par version (sauvegarde plus rapide).

Les sauvegardes entières synchroniseront à chaque fois toutes les

données sans faire de comparatif entre les données sources et celles
sauvegardées (sauvegarde plus longue).

Une bonne politique de sauvegarde alternera entre des sauvegardes

entières et des sauvegardes différentielles, de manière régulière et se
chargera de tester l’intégrité des sauvegardes. Elle prévoira également
des tests de restauration.

Pour aller plus loin, et assurer la continuité d’une activité, il est

préférable de sauvegarder les données sur plusieurs supports (par
exemple en cas de feu du site principal, ou de risque
d’intempérie : inondation, etc.)

Sécuriser l'accès Wi-Fi

La cinquième règle du guide aborde la nécessité de sécuriser son accès

Wi-Fi.

En effet, la technologie Wi-Fi permet d’accéder à un réseau sans fil visible

par le public qui est à proximité de la borne.

Le réseau sans fil est donc plus vulnérable aux attaques, notamment si ce

dernier est mal sécurisé : absence de mot de passe, mot de passe trop

simple ou technologie de chiffrement peu sécurisé (WEP).

Notez bien qu’un attaquant qui accède à votre réseau sans fil, peut aussi

accéder à votre réseau local, mais il pourrait également :

 Changer les paramètres de votre routeur (si celui-ci est accessible

avec les mots de passe par défaut admin/admin).
 Écouter l’ensemble des communications.
 Intercepter des données intéressantes (mot de passe de
messagerie, coordonnées bancaires, etc.).
 Utiliser votre accès internet à des fins illégales.
Aujourd’hui, pour utiliser une connexion Wi-Fi sécurisée, il faut
privilégier la technologie WPA2-PSK et utiliser un mot de passe
fort comme vu précédemment.
Ces paramètres sont généralement appliqués par défaut sur la
plupart des box.

Soyez vigilant avec les Wi-Fi publics (appelés aussi hotspots) proposés
dans les hôtels, restaurants ou encore les bibliothèques et les aéroports.

En effet, ces accès ouverts ne sont pas sécurisés !

Si vous devez utiliser ce type de Wi-Fi publics, il peut être intéressant de

faire passer votre connexion Internet par un VPN (Virtual Private Network)
s’il a été mis en place par votre entreprise.

Celui-ci vous permettra de vous connecter de manière sécurisée au réseau

de votre entreprise.

Le VPN chiffre les communications entre votre ordinateur et votre

entreprise. Le routeur du Wi-Fi public ne voit alors passer que des données
protégées.

Ainsi, les personnes connectées sur la même borne Wi-Fi que vous ne
pourront pas espionner le trafic et intercepter des données sensibles.

Être prudent avec son

smartphone ou sa

tablette
La règle 6 du guide indique d’être aussi prudent avec son smartphone ou

sa tablette qu’avec son ordinateur.

En effet, les smartphones et les tablettes sont

devenus omniprésents dans les entreprises et dans nos foyers.

Or, force est de constater que ces objets contiennent des informations

confidentielles qui sont souvent mal protégées !

Il est nécessaire d’être attentif sur les applications que l’on y installe

puisqu’elles peuvent être une source de fuite de données personnelles et

qu’elles peuvent également augmenter la surface d’attaque de

votre smartphone/tablette.

Installez uniquement les applications qui vous sont réellement utiles et

pensez à supprimer les autres.

D’autre part, n’oubliez pas que vos appareils mobiles (smartphones,

tablettes, ordinateurs portables) contiennent de nombreuses informations
personnelles mais aussi souvent des informations professionnelles.

Il est donc nécessaire de signaler la perte ou le vol de vos appareils

mobiles au plus vite à votre responsable en charge de la sécurité.

Cela aura pour conséquence de neutraliser votre appareil à distance et de

limiter les conséquences de cette perte pour votre entreprise (diffusion de

données confidentielles de l’entreprise ou intrusion dans le réseau de

l’entreprise via l’appareil subtilisé).

Pour éviter ce risque pour votre entreprise, pensez également à séparer

les usages professionnels et personnels en n'utilisant pas vos appareils

personnels pour votre travail !

Protéger ses données lors de ses

déplacements
Il est également nécessaire de protéger ses données lors de ses

déplacements.

Aujourd’hui, les ordinateurs portables, smartphones ou tablettes facilitent

l’échange d’informations lors des déplacements personnels et

professionnels.

Cependant, voyager avec ses appareils nomades fait peser des menaces

sur des informations sensibles.

N’oubliez pas que le vol ou la perte peuvent avoir des conséquences

importantes sur les activités de l’entreprise.

Il est conseillé par exemple d’utiliser du matériel dédié à la mission et

ne comprenant que les documents strictement nécessaires.

Il est conseillé également de ne jamais connecter une clé USB offerte ou

trouvée qui pourrait comprendre un code malveillant.
Soyez vigilant lorsque vous travaillez sur des documents professionnels
dans les transports en commun, lors de déjeuners professionnels ou lors
de vos conversations téléphoniques.

