Le 22 octobre 2023, la plateforme Deezer faisait l’objet d’une cyberattaque d’envergure. Le mode opératoire des cyber attaquants : le déni de service distribué (DDoS), l’une des trois grandes techniques de cyberattaques souvent observées ces dernières années. au côté du déplacement latéral couplé au ransomware et du phishing. Trois techniques d’attaques courantes dans la cybercriminalité, et six cas d’école pour mieux comprendre ces mécaniques de cyberattaques.
Les géants du numérique ne sont pas à l’abri des pirates informatiques. Plus le nombre d’utilisateurs est important, plus l’attaque par déni de service distribué peut être spectaculaire.
L’idée d’une attaque DDoS : paralyser l’activité de l’entreprise cible. La stratégie de la cyberattaque consiste “tout simplement” à lancer des vagues de connexion vers un site précis. Si le nombre de requêtes dépasse la capacité de traitement du serveur, celui-ci finit par planter.
Dimanche 22 octobre 2023, la plateforme de streaming musical Deezer recevait dans la journée près de 1 000 signalements de panne. À l’origine des perturbations en masse : une cyberattaque par déni de service distribué, ou attaque DDoS pour Distributed Denial of Service.
Quelques heures plus tard, Deezer affirmait avoir réglé le problème et qu’aucune donnée utilisateur n’avait été divulguée. Bien qu’elle fut brève, l’attaque a cependant eu de quoi créer la panique au sein de l’entreprise, et générer mécontentement et méfiance chez les utilisateurs.
L’attaque a été revendiquée le jour même par le groupe de hackers Anonymous Sudan sur Telegram. Le groupe s’était déjà attaqué en France aux sites de l’AP-HP en 2022 et des hôpitaux de Marseille et Lyon en France.
Le même groupe de pirates informatiques avait également revendiqué une autre attaque par déni de service contre Microsoft en juin.
Le 6 juin 2023, plusieurs services Microsoft 365 ont été touchés par une série de pannes dues à des attaques DDoS et attribuées au groupe Anonymous Sudan, renommé Storm-1359 par Microsoft. Les pannes concernaient la couche 7 du modèle OSI, la couche applicative. Les attaques se sont poursuivies jusqu’au 10 juin. Des milliers de clients basés aux États-Unis ont été touchés.
Au-delà de la démonstration de puissance des hackers, l’attaque serait une vengeance contre Microsoft qui aurait précédemment contribué au démantèlement d’un botnet du groupe de cybercriminels.
Dans ce type d’attaques en effet, des botnets entrent souvent en jeu pour saturer plus vite les services.
Pour être efficace, l’attaque par déni de service distribué doit être massive. Pour donner l’ampleur désirée à la cyberattaque, les hackers “construisent” des botnets.
On appelle botnet est un groupe d’ordinateurs compromis (robots), c’est-à-dire infectés par des logiciels malveillants, supervisés par un système.
Un botnet comporte trois éléments clés :
L’opérateur, ou maître des robots, utilise ces robots pour lancer des attaques en masse vers une cible ou effectuer d’autres tâches. Une attaque par botnet peut s’appuyer sur plusieurs centaines de terminaux infectés exécutant tous un code malveillant pour le compte du maître des robots.
Dans le cas d’une attaque par déni de service distribué, le botnet submerge l’application cible de requêtes en passant par amplification DNS ; SYN flood, ou inondations SYN ; UDP flood, inondations UDP, monopolisant la bande passante au détriment des requêtes légitimes et épuisant les ressources de traitement du serveur. Évidemment, il est difficile de remonter jusqu’au serveur de commande d’une attaque par botnet, puisque ce sont les ordinateurs piratés qui indirectement mènent les cyberattaques.
Les hackers utilisent souvent des logiciels malveillants spécifiques, vers informatiques ou cheval de Troie, qui explorent Internet à la recherche de vulnérabilités des systèmes. Failles de sécurité non corrigées, mots de passe faibles, ou configurations mal sécurisées sont exploitées dans le but d’infecter les systèmes et de les ajouter au botnet sans le consentement de leurs propriétaires.
Ce type d’attaque est spectaculaire, mais souvent avant tout destiné à créer un sentiment de menace pour la victime… et de toute-puissance chez l’attaquant.
Les attaques, plus discrètes, par déplacement latéral et ransomware ou phishing, peuvent finalement coûter beaucoup plus cher.
Sur un tout autre mode opératoire, mouvement horizontal et ransomware associés, ces deux attaques ont généré de sérieux dégâts.
Le 2 juillet 2021 a lieu l’une des plus impressionnantes attaques de ransomware jamais enregistrée : l’attaque de la firme américaine Kaseya.
Basée à Miami, la société Kaseya fournit des services informatiques à des entreprises qui gèrent le back-office de petites entreprises, trop modestes pour disposer de leur propre service technique.
