Atteinte à l’image

Lancées à des fins de déstabilisation contre des administrations et des entreprises et régulièrement relayées par les réseaux sociaux, les attaques de déstabilisation sont aujourd’hui fréquentes et généralement peu sophistiquées, faisant appel à des outils et des services disponibles en ligne. De l’exfiltration de données personnelles à l’exploitation de vulnérabilité, elles portent atteinte à l’image de la victime en remplaçant le contenu par des revendications politiques, religieuses, etc.

Quels sont les différents types d’attaques ?

 

Attaque par déni de service (ddos)


Le déni de service peut porter atteinte à l’image de la victime et constitue une menace pour toute organisation disposant d’un système d’information connecté à Internet.  
L’objectif : rendre le site internet, et donc le service attendu, indisponible. Les motivations des attaquants sont diverses, allant des revendications idéologiques à la vengeance, en passant par les extorsions de fonds.
 
Le cybercriminel peut :
  • exploiter une vulnérabilité logicielle ou matérielle
  • solliciter une ressource particulière du système d'information de la cible, jusqu'à « épuisement ». Cette ressource peut être la bande passante du réseau, la capacité de traitement globale d'une base de données, la puissance de calcul des processeurs, l'espace disque, etc.
Plusieurs  indices classiques se manifestent : accroissement de la consommation de la bande passante sans explication légitime ; allongement des files d'attente des serveurs de messagerie ou le retard dans le temps de transit des messages ; des ruptures de communications sur délai de garde (timeout) ou signalées par message d'erreur (host unreachable) ; etc.
Plusieurs méthodes pour un résultat unique : dysfonctionnements ou paralysie complètement d’un ou de plusieurs services de la victime.

 
Pour s’en prémunir :

  • Effectuez des sauvegardes régulières
  • Consultez et transmettez à votre prestataire, ou vos équipes informatiques, le guide élaboré par l’ANSSI :  Comprendre et anticiper les attaques DDoS.
  • Intégrez la lutte contre les dénis de service dans votre politique de sécurité des systèmes d’information
  • Mettez en place un certain nombre de mesures techniques : architecture adaptée, cloisonnement des systèmes, configuration des pare-feux …

Pour aller plus loin, n’hésitez pas à consulter la page sur les conseils aux usagers qui reprend les bonnes pratiques à mettre en place pour sécuriser ses équipements et ses données.

 

Attaque par défiguration (defacement)


Généralement revendiqué par des hacktivistes,  ce type d’attaque peut être réalisé à des fins politiques ou idéologiques, ou à des fins de défi technique (challenge entre attaquants). L’objectif : modifier l’apparence ou le contenu d’un site internet, et donc violer l’intégrité des pages en les altérant.
  • Le cybercriminel  exploite souvent des vulnérabilités connues (défaut de sécurité), mais non corrigées du site web.  
  • Visible ou bien plus discrète pour le visiteur, la compromission réussie du site peut prendre différentes formes : ajout d’informations sur une page Web ou  remplacement intégral d’une page par une revendication.

Pour s’en prémunir :

  • Effectuez des sauvegardes régulières
  • Respectez toutes les étapes lors de la procédure d'installation de votre site Internet afin de supprimer manuellement des éléments temporaires générés lors de l'installation (ex : mots de passe par défaut).
  • Utilisez des mots de passe d'accès aux interfaces d'administration complexes et régulièrement renouvelés.
  • Gérez les droits d’accès pour chaque répertoire de votre site  
  • Appliquez les correctifs de sécurité régulièrement : mise à jour des éléments du site (gestionnaire de contenus, logiciels nécessaires au fonctionnement du site, etc.),  ajouts limités de nouveaux modules non vitaux au fonctionnement du site, etc.
  • Assurez-vous de la mise en place d’une politique de sécurité efficace si votre site est hébergé chez un prestataire, surtout dans le cadre d’un hébergement mutualisé (plusieurs sites hébergés).  

Retrouvez les mesures de prévention détaillées par la note d’information CERTA à transmettre à vos équipes informatiques ou à votre prestataire sur Les défigurations de sites Web (n°2012-INF-002).

Pour aller plus loin, n’hésitez pas à consulter la page sur les conseils aux usagers qui reprend les bonnes pratiques à mettre en place pour sécuriser ses équipements et ses données.
 

Vous êtes victime d’une attaque de déstabilisation ?


Suite à une escroquerie ou une cyberattaque, déposez plainte  auprès d’un service de Police nationale ou de Gendarmerie nationale ou bien adressez un courrier au Procureur de la République auprès du Tribunal de Grande Instance compétent.

Pensez à notifier l’attaque à vos équipes informatiques, ou votre prestataire, pour qu’ils puissent, si vous ne pouvez pas le faire directement :
  • conserver des traces de l’attaque : copie de l'état compromis du site Web (ou du serveur, si l'environnement n'est pas mutualisé), des  équipements environnants (pare-feux, serveurs mandataires, etc.) et des journaux d'accès au site Web, et ceux de tous les services permettant de modifier le site à distance (FTP, SSH, etc.).
  • rechercher d’autres intrusions opérées suite à l’exposition du site à une attaque.
  • reconstruire le site uniquement après l’identification et la correction de la vulnérabilité utilisée par l'attaquant pour compromettre le site. La simple restauration du site dans un état « sain » ne bloquera pas la faille utilisée par l'attaquant, qui pourra rapidement compromettre le site à nouveau.  
 
Des services spécialisés se chargent ensuite de l'enquête :
 
La réponse à cette menace cyber, essentiellement issue d’hacktivistes et de mouvements idéologiques, constitue également une part des activités de l’ANSSI. Les défigurations de pages de sites web d’administration sont par exemple identifiées quotidiennement par le Centre de cyberdéfense qui peut alors alerter et conseiller les victimes dans la résolution de l’attaque. 
 

Sites de référence