Veillez à ne pas diffusez d’informations confidentielles concernant votre

entreprise.

Être prudent lors de

l’utilisation de sa
messagerie

La huitième règle rappelle qu’il est nécessaire d’être prudent lors de

l’utilisation de sa messagerie, puisque les courriels et leurs pièces jointes

sont souvent le vecteur central dans la réalisation des attaques

informatiques.

En effet, il n’est pas rare de recevoir des courriels frauduleux avec des

liens ou des pièces jointes piégées semblant provenir de ses contacts.

Lncez une analyse antivirale avant d’ouvrir

les pièces jointes de votre messagerie pour
vérifier qu’ils ne contiennent aucune charge
virale connue (contactez votre responsable
informatique pour connaître la procédure
de votre entreprise).
D’après-vous, ce mail est-il malveillant ?

o Oui

o Non

Plusieurs indices montrent que ce mail est malveillant :

 L’adresse de l’expéditeur est différente de celle affichée,

 Il y a de nombreuses fautes d’orthographe,
 Si vous n’êtes pas client de cette banque ce mail doit vous alerter.

Le cas échéant vous pouvez vérifier l’information auprès de votre

banque.

Télécharger ses
programmes sur les sites

officiels des éditeurs

La neuvième règle consiste à télécharger ses logiciels uniquement sur les

sites officiels des éditeurs.

En effet, la situation présentée n’est pas rare aujourd'hui puisque de

nombreux utilisateurs pensent que les programmes trouvés sur Internet

sont systématiquement de « confiance ».

Or, la plupart des contenus numériques présents sur des sites Internet ne

sont pas garantis par le site qui les héberge. Vous prenez le risque

d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à

jour, qui peuvent contenir des virus ou des chevaux de Troie.

Comme nous l’avons vu précédemment, une fois installés, ces

programmes vont permettre à des personnes malveillantes de prendre le

contrôle à distance de votre machine. Ils pourront alors espionner les

actions réalisées sur votre ordinateur, voler vos données personnelles,

lancer des attaques, etc.

Être vigilant lors d'un paiement sur
Internet
La dixième règle consiste à être vigilant lors d’un paiement sur

Internet.

En effet, comme le montre l’exemple, lors de la réalisation d’achats sur

Internet via un ordinateur ou un smartphone, les coordonnées bancaires

peuvent être interceptées par des attaquants directement sur votre

ordinateur ou dans les fichiers clients du site marchand.

Avant d’effectuer un paiement en ligne, il est nécessaire de procéder

à des vérifications sur le site :

 S’assurer que la mention « https:// » apparait bien au début de

l’adresse du site Internet.
 Vérifier la légitimité du site Internet en prenant garde aux fautes
d’orthographe par exemple (même si cela ne vous garantit pas
complètement sa légitimité).
 Vérifier la présence d’un cadenas vert dans la barre d’adresse de
votre navigateur.

Séparer les usages personnels et

professionnels
La onzième règle rappelle de séparer les usages personnels des usages

professionnels.

En effet, les usages et les mesures de sécurité sont différents sur les

équipements de communication (ordinateur, smartphone,

etc.) personnels et professionnels.

Le AVEC (Apportez Votre Equipement personnel de Communication) plus

connu sous le nom de BYOD (Bring Your Own Device) est une pratique qui

consiste, pour les collaborateurs, à utiliser leurs équipements personnels

(ordinateur, smartphone, tablette, etc.) dans un contexte professionnel.

Cette méthode pose des problèmes, notamment lors de la perte ou le vol

d’un équipement, puisque des données d’entreprises potentiellement

sensibles y transitent.

Notez que l'inverse est également vrai : il ne faut pas utiliser les

moyens professionnels à la maison.

Prendre soin de son identité numérique

Enfin, la douzième règle de ce guide rappelle de prendre soin de ses

informations personnelles, professionnelles et de son identité numérique.

Internet n’est pas un lieu complètement anonyme et préservé, les

informations que l’on y laisse nous échappent instantanément !

Dans ce contexte, une bonne pratique consiste à ne jamais laisser de

données personnelles dans des forums ou des jeux concours.

De même, ne saisissez pas de coordonnées personnelles et sensibles

(comme des coordonnées bancaires) sur des sites qui n’offrent pas toutes

les garanties requises.

Dans le doute, mieux vaut s’abstenir.

Conclusion
En résumé, comme nous l’avons vu dans les différentes unités, la sécurité
du numérique ne doit pas se cantonner à des outils, l’effort humain est
nécessaire.
Pour se protéger, il est nécessaire d’adopter une défense en
profondeur qui vise à couvrir l’ensemble du spectre des menaces avec
des mesures cohérentes et pragmatiques vis-à-vis de l’activité du foyer
personnel ou de l’entreprise concernée.

En tant qu’utilisateur du système d’information vous devez être attentif,

humble et lucide vis-à-vis des menaces.

Notez que ces mesures de sécurité seront inutiles si celles-ci ne sont pas

entièrement respectées.

Par exemple, une politique ordonnant d’avoir un mot de passe

fort ne vaut rien si le mot de passe est écrit sur un Post-it en
dessous du clavier !

Comme vous avez pu le constater, la sécurité du numérique est l’affaire

de tous !

Plus que les outils, ce sont les précautions prises qui protègent vos

données sensibles.
Les règles d'or de la
cybersécurité –

Introduction

Les données

Pour commencer cette unité, définissons ensemble ce qu’est une donnée.

Une « donnée » doit être largement entendue puisqu’elle englobe

plusieurs caractéristiques : un type, une criticité, des droits et des moyens

d’accès.

Une donnée peut se présenter sous différents formats : elle peut être

physique (documents papiers, affiches, livres, etc.) ou numérique, c’est-à-

dire comprenant des fichiers électroniques (ppt, xls, doc, odt, odp, jpeg,

html, sons, vidéos, animations, etc.)

Selon leur forme et leur criticité, ces données seront stockées sur
différents supports, eux-mêmes plus ou moins accessibles à d’éventuelles
personnes malveillantes.

Indépendamment de tout support, retenons qu’une donnée est une

information.

Au niveau informatique, la donnée est stockée dans le temps sur

un support de stockage (disque dur, CD, clé USB, serveur de fichiers,
système d’information, etc.).
À un instant T elle peut également être présente dans la mémoire vive
d'un ordinateur, transiter sur le réseau, ou encore être analysée par un
système de détection d'intrusion, etc.

Une donnée est générée et stockée sur des moyens informatiques de notre système
d’information.
Ces supports permettent de la produire, de l’utiliser, de l’archiver, de la modifier et de la
partager.

CRITICITÉ

La principale notion caractérisant les données est la criticité, c’est-à-dire

leur importance pour vous-même ou pour votre entreprise.

Les données sont pour l'entreprise ce que le cerveau est à

l'homme : mémoire et intelligence.

Elles constituent des informations sensibles pouvant porter atteinte à

l'entreprise si elles sont divulguées à des tiers.

Une donnée ne doit être accessible qu’aux personnes autorisées, il est

donc important de mettre en place un système de classification et de

définir qui a accès à quel niveau de classification.

En France trois niveaux de classification des informations :

1. Très secret-défense

2. Secret-défense

3. Confidentiel-défense
CLASSIFICATION ET DROITS D’ACCÈS

Pour préserver la confidentialité des données, des droits d’accès sont

définis selon les utilisateurs :

 Droit de lecture seule

 (consultation uniquement)

 Droit d'écriture

 (modification des documents)

 Droit d'administration

 (consultation/suppression des documents et modification

des droits d’accès des utilisateurs)
CYCLE DE VIE DE L’INFORMATION

Une donnée/information a une durée de vie. Tout comme un être humain

qui nait, vit et meurt, une donnée/information a une date de création, une
durée de vie utile au cours de laquelle elle peut être modifiée, puis une
phase d'obsolescence dans laquelle elle n'a plus de valeur (ou une valeur
réduite).

La destruction de la donnée sur un support peut intervenir pendant la

phase de durée de vie utile ou lorsque l'information n'a plus de valeur.

On parle pour cela de

« cycle de vie de l’information ».

Les modalités concernant son classement, son stockage, son échange et

sa destruction, sont définies dès sa création selon sa classification.

Risques sur les données
l existe plusieurs niveaux de risque pour vos données.

En matière de sécurité de l’information, on considère que ces risques pour

les données sont plus ou moins importants selon les critères des
Disponibilité, d’Intégrité et de Confidentialité (DIC), connue aussi sous le
nom Anglais CIA (Confidentiality, Integrity, Availability).

ATTEINTE À LA DISPONIBILITÉ

Le premier niveau de risque atteint la disponibilité des données, c’est-à-

dire le fait que le système ne soit pas disponible pour un utilisateur
autorisé.

L’indisponibilité des données peut bloquer plus ou moins longtemps les

activités d’une entreprise entraînant ainsi des pertes financières dues à la
baisse de productivité.

Dans le cadre d’un site marchand par exemple, l’indisponibilité de son site
internet peut engendrer des pertes financières et générer une
insatisfaction de sa clientèle.

ATTEINTE À L’INTÉGRITÉ

Le deuxième niveau de risque porte sur l'intégrité des données, c’est-à-

dire sur la modification non-autorisée d'une donnée.

En effet, la modification d'une transaction sur le réseau ou la modification

d'un enregistrement en base de données par exemple, peut engendrer
des conséquences pour l’entreprise qui se retrouverait ainsi avec des
données erronées entrainant des pertes financières.
ATTEINTE À LA CONFIDENTIALITÉ

Enfin, le troisième niveau de risque porte sur la confidentialité, c’est-à-dire

sur la divulgation non-autorisée de données.

