CYBERSÉCURITÉ

Pr. Yassine Maleh

Double PhD in Computer Sciences and IT Management
IEEE Senior Member
Former CISO/Ethical Hacker/Pentester/Auditor Senior
Founder President of IEEE CN Morocco
Professor of Cybersecurity, USMS, Morocco
Website: Personal Website

1
MODULE 02
CLASSIFICATION DES
ATTAQUES
§ Classification des pirates
§ Classification des attaques
§ Malwares

47
 2. CLASSIFICATION DES ATTAQUES

LES TENDANCES
§ Tous exposés
§ Les attaquants sont organisés… et agiles !
§ Tendances majeures
• Criminalité (rançongiciels, vol massif de données)
• Espionnage économique et étatique
• Opérations de déstabilisation et d’influence
• Sabotage d’infrastructures physiques
• Exploitation de la supply-chain
• Pré-positionnement
• Emergence de l’usage de l’IA dans des modes opératoires
§ Les incidents
• Entre 1800 et 3000 signalements d’incidents par an à l’ANSSI
• Entre 12 et 20 opérations de cyberdéfense ANSSI par an
48
 2. CLASSIFICATION DES ATTAQUES
LES MODES D’ACTIONS D’ATTAQUANTS LES PLUS
COURANTS
§ Exploitation de vulnérabilités (dont “Zero-Days”)
§ Attaque en déni de service (sites Internet, centres de
prod.)
§ Défiguration de sites Internet (agitation, propagande)
§ Chiffrement (rançonnage)
§ Vol d'ordinateurs ou de téléphones portables
§ Mails piégés (hameçonnage, point d’eau)
§ Vols d’identifiants/authentifiants à des fins d’usurpation
d’identité
§ Ecoute réseau (Bluetooth, satellite…)
§ Piège de logiciels ou de matériels (supply chain)
§ Prise de contrôle de comptes de réseaux sociaux Security Defence Business
§ Détournement d’usage de services ou canaux légitimes Review (05/11/2016)

§ Tromperie par manipulation ou incitation (cognitif)

49
 2. CLASSIFICATION DES ATTAQUES

Les Types des pirates

01 02 03

White Hats
Black Hats
Les "chapeaux blancs" ou
Individus dotés de compétences
"testeurs de pénétration" sont Gray Hats
informatiques extraordinaires ; ils
des personnes qui utilisent leurs Les chapeaux gris sont les
ont recours à des activités
compétences en matière de personnes qui travaillent à la fois
malveillantes ou destructrices et
piratage informatique à des fins de manière offensive et défensive
sont également connus sous le
défensives. à des fins défensives. à différents moments.
nom de "crackers" (pirates
Ils ont l'autorisation du
informatiques).
propriétaire du système.

50
 2. CLASSIFICATION DES ATTAQUES

Les Types des pirates

04 05 06

Cyber Terrorists
Suicide Hackers
Script Kiddies Personnes possédant un large
Les personnes qui cherchent à
Un pirate informatique non éventail de compétences qui sont
faire tomber l'infrastructure
qualifié qui compromet un motivées par des des convictions
critique pour une "cause" et qui
système en en exécutant des religieuses ou politiques pour
ne s'inquiètent pas d'être
scripts, des outils et des logiciels créer la peur en perturbant à
condamnées à une peine de
qui ont été développés par de grande échelle perturbation à
prison ou à toute autre forme de
vrais hackers grande échelle des réseaux
sanction.
informatiques

51
 2. CLASSIFICATION DES ATTAQUES

Les Types des pirates

07 08 09
State-Sponsored Hackers
Personnes employées par le
Hacktivist
gouvernement pour pénétrer et Hacker Teams
Les personnes qui promeuvent
obtenir des informations top Une équipe de hackers est un
un un programme politique par le
secrètes. Le gouvernement consortium de hackers
piratage informatique, en
s'introduit dans les systèmes compétents disposant de leurs
particulier en utilisant le piratage
d'information d'autres propres ressources et de leur
informatique pour défigurer ou
gouvernements pour en obtenir propre financement.
désactiver un site web
des informations top secrètes et
les endommager

