Entrée
L’attaque en force
En matière de cyberattaque comme en cuisine, certaines recettes sont moins raffinées que d’autres. C’est le cas de l’attaque de déni de service, ou DDoS – prononcer « didoss » – (pour l’anglais « distributed denial of service attack »). L’idée : mettre hors d’état de fonctionner une machine (serveur, système de messagerie) en la surchargeant de demande de connexions. Une sorte d’indigestion à base de milliards d’octets, utilisée notamment par les Anonymous pour soutenir WikiLeaks contre Visa et Mastercard, qui bloquaient les dons en faveur du site web lanceur d’alerte.
Niveau : II
Ingrédients :
Des milliards d’octets
Une pincée de Botnet
Un zeste de tempsPréparation
« Il faut avoir une cible et beaucoup de machines qui vont chercher à s’y connecter pour la faire craquer. Le résultat, c’est que ces tirs croisés vont rendre la machine indisponible, explique Kaos, un expert en informatique. Par exemple, un serveur surchargé de requêtes sera hors-service pour ses usagers. Pour multiplier leur puissance de feu, les crackers peuvent constituer un botnet, un réseau d’ordinateurs infectés qui deviennent des zombies capables d’exécuter leurs commandes à distance. »- Plat
L’attaque par social engineering
C’est l’art de la manipulation. Ou celui de faire beaucoup de dégâts avec peu de compétences techniques en exploitant le maillon le plus faible des systèmes de sécurité : l’humain. Le collectif CWA raconte comment il a couvert de honte le patron de la CIA, John Brennan, en piratant son compte AOL personnel. Sans utiliser une ligne de code.
Niveau : III
Ingrédients :
Un téléphone
Une connexion à Internet
Du talent d’improvisationPréparation :
« Nous nous sommes fait passer pour un employé » de l’opérateur téléphonique Verizon sur une opération de dépannage chez John Brennan en utilisant un faux numéro d’identification interne. « Nous avons obtenu son email, son code PIN de vérification et les quatre derniers chiffres de sa carte bleue. » Ensuite, le groupe de hackers, qui ont tous moins de 22 ans, a appelé AOL pour obtenir une remise à zéro du mot de passe du patron de la CIA grâce aux informations récoltées. « Nous pensions qu’il aurait un système de double authentification, mais même pas. C’était enfantin. Il faut juste rester calme et revenir à la même justification en cas de problème. C’est un jeu d’acteur. »- Dessert
L’attaque chirurgicale
C’est la plus complexe. Il faut des connaissances techniques avancées, en réseau et en programmation. Certains utilisent des failles logicielles encore non découvertes (« zero-day » attack). D’autres infectent des systèmes via une pièce-jointe vérolée ou un site Web piégé. Ces attaques peuvent coûter des dizaines de millions de dollars aux victimes, comme Sony Pictures ou la chaîne Target.
Ingrédients :
Des compétences de programmeur
Des scripts en Perl ou en Python
Des bonnes connaissances des systèmes réseauxNiveau : IIII
Préparation :
En 2011, Jeremy « Anarchaos » Hammond identifie une faille inconnue dans les systèmes d’administration réseau PLESK, utilisé par de nombreuses entreprises. Sabu, son compère du groupe Anonymous/LulzSec – qui joue en fait les informateurs pour le FBI – l’aiguille alors vers la société privée de renseignement Stratfor. « J’ai rooté (pris le contrôle) de leurs serveurs, on est dedans, baby », écrit-il après avoir utilisé une injection SQL, une requête exploitant le bug dans leur base de données. Il met ensuite la main sur une clé de décryptage et décode toutes les données. Peu de temps après, Sabu le livre aux autorités qui accèdent facilement à son ordinateur. Malgré ses compétences techniques, Hammond utilisait « Chewy123 » -le nom de son chat- comme mot de passe. Il purge actuellement une peine de 10 ans de prison.