En effet, comme nous avons pu le voir, les données sont classifiées et les

conséquences de leur divulgation peuvent être plus ou moins importantes

selon leur niveau de classification (secret, confidentiel, etc.).

La divulgation des données peut être causée par des individus

malveillants, mais elle peut également provenir de manière involontaire
des collaborateurs lors de leurs déplacements par exemple.

Quel est le risque pour vos données dans ces

situations ?

o Disponibilité - Availability
o Intégrité - Integrity
o Confidentialité - Confidentiality
 o Disponibilité - Availability
o Intégrité - Integrity
o Confidentialité - Confidentiality

Protéger les données

CRITICITÉ

Rappelons que les données sont ce que le cerveau est à

l’homme : mémoire et intelligence.
Elles sont le patrimoine informationnel d’une entreprise. Il est la richesse
de votre entreprise au quotidien et son capital de développement futur
(portefeuille de prospects/clients, nouveaux projets/produits, recherche et
développement, etc.).

La protection de ces données garantit le fonctionnement quotidien de

l’entreprise mais aussi sa pérennité car si ce patrimoine venait à
disparaitre, elle ne pourrait plus fonctionner aussi efficacement.

RESPONSABILITÉS DE L'UTILISATEUR

En tant qu’employé et utilisateur du système d’information de votre

entreprise, vous êtes donc tenu de faire les sauvegardes adéquates
(assurer la disponibilité), de ne pas les modifier lorsque cela n’est pas
nécessaire (assurer leur intégrité), mais aussi de vous assurer que les
données ne sont pas accessibles à n'importe qui (préserver la
confidentialité des données).

Pour assurer la continuité de son activité et protéger son patrimoine

informationnel, votre entreprise dispose généralement de moyens de
protection.
Pour cela, elle peut par exemple :

 1

1
Mettre en place un contrôle d'accès et des droits adéquats pour les
serveurs de fichiers.

 2

2
Fournir des outils de chiffrement sur le poste de travail
(chiffrement complet de disque, création d’une partition sécurisée,
chiffrement par fichier, clés USB sécurisées, etc.).
 3
3
Mettre en place un système de redondance et de sauvegarde sur
les serveurs de fichiers afin d'assurer la disponibilité des
informations dans le temps.

Responsabilités face aux risques

PROTÉGER LA RÉPUTATION

En tant que salarié d’une entreprise, il est de votre devoir de protéger

son patrimoine informationnel, mais au-delà de ce point, il est
également important de protéger sa réputation et son image.
N’oubliez pas que construire l'image et la réputation d’une entreprise
prend beaucoup de temps, mais que cela est très rapide à détruire.
En effet, si un pirate modifie par exemple la page d’accueil de votre site
internet, votre image peut en être profondément affectée.
VIGILANCE, RESPECT DU MATÉRIEL

Votre entreprise met généralement en place un ensemble de mesures

pour éviter les risques les plus basiques (proxy* pour éviter les sites
malveillants, antivirus ou sandbox* sur les pièces-jointes des emails,
antivirus sur les postes pour éviter la contamination, etc.).

Cependant, vous devez toujours rester vigilant car ces mesures seules ne
suffisent pas face à un attaquant très motivé qui pourra vous atteindre par
la ruse.

En tant qu’utilisateur du système d’information de votre entreprise, vous

devez être vigilant face aux cyber-risques tels que les tentatives
d’hameçonnage, de rançonnage ou de compromission par des virus
présents sur les périphériques amovibles par exemple.

Restez conscients que toutes les mesures mises en place par votre
société, aussi restrictives soient-elles pour vous, ne protègeront jamais
à 100% le système d’information si vous n’êtes pas impliqué dans sa
sécurité et si vous ne restez pas vigilant au quotidien.
RÉAGIR

Au quotidien, il est nécessaire d’avoir une attitude proactive pour éviter

les incidents de sécurité.
Si malgré votre vigilance, vous constatez un incident de sécurité, rappelez-
vous que chaque seconde compte pour limiter les conséquences pour
votre entreprise

En tant que salarié vous devez signaler toute anomalie dès sa survenue
à votre hiérarchie, par tous les moyens et quel que soit le type
d’incident : erreur humaine, intrusion physique, violation de compte, etc.

Restez toujours vigilant car le fait de ne pas rapporter rapidement un

incident de sécurité peut avoir de lourdes conséquences sur la capacité
de votre entreprise à réagir pour en limiter les effets et éviter les ré-
occurrences.
Outre le fait de corriger immédiatement une faille ou une anomalie, le
signalement de l’incident permettra d’améliorer durablement la sécurité
en prévoyant par exemple de nouveaux investissements de matériel ou en
révisant les procédures de gestion d’incident en place.