52
 2. CLASSIFICATION DES ATTAQUES

Attaques internes : Statistiques

• Comme défini précédemment, les attaques internes sont les attaques exécutées par des entités internes à l’organisation ou ayant un
lien avec elle.
• La majorité des experts en sécurité admettent que le grand risque pour une organisation provient des attaques internes. En
fait, selon le rapport annuel INSIDER THREAT de l’année 2020, la majorité des experts de la sécurité (environ 68% ) ont affirmé
que leurs organisations sont modérément à extrêmement vulnérables aux attaques internes. Tandis que uniquement 5 % ont
affirmé que leurs organisations ne sont pas vulnérables aux attaques internes.

53
Le niveau de vulnérabilité des organisations aux attaques internes en chiffres selon les experts de sécurité
 2. CLASSIFICATION DES ATTAQUES

Attaques internes : Classification

Les attaques internes peuvent être classifiées selon le type d’employés qui sont à l’origine des attaques
internes. Ci-dessous une figure qui présente quatre types d’employés pouvant être la cause principale de
l’apparition d’une attaque interne dans une organisation. Dans ce qui suit, les types d’employés sont détaillés.

Les quatre types d'employés pouvant induire la réalisation des

attaques internes
Lien source : https://deltalogix.blog/wp-
content/uploads/2021/07/Cyber-Attacks-2-English-1-1398x800.png
54
 2. CLASSIFICATION DES ATTAQUES

Attaques externes
Les classes des attaques externes

Attaques
Externes

Attaques sur Attaques sur

le réseau local Internet
55
2. CLASSIFICATION DES ATTAQUES

Exemples d’attaques externes

UNE ATTAQUE DOS
• Attaque par dénis de service
• Restreindre ou Réduire l’accès à une
ressource
• Envoi d’un grand nombre de
requêtes

56
 2. CLASSIFICATION DES ATTAQUES

Exemples d’attaques externes

DoS distribué
• La déni de service distribué (DDoS)
est une attaque qui vise à saturer
une ressource (serveur, application, site
web etc.) pour la mettre hors-service à
l’aide des botnets.
• Botnet est un réseau de machines
zombies (machines infectées)
contrôlées par des pirates, sans
que leurs propriétaires en
soient conscients. Ces machines sont
souvent appelées des esclaves
puisqu’elles reçoivent les commandes
des pirates et les exécutent pour cibler
une victime précise.

57
2. CLASSIFICATION DES ATTAQUES

UDP FLOOD

58
 2. CLASSIFICATION DES ATTAQUES

Exemples d’attaques externes

HTTP Flood

59
 2. CLASSIFICATION DES ATTAQUES

Exemples d’attaques externes

Les Botnets

Bot : Programme automatisant des

tâches sur le net
Botnets : Large réseau de machines
compromises à des fins malicieuses,
entre autre des attaques DDOS

60
 2. CLASSIFICATION DES ATTAQUES

Vecteurs d'attaque

Menaces cloud
Advanced Persistent Viruses et Vers Ransomware Menaces mobiles
computing
Threats (APT)
Le cloud computing est
Attaque visant à voler Les virus et les vers Restreint l'accès aux L'attention des
une fourniture à la
des informations sur sont les menaces les fichiers et dossiers du attaquants s'est
demande de capacités
la machine victime plus répandues, système informatique déplacée vers les
IT où sont stockées les
sans que l'utilisateur capables d'infecter et exige un paiement appareils mobiles en
données sensibles des
s'en aperçoive. un réseau en en ligne au(x) raison de l'adoption
organisations et de leurs
quelques secondes. créateur(s) du logiciel croissante de ces
clients. Une faille dans
malveillant afin de appareils à des fins
l'application cloud d'un
lever les restrictions. professionnelles et
client permet aux
personnelles et des
attaquants d'accéder aux
contrôles de sécurité
données d'autres clients.
comparativement
moins nombreux.

61
 2. CLASSIFICATION DES ATTAQUES

Vecteurs d'attaque

Menaces des Menaces IoT

Botnet Attaques Phishing applications Web
internes
Un vaste réseau de Attaque menée sur Pratique consistant à Les attaquants ciblent les § Les appareils IoT
systèmes compromis un réseau envoyer un courrier applications web pour comprennent de
utilisés par un intrus d'entreprise ou sur électronique illégitime voler des informations nombreuses
pour effectuer diverses un ordinateur prétendant faussement d'identification, mettre en applications logicielles
attaques de réseau. unique par une provenir d'un site place un site de phishing qui sont utilisées pour
personne de légitime dans le but ou d'obtenir des accéder à l'appareil à
confiance (interne) d'obtenir des informations privées distance.
qui dispose d'un informations pour menacer les § Les failles dans les
accès autorisé au personnelles ou des performance du site site appareils IoT
réseau. informations sur le web et entraver sa permettent aux
compte d'un sécurité attaquants d'accéder à
utilisateur. l'appareil à distance et
d'effectuer diverses
attaques.

62
LES MALWARES
§ Qu'est-ce qu’un malware ?

§ Quelle est l'ampleur du problème ?

§ Principales victimes et impacts

d'une attaque

§ Variations d'une attaque

§ Démonstrations

63
 2. CLASSIFICATION DES
ATTAQUES

L’enjeux !!

• Internationalisation de la
cybercriminalités
• Rejoint le monde réel en élargissant
les domaines d’activité
• Cyber-espionnage très actif
• APT21, collecte des téras octets de
plus de 140 entreprises

64
2. CLASSIFICATION DES ATTAQUES

QU’EST CE QU’UN
MALWARE?
• Un code malveillant conçu pour s'installer
secrètement sur un système cible
• Détruire des données
MALWARE • Installer des programmes supplémentaires
OVERVIEW
• Exfiltrer (voler) des données
- Compromettre la confidentialité, l'intégrité et la
disponibilité des données d'une victime (CIA)

65
2. CLASSIFICATION DES ATTAQUES

POURQUOI S'EN
PRÉOCCUPER ?
- Les entreprises, grandes et petites, sont des
cibles constantes
• Pas seulement des cibles de grande
valeur
• Les petites victimes peuvent jouer un rôle
IMPACTS dans des attaques plus importantes.
POTENTIELS - Perte de données, de propriété intellectuelle,
d'avantage concurrentiel, de confiance des
consommateurs en général
- Risque de poursuites judiciaires en cas de
négligence ou de protection insuffisante.

66
 2. CLASSIFICATION DES ATTAQUES
L’ORIGINE DES CYBERATTAQUES:
EXEMPLES DE MALWARES

Virus Vers Spyware

Rootkit Botnet Ransomware

Cryptominers
67
 2. CLASSIFICATION DES ATTAQUES

SYMPTÔMES D’INFECTION

• Comportement bizzare sur la machine (old

school)
• La souris qui bouge toute seule
• Ouverture de fenêtres en permanence…
• Ralentissement du système (cryptomineurs)
• Utilisation de beaucoup de ressources
• Processeur qui chauffe en continu
• Changement de mot de passe de vos
comptes
• Transactions depuis votre compte bancaire

68
2. CLASSIFICATION DES ATTAQUES

COMMENT LES SYSTÈMES

SONT-ILS INFECTÉS ?

- Accès direct à un système hôte

• Disque infecté, USB, etc.
MÉTHODES DE - Ingénierie sociale

TRANSMISSION - Phishing
• Spear-Phishing
• Whale-Phishing
- Visite d'un site web malveillant

69
 2. CLASSIFICATION DES ATTAQUES

Exemple d'ingénierie sociale utilisant l'email

Tentative d'ingénierie sociale à l'aide d'un e-mail Exemple d'un exemple d'email de spearphishing
70
 2. CLASSIFICATION DES ATTAQUES

Phishing

• L’être humain est le maillon faible de la chaîne

de sécurité
• En tant qu’être social, nous sommes tous
vulnérables
• Face à des attaques type phishing, il est
impératif de sensibiliser les utilisateurs aux
dangers de communication des données
sensibles

71
2. CLASSIFICATION DES ATTAQUES

LETTING YOUR
GUARD
DOWN!

72
 2. CLASSIFICATION DES ATTAQUES

Les phases d’attaque

1. La
reconnaissa
nce

5. Couvrir
2. Scanning
les pistes

4. Maintenir 3. Obtenir
l’accès l'accès

73
 2. CLASSIFICATION DES ATTAQUES
Comment procède un attaquant ?
Cyber Kill Chain
• La méthodologie de la chaîne de la mort cybernétique est une composante de la défense fondée sur le
renseignement pour l'identification et la prévention des activités d'intrusion malveillantes
• Elle aide les professionnels de la sécurité à comprendre à l'avance les tactiques, les techniques et les procédures
de l'adversaire.

Créer une charge utile Créer un canal de commande et

malveillante livrable à l'aide Exploiter une vulnérabilité de contrôle pour communiquer
d'un exploit et d'une porte en exécutant du code sur et transmettre des données
dérobée le système de la victime dans les deux sens
Armement Exploitation Commande et contrôle

Reconnaissance Livraison Installation Actions sur les objectifs

Recueillir des données sur Envoi d'un paquet d'armes Effectuer des actions pour
Installer le logiciel
la cible afin de détecter les à la victime par courrier atteindre les objectifs/buts
malveillant sur le système
points faibles. électronique, USB, etc. visés.
cible.
74
 2. CLASSIFICATION DES ATTAQUES
Cyber Kill Chain

Reconnaissance recueillir des adresses électroniques et des

informations sur les conférences.

Weaponization Combiner l'exploit avec la porte dérobée et

l'insérer dans la charge utile.

Distribuer des fichiers contenant des armes aux

Delivery systèmes des victimes par courrier électronique,
Internet ou USB.

Exploitation La vulnérabilité est exploitée pour exécuter du

code sur le système de la victime.

Installation Installer le programme malveillant sur le bien

cible.

Command & Control Ouvrir un canal pour le contrôle à distance de la

victime et des pistes.

Actions on Objectives Si un accès tel que la manipulation du clavier est

rendu possible, l'attaquant atteint son objectif.

75
LES RANSOMWARES

76
2. CLASSIFICATION DES ATTAQUES

RANSOMWARE
"L'extorsion

"L'extorsion est une infraction pénale consistant

à obtenir de l'argent, des biens ou des services
d'une institution, par la coercition".

Source: https://en.wikipedia.org/wiki/Extortion

77
 2. CLASSIFICATION DES ATTAQUES

QU'EST-CE QU'UN RANSOMWARE ?-

30,000FT VIEW

78
 2. CLASSIFICATION DES ATTAQUES

POURQUOI LES HÔPITAUX SONT UNE

CIBLE DE PREMIER CHOIX ?

La vie et la mort
• Traitement du patient impacté
• Accès au DME - Dossier médical électronique
• Les retards dans le traitement des patients
peuvent être fatals
• La restauration des données de sauvegarde
prend du temps
• Coût financier pour l'hôpital
• Par conséquent... les hôpitaux sont très motivés
pour payer les demandes de rançon.

79
2. CLASSIFICATION DES ATTAQUES
Exemple réel d'attaque par ransomware "Cerber"

80
2. CLASSIFICATION DES ATTAQUES

"BIEN QUE LES RANSOMWARES NE

SOIENT PAS PRÈS DE DISPARAÎTRE (SI
JAMAIS ILS LE SONT), VOUS POUVEZ
DÉFENDRE VOTRE ORGANISATION - SI
VOUS ÊTES CORRECTEMENT
PRÉPARÉ."
Carbon Black

Source: Carbon Black publication: Ransomware on the rise. www.carbonblack.com

81
 2. CLASSIFICATION DES ATTAQUES

DEMO: NOMORERANSOM.ORG

https://www.nomoreransom.org
82
 2. CLASSIFICATION DES
ATTAQUES

LES APT
APT: Advanced Persistant Threat
• Furtivité
• Exfiltration de données
• Malwares assez sophistiqués
• Etats, hacktivistes

83
2. CLASSIFICATION DES ATTAQUES

84
2. CLASSIFICATION DES ATTAQUES

APT LOGBOOK: https://apt.securelist.com

85
 2. CLASSIFICATION DES ATTAQUES

DÉCOUVRIR LES TECHNIQUES DE

SCANNING

Analyse
Statique

Analyse
Dynamique

86
 2. CLASSIFICATION DES ATTAQUES

DÉCOUVRIR LES TECHNIQUES DE

SCANNING
• Format de fichier
• Chaines de caractères
Analyse • Format PE
statique • Désassemblage

• Base de registre
• Système de fichiers
Analyse • Activité réseau
Dynamique • Débogage

87
 2. CLASSIFICATION DES ATTAQUES

L’ANALYSE STATIQUE

§ Analyse statique basique

§ Sans exécution
§ Sans analyse d’instruction
§ Objectifs: Infection, fonctionnalités,
signatures, IOC…
§ Très difficile sur les malwares
complexes.

88
 2. CLASSIFICATION DES ATTAQUES

L’ANALYSE STATIQUE

Fingerprinting

Détection des
Désassemblage packers

Analyse Extraction de
header PE string

89
 2. CLASSIFICATION DES ATTAQUES

L’ANALYSE DYNAMIQUE

Exécution du Récupération
malware des résultats
• Debugage • Base de registre Restauration
Snapshot Snapshot
• Système de de la VM
fichiers
• Activités réseau

90
 2. CLASSIFICATION DES ATTAQUES

L’ANALYSE DYNAMIQUE: SANDBOX

91
2. CLASSIFICATION DES ATTAQUES

DEMO

https://www.virustotal.com/gui
https://metadefender.opswat.com

92
 2. CLASSIFICATION DES ATTAQUES

L’ANALYSE DYNAMIQUE: SANDBOX

93
https://forms.office.com/e/6t2sThYgJ7

94
 Module 2: QUESTION DE
DISCUSSION

1. Quel type de hacker est connu pour ses intentions

malveillantes et destructrices ?
A. White Hats
B. Grey Hats
C. Black Hats
D. Hacktivist

95
 Module 2: QUESTION DE
DISCUSSION

2. Qu'est-ce qu'un 'Script Kiddie' ?

A. Un hacker très qualifié qui développe ses
propres outils
B. Un individu qui utilise des scripts et des outils
développés par d'autres pour compromettre les
systèmes
C. Un hacker qui travaille pour le gouvernement
D. Un hacker qui se concentre uniquement sur le
piratage financier

96
 Module 2: QUESTION DE
DISCUSSION
3. Quelle catégorie de hacker opère souvent pour des
motifs politiques ou religieux ?
A. Cyber Terrorists
B. State-Sponsored Hackers
C. Grey Hats
D. White Hats

97
 Module 2: QUESTION DE
DISCUSSION
4. Quel est l'objectif principal des attaques DDoS ?
A. Voler des informations confidentielles
B. Installer des ransomwares
C. Saturer les ressources du serveur pour le rendre
indisponible
D. Obtenir un accès administratif aux systèmes

98
 Module 2: QUESTION DE
DISCUSSION
5. Quelle technique est souvent utilisée par les
attaquants pour inciter les utilisateurs à divulguer des
informations confidentielles ?
A. Pharming
B. Ingénierie sociale
C. Attaque par force brute
D. Exploitation de Zero Days

99