a
b
c
d
e
f
g
h
i
j
k
l
m
n
o
p
q
r
s
t
u
v
w
x
y
z
B

Brute force (attaque par force brute) 

L’attaque par force brute (« brute force attack » en anglais) consiste à tester une à une toutes les combinaisons de mot de passe ou de clé possibles afin de se connecter au service ciblé. 

C’est la méthode de crackage de mot de passe la plus simple en cryptanalyse. C’est pourquoi l’attaque par force brute est ancienne et particulièrement répandue.  

Le cassage du mot de passe ou de la clé dépend de :  

  • Du nombre de possibilités, dépendant elles-mêmes de la longueur du mot de passe principalement et des caractères utilisés 
  • De la vitesse que met le hacker à tester chaque combinaison 
  • Des défenses mises en place comme le blocage de l’accès suite à un certain nombre d’échecs d’authentification 

Le temps mis pour cracker le mot de passe augmente de façon exponentielle avec la longueur de celui-ci. 

Cela étant dit, en complément d’une optimisation heuristique ou d’attaque par dictionnaire, le temps de cassage du mot de passe ou de la clé peut se réduire considérablement.  

C

CVE

Les Common Vulnerabilities and Exposure, plus souvent appelées CVE sont une nomenclature publique consultable qui référence les failles de sécurité informatique.  

Chaque vulnérabilité listée a : 

  • Une définition ainsi que des liens pour aider les utilisateurs intéressés 
  • Un identifiant sous la forme CVE-AAAA-NNNN (A pour année, N pour numéro). Par exemple CVE-2015-0204 est l’identifiant de la faille FREAK.

La nomenclature des CVE aide les professionnels de la cybersécurité à communiquer et à hiérarchiser les vulnérabilités informatiques afin de les combattre plus facilement.  

Les Common Vulnerabilites and Exposure sont maintenues par le MITRE (organisation à but non lucratif) et le Département de la Sécurité Intérieure des États-Unis. 

Vous pouvez télécharger la liste des CVE sur le site cve.org

Cybersécurité

La cybersécurité est un ensemble de pratiques, mesures, outils et technologies visant à protéger les personnes, les données, les applications, les systèmes et le matériel informatique des organisations et des États contre les attaques informatiques (cyberattaques). 

Les cyberattaques visent en général à accéder à des systèmes et informations sensibles pour les modifier, détruire ou bloquer.  

Les attaques numériques portent atteinte à un ou plusieurs de ces éléments des données :  

  • Disponibilité  
  • Intégrité 
  • Authenticité 
  • Confidentialité 
  • Preuve 
  • Non-répudiation 

Elle concerne l’informatique de gestion, l’informatique industrielle, l’informatique embarquée et les objets connectés (IoT). 

D

DDoS (attaque par déni de service distribuée) 

La DDoS (ou Distributed Denial of Service) est une cyberattaque qui bloque un service (site web, serveur, etc.) en le submergeant massivement de trafic via de multiples appareils piratés (d’où l’attribut de “distribuée”). 

Une DDoS, aujourd’hui variante majoritaire de la DoS (attaque par déni de service) se déroule en 2 étapes :  

1) Création du réseau de botnets 

Les botnets sont essentiels à la DDoS, car ce sont les appareils connectés à internet (ordinateurs, smartphones, routeurs, objets connectés, etc.) hackés par le cyberattaquant. Il les infecte à l’aide d’un logiciel malveillant pour ensuite les utiliser pour envoyer massivement du trafic vers le service qu’il vise.  

Chaque appareil infecté est capable de propager son infection grâce au malware. Ce qui permet de créer un énorme réseau de botnets sans efforts. 

2) Attaque DDoS 

Le hacker demande à son réseau de botnets constitué d’envoyer des requêtes au service visé. Par le nombre important de requêtes, le service est submergé de trafic et ne peut plus y faire face.  

Le service bloqué peut empêcher les utilisateurs d’acheter un produit, de se renseigner, d’utiliser un service en ligne, etc.  

Deepfake 

Un deepfake ou hypertrucage, est un faux fichier image, vidéo ou audio créé par l’intelligence artificielle et particulièrement crédible. 

C’est la contraction de Deep Learning et Fake, une sorte de “fausse profondeur” qui rend la tromperie si réaliste.  

Pour preuve de ce réalisme, de nombreuses personnes se font avoir, comme cet employé hongkongais qui a versé 25 millions de dollars sur la demande de ce qu’il croyait être son supérieur lors d’une visioconférence.  

Les possibilités sont vastes et l’imagination des pirates informatiques bien développée (pornographie, arnaque, manipulation de l’opinion, etc.). 

I

Injection SQL (SQLi) 

Injection de langage SQL non attendu mais valide dans un champ de saisie type email, mot de passe ou autre afin de modifier la requête SQL envoyée à la base de données et ainsi accéder aux données de l’organisation comme les fichiers clients. 