Signaler un incident au plus vite permettra

également de vous protéger juridiquement en cas de
conséquences graves, par exemple si votre
ordinateur est infecté par un virus qui réalise des
opérations illicites sous votre identité.

DESTRUCTION DES DOCUMENTS

  Supprimer tout ce qui se trouve dans la poubelle

 Utiliser des broyeurs de papier pour les documents

papier.

MISES À JOUR

Respectez les mesures mises en place par votre entreprise et ne cherchez

pas à les contourner.

De même, n’empêchez pas les mises à jour de vos postes de travail et de

l’ensemble de votre matériel informatique.

En effet, votre entreprise fait généralement le nécessaire pour que le

système et les logiciels se mettent à jour selon ses conditions.

Ne contournez pas ces mises à jour et assurez-vous que ce processus se

passe correctement.

Rapportez les éventuels problèmes de mises à jour (mise à jour Windows

en échec, mise à jour d'un logiciel nécessitant des droits administrateurs,

etc.) à un responsable du support informatique.

VERROUILLAGE DU POSTE DE TRAVAIL

Étape 1

N’oubliez pas que votre poste de travail doit être verrouillé lorsque vous
devez vous absenter.

En effet, un visiteur un peu curieux pourrait tenter de s’introduire dans

votre machine et pourrait ainsi accéder à vos documents, mais aussi à
ceux de votre entreprise si vous êtes connecté sur le réseau.
Les principes de
l'authentification
s'identifier : identité : adresse mail
s'authentifier : preuve sur l'identité : mot de passe

Avec la multiplication des services en ligne (messagerie, sites marchands,

hébergement de documents, réseaux sociaux, etc.), nous devons
aujourd’hui gérer de nombreux mots de passe.

En obtenant le mot de passe d’une personne, l’attaquant prend possession

du moyen d’accéder à des services et informations utiles. Un véritable
sésame pour une personne malveillante !

Comment les choisir ? Comment les retenir ? Quels sont les risques en cas
de vol de mot de passe et que faire ?

Dans cette unité, nous allons tenter de répondre à quelques-unes de ces

questions et de vous donner quelques bonnes pratiques à adopter.

Lorsque vous vous connectez sur un service, il vous est demandé de

vous authentifier.
Pour cela on vous demande généralement de communiquer un nom
d'utilisateur (l'identité) et un mot de passe.

L’authentification est une étape de contrôle indispensable puisqu’elle vise

à vérifier l’identité communiquée par un utilisateur lors de sa connexion
sur un service.

Le principe d'authentification est une brique essentielle pour

permettre la mise en place des mécanismes de sécurité des services en
ligne.

C'est le cas notamment du contrôle des accès, qui permet de gérer les
autorisations pour accéder à vos données en s'appuyant sur l'identité
authentifiée.
Pour accéder à vos données, deux principes différents sont ainsi mis en
œuvre : le principe d'authentification et le principe d'autorisation.

Par exemple, lorsque vous avez saisi votre identifiant et votre mot de
passe sur votre service de messagerie en ligne (principe
d'authentification), vous pouvez consulter vos propres messages mais
pas ceux reçus par d'autres utilisateurs (principe d'autorisation).
Et inversement, ces autres utilisateurs ne peuvent pas consulter vos
messages.

OBJECTIFS

Le principe d'authentification est également utilisé pour assurer

l'imputabilité (c’est-à-dire pour apporter la preuve de qui a fait quoi) et
la traçabilité des actions (c’est-à-dire conserver l'historique des actions).

Associez chaque terme à sa définition.

 Identification : Décliner son identité

 Authentification : Prouver son identité

 Imputabilité : Relier de manière certaine une action à son auteur

 Traçabilité : Conserver l'historique d'une action

L'authentification consiste à apporter la preuve de son identité mais il

existe plusieurs façons de la prouver.

Celles-ci se répartissent en plusieurs catégories : on parle de facteurs

d'authentification.

Les différents facteurs sont la connaissance, la possession ou encore

les caractéristiques biométriques.

Les facteurs de connaissance sont aujourd’hui la catégorie la plus

répandue.
Cette catégorie regroupe les preuves correspondant à « ce que je
connais ».
Ces preuves peuvent être par exemple :

 Un mot de passe.
 Un code PIN de carte à puce (ex : un code de carte bancaire).
 La réponse à une question secrète et connue de vous seul(e).
 Un schéma de déverrouillage (ex : déverrouillage des smartphones).

La deuxième catégorie regroupe les facteurs de possession c’est-à-dire

les preuves qui correspondent à « ce que je possède ».
Dans nos activités professionnelles, il peut s’agir de :

 Un téléphone portable (ex : un code à usage unique envoyé par

SMS).
 Une carte à puce (ex : carte bancaire, passeport électronique, carte
vitale).
 Un badge, une clé USB de sécurité.
 Un générateur de mot de passe à usage unique (ex : certaines
banques fournissent un boîtier pour valider des opérations bancaires
comme les virements), etc.