Dans cette cyberattaques, les pirates informatiques ont ciblé le logiciel VSA, progiciel de gestion intégré, utilisé habituellement par Kaseya pour superviser la flotte de machines de ses clients.
Le logiciel s’est transformé en distributeur de malwares : la faille exploitée par les hackers leur a ainsi permis d’affecter des milliers de machines en cascades.
Malgré le message d’urgence envoyé par Kaseya, appelant à couper immédiatement les serveurs, plus de 40 000 clients ont perdu l’accès à leurs services Internet plusieurs jours durant, partout dans le monde.
Les perturbations ont été particulièrement importantes en Suède, où la chaîne Coop a dû fermer près de 800 magasins pour cause de panne des caisses enregistreuses. Le bilan global est compliqué à établir cependant : la plupart des victimes de rançongiciels ne se signalent pas, et d’autant moins si elles ont choisi de payer la rançon.
Les hackers ont demandé une rançon de 70 millions de dollars sous forme de crypto-monnaies pour restaurer les données des entreprises affectées. Le 22 juillet 2021, Kaseya annonçait avoir mis à disposition une clé de décryptage et de récupération des données pour les victimes, résultat d’une collaboration avec la société néo-zélandaise Emsisoft. Et ce sans avoir payé de rançon.
Évoquée dans notre article sur le déplacement horizontal, l’attaque SolarWinds est elle aussi entrée dans les annales.
En septembre 2019, des pirates informatiques ont réussi à accéder au système de production d’Orion, logiciel phare de SolarWinds, utilisé par des milliers d’entreprises et d’organisations, de gouvernements notamment.
Le logiciel Orion permet de gérer de gros réseaux informatiques. Les cybercriminels ont réussi à installer un virus dans son système de mise à jour.
Sur les 33 000 clients de SolarWinds utilisant Orion, 18 000 ont installé la mise à jour infectée. Les pirates ont ainsi pu accéder à de nombreux réseaux.
Sur ces 18 000 mises à jour, 250 intrusions ont été détectées trop tard : 250 clients ont été infectés et affectés. Et parmi eux, les organisations gouvernementales de plusieurs pays. L’attaque visait les États-Unis en premier lieu. En plus de grandes entreprises comme Microsoft (encore), au moins six départements du gouvernement américain ont été touchés.
Derrière la cyberattaque : plusieurs collectifs de cybercriminels. Les Etats-Unis ont attribué l’attaque aux acteurs du service des renseignements extérieurs de la fédération de Russie, connus des services de cybersécurité sous les noms d’APT29, Cozy Bear et The Dukes.
Les cyber attaquants ont visé les cinq vulnérabilités. Des correctifs de sécurité ont été mis à disposition par SolarWinds pour remédier à chacune.
Ou comment un simple email à l’air familier peut semer le chaos.
Le 11 janvier, L’éditeur de solution d’e-mailing marketing Mailchimp a été victime en janvier 2023 d’une attaque par ingénierie sociale : par usurpation d’identité précisément.
Un utilisateur non autorisé a eu accès aux outils utilisés par Mailchimp pour l’assistance à la clientèle et l’administration des comptes. Le cybercriminel a utilisé des techniques d’ingénierie sociale pour obtenir l’accès à certains comptes Mailchimp. Un e-mail frauduleux imitant ceux de Mailchimp avaient été envoyés aux employés pour les inviter à donner leurs informations d’identification et de paiement et les dérober. Plus de 130 comptes clients ont ainsi été hackés.
Microsoft Teams a aussi fait l’objet d’une attaque par phishing fin août 2023. Des messages provenant de comptes Office 365 compromis incitaient les destinataires à télécharger un fichier ZIP intitulé “Changements dans le calendrier des vacances”.
Ce qui semblait être un sympathique et inoffensif fichier PDF était en fait un fichier LNK, un fichier de raccourci, contenant un VBScript (langage de script développé par Miscrosoft pour automatiser des tâches sur Windows) compromis.
Ce script a conduit à l’installation d’une célèbre souche de malware connue depuis 2017 sous le nom de DarkGate et offrant de nombreuses possibilités aux cyber attaquants, notamment l’accès à distance, le keylogging, le minage de crypto-monnaies.
S’il est une leçon à tirer de ces cyberattaques, c’est que quelle que soit la taille de l’organisation, la prévention de la cyber malveillance passe par un verrouillage du système de sécurité informatique, une gestion rigoureuse du parc informatique et de sa maintenance et la formation des collaborateurs aux bonnes pratiques de cybersécurité. Mesures à associer absolument à l’apprentissage de la “cybervigilance”, même pour les géants de la Tech comme Microsoft…
Laissez nous vos coordonnées, nous vous recontactons au plus vite