Les 5 types de cyberattaques qui touchent le plus les TPE/PME en 2024

Contrairement à ce qu’on pourrait penser, les petites et moyennes entreprises sont victimes de la très grande majorité des cyberattaques : plus de 90%.

En acceptant ce postulat, il est important d’aider les dirigeants d’entreprise et les DSi à bien cerner l’environnement de leurs Systèmes d’Information en matière de cybersécurité : s’il est important de connaître les risques encourus par les TPE / PME en cas de cyberattaque ainsi que les premiers gestes à adopter pour les éviter au maximum, cet article vous aide à être plus familier au sujet des 5 types de cyberattaques les plus courants pour les petites entreprises, à savoir :

• Le phishing
• Les ransomwares
• Les attaques au président / FOVi
• Les attaque DDoS
• Les exploitations de faille

1 - Phishing

Quelques chiffres sur le phishing

Le phishing mérite amplement sa première place dans ce classement, étant derrière plus de 74% des actes de cyber-malveillance en 2023. Et d’après le rapport de Vade, cela touche quasiment tous les secteurs, avec des pointes à +292% sur le T3 2023 pour les organisations étatiques (villes / mairies / collectivités) et de 125% environ pour les services financiers (cabinets comptables notamment). Cette prépondérance s’explique par la sensibilité des données hébergées par ces types d’entreprise.

De manière plus globale, mais tout aussi effrayante, voici 3 statistiques surprenante sur le phishing :

• Le nombre d’emails de phishing a augmenté de 173% en 2023
• Les mails sont responsables de plus de 71% des phishings
• Plus de 3% des emails mondiaux envoyés sont des emails de phishing.

Explication technique du phishing

Maintenant les présentations faites, entrons dans les détails :

Le phishing présente une caractéristique assez unique parmi les techniques de cyberattaques : bien qu’il soit la plupart du temps utilisé pour insérer un malware sur une machine, il est également capable d’atteindre son but de manière informationnelle en trompant l’utilisateur internet. C’est très souvent le cas lors de la diffusion de domaines internet illégitime (une des exemples connus est la pub Carglass qui précise distinctement d’aller sur Carglasse.FR pour éviter que ses clients aillent sur des publicités sponsorisées de concurrent ou, pire encore, une contrefaçon du site gérée par une autre entité. S’en suit 2 possibilités : une boite externe qui prend des RDV pour le site ciblé et vous fait ainsi payer une commission, ou dans les pires des cas un vrai site pirate qui collecte vos données (login, données personnelles, données bancaires…)).

Ces derniers temps, 2 techniques de phishing prennent de plus en plus d’ampleur et sont particulièrement à surveiller : le spearphishing et le vishing.

Le spearphishing, loin du phishing de masse, consiste pour les pirates à personnaliser au maximum un message pour se faire passer par quelqu’un d’important avec des infos très précises (famille, proches, hiérarchie professionnelle) afin de demander un service financier ou de soutirer des informations capitales.

Le vishing quant à lui est un dérivé téléphonique (ou en visio-conférence) du phishing : il consiste à appeler la victime en se faisant passer par autrui (encore une fois les proches ou la hiérarchie) en espérant soutirer des infos confidentielles lors de ces conversations.

Les risques pour une petite entreprise victime de phishing

• Hébergement d’un malware
• Vol ou compromission de données

Moyens de contamination par phishing

• Transmission d’un malware par ouverture ou téléchargement d’un fichier / d’un e-mail
• Vol des données par utilisation d’une information illégitime (site internet, page de connexion, vérification téléphonique, SMS).

Vous avez été victime d’un phishing ? Voici un article décrivant les premiers réflexes à adopter.

2 - Ransomwares et cryptolockers

Ransomwares et cryptolockers : qui sont-ils ?

Un ransomware est un logiciel rançonneur qui agit de l’intérieur votre système d’information en bloquant l’accès à vos données. Dans le pire des cas, s’il s’agit d’un cryptolocker (qui est une forme avancée de ransomware), où le malware pourra chiffrer les données pour les rendre inutilisable sans clé de chiffrement.

Ces 2 types de malware ont pour objectif de faire payer une rançon aux victimes en échange d’une promesse de restitution des données.