Enfin, la troisième catégorie regroupe les preuves qui correspondent à

« ce que je suis ».
Il s’agit d’éléments biométriques (ou inhérents) tels que :

 Une empreinte digitale.

 Une empreinte rétinienne.
 La structure de la main.
 La structure du visage.
 La voix.
 etc.

L'avantage de cette méthode est que l'utilisateur a toujours sur lui ses
« codes d'authentification » et ne peut pas les perdre ou les oublier.

Cependant, à l’inverse d’un facteur de connaissance ou de possession, les

éléments biométriques sont fixes, ce qui peut poser des problèmes vis à
vis de la vie privée.
Les types d'authentification

1 FACTEUR = AUTHENTIFICATION SIMPLE

L'authentification électronique par identifiant et mot de passe met en

œuvre un unique facteur d'authentification, à savoir le mot de passe qui
rentre dans la catégorie des facteurs de connaissance : on parle alors
d'authentification simple.

PLUSIEURS FACTEURS

= AUTHENTIFICATION FORTE

Lorsque le mécanisme d'authentification met en œuvre plusieurs facteurs

d'authentification, on parle alors d'authentification forte.

L’authentification forte mêle ainsi différents types de facteurs

d’authentification comme la connaissance associée à la possession.

Ce type d'authentification est souvent utilisé pour se protéger des

faiblesses pouvant être liées aux mots de passe.

Aujourd’hui, il est en effet assez répandu de pouvoir activer un deuxième

facteur d'authentification pour accéder à sa messagerie électronique et de

devoir saisir un code reçu par SMS après avoir entré son mot de passe.

Limites des facteurs d'authentification

LA BIOMÉTRIE

De toutes les méthodes d’authentification vues ensemble, aujourd’hui, la

biométrie est sans doute la méthode la plus prometteuse, mais aussi la
plus délicate à mettre en œuvre pour plusieurs raisons.
Il existe toutefois plusieurs limites à la biométrie.

Tout d'abord, la biométrie coûte cher et nécessite de lourds moyens pour

être mise en place.
Ensuite, elle pose des problèmes sur l'aspect juridique du fait de stocker
les caractéristiques morphologiques des personnes.

En effet, ces bases de données sont à rapprocher de celles utilisées par la

police et sont donc soumises à des lois très strictes.

Notez également que certaines techniques d'authentification biométriques

sont plus susceptibles d'être contournées que d'autres.

Par exemple, les techniques courantes de reconnaissance du visage

peuvent être mises à mal par une simple photo.
Et c’est sans compter les éventuels problèmes d’accès qui pourraient
survenir avec une voix enrouée ou encore des mains brûlées…

Les risques liés aux mots de passe

PRÉSENTATION

Le mot de passe est aujourd’hui le mode d’authentification le plus

répandu.
En effet, c’est le mode d’authentification le plus simple à mettre en place
sur nos services quotidiens.
Mais ce mot de passe n’est pas exempt de risques.

DIVULGATION

Même s’il n’élimine pas l’ensemble des risques, le principe

d'authentification permet toutefois de réduire les risques d'usurpation

d'identité.

Les risques peuvent varier en fonction du type d'authentification et de la

nature des preuves apportées.

n particulier, un mot de passe est un élément secret que vous seul devez

connaître car il conditionne l'accès à vos données et services en ligne.

Le risque principal lié à son utilisation est donc sa divulgation à un tiers

qui pourrait en faire un usage malveillant.

Les causes de divulgation peuvent être multiples, de la négligence à la

malveillance.

NÉGLIGENCE

On parle de divulgation par négligence dans les cas

suivants :
  Utilisation d'un mot de passe faible (ex : 0000, 123456,
motdepasse) ;

 Inscription du mot de passe sur un support accessible à un

tiers (post-it sous le clavier, tableau blanc, etc.) ;

 Diffusion à un tiers (collègue, ami, opérateur de service

informatique, mot de passe envoyé par email, etc.) oralement
ou par écrit (papier, mail, etc.) ;

 Authentification sur un service via un protocole non

sécurisé tels que HTTP, IMAP, POP3, etc. au lieu de HTTPS,
IMAPS, POPS ;

 Utilisation d'un ordinateur/smartphone qui ne soit pas de

confiance et potentiellement infecté (cybercafé, ordinateur en
libre accès dans un hôtel, etc.) ;

 Mot de passe enregistré sur le navigateur internet sans

protection.

MALVEILLANCE

La divulgation de mot de passe peut également faire suite à un acte de

malveillance.

Gardez en tête que lorsque votre mot de passe a été divulgué, il perd

son caractère confidentiel.

Un individu malveillant peut alors usurper votre identité sur un service

en ligne et effectuer des actions en votre nom.

