Le piratage est l’acte d’obtenir un accès non autorisé aux systèmes et réseaux informatiques, d’exploiter la vulnérabilité des systèmes, des logiciels, des personnes, etc. d’une organisation.
L’exploitation des vulnérabilités peut être aussi simple que l’utilisation de la ruse ou de l’ingénierie sociale pour obtenir les informations d’identification d’une personne afin de se connecter en son nom, l’utilisation d’un logiciel malveillant en tant que service fourni par d’autres pirates ou l’utilisation d’un code de preuve de concept pour une vulnérabilité assez facile à exploiter et à utiliser et fournie par quelqu’un d’autre.
Cela peut également être très technique et nécessiter des compétences et une connaissance plus avancées des systèmes ciblés. Les gagnants de Pwn2Own, un concours de piratage, enchaînent souvent plusieurs vulnérabilités pour prendre le contrôle d’un système ou d’un navigateur. De même, le succès des attaques ciblées d’hameçonnage et des attaques de la chaîne d’approvisionnement implique une recherche approfondie des victimes et des logiciels et des mois de planification.
Historiquement, ce qui a pu commencer comme le plaisir du défi ou un test de ses connaissances en informatique ou de sa capacité à tromper le système, s’est transformé en une industrie de plusieurs milliards de dollars où un seul bogue dans un appareil, une application, un système d’exploitation ou un système populaire peut payer au chercheur un chiffre à six chiffres pour ses efforts.
Aujourd'hui, les compétences des pirates informatiques sont appréciées par les entreprises, les forces de l'ordre, les États-nations et les entreprises criminelles. Nous sommes en constante évolution. D'un côté, les défenses de cybersécurité sont étudiées pour détecter leurs faiblesses et, de l'autre, des contre-mesures sont développées pour combattre ces techniques et procédures de piratage.
Le piratage n'est ni une mauvaise ni une bonne chose. Par exemple, les entreprises ont créé des programmes de bug bounty pour payer les pirates informatiques pour les vulnérabilités trouvées dans leurs produits ou services. De la même manière, les pirates informatiques proposent des services de tests d'intrusion aux entreprises afin de détecter les faiblesses de leurs protections de sécurité afin qu'elles puissent les combler avant qu'un pirate informatique ne les découvre.
Les motivations politiques et les intérêts individuels des pirates informatiques compliquent les aspects financiers du piratage informatique. Par exemple, les pirates informatiques qui travaillent pour les forces de l'ordre ou pour un État-nation ont probablement des intérêts qui correspondent aux objectifs de ces organisations et de ces gouvernements. Il existe également une culture du piratage informatique qui favorise l'accès gratuit aux logiciels et aux services. De plus, les hacktivistes (comme Anonymous) sont des groupes qui se sont regroupés autour d'objectifs et d'intérêts politiques communs.
Des vulnérabilités existent dans le matériel, les logiciels, le réseau, le personnel et même dans un site physique. On les retrouve également dans les processus organisationnels où il n'y a pas d'audit ou de sécurité réguliers.
Les vulnérabilités peuvent être classées comme connues et inconnues. Idéalement, lorsqu’une vulnérabilité est découverte, elle est divulguée de manière responsable au propriétaire, puis corrigée et un correctif est mis à disposition avant que la vulnérabilité ne soit rendue publique.
Les vulnérabilités connues sont saisies dans une base de données où un score est disponible. Par exemple, le CVSS (Common Vulnérabilité Scoring System) fournit un indice de gravité qui classe le vecteur d’attaque (réseau par rapport à l’accès physique), la complexité de l’attaque, si l’interaction de l’utilisateur est requise ou non, et si l’attaque nécessite un accès privilégié.
L'impact d'une cyberattaque est également inclus dans le score de gravité. Cela inclut la portée (un système contre plusieurs), la confidentialité et l'intégrité des informations disponibles à la suite de l'attaque et, enfin, l'impact sur la disponibilité de la ressource (voir les rubriques de notation du guide de l'utilisateur du CVSS).
Les scores de gravité des vulnérabilités aident les utilisateurs à évaluer leurs systèmes et à planifier leur mise à jour. Il existe encore une fenêtre d’opportunité pour les pirates black hat entre le moment où la vulnérabilité est divulguée et le moment où les utilisateurs corrigent leurs systèmes affectés. Malheureusement, les pirates malveillants ne divulguent pas de manière responsable les vulnérabilités trouvées, mais les utilisent jusqu’à ce qu’elles soient découvertes.
Le succès d'un hacker dépend de plusieurs facteurs, notamment :
Les hackers peuvent être classés de différentes manières. L'une des pannes les plus courantes porte sur la manière et les raisons pour lesquelles un hacker agit, notamment :
Les pirates informatiques peuvent également être classés en fonction de leur niveau de connaissances et de leurs motivations sous-jacentes. Par exemple, les Script Kiddies sont des hackers débutants qui s'appuient sur des outils, tandis que des hackers plus sophistiqués peuvent travailler pour le crime organisé, les États-nations, etc.
Les cyberattaques peuvent cibler n'importe qui, qu'il s'agisse de particuliers ou d'organisations. Voici quelques mesures simples que les individus peuvent prendre pour se protéger contre les attaques :
Les entreprises sont plus susceptibles d'être la cible de cyberattaques, car ce sont des cibles plus précieuses avec une surface d'attaque plus large. Parmi les principales mesures anti-piratage pour les entreprises, citons :
La sécurité est un processus, et des solutions de sécurité doivent être sélectionnées pour faire face aux cybermenaces auxquelles les organisations et les particuliers sont les plus susceptibles de faire face. Apprenez-en davantage sur le paysage actuel des cybermenaces dans le Rapport sur la cybersécurité 2021 de Check Point.
Check Point offre également des solutions aux organisations qui cherchent à comprendre leur vulnérabilité aux cybermenaces. Suivez le CheckUp de sécurité gratuit pour une analyse complète des vulnérabilités, puis évaluez la vulnérabilité de votre personnel à distance aux cybermenaces.