Explication technique des ransomwares

Les ransomwares agissent comme des « trojan horse »  (chevaux de Troie) : ils s’introduisent dans votre système, le plus souvent de manière indirecte (notamment via un e-mail de phishing dont on vient de parler, celui-ci contenant le cheval de Troie en lien ou en pièce jointe).

Une fois sur votre système, le malware s’installe dans la base de registre pour modifier le démarrage via un payload, puis se connecte à un serveur maître pour installer une clef de chiffrement.

Cette clef va ainsi chiffrer les données des disques durs et/ou réseaux de votre système, les rendant inexploitables pour les utilisateurs légitimes. Généralement, les fichiers ainsi corrompus afficheront une extension de type .encoded, .encrypted ou .cryptolocked pour signaler l’attaque. Une fois ces fichiers ouverts, le malware lance un lien internet vers une page internet affichant des instructions de paiement de la rançon (souvent en cryptomonnaie) en échange de leurs données, avec généralement un compte à rebours menaçant à la destruction des données pour obliger les victimes à agir vite et de manière non éclairée.

Quelques chiffres sur les ransomwares

Ces chiffres proviennent d’un rapport effectué par Sophos auprès de 3000 professionnels de la cybersécurité en 2023 :

• Le coût total des ransomwares en 2023 en France tourne autour du milliard d’euros
• 97% des organisations ayant été victimes de datas cryptées ont pu les retrouver par la suite
• 76% des attaques avec ransomwares ont donné lieu à des données cryptées, et 30% à des vols de données
• La rançon de 46% des attaques ayant abouties à des données cryptées ont été payées, pour une moyenne mondiale de 1,54M d’€ (le double de 2022).
• Le coût moyen de rétablissement à la normale, hors rançon, s’élève à 1,82M€. On note une grande différence entre les cas où la rançon a été payée (2,6M€), et ceux où des sauvegardes ont pu être effectuées (1,6M€).
• 45% des entreprise utilisant des sauvegardes ont eu un retour à la normale en moins d’une semaine sans payer de rançon.

Historiquement, les TPE / PME n’étaient pas la cible privilégiée des cyber-criminels auteur de ransomwares, de par leur moins grande possibilité à payer des grosses rançons. Mais cette tendance est de moins en moins vraie, les criminels misant désormais autant sur la quantité de rançons que sur leur importance.

Vous avez été victime d’un ransomware ? Voici un article décrivant les premiers réflexes à adopter.

3 - Exploitations de failles

Explication technique d’une exploitation de faille

Hors phishing, les failles de sécurité logicielle sont sans surprise le point d’entrée préférentiel des cybers criminels.

Tous les logiciels comportent potentiellement des failles exploitables. L’enjeu pour les développeurs est de maintenir un niveau de sécurité constant pour trouver ces potentielles failles avant qu’un cyber criminel ne puisse le faire, puis de mettre à jour le logiciel en sécurisant cette faille (ou potentiel point de faiblesse).

On parle souvent de « zero-day », ce qui signifie que le développeur « a 0 jour pour réparer la faille à compter du moment de sa découverte ». Autrement dit, l’équipe de hackeurs ayant découvert la faille peut l’exploiter (ou la revendre pour qu’une autre équipe l’exploite) durant le laps de temps jusqu’à sa découverte, ce qui peut aller de quelques minutes à plusieurs mois. On distingue 3 termes différents mais très reliés autour de l’expression « 0-day » :

• La vulnérabilité zero-day : c’est la vulnérabilité détectée par les pirates dans un logiciel AVANT que le développeur ne s’en rende compte, et donc AVANT qu’il y ait le moindre correctif pour y répondre.

• La faille d’exploitation zero-day : c’est la méthode utilisée par les cybercriminels pour entrer sur un système présentant une vulnérabilité pas encore identifiée.
  
  
• L’attaque zero-day : C’est l’utilisation d’une faille d’exploitation pour infecter le système présentant une vulnérabilité et s’introduire dessus.

L’exploitation d’une faille n’est donc pas un type d’attaque à proprement dit, mais plutôt le lieu d’entrée permettant à différents types d’attaque d’accéder au système visé.

On peut noter 5 types majeurs de faille dans les logiciels principalement utilisés par les TPE / PME (bien qu’il en existe en réalité bien plus) :

Les injections SQL

Elles consistent à uploader des malwares sur un serveur en détournant une requête SQL (langage de programmation pour interagir avec des bases de données) puis en récupérant la réponse provenant de la base de données ciblée.