Les conséquences varient en fonction du type de service impacté et des

objectifs des individus malveillants :

  Compromission de messages personnels sur votre
messagerie électronique ;

 Destruction de données ;

 Publication de messages ou photos préjudiciables sur vos

réseaux sociaux ;

 Achats sur des sites de vente en ligne (certains sites

proposent en effet de conserver votre numéro de carte
bancaire) ;

 Virements bancaires sur le site de votre banque, etc. ;

Conclusion

Les 3 types de Facteurs d'authentification :

1. Les connaissances (mot de passe, )

2. Possessions (clé, badges)

3. Appartenance (empreinte,)
Attaques sur les mots de passe
Attaques directes

Il devine le mot de passe et essaye d'authentifier

Les attaques directes permettent de récupérer vos identifiants et

mots de passe pour se connecter ensuite sur votre compte en
utilisant les mêmes moyens que les vôtres.

Attaque par force brute

Elle consiste tout simplement à tester tous les mots de passe possibles
un à un jusqu'à tomber sur le bon, c’est pourquoi elle est souvent
considérée comme l'attaque la moins rapide. Un individu malveillant
pourra par exemple utiliser un programme qui testera automatiquement
et successivement les mots de passe jusqu'à trouver le bon mot de
passe.

Attaques indirectes (email piégé pour récupérer le mot de passe)

ATTAQUE PAR DICTIONNAIRE

Dans ce cas, l’attaquant peut recourir à de l'ingénierie sociale pour

trouver des informations vous concernant par exemple en recherchant sur
les réseaux sociaux, et réussir plus rapidement son attaque.

Pour préparer cette attaque, les attaquants fabriquent

des « dictionnaires » composés d’une liste de mots de passe potentiels
contenant des mots du dictionnaire (de langue française ou étrangère),
avec plus ou moins de personnalisation selon la personne, la nationalité,
l'âge, etc.

ATTAQUE PAR PERMUTATION

Une variante de l’attaque par dictionnaire est l’attaque par permutation.
Elle consiste à fabriquer des dictionnaires en modifiant certains
caractères. Les attaquants se servent ainsi des ruses utilisées par la
plupart d'entre nous par exemple un @ à la place d'un a, le chiffre 0 à la
place d'un O, ajouter 123 après un mot, etc.

VITESSE D’ATTAQUE

Notez que la vitesse de compromission des mots de passe varie selon que
l’attaque se déroule en ligne (c’est-à-dire en interagissant avec le service)
ou hors-ligne (c’est-à-dire que l’attaque peut être menée sans accès au
réseau).

En effet, avec les attaques en ligne un attaquant est confronté à plusieurs

problématiques comme la vitesse du réseau, les performances du
serveur, ou encore la limitation du nombre d’essais.

En revanche, ces paramètres n’affectent pas les attaques hors-ligne qui

sont plus rapides et plus discrètes. Pour améliorer l’efficacité de son
attaque, l’attaquant peut disposer de ses machines en propre, utiliser des
machines de calcul louées, ou exploiter un réseau d’ordinateurs
compromis (botnet).
ATTAQUE DISTRIBUÉE

L'attaque peut être facilitée lorsqu'il est possible de la « distribuer »,

autrement dit de répartir la charge de travail entre plusieurs ordinateurs

en testant un ensemble de mots de passe en parallèle.

Ainsi, un attaquant qui aurait accès à 10 000 ordinateurs et qui pourrait

lancer son programme sur ces 10 000 ordinateurs en distribuant les

calculs, pourrait accélerer de 10 000 fois le temps de calcul de son

attaque.

ATTAQUES DE PROXIMITÉ

D’autres attaques nommées « attaques de proximité » regroupent

toutes les attaques qui seront sans intermédiaire, qu’il s’agisse d’humain

ou de machine.

Il peut s’agir d’un coup d'œil au-dessus de votre épaule lors de vos
opérations au distributeur automatique de billets, ou encore d’un visiteur
dans l'entreprise qui regarde sous le clavier s'il n'y a pas un post-it ou si
le mot de passe de l'équipe n'est pas noté au tableau.

Les prestataires de services externes à l'entreprise et disposant d'un

accès aux locaux sont également des attaquants de proximité possibles.

On désigne ces attaques par le terme anglais « evil maid attack ».

D'autres attaques peuvent être plus sophistiquées comme un hall de
gare avec une caméra équipée d’un bon zoom, ou plus complexe mais très
efficace, comme deviner le mot de passe par écoute du spectre
électromagnétique du clavier dans la salle, comme l'a réalisée l'École
Polytechnique Fédérale de Lausanne en 2008.

PIÉGEAGE DU POSTE

Une autre attaque consiste à piéger un matériel informatique (poste

de travail, téléphones portables, équipements de paiements, etc.).

Ce piégeage peut concerner n'importe quelle partie de l'équipement : port

USB, carte mère, disque dur, clavier, lecteur de carte, etc.

Ces attaques nécessitent que l'attaquant ait un accès physique au

matériel ce qui lui fait prendre un risque.

Mais l'enjeu peut en valoir la peine et c'est la raison pour laquelle ces
attaques sont malgré tout non seulement réalistes mais même assez
courantes (en particulier, dans le monde de la monétique).

Les attaques matérielles sont souvent très difficiles à détecter.

C'est pourquoi, si vous pensez que votre équipement contient des

données suffisamment sensibles pour qu'il puisse être une cible, vous
devez le conserver en permanence sous votre contrôle (sur vous ou dans
un lieu réputé sûr).

KEYLOGGER USB

Plutôt que de mener une attaque complexe, un attaquant pourra donc se

contenter de corrompre votre poste pour y récupérer des mots de

passe.
Des keyloggers, ou enregistreurs de frappe sont ainsi disponibles

pour une cinquantaine d'euros, à brancher au niveau des ports USB de

votre poste, ou directement au niveau de la carte mère.

PROGRAMMES MALVEILLANTS

Ce piégeage peut aussi être réalisé par un programme

malveillant (virus, maliciel, etc.) qui lui aussi enregistrera toutes les
frappes clavier et les transmettra par Internet aux individus qui contrôlent
le programme en question.

Certains sont mis à disposition gratuitement sur Internet.

D'autres, plus perfectionnés, sont en vente libre (leur prix varie
généralement en fonction de leur capacité de contournement des
protections antivirus).

ATTAQUE SUR LA MÉMOIRE

Notez que lorsque le disque dur d'un ordinateur n'est pas chiffré, il est

possible d'en extraire beaucoup d'informations sans avoir besoin de

connaître le mot de passe de l'utilisateur.

Pour éviter que vos mots de passe ne soient facilement interceptés, ne les

écrivez pas sur un post it, ne les sauvegardez pas dans un fichier texte

utilisé comme mémo et ne les partagez pas par e-mails.

Les solutions de chiffrement sont encore assez peu utilisées mais elles

permettent de rendre le contenu du disque illisible par un individu

malveillant qui ne possède pas le mot de passe de déchiffrement.

Les attaques indirectes

Un autre type d’attaque, l’attaque indirecte, permet également de

récupérer vos mots de passe.

À l’inverse des attaques directes qui volent vos mots de passe sur vos

postes ou lors de vos frappes au clavier, les attaques indirectes utilisent la

ruse pour vous piéger et récupérer vos informations d’authentification à

votre insu.

L’ingénierie sociale est une technique fréquemment utilisée par les

pirates pour vous atteindre et accéder à vos informations par la ruse.

Rappelez-vous ce que nous avons vu dans les précédentes unités,

l’hameçonnage (ou phishing) qui tire son nom de la pêche en anglais,
consiste à tendre un hameçon, sous la forme d'un mail, d'un message de
forum, d’un sms, d’une fausse pub, etc.

Il suffit ensuite d'attendre que nous autres, petits poissons, mordions à

l'hameçon et donnions à l'attaquant ce qu'il veut.

HAMEÇONNAGE

Qui n'a jamais reçu d'email indiquant que son compte de messagerie, ou
qu’un service web un tant soit peu connu, soit suspecté de malveillance
ou piraté ?

Initialement rédigés dans un français douteux, ces courriers vous

incitent à cliquer sur un lien web pour résoudre le problème.
Et c’est là que les ennuis commencent en réalité, puisque le lien ne mène
pas à « [Link] » mais à « [Link] », ou encore
vers le très convainquant « [Link] ».

Les services de transport postal, web-marchands, magasins d'applications,

services de cloud, messageries en ligne, sites bancaires etc. sont souvent
l'objet de campagnes de hameçonnage.

Souvent, l'individu malveillant a pris la précaution de positionner le lien

sur une image Web qui affiche bien la bonne orthographe, mais qui dirige
vers une adresse contrôlée par un pirate.

Ces différentes ruses n'ont qu'un seul objectif : vous emmener sur un site
conçu par l'attaquant et qui ressemble en tous points au service attendu,
mais qui se contente de récupérer vos identifiants.

Dès que vous saisissez ceux-ci, le site de l'attaquant pourra alors prétexter
une erreur réseau ou tout simplement les utiliser pour se connecter au
service de messagerie officiel et vous y rediriger, rendant l'attaque alors
quasiment invisible.

Les méthodes de recouvrement plus modernes basées sur l'envoi de

SMS et la récupération à partir d'adresses électroniques de secours

présentent elles aussi des risques.

En effet, les SMS peuvent être interceptés avec du matériel d'interception

téléphonique (IMSI catcher), ou d'autres méthodes.

Conclusion
Nous avons pu voir un certain nombre d'attaques sur les authentifications.

Bien entendu, ce n’est pas exhaustif et les possibilités n'ont de limite que

l'imagination des attaquants.

1. Attaque par brute force

2. Attaque par dictionnaire
3. Attaque par permutation
4. Attaque distribuée
5. Attaque de proximité
6. Piégeage du poste