Par exemple, au lieu d’entrer un nom d’utilisateur, le hacker va entrer un guillemet qui permet d’échapper aux limites de la saisie.  

Les attaques par injection SQL ont explosé avec l’utilisation de bases de code partagées. 

M

Malware

Terme anglophone désignant tout logiciel malveillant (“malicious software”). Il peut donc s’agir d’un ransomware, d’un cheval de Troie, d’un spyware, etc. Le malware vise à voler, modifier ou supprimer des données, espionner, détourner des fonctions de l’ordinateur ou du serveur hacké. Les malwares sont utilisés par des pirates mais aussi des gouvernements.

On télécharge par inadvertance un malware en cliquant sur une publicité alléchante, en téléchargeant une pièce jointe d’un email ou par le biais du phishing.

MFA (authentification multi-facteur) 

La MFA pour Multi-Factor Authentification est une méthode d’authentification qui ajoute une ou plusieurs vérifications supplémentaires pour authentifier l’utilisateur en plus de son identifiant et mot de passe.  

Le plus souvent, l’utilisateur va recevoir via sms, email ou une app telle que Google Authenticator, un mot de passe à usage unique (OTP pour One-Time Password) qu’il doit entrer pour s’authentifier. Ce mot de passe est généré pour quelques secondes ou minutes à chaque nouvelle demande d’authentification. 

La MFA est essentielle à toute politique de gestion des accès et des identités (IAM, Identity and Access Management) car les mots de passe statiques sont vulnérables aux attaques par force brute et peuvent être volés par des tiers. 

O

OWASP 

L’OWASP (Open Worldwide Application Security Project) est une organisation internationale à but non lucratif de référence qui offre de façon libre, ouverte et gratuite ses ressources et recommandations de sécurisation des applications web. 

L’OWASP offre en effet sur son site documentation, outils, vidéos et forum pour aider chaque personne ou entreprise à contrôler et améliorer le niveau de sécurisation de ses applications web. 

Sa ressource la plus connue et utilisée est le OWASP Top 10.  

Qu’est-ce que le top 10 de l’OWASP ? 

Le top 10 de l’OWASP est une liste des 10 menaces les plus importantes qui pèsent sur les applications web.  

Il est rédigé par une équipe d’experts en sécurité informatique du monde entier et est régulièrement mis à jour.  

P

Pentesting 

Appelé aussi test d’intrusion (pour Penetration testing), c’est une cyberattaque simulée pour évaluer la sécurité d’un système d’information en pénétrant le réseau, le site internet, l’application ou l’objet connecté testé. 

Ainsi, lors d’un pentest, le pentester devient un faux cybercriminel qui cherche des vulnérabilités à exploiter en vue de proposer des recommandations à l’organisation afin qu’elle améliore sa cybersécurité.  

2 standards méthodologiques sont le plus souvent utilisés :  

  • Celui de l’OWASP (Open Worldwide Application Security Project) 
  • Le PTES (Penetretion Testing Execution Standard) 

Il existe 3 niveaux de pentesting :  

  1. Boîte noire (black box) : le pentester n’a aucune information
  2. Boîte grise (grey box) : le pentester a des informations partielles 
  3. Boîte blanche (white box) : le pentester a des informations complètes 

Les tests en boîte noire et en boîte grise représentent ainsi des risques immédiats tandis que la boîte blanche permet d’aller plus loin dans l’analyse de sécurité.  

Pentest vs audit de sécurité 

Le pentesting va plus loin que l’audit car le pentester exploite les failles afin d’exposer les vulnérabilités. Cela permet à l’organisation de situer le degré du risque associé à cette faille. 

Pentest vs test de vulnérabilité 

Le pentesting est plus complet car le test de vulnérabilité se contente d’utiliser un scanner automatique (qui a cependant l’avantage d’être rapide). 

Pentest vs bug bounty 

Un pentest et un bug bounty ont le même objectf, mais le bug bounty est réalisé par des bug hunters indépendants tandis que le pentest est réalisé par des entreprises en sécurité offensive.  

Phishing

Le phishing (hameçonnage) consiste à se faire passer par un organisme public ou une entreprise privée comme votre banque ou la sécurité sociale à l’aide d’un email imitant leur charte graphique (logo, typographie, etc.) et vous tromper.

Ces emails ont pour but de :

  • Vous soutirer des données personnelles comme votre numéro de sécurité sociale, votre numéro de carte bancaire ou un mot de passe en vous incitant à les donner (puisque vous avez confiance). Ces données sont ensuite utilisées par exemple pour usurper votre identité sur une plateforme ou vous voler de l’argent
  • Vous faire cliquer sur un lien qui provoquera l’installation d’un virus ou malware sur votre appareil (ordinateur, mobile, etc.)

Les variantes sont :

  • Le smishing qui est une technique de phishing par sms. Typiquement on peut vous demander de payer des frais pour débloquer un colis prétendument bloqué.
  • Le quishing qui est une technique de phishing par code QR. Cela peut être une offre (trop) alléchante du type “Sacs Gucci à -70%”.
R

Ransomware  

Un ranswomware (ou rançongiciel) est un malware qui prend en otage des données contre rançon. Pour cette “prise d’otage”, le hacker chiffre et bloque les fichiers ou appareils visés et indique donner la clé de déchiffrement lorsque la rançon sera payée. 

Comme toute demande de rançon cependant, rien ne garantit que la clé pour accéder aux fichiers ou ordinateurs sera bien donnée une fois la rançon payée.  

Le ransomware s’infiltre sur l’appareil visé souvent grâce à la technique du phishing ou lors d’un téléchargement sur internet. 

S

Social engineering 

Le social engineering ou ingénierie sociale exploite les erreurs humaines plutôt que les failles techniques en s’appuyant sur la manipulation psychologique pour s’attaquer aux systèmes informatiques. 

Le social engineering vise souvent à obtenir des informations personnelles ou financières afin d’usurper l’identité ou extorquer la victime. Il peut aussi être la première étape d’une attaque de plus grande ampleur. 

On dit parfois que l’attaque par ingénierie sociale est un piratage humain, par opposition au piratage technique habituel. C’est d’ailleurs ce qui la rend intéressante aux yeux des cyberattaquants, car ils évitent ainsi la tâche fastidieuse de passer pares-feux, anti-virus et autres solutions de cybersécurité.  

Elle est même devenue la cause principale de compromission des réseaux selon ISACA

Il en existe différents types d’attaques par social engineering :  

Phishing 

Le phishing consiste à se faire passer par un organisme public ou une entreprise privée comme votre banque ou la sécurité sociale à l’aide d’un email imitant leur charte graphique (logo, typographie, etc.) et vous tromper. 

Baiting 

Le baiting (ou technique de l’appât) consiste à appâter la victime avec une offre alléchante ou un objet de valeur afin qu’elle fournisse d’elle-même des informations sensibles ou qu’elle télécharge un logiciel malveillant (malware).  

Tailgating 

Le tailgating (ou « talonnage ») est le fait pour le cyberattaquant d’entrer dans une zone non autorisée en suivant une personne autorisée pour y dérober des informations sensibles ou actifs de valeur. 

Pretexting 

Le pretexting consiste pour le hacker à créer un problème pour sa victime puis à se placer comme la meilleure personne pour l’aider.  

Quid pro quo 

Le qui pro quo est une attaque qui fait miroiter à la victime un bien ou un service contre ses informations confidentielles. 

Scareware 

Un scareware est un logiciel qui incite l’utilisateur à la peur pour qu’il partage des informations confidentielles ou télécharge un malware.  

Watering hole 

Une attaque watering hole (point d’eau) consiste justement à “empoisonner le point d’eau”, en l’occurrence, injecter du code malveillant dans une page web fréquentée par la cible. Cela permet par exemple de voler des identifiants ou de télécharger un ransomware furtivement.  

Spyware 

Un spyware ou logiciel espion est un malware qui s’installe à l’insu de l’utilisateur sur son ordinateur ou mobile en vue de collecter des informations sur ses activités pour les utiliser ou les revendre.  

Les activités enregistrées sont par exemple ses saisies, identifiants, adresse email, données de formulaires web, historique de navigation, numéro de carte bancaire ou encore captures d’écran.  

Le plus souvent les spywares ont pour objectif d’utiliser les données des utilisateurs pour faire de la publicité ciblée. Il peut aussi avoir des visées criminelles ou simplement être un outil de surveillance des parents ou de l’employeur. 

Le spyware est le plus souvent présents sur les logiciels gratuits, afin de rentabiliser leur développement.  

Z

Zero day (faille) 

Une faille zero day est une faille de sécurité informatique qui existe toujours au jour J (le fameux “zero day”) car encore non connue ni résolue par les logiciels et équipes de cybersécurité.   

Toute sa force repose donc sur l’effet de surprise et la discrétion. Tant que la vulnérabilité zero day est inconnue, elle peut être exploitée et infiltrer les machines.  

Ainsi, si par exemple un hacker trouve une faille de sécurité dans Windows, tant que Microsoft ne la détecte pas et ne publie pas de patch de correction ça reste une faille zero day.  

Suite à la publication du patch, elle devient une faille one day, car le correctif est publié mais pas encore installé.  

De nombreuses vulnérabilités zero day ne sont en fait pas tout de suite attaquées, mais monnayées. Le cyberattaquant va vendre sa découverte au plus offrant, qui, à son tour exploitera la faille ou la revendra.  

Une des attaques zero day les plus connues est le ver informatique Stuxnet qui exploitait 4 failles zero day. Stuxnet aurait été conçu par la NSA pour s’attaquer aux centrifugeuses d’enrichissement d’uranium iraniennes.  

Retour en haut de page