{"id":17864,"date":"2021-10-14T11:27:06","date_gmt":"2021-10-14T09:27:06","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17864"},"modified":"2022-05-05T13:44:12","modified_gmt":"2022-05-05T11:44:12","slug":"most-common-initial-attack-vectors","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/most-common-initial-attack-vectors\/17864\/","title":{"rendered":"Les vecteurs d’attaque initiaux les plus courants"},"content":{"rendered":"

Certaines entreprises contactent souvent nos experts pour obtenir de l\u2019aide en urgence en cas d'incident informatique<\/a>, pour faire (ou les aider \u00e0 faire) des recherches ou pour analyser les outils des cybercriminels. En 2020, nous avons collect\u00e9 une grande quantit\u00e9 de donn\u00e9es<\/a> pour avoir un aper\u00e7u de la situation actuelle des menaces, ce qui nous a aid\u00e9 \u00e0 pr\u00e9dire les sc\u00e9narios d\u2019attaque les plus probables, y compris les vecteurs d\u2019attaque initiaux les plus courants, et \u00e0 choisir les meilleures tactiques de d\u00e9fense.<\/p>\n

Lorsque nous enqu\u00eatons sur un incident informatique, nous faisons particuli\u00e8rement attention au vecteur d\u2019attaque initial. En quelques mots, l\u2019acc\u00e8s utilis\u00e9 est un point faible et il faut identifier le point faible du syst\u00e8me de d\u00e9fense pour \u00e9viter que cela ne se reproduise.<\/p>\n

Malheureusement, ce n\u2019est pas toujours possible. Dans certains cas, trop de temps s\u2019est \u00e9coul\u00e9 entre le moment de l\u2019incident et sa d\u00e9tection. Il peut aussi arriver que la victime n\u2019ait pas conserv\u00e9 de registre ou ait effac\u00e9 toutes les traces de l\u2019attaque (accidentellement ou volontairement).<\/p>\n

La situation se complique lorsque les cybercriminels lancent une attaque via la cha\u00eene d\u2019approvisionnement<\/a>, une m\u00e9thode de plus en plus r\u00e9pandue, puisque le vecteur initial ne rel\u00e8ve pas de la comp\u00e9tence de la victime mais plut\u00f4t d\u2019un d\u00e9veloppeur de programme tiers ou d\u2019un fournisseur de service. Pourtant, dans plus de la moiti\u00e9 des incidents, nos experts ont pu d\u00e9terminer pr\u00e9cis\u00e9ment le vecteur d\u2019attaque initial.<\/p>\n

Premi\u00e8re et deuxi\u00e8me place : attaque par force brute et exploitation d\u2019applications publiquement accessibles<\/h2>\n

Les attaques par force brute et l\u2019exploitation des vuln\u00e9rabilit\u00e9s d\u2019applications et de syst\u00e8mes accessibles en dehors du p\u00e9rim\u00e8tre de l\u2019entreprise occupent les deux premi\u00e8res positions. Ces deux m\u00e9thodes ont \u00e9t\u00e9 utilis\u00e9es comme vecteur initial d\u2019acc\u00e8s dans 31,58 % des cas.<\/p>\n

Comme nous l\u2019avons constat\u00e9 ces derni\u00e8res ann\u00e9es, il n\u2019y a rien de plus efficace que l\u2019exploitation des vuln\u00e9rabilit\u00e9s pour lancer une attaque. Une analyse plus approfondie des vuln\u00e9rabilit\u00e9s exploit\u00e9es sugg\u00e8re que cette faille est principalement imputable aux entreprises qui n\u2019installent pas les mises \u00e0 jour en temps et en heure. Au moment des attaques, tous les patchs des vuln\u00e9rabilit\u00e9s \u00e9taient disponibles. Les victimes auraient pu \u00eatre \u00e9pargn\u00e9es s\u2019ils avaient \u00e9t\u00e9 install\u00e9s.<\/p>\n

La transition de masse des entreprises vers le t\u00e9l\u00e9travail et vers l\u2019utilisation de services d\u2019acc\u00e8s \u00e0 distance explique la l\u00e9g\u00e8re hausse de la popularit\u00e9 des attaques par force brute. Lors de cette transition, de nombreuses entreprises n\u2019ont pas su r\u00e9soudre correctement les questions de s\u00e9curit\u00e9. Ainsi, le nombre d\u2019attaques sur les connexions \u00e0 distance est mont\u00e9 en fl\u00e8che du jour au lendemain. Par exemple, entre mars et d\u00e9cembre 2020 les attaques par force brute bas\u00e9es sur le RDP ont augment\u00e9 de 242 %.<\/a><\/p>\n

Troisi\u00e8me place : e-mail malveillant<\/h2>\n

Dans 23,68 % des cas le vecteur d\u2019attaque initial \u00e9tait un e-mail malveillant, soit avec une pi\u00e8ce jointe malveillante soit avec un lien d\u2019hame\u00e7onnage. Les op\u00e9rateurs d\u2019attaques cibl\u00e9es et ceux qui envoient des messages en masse utilisent depuis longtemps ces deux types de messagerie malveillante.<\/p>\n

Quatri\u00e8me place : t\u00e9l\u00e9chargement furtif<\/h2>\n

Les escrocs arrivent parfois \u00e0 acc\u00e9der au syst\u00e8me en utilisant un site que la victime visite r\u00e9guli\u00e8rement ou consulte par hasard. Pour utiliser cette tactique, que nous avons vue \u00e0 l\u2019action lors de certaines attaques APT complexes<\/a>, les cybercriminels ajoutent au site des scripts qui exploitent une vuln\u00e9rabilit\u00e9 du navigateur pour ex\u00e9cuter un code malveillant sur l\u2019ordinateur de la victime, ou alors ils incitent la victime \u00e0 t\u00e9l\u00e9charger et installer le malware. En 2020, cette m\u00e9thode a \u00e9t\u00e9 le vecteur d\u2019attaque initial dans 7,89 % des cas.<\/p>\n

Cinqui\u00e8me et sixi\u00e8me place : dispositifs de m\u00e9moire portables et attaques en interne<\/h2>\n

L\u2019utilisation de cl\u00e9s USB pour p\u00e9n\u00e9trer dans le syst\u00e8me des entreprises est beaucoup plus rare. Les cl\u00e9s USB infect\u00e9es par un virus sont en grande partie chose du pass\u00e9, et la m\u00e9thode qui consiste \u00e0 donner une cl\u00e9 USB dangereuse \u00e0 une personne est peu fiable. Cette technique repr\u00e9sente toutefois 2,63 % des p\u00e9n\u00e9trations initiales du r\u00e9seau.<\/p>\n

Les incidents en interne repr\u00e9sentent la m\u00eame proportion (2,63 %). Il s\u2019agit d\u2019employ\u00e9s qui, pour une quelconque raison, voulaient porter pr\u00e9judice \u00e0 leur entreprise.<\/p>\n

Comment r\u00e9duire la probabilit\u00e9 d\u2019\u00eatre victime d\u2019un incident informatique et d\u2019en subir les cons\u00e9quences<\/h2>\n

La plupart des incidents que nos experts ont analys\u00e9s \u00e9taient \u00e9vitables. \u00c0 partir de leurs conclusions nous vous conseillons\u00a0:<\/p>\n