Pourquoi les hackers s’attaquent-ils aux sites web ?
Spoiler alert : c’est rarement pour le fun
Les récentes attaques ont [encore] mis en lumière une idée reçue qui a la vie dure : les assaults des méchants hackers ne concernent que les grosses entreprises. C’est bien entendu complètement faux, c’est même un biais bien connu : on ne parle beaucoup que… de ce dont parle beaucoup, des visibles, des gros. Mais reprenons depuis le début (le début de y’a quelques jours hein)
Twitter, Orange et tous les autres sont dans un bateau
Le 15 juillet 2020 Twitter a été victime de l’une des plus grandes attaques de son histoire. Je dis “l’une des” car on ne sait finalement pas si Twitter n’a pas vécu une attaque plus importante sans qu’on le sache (les cachottiers). Cette attaque a permis aux assaillants de prendre la main sur quelques comptes de personnalités très très visibles (Barak Obama, Bill Gates, Elon Munsk…) afin d’opérer un scam (une arnaque) aux Bitoins.
Le ou les assaillants ont donc récolté un peu plus de 100'000 dollars. Ce qui reste très peu pour un attaque d’une telle envergure. Il s’agirait d’une attaque non technique selon Motherboard, puisque les hackers black hat auraient corrompu un ou plusieurs employés de Twitter pour avoir accès aux outils de l’entreprise. L’attaque a fait long feu et a été maîtrisée par les équipes de Twitter assez rapidement, occasionnant peu ou pas de dégâts. Sauf pour ceux qui ont envoyé des Bitcoins aux hackers black hat. M’enfin quand on est con, on est con. Le FBI est sur le coup, on verra plus tard ce qu’il en est vraiment.
Orange
Le 4ieme opérateur de télécoms en Europe c’est fait chopper ses données dans le cadre d’une attaque, comme beaucoup d’autres, et subit un chantage à la révélation des données. Payer contre le silence des assaillants.
Orange a confirmé qu’ils ont bien subi une attaque avec demande de rançon visant leur division Orange Business Services dans la nuit du samedi 4 juillet au 5 juillet 2020. Cette attaque a permis aux opérateurs de Nefilim d’accéder aux données d’une vingtaine de clients d’Orange Pro/PME.
La plateforme “Le Forfait Informatique” d’Orange permet aux entreprises clientes d’héberger des postes de travail virtuels dans le cloud tout en externalisant le support informatique de ces postes de travail hébergés à Orange Business Services. Dans le cadre de la fuite, un fichier d’archive de 339 Mo a été publié sous le titre “Orange_leak_part1.rar” qui contient des données qui auraient été volées à Orange lors de l’attaque. Le compte Twitter de Ransom Leaks, géré par des chercheurs analysant fuites suivies de rançons, a indiqué à que cette archive contenait des courriels, des schémas d’avions et des fichiers d’ATR Aircraft, un constructeur aéronautique français.
Les autres
D’après Damien Bancal, spécialiste en cybersécurité, et Ramsom Leaks, une société fournisseur de service à de très grands comptes, serait fait voler de nombreuses données. Les pirates n’ont pas donné de date de l’infiltration mais viennent de lancer une menace de diffusion des données s’il n’y pas de paiement. Pour le moment impossible de savoir ce que les pirates ont véritablement volés, mais s’ils présentent la copie d’écran des dossiers volés, il y’a fort à parier que c’est du lourd.
Bref, une semaine riche en hacking, en menace et en demandes de rançons donc. En voyant cela, le biais habituel est croire que au pire ça n’arrive qu’aux autres, au mieux ça n’arrive qu’aux gros. Du coup moi le petit ce n’est pas utile que que je protège mon système d’information en général ou mon site web en particulier. C’est hélas faux et on va voir pourquoi.
Dans le cadre de mes formations en cyber-sécurité pour les TPE/PME je montre des exemple d’attaques que j’ai moi même mené afin d’expliquer par l’exemple pourquoi c’est si important de protéger son système d’information et son site internet.
Ce n’est pas la taille qui compte
Les motivations des assaillants ne son pas nombreuses, en fait il n’y en a que quatre :
- L’hacktivisme
- L’égo
- L’argent
- La géo-politique (nous n’aborderons pas ce sujet ici)
Motivation d’hacktivistes
Ces motivations sont assez rares au regard des autres, c’est une ambition de destruction d’un site web. Ou plus exactement d’enlever le contenu du site légitime pour y mettre celui des hacker black hat. On appelle cela du defacement. Souvent ce sont des programmes (des bots) qui arpentent le web à la recherche d’un site ayant des vulnérabilités connues, comme wordpress qui possède plus de 10'000 failles exploitables toutes version confondues. Grace à cela vous pouvez passer un message politique, c’est ce qu’on appelle de hacktivisme. C’est une méthode souvent utilisée par les Anonymous.
Vous et votre petit site web qui n’avez rien demandé à personne vous pouvez vous retrouver au milieu d’une guerre d’idéologie et vous faire défacer votre site web. Malheureusement les propriétaires de ces sites web attaqués n’allant jamais sur le propre site, ils ne se rendent pas compte du problème et c’est une connaissance, un client, un fournisseur qui donne l’alerte. Le temps de contacter le webmaster, de retrouver un backup sain et de remettre le site en ligne, il peut s’écouler des jours. Laissant une mauvaise image de marque, des pertes de contact et dégradant une réputation pour longtemps.
L’égo
Les hackers aiment par dessus tout faire connaitre leurs exploits, surtout à leur début. Rien de tel que de prouver à ses amis virtuels ses capacités afin de, pourquoi pas, intégré des groupes expérimentés. On les appelles les scripts kiddies, ils se forment, apprennent et s’améliorent grace à des tutoriels trouvés sur youtube, des logiciels téléchargés sur internet et n’ont parfois même pas conscience du mal qu’ils peuvent causer.
Ils commencent toujours par le plus facile : les sites qui n’ont aucun moyen de surveillance ou de protection. Les petits sites internet des petites sociétés.
L’argent
C’est LA motivation principale, c’est LE moteur. Et pour gagner de l’argent les assaillants sont prêts à tout, et n’ont pas la moindre conscience morale ou scrupules. Une cible est une cible, une entreprise quelque soit sa taille est une occasion de faire de l’argent. C’est le danger principal, et la source première des attaques dans le monde. Il y’a deux types d’attaques, chacune ayant un nombre important de méthodologie :
- Les attaques ciblées
- Les attaques non ciblées
Que font les hackers après une attaque réussie ?
L’attaque ciblée
C’est l’exemple de l’assaut contre Twitter, c’est exactement cette entreprise, ce site web qui était visé. Ce sont les attaques les plus difficiles, les plus techniques et qui demandent souvent des complicités en interne. Le but est quasiment toujours le même : voler des données, menacer de les rendre publique contre de l’argent. Hélas, même en cas de paiement de la rançon les données sont quand même rendues publiques. Ce peut être aussi du vol de secret industriel revendu au concurrent. Du blocage technique du site (DDOS par exemple). Toujours en échange d’argent.
Et c’est vrai que ce sont souvent les grandes entités qui sont attaquées,et même si les moyennes entreprises sont aussi ciblées le jeu doit de toute façon en valoir la chandelle. C’est l’équivalent des grands casses par des grands bandits organisés et préparés.
Et s’il y’a des grands casses, il y’a aussi les vols avec effraction chez monsieur tout-le-monde. Et là, c’est le drame…
L’attaque non ciblée
C’est le point de ce billet : l’équivalent numérique des cambriolages. L’idée de ces attaques c’est -justement- de ne pas cibler mais de ratisser au plus large. Si les attaques ciblées sont à l’informatique ce que la pèche à la ligne est à la pêche, les attaques non ciblées sont donc la chalutage : on lance un énorme filet à la mer, on remonte tout et n’importe quoi pour se payer sur le volume.
Car il ne faut pas oublier la seule motivation de ces attaques contre les systèmes ou les sites web de petites entités, ce n’est pas votre système mais les gains qu’on peut en faire. Et souvent ces gains sont indirects.
Ransomware
C’est LE mal aujourd’hui et des prochaines décennies. Les ransomwares, ou rançongiciels, ont pour but de rendre inaccessibles vos données en les cachant dans une sorte de coffre-fort numérique et vous devez payer en échanger de la clé pour ouvrir le coffre. Hélas, même en payant vous n’êtes jamais sûr de recevoir la clé, et quand bien même vous recevriez cette clé vous n’êtes pas certains non plus qu’elle ouvre le coffre. 50'000 sites sont hackés de la sorte tous les jours dans le monde.
C’est une technique assez simple à mettre en oeuvre, les innombrables failles de sécurité technique et la méconnaissance des utilisateurs de l’outil informatique rendent cette attaque efficace et lucrative. Les 3 seules bonnes parades sont :
1- le backup
2- le backup
3- le backup
294 $ = Montant moyen de la demande de rançon par personne en 2015
1 077 $ = Montant moyen de la demande de rançon par personne en 2016
2 000 $ = Montant moyen de la demande de rançon par personne en 2017
6 733 $ = Montant moyen de la demande de rançon par personne en 2018
13 000 $ = Montant moyen de la demande de rançon par personne en 2019
Le black SEO, ou le SEO spam
Le SEO est acronyme de Search Engine Optimization, c’est à dire tout le travail qui peut être fait par les spécialistes pour optimiser la position des pages d’un site internet lors d’une requête précise sur un moteur de recherche.
Le spam SEO est un type de spam. Il s’agit essentiellement d’une action consistant à injecter des liens vers des sites légitimes. C’est l’un des types d’attaques de sites web les plus lucratifs et les plus populaires.
Une fois le site web compromis, une porte dérobée malveillante sera mise en place afin de donner un accès à l’attaquant lui permettant de rediriger de manière invisible vos visiteurs vers leurs sites à tout moment. Ces sites sont évidement des escroqueries : ventes de bien inexistants, vols de numéro de carte bancaire, médicaments, drogues etc.
En plus de générer de l’argent pour le pirate, votre site web est pénalisé par les moteurs de recherche, ce qui ruinera votre référencement. Google pensant que vous essayez de gruger son algorithme peut vous mettre dans sa liste noire de sites et vous n’aurez plus de traffic légitime depuis Google.
Là encore les techniques, bien que particulières, ne sont pas si difficile que cela à mettre en oeuvre. A titre d’exemple ce sont des millions de sites fonctionnant avec WordPress qui ont déjà été attaqués et utilisé par les assaillants (ici et là). Et dans la plus part des cas le propriétaire du site ne voit rien, car le but du hacker black hat est de rester invisible le plus longtemps possible.
Hébergement de contenu illégal
Là encore il s’agit de prendre la main sur un site, quelque soit sa taille ou son importance, afin d’y héberger du contenu illégal. Et toujours à l’insu du propriétaire qui ne voit rien.
Le site peut héberger un malware, des logiciels malveillants. Il s’agit de lignes codes fait pour perturber, désactiver ou prendre le contrôle de votre système. Ils sont généralement cachés ou déguisés en autre chose pour que les scanners ne le trouvent pas. Et souvent les interventions de nettoyages doivent se faire à la main, et pas avec des logiciels.
Entre 2014 et 2016, plus de 100 000 sites WordPress et Joomla redirigeaient les visiteurs vers le kit d’exploitation Neutrino, qui tentait de pénétrer le navigateur de l’ordinateur des visiteurs et, en cas de succès, infectait le système d’exploitation avec le logiciel de rançon CryptXXX.
Sans le savoir vous pouvez héberger sur votre site l’une des bases arrières d’une attaques plus massive.
Toujours avec leurs outils automatiques les assaillants peuvent utiliser votre site pour héberger du contenu pédopornographique. Dans le livre “Confession d’un pédophile, l’impossible filtrage du web”, nous expliquions comment les hacker black hat utilisent des sites légitimes comme espaces de stockage revendus aux producteurs des contenus pédopornographiques afin d’en donner les liens aux clients finaux. Ainsi, même s’il est difficile d’en connaitre la portée réelle, des centaines de milliers de sites internet hébergent en ce moment des films et des images pédophiles sans que les propriétaire des sites en aient la moindre idée.
Les petits sites étant mal ou pas protégés, gérés par des personnes n’ayant pas de formation ou une connaissance suffisante pour mettre en place des logiciels de surveillance, ou de suivi de log, les attaquants sont assurés que les forces de l’ordre auront plus de mal à remonter à la source.
Il existe ainsi de trop nombreuses raisons pour un hacker black hat de s’en prendre à votre site, mais la plus rependue reste l’appât du gain. Il existe un nombre incalculable de méthodes aux hacker black hat de parvenir à ses fins.
Conclusion
Gardez à l’esprit plusieurs choses importantes :
- Le hacker black hat se fiche éperdument de vous, ce qui lui importe c’est exploitation d’une faille dans votre système ou votre site afin d’en tirer profit immédiat. Direct ou indirect
- D’un point de vue juridique (loi LCEN, RGPD) vous êtes responsable de la sécurisation de vos systèmes d’informations ou de votre site internet. Vous pouvez être tenus responsables des attaques que vous subissez par manque d’actions préventives.
- D’après l’ANSII, 50% des entreprises qui subissent un incident informatique déposent le bilan dans les 6 mois qui suivent.
- Vous devez absolument prendre des mesures simples avant qu’il ne soit trop tard : backup de vos données, formations de vos équipes, sécurisation des postes de travail.
- Le hacker black hat est un feignant et un couard, s’il voit que vous avez mis des défenses en place il ne perdra pas son temps avec vous et passera au voisin.