Les attaques XSS (Cross-Site Scripting)

Une vulnérabilité XSS est une zone de site web où l’utilisateur peut interagir (commentaire, formulaire, barre de recherche) qui permet à l’attaquant d’injecter un script malveillant (très souvent en JavaScript) dans le contenu dynamique d’un site web. Il peut à partir de là accéder aux infos contenues dans les cookies, mais aussi diffuser un malware, modifier le contenu du site, placer un phishing ou perturber le fonctionnement des systèmes en question.

Une authentification par mot de passe faible

C’est la faille la plus simple à comprendre, dans laquelle le cybercriminel accède au système victime via l’usurpation d’un mot de passe (phishing, brute force, scam, pattern trop simple, etc).

Les failles liées aux plug-in et frameworks

Les plug-ins et frameworks sont utilisés pour étendre les possibilités des sites et navigateurs web. Ils comportent plusieurs failles et ont surtout la particularité de n’être que très peu mis à jour par les utilisateurs : une faille a donc souvent la possibilité d’être longtemps exploitée.

La désérialisation non sécurisée

Par mesure de sécurité, les applications modernes fonctionnent souvent avec une partie front et une partie back communiquant via des API. Lors de l’identification, la partie back transmet un jeton d’identification au front, contenant des infos sur l’utilisateur. Le détournement et le chiffrement de ce jeton permettent de récupérer les infos personnelles, MAIS AUSSI de s’infiltrer dans l’application grâce à ce jeton en se faisant passer par l’utilisateur conforme et ainsi y accéder avec les droits administrateurs.

4 - Attaque au président / FOVi (Faux Ordre de Virement Internationaux)

Explication technique d’une attaque au président

L’attaque au président est plus une conséquence d’une attaque réussie qu’un type d’attaque à part entière. Les cybers criminels utilisent différentes méthodes (phishing / spearphishing, exploitation de faille…) pour entrer sur un appareil et trouver / aspirer des données confidentielles (informations persos, bancaires (perso et de l’entreprise), des photos du visage, des extraits de voix, les habitudes etc).

Une fois ces infos collectées, ils vont s’en servir pour contacter les victimes en se faisant passer pour leur hiérarchie, et prétexter une bonne raison d’envoyer une somme d’argent sur un compte à l’étranger (d’où les noms d’attaque au président et de FOVI).

Le taux de réussite de ces cyberattaques est aujourd’hui quasi nul car les banquiers sont formés et savent la plupart du temps reconnaitre les hackeurs. Du moins dans leur forme classique, c’est-à-dire des demandes de petites sommes ( moins de 10 000€) qui n’éveillaient pas les soupçons des banquiers.

Mais pour contourner cette formation, les pirates privilégient aujourd’hui des attaques d’envergure, beaucoup plus créatives, pour soutirer de grosses sommes d’un coup. 2 exemples :

• Au printemps 2022, un célèbre investisseur floridien, Clive Kabatznik, appelle une représentante de Bank of America pour effectuer un gros transfert d’argent. Problème ? Un pirate avait mis cet appel sous écoute et a récupéré les infos sur ce transfert ET l’échantillon de voix de l’envoyeur.
  
  Conséquence ? La conseillère reçoit un appel quelques minutes après, avec la même voix, demandant le transfert de la même somme et du même numéro de compte émetteur, avec une seule différence : le compte receveur (dans un pays défiscalisé). Cet exemple n’a pas abouti car la représentante, formée, a pu détecter des failles dans le second appel. Mais le second exemple fait froid dans le dos au sujet du progrès des IA qui permettent ces fraudes.

• Un employé d’une multinalionale hong-kongaise a été invité début 2024 sur une visioconférence du COMEX de son entreprise. Lors de celle-ci, le directeur financier, suite à une discussion avec le directeur général et le directeur de Hong-Kong, demande à l’employé de transférer l’équivalent de 24M€ en 15 versements sur 5 comptes locaux. La demande est surprenante, mais elle parvient suite à une visio de 1 heure, avec des infos très stratégiques, en visio direct avec la voix et le visage de ses supérieurs. Il s’exécute. Il se rendra compte quelques heures plus tard qu’il s’est fait cyberattaqué par un groupe ayant aspiré une multitude d’infos (sur l'entreprise et sur les supérieurs hiérarchiques) avant de lancer la visioconférence en deepfake (une IA qui reproduit le visage et les voix). Trop tard, l’argent a déjà transité des comptes locaux vers des comptes à l’étranger.

