Attaque par trou d'eau

Une attaque de point d'eau est lorsque des cybercriminels infectent un site web qu'ils savent que leurs victimes ciblées visiteront.

.st0{fill:#0D3ECC;} TÉLÉCHARGEZ MALWAREBYTES GRATUITEMENT

Également pour Windows, iOS, Android, Chromebook et Pour les entreprises

Qu'est-ce qu'une attaque de point d'eau ?

Que ce soit en matière de cybersécurité ou dans la jungle, une attaque de point d'eau est quand les acteurs menaçants frappent leurs cibles là où elles se rassemblent. Dans la nature, un point d'eau est une dépression naturelle d'eau où les animaux viennent boire. Avec leur garde baissée, ils deviennent une proie plus facile pour les chasseurs tels que les lions. C'est un concept similaire en cybersécurité, sauf qu'au lieu de grands félins et de gazelles, ce sont des hackers traquant les utilisateurs sur le web.  

Comment fonctionnent les attaques de point d'eau ?

Une attaque de point d'eau est lorsque des cybercriminels attaquent des individus, des groupes ou des organisations sur un site web qu'ils fréquentent, en utilisant des compétences telles que le piratage et l'ingénierie sociale. Alternativement, l'attaquant peut attirer la ou les victimes vers un site web qu'ils créent. Les attaques nécessitent une exécution minutieuse dans les quatre phases suivantes :

1. Collecte de renseignements

L'acteur menaçant collecte des renseignements en suivant les habitudes de navigation web de sa cible. Les outils courants incluent les moteurs de recherche, les réseaux sociaux, les données démographiques des sites web, l'ingénierie sociale, les logiciels espions, et les enregistreurs de frappe. Parfois, les connaissances communes sont d'une grande aide. À la fin de cette phase, les cybercriminels ont une liste restreinte de sites web cibles à utiliser pour une cyberattaque de point d'eau.

2. Analyse

Les cybercriminels analysent la liste des sites web pour détecter les faiblesses des domaines et sous-domaines qu'ils peuvent exploiter. Alternativement, les attaquants peuvent créer un clone de site web malveillant. Parfois, ils font les deux — compromis un site web légitime de sorte qu'il redirige les cibles vers un site frauduleux.

3. Préparation

Les hackers injectent le site web avec des exploits pour infecter leurs cibles. Ce code peut exploiter des technologies web comme ActiveX, HTML, JavaScript, images, et bien plus pour compromettre les navigateurs. Pour des attaques plus ciblées, les acteurs menaçants peuvent aussi utiliser des kits d'exploitation qui leur permettent d'infecter les visiteurs avec des adresses IP spécifiques. Ces kits d'exploitation sont particulièrement utiles lorsqu'ils se concentrent sur une organisation.

4. Exécution

Avec le point d'eau prêt, les attaquants attendent que le logiciel malveillant fasse son travail. Si tout se passe bien, les navigateurs des cibles téléchargent et exécutent le logiciel malveillant depuis le site web. Les navigateurs web peuvent être vulnérables aux exploits en ligne, car ils téléchargent habituellement sans discrimination du code depuis les sites vers les ordinateurs et appareils locaux.

Quelles techniques les hackers utilisent-ils dans les attaques de point d'eau ?

  • Cross-site scripting (XSS) : Avec cette attaque par injection, un hacker peut insérer des scripts malveillants dans le contenu d'un site pour rediriger les utilisateurs vers des sites web malveillants.
  • Injection SQL: Les hackers peuvent utiliser des attaques par injection SQL pour voler des données.
  • Empoisonnement du cache DNS: Également connu sous le nom de spoofing DNS, les hackers utilisent cette technique de manipulation pour envoyer les cibles vers des pages malveillantes.
  • Téléchargements à la volée : Les cibles à un point d'eau peuvent télécharger du contenu malveillant sans leur connaissance, consentement, ou action dans un téléchargement à la volée.
  • Malvertising : Également connu sous le nom de malvertising, les hackers injectent du code malveillant dans les publicités à un point d'eau pour propager des logiciels malveillants à leur proie.
  • Exploitation de journée zéro : Les acteurs menaçants peuvent exploiter des vulnérabilités de jour zéro dans un site web ou un navigateur que les attaquants de point d'eau peuvent utiliser.

Exemples d'attaques de point d'eau

2012 : Les hackers ont infecté le site web du American Council on Foreign Relations (CFR) par le biais d'une faille exploitant Internet Explorer. Curieusement, le point d'eau n'a touché que les navigateurs Internet Explorer utilisant certaines langues.

2013 : Une attaque de malware parrainée par l'État a frappé des systèmes de contrôle industriