Qu’est-ce qu’une cyberattaque ?

Ces attaques malveillantes sont dirigées contre des applications web, des sites web et des services web, dans le but d’exploiter leurs vulnérabilités et de compromettre leur sécurité. Les efforts de modernisation des applications, avec comme conséquence l’évolution de nombreuses applications web classiques vers des systèmes reposant sur des API dans des environnements hybrides et multicloud, ont considérablement augmenté la surface de cette menace.

Les équipes de sécurité doivent prendre en compte un nombre important de risques pour les applications web et les API, notamment :

• Les exploitations des vulnérabilités, qui sont des faiblesses ou des défauts dans les logiciels que les criminels peuvent cibler pour compromettre la sécurité, en exécutant par exemple des codes malveillants. Ces vulnérabilités sont souvent causées par des logiciels non pris en charge ou non corrigés, des bogues logiciels ou des configurations incorrectes.
• Les menaces automatisées, qui font référence aux attaques malveillantes effectuées par des robots, des scripts ou des boîtes à outils de piratage plutôt que par des humains. Ces menaces peuvent exploiter les vulnérabilités inhérentes aux applications web et aux API, entraînant des failles de sécurité, des vols de données, des prises de contrôle de comptes, des fraudes et d’autres conséquences néfastes.
• Les abus de logique métier, qui se produisent lorsque des attaquants manipulent le comportement attendu d’une application web pour atteindre des objectifs malveillants, souvent à l’aide de l’automatisation. Cela peut impliquer de manipuler les processus d’une application pour accéder à des zones restreintes ou pour effectuer des transactions non autorisées, ou encore accéder à des données sensibles.
• Les contournements des contrôles d’authentification et d’autorisation, qui peuvent se produire lorsque l’application insuffisante des contrôles d’accès et des autorisations permet aux attaquants d’accéder à des fonctionnalités ou à des données non autorisées.
• Les attaques côté client, qui sont des menaces qui ciblent des logiciels ou des composants dans les appareils de l’utilisateur, tels qu’un navigateur web ou des applications installées. Une forme courante d’attaque côté client est le cross-site scripting (XSS), dans lequel des attaquants injectent des scripts côté client malveillants, tels que JavaScript, dans des pages web consultées par d’autres utilisateurs. Cela peut entraîner le vol d’informations sensibles, comme les identifiants de connexion, les données personnelles ou les cookies de session. Les applications modernes ont généralement de nombreuses interdépendances, comme des intégrations, des bibliothèques et des frameworks tiers. Les équipes de sécurité peuvent ne pas avoir de visibilité sur tous ces composants qui s’exécutent du côté client, ce qui crée un vecteur de menace permettant aux attaquants d’exécuter des scripts malveillants et d’exfiltrer des données directement depuis un navigateur web.
• La mauvaise configuration de la sécurité, lorsque les attaquants tentent de trouver des failles non corrigées, des points de terminaison communs, des services exécutés avec des configurations par défaut non sécurisées ou des fichiers et répertoires non protégés pour obtenir un accès non autorisé à un système. La mauvaise configuration de la sécurité constitue un risque croissant à mesure que l’architecture poursuit sa décentralisation et sa distribution dans des environnements multicloud.

Les cyberattaques peuvent avoir divers objectifs, en fonction des motivations et des objectifs des acteurs malveillants à l’origine des attaques.

Le gain financier est un motif courant des cyberattaques comme les attaques par rançongiciel et les fraudes, tout comme le vol de données, lesquelles peuvent facilement être monnayées sur le dark web. Parmi les données sensibles qui peuvent être mises en vente, on peut citer la propriété intellectuelle, les secrets commerciaux, les informations d’identification et les informations financières. L’espionnage est un autre motif des cyberattaques, des acteurs d’États-nations et des cyberespions opérant pour recueillir des renseignements et des informations sensibles au service d’intérêts nationaux ou politiques. Les cyberattaques peuvent également être utilisées pour perturber le flux normal des opérations ou interférer avec les infrastructures critiques, entraînant des temps d’arrêt et des pertes de revenus.

Les cybercriminels sont très doués pour détecter et cibler les faiblesses et les vulnérabilités technologiques leur permettant de lancer des cyberattaques sur tous les vecteurs d’attaque. Les vulnérabilités courantes comprennent les logiciels obsolètes ou non corrigés, que les attaquants peuvent exploiter pour obtenir un accès non autorisé, compromettre les données ou exécuter du code malveillant. Des mécanismes d’authentification faibles peuvent également permettre à des individus ou à des pirates non autorisés d’accéder à des systèmes et à des informations sensibles, ou de compromettre des comptes. Une conception non sécurisée des applications peut également contribuer aux cyberattaques en introduisant des vulnérabilités que les pirates peuvent exploiter, telles que des erreurs de configuration de sécurité, une gestion défectueuse des sessions ou des API mal conçues.

Les attaquants ciblent également les vulnérabilités du réseau. Il s’agit notamment des réseaux Wi-Fi non sécurisés, qui permettent aux pirates d’intercepter ou de manipuler les communications entre deux parties, de dérober des informations potentiellement sensibles ou d’injecter du contenu malveillant. Les configurations réseau de faible qualité peuvent également créer des failles de sécurité que les attaquants peuvent exploiter. C’est le cas des règles de pare-feu inadéquates, des listes de contrôle d’accès (ACL) mal configurées et des protocoles de chiffrement faibles ou obsolètes.

Les vulnérabilités liées aux problèmes de la chaîne d’approvisionnement peuvent également être exploitées par des attaquants. Les faiblesses des fournisseurs tiers ou les pratiques des fournisseurs en matière de cybersécurité peuvent être exploitées par des attaquants pour accéder au réseau ou aux ressources d’une entreprise. Il peut s’agir de mesures de sécurité inadéquates, de logiciels non corrigés ou de matériel vulnérable. Il est important d’évaluer les pratiques de cybersécurité des fournisseurs et des partenaires et de les obliger à respecter les normes de sécurité et les bonnes pratiques dans le cadre des contrôles préalables effectués sur les fournisseurs.

Les facteurs humains peuvent également contribuer aux cybervulnérabilités. Outre les attaques par ingénierie sociale, dans lesquelles les criminels manipulent les individus pour qu’ils révèlent des informations sensibles, l’utilisation de mots de passe faibles ou le manque de sensibilisation à la sécurité de la part des employés peuvent également créer une porte d’entrée aux cyberattaques. Une négligence interne, comme le téléchargement par inadvertance de logiciels malveillants ou la mauvaise gestion de données sensibles, même involontaire, peut entraîner des cyberattaques.

Comme de nombreuses autres technologies, l’IA peut être utilisée à des fins légitimes comme à des fins malveillantes, et elle est de plus en plus exploitée par des acteurs malveillants pour mener des cyberattaques sophistiquées et dommageables. L’IA peut être utilisée pour analyser les vulnérabilités des logiciels et des systèmes, et recueillir et analyser des données sur des cibles potentielles. Elle peut ensuite être utilisée pour lancer des attaques une fois les faiblesses détectées. L’IA peut également accélérer le processus de craquage des mots de passe grâce à des algorithmes d’apprentissage automatique capables de deviner les mots de passe plus efficacement. Les deepfakes vidéo et audio générés par l’IA peuvent être utilisés pour des attaques par ingénierie sociale, qui usurpent l’identité de cadres supérieurs ou d’autres personnalités de confiance au sein d’une entreprise pour manipuler les employés afin qu’ils agissent en compromettant la sécurité. En outre, un accès facile à une IA puissante démocratise la cybercriminalité en abaissant les barrières à l’entrée pour mener des cyberattaques automatisées, ce qui facilite la participation d’un plus grand nombre d’individus ou de groupes à des activités de cybercriminalité.

Les pirates font évoluer en permanence leurs techniques de cyberattaque, et de nouveaux vecteurs d’attaque émergent régulièrement. En outre, les attaques soutenues et ciblées exploitent souvent plus d’une méthodologie. Voici quelques exemples des vecteurs d’attaque les plus courants.