5 - Attaques DDoS

Explication technique d’une attaque DDoS           

Une attaque DDoS (Distributed Denial of Service ou déni de service en français) a pour objectif de rendre un serveur inaccessible en le saturant via l’envoie d’une multitude de requêtes simultanées. Le cyber criminel peut également rentrer sur le serveur via une exploitation de faille et ainsi provoquer un arrêt du serveur (ou un fort dysfonctionnement) depuis l’intérieur.

L’attaque profite ainsi de la limitation de capacité spécifique des ressources d’une infrastructure web (nombre de requêtes sur un serveur / site web), ou réseau (nombre de requêtes sur la bande passante du serveur vers Internet).

Une fois le nombre de requête correspondant à la capacité spécifique maximale est atteinte, le service en question va soit fonctionner à une vitesse excessivement lente, soit carrément cesser de fonctionner

La plupart du temps, pour construire une attaque DDoS, les cybers criminels utilisent des botnets. Ce sont des malwares qui infectent des séries d’appareil en 3 étapes :

• Une exposition en exploitant une vulnérabilité ou une faille exploitée par exemple. Les internautes sont ainsi exposés à un botnet
• L’infection : Les utilisateurs ayant été en contact avec le programme malveillant sont infectés et les malwares rentrent ainsi sur les SI ciblés.
• L’activation : les appareils touchés lors de l’infection sont mobilisés par les pirates pour mener les attaques.

Les pirates activent ensuite à distance la série d’appareil infectée pour en prendre le contrôle et effectuer des requêtes visant à saturer le SI visé (déni de service total).

Objectif d’une attaque DDoS

La plupart des attaques DDoS suivent un des deux objectifs suivants :

• Demander une rançon contre la liberté rendue au SI (le retour à la normale de son fonctionnement)
• Viser la notoriété de la marque ciblée pour la décrédibiliser aux yeux du grand public

Spécificité des attaques DDoS

Les attaques DDoS ont une spécificité unique en cybersécurité : quand une attaque est réussie, les conséquences sont souvent relativement « cachées » afin de pouvoir continuer à l’exploiter le plus longtemps possible.

Au contraire, pour un déni de service, le grand public peut très rapidement se rendre compte de la défaillance du système (lenteurs, voire arrêt total du fonctionnement).

Cette spécificité a plusieurs conséquences :

• L’entreprise touchée ne peut pas dissimuler l’attaque (bien qu'elle doit doive dans tous les cas la stipuler à l’ANSSI, même si l’attaque n’est pas visible)
• Le stress engendré par l’arrêt du fonctionnement, et ce jusqu’à la remise en route totale des services, oblige souvent les DSi à agir rapidement et sans avoir la totalité des informations. Ce stress favorise également les chances de paiement des rançons demandées.
• Les concurrents sont directement mis au courant de ces attaques, et peuvent en jouer (notoriété, décrédibilisation, etc)

De ce fait, les entreprises les plus ciblées par les DDoS sont celles qui ont un parcours de vente 100% e-commerce. En effet, si l’attaque réussie, la plateforme de vente ne fonctionnera plus du tout, ce qui obligera les décideurs à prendre une décision rapide et pas toujours rationnelle.

Vous avez été victime d’une attaque DDoS ? Voici un article expliquant les premiers réflexes à adopter.

Pour bien pouvoir se protéger des attaques qui touchent principalement les TPE / PME, il est ainsi important de bien comprendre leur fonctionnement et leur processus pour atteindre leur cible.

Mais il faut garder en tête que même en mettant toutes les chances de votre côté pour éviter une cyberattaque, le risque zéro n’existe pas : Il faut anticiper la possibilité que votre petite entreprise soit touchée à l’avenir. Cet article vous y aidera en détaillant de manière plus technique les outils indispensables pour aider à prévenir et fortifier ses SI en vue d’une cyberattaque, mais également à détecter le malware et y remédier si elle venait à être touchée.