Retour

Attaques réseau : une vue d'ensemble

Une attaque réseau est définie comme une intrusion dans l'infrastructure de communication dans le but de permettre un accès non autorisé aux ressources ou d'exploiter des failles existantes. Elle est composée habituellement de deux phases : une attaque passive qui analyse d'abord l'environnement technique et collecte des informations, puis une attaque active.

Attaque passive

Une attaque passive analyse le traffic réseau, écoute les communications et recherche des informations sensibles qui pourraient être utilisées dans d'autres types d'attaque, telles que les mots de passe. Le traffic non encrypté est particulièrement ciblé, et le traffic faiblement encrypté peut être décrypté. L'interception passive d'opérations de communication donne lieu à la divulgation d'informations à l'insu des utilisateurs, mais les ressources système ne sont en aucun cas affectées ou désactivées.

La meilleure réplique contre les attaques passives est l'encryptage de la communication entre l'appareil et le serveur.

Attaque active

L'attaquant essaie de contourner ou de s'introduire dans un système sécurisé pour voler, modifier, désactiver ou détruire des ressources ou des données. Les attaques actives réussies entraînent la divulgation ou la modification de données. Elles peuvent être combinées avec l'introduction de composants malveillants dans le système ciblé.


Attaques ciblant l'infrastructure réseau

Ces attaques utilisent les informations nécessaires au réseau pour aiguiller les données d'un appareil à un serveur, et inversement.

Ping flood (ou ICMP flood)

Un ping flood ("inondation par échos") est une forme simple d’attaque par déni de service, où l'attaquant envoie des requêtes ping ("écho") au serveur pour le surcharger de traffic au point de le mettre dans l'incapacité de répondre. Une variante, l'attaque par Ping de la Mort, consiste à envoyer une requête ping déformée au serveur pour provoquer une panne du système.

Attaque de type "smurf"

Une attaque de type "smurf" est une attaque ping flood avec la différence suivante : l'adresse IP source de l'attaquant est masquée par l'adresse IP d'un appareil non-malveillant. Une telle attaque provoque la perturbation dans le fonctionnement aussi bien du serveur ciblé (qui reçoit une grande quantité de requêtes écho) que de celui de l'appareil victime (qui reçoit une grande quantité de réponses aux échos).

Usurpation d'identité

L'usurpation est une technique utilisée pour masquer une adresse Internet (IP) par une autre dans le but de permettre un accès non autorisé. Il en existe plusieurs formes répandues :

  • usurpation d'adresse IP : crée des paquets IP avec une adresse source falsifiée pour imiter un système légitime - utilisée notamment dans les attaques de type "smurf",
  • usurpation / empoisonnement ARP : envoie des messages ARP falsifiés dans le réseau - un message ARP informe de l'association d'une adresse logique (IP) d'un système avec son adresse physique (MAC),
  • usurpation / empoisonnement du cache DNS : insère des données erronées dans le cache d'un serveur DNS pour détourner les requêtes d'un appareil vers une adresse IP erronée.

Attaque par déni de service (distribuée ou non)

Les attaques par déni de service sont conçues pour provoquer une interruption de service du serveur ciblé en l'inondant par une grande quantité de traffic inutile ou de requêtes externes. Lorsqu'une attaque par déni de service réussit, le serveur se trouve dans l'incapacité de répondre aux requêtes même légitimes.

Attaque de mot de passe

L'attaquant essaie de pirater les mots de passe enregistrés dans une base de données ou un fichier. Il existe trois principaux types d'attaques: par dictionnaire, par la force ou hybride. Une attaque par dictionnaire utilise une liste de mots de passe potentiels. Dans une attaque par la force, l'attaquant essaie toutes les combinaisons possibles de caractères. Une attaque hybride combine les deux approches précédentes.


Attaques ciblant l'application serveur

Ces attaques sont conçues pour exploiter les failles applicatives du serveur pour voler des informations confidentielles, exécuter des commandes dangereuses ou modifier une base de données. Elles sont détaillées de façon spécifique dans les articles dédiés.


Attaques ciblant les couches applicatives du serveur

Elles ciblent le fonctionnement interne du serveur pour provoquer une panne dans son système d'exploitation ou ses applications, et obtenir la capacité de contourner les contrôles d'accès prévus.

Débordement de mémoire tampon, heap ou pile

Dans les attaques par débordement, l'attaquant envoie à l'application serveur plus de données qu'attendu. Ces attaques donnent à l'attaquant la capacité de s'introduire dans le serveur (ou de désactiver les contrôles de sécurité pour permettre des attaques postérieures).

Exploit

Dans les attaques de type exploit, l'attaquant a connaissance d'un problème de sécurité dans un système d'exploitation ou un logiciel, et utilise cette connaissance pour exploiter la faille.


Attaques ciblant les utilisateurs finaux

Ces attaques ne font pas partie des attaques techniques touchant les appareils connectés au réseau. Leur description figurent ici dans un but d'exhaustivité et parce qu'elles sont largement répandues.

Hameçonnage

L'attaquant crée un site web contrefait, qui ressemble exactement au site ciblé. Puis il envoie un email pour inciter les utilisateurs à cliquer sur le lien qui conduit au site contrefait. Lorsqu'un utilisateur essaie de se connecter avec ses coordonnées, l'attaquant enregistre les profil et mot de passe et se connecte ensuite sur le site ciblé avec ces informations.

Attaque par approche

L'attaquant essaie de se rapprocher physiquement des systèmes, données ou composants du réseau pour mieux connaître son paramétrage. Une forme commune est l'attaque par "ingénierie sociale", qui consiste à une manipulation psychologique des collaborateurs pour les inciter à divulguer des informations confidentielles, qui seront utilisées dans une attaque suivante pour s'introduire dans un système ou réseau.


En déployant votre solution mobile avec Motilia, vous bénéficiez des mécanismes de sécurité intégrés