• Les attaques de l’homme du milieu (HDM ou MitM en anglais) se produisent lorsqu’un attaquant intercepte les communications entre deux parties à leur insu ou sans leur consentement, ce qui lui permet d’écouter la conversation, de voler des informations ou même de manipuler les données transmises. Les attaques HDM peuvent se produire de plusieurs manières : un attaquant peut intercepter les communications sans fil au sein d’un réseau Wi-Fi public, ou peut se livrer à un détournement de session : dans ce cas, les attaquants volent des cookies ou des jetons de session pour se faire passer pour des utilisateurs et obtenir un accès non autorisé aux applications web.
• Les attaques par injection se produisent lorsque des attaquants insèrent des données non fiables ou hostiles dans des langages de commande ou de requête, ou lorsque les données fournies par l’utilisateur ne sont pas validées, filtrées ou désinfectées par l’application, ce qui conduit à l’exécution de commandes malveillantes. Les attaques par injection comprennent les attaques par injection NoSQL, de commandes du système d’exploitation, LDAP et SQL, ainsi que le cross-site scripting (XSS), dans lequel les attaquants injectent des scripts malveillants côté client, tels que JavaScript, dans des pages web consultées par d’autres utilisateurs. Cela peut entraîner le vol d’informations sensibles comme les identifiants de connexion, les données personnelles ou les cookies de session.
• Le vol d’identifiants implique le vol de noms d’utilisateur et de mots de passe, souvent par le biais de techniques telles que l’enregistrement de frappe, le credential stuffing et la pulvérisation de mots de passe (utilisant des mots de passe courants sur de nombreux comptes d’utilisateurs). Les identifiants compromis peuvent donner lieu à un accès non autorisé au compte, à des violations de données et à des mouvements latéraux au sein d’un réseau. Les attaquants ciblent fréquemment les mots de passe faibles ou réutilisés, ce qui rend indispensable l’adoption de pratiques d’authentification robustes. Le credential stuffing (bourrage d’identifiants) a considérablement augmenté les taux de prise de contrôle de comptes (ATO) et de fraude dans tous les secteurs, en particulier dans le commerce électronique et les services financiers.
• Les sites web malveillants sont conçus de façon intentionnelle pour effectuer des actions nuisibles, compromettre la sécurité des appareils des visiteurs ou se livrer à des activités illicites. Les sites web malveillants peuvent exploiter les vulnérabilités des navigateurs web, des plug-ins ou des systèmes d’exploitation pour télécharger et installer en silence des logiciels malveillants sur des appareils sans le consentement ou la connaissance de l’utilisateur, un exploit souvent appelé téléchargements « drive-by ». Les sites web malveillants peuvent également héberger des annonces cliquables contenant du code ou des liens malveillants.
• Les logiciels compromis permettent aux attaquants d’obtenir un accès non autorisé aux systèmes en exploitant les vulnérabilités connues dans les logiciels non corrigés ou via des logiciels malveillants injectés dans les mises à jour ou les téléchargements de logiciels.

Pour se prémunir contre ces types de vulnérabilités, il faut s’assurer de mettre en œuvre des contrôles d’authentification et d’accès forts tels que des mots de passe ou des phrases de passe difficiles à deviner, et activer l’authentification multifactorielle afin d’ajouter une couche de sécurité supplémentaire. L’utilisation du principe du moindre privilège ainsi que la révision et la mise à jour régulières des contrôles d’accès garantissent le fait que les utilisateurs disposent uniquement des autorisations nécessaires pour exécuter leurs fonctions. En outre, il faut s’assurer de maintenir les logiciels et les systèmes corrigés et à jour et effectuer des évaluations de la vulnérabilité et des tests d’intrusion pour identifier et corriger les faiblesses. Les facteurs humains peuvent avoir un impact majeur sur le risque de cyberattaques, il faut par conséquent impérativement dispenser des formations de sensibilisation à la cybersécurité à tous les employés et utilisateurs. La cybersécurité est une responsabilité partagée qui implique les professionnels de l’informatique, mais également tous les individus au sein d’une entreprise.

Les cyberattaques peuvent avoir des conséquences graves, avec des implications très importantes, pour les individus et les entreprises. Les impacts les plus immédiats peuvent être des pertes financières, qu’il s’agisse de fraude ou de vol résultant d’un accès non autorisé aux comptes d’une personne ; ou les pertes de revenus, les frais juridiques et les amendes réglementaires auxquels fait face une entreprise après une cyberattaque. Les entreprises peuvent également subir des atteintes à leur réputation et des perturbations opérationnelles après une attaque, et peuvent être victimes de vols de propriété intellectuelle, qui auront un impact sur leur compétitivité et leur position sur le marché. Dans le cas d’attaques par rançongiciel, les entreprises peuvent être confrontées au dilemme de payer ou non la rançon pour récupérer des données chiffrées, choix d’autant plus difficile que le paiement de la rançon ne garantit en rien la récupération des données et peut encourager d’autres attaques. 

Comme le montrent clairement les exemples suivants, la menace des cyberattaques est présente dans un large éventail de secteurs et de types d’entreprises. 

• Fin 2022, des attaquants ont manipulé une API de T-Mobile pour pirater 37 millions de comptes d’utilisateurs afin d’obtenir les noms de clients, les adresses de facturation, les adresses électroniques, les numéros de téléphone, les numéros de compte et les dates de naissance. L’attaquant, qui a profité d’un accès non autorisé aux systèmes de T-Mobile pendant plus d’un mois avant la découverte de la violation, n’a pas été identifié.
• En mars 2023, des pirates russes ont lancé des campagnes d’ingénierie sociale visant des politiciens, des hommes d’affaires et des célébrités américains et européens qui avaient publiquement dénoncé l’invasion de l’Ukraine par Vladimir Poutine. Les pirates ont persuadé les victimes de participer à des appels téléphoniques ou vidéoconférences, leur donnant des indications trompeuses pour récupérer des enregistrements sonores pro-Poutine ou pro-russes. Ils ont publié ces enregistrements pour discréditer les précédentes déclarations anti-Poutine des victimes.
• En juin 2023, une attaque DDoS a entraîné une interruption des services Microsoft 365, notamment Outlook, Teams, OneDrive et la plateforme cloud Azure, pendant plus de 8 heures. Microsoft a déclaré que l’attaque avait été dirigée par un groupe connu sous le nom de Storm-1359 ayant accès à une collection de botnets et d’outils qui permettent à un acteur malveillant de lancer des attaques DDoS depuis plusieurs services cloud et infrastructures proxy ouvertes. L’attaque a ciblé la couche applicative (couche 7) de la pile réseau, plutôt que les couches 3 ou 4 plus fréquemment ciblées.

À mesure que les menaces de cybersécurité deviennent de plus en plus avancées et persistantes, et que les conséquences des cyberattaques deviennent de plus en plus catastrophiques, les entreprises doivent arrêter d’utiliser des outils de sécurité fragmentés et ponctuels pour adopter une approche globale et intégrée de la cybersécurité s’étendant à l’ensemble de la surface d’attaque. Une nouvelle approche en matière de sécurité est nécessaire pour protéger les identités, les périphériques, les réseaux, l’infrastructure, les données et les applications dans un environnement multicloud dynamique, reposant sur des architectures modernes, des charges de travail périphériques basées sur les microservices et des intégrations tierces. 

F5 propose une suite de solutions de cybersécurité intégrées qui maximisent la protection et réduisent les risques dans les applications anciennes et modernes, et automatisent les politiques de sécurité dans tous les environnements. Reposant sur l’IA et l’apprentissage automatique, les solutions de sécurité F5 permettent de bénéficier de mesures de sécurité plus adaptatives et plus réactives pour améliorer la détection des menaces, automatiser la réponse aux incidents et analyser de vastes ensembles de données pour identifier les tendances et les anomalies évocatrices de cyberattaques et pour se défendre contre les menaces émergentes.

Les solutions de sécurité F5 atténuent les vulnérabilités et les cybermenaces grâce à des contrôles de sécurité complets et à une politique et une observabilité uniformes, incluant une simplification du déploiement et de la gestion de la sécurité des applications dans tous les environnements. Avec F5, les entreprises peuvent tirer parti d’une sécurité omniprésente, notamment un pare-feu pour les applications web (WAF), une atténuation des dénis de service distribués (DDoS), une sécurité des API et une défense contre les robots à partir d’une plateforme unique conçue à cet effet qui s’adapte facilement aux environnements multicloud et périphériques. Une stratégie de gouvernance globale et un panneau de contrôle centralisé réduisent la complexité opérationnelle, optimisent les performances des applications et augmentent l’efficacité de la sécurité de vos investissements en scrutant de bout en bout le trafic et les événements survenant sur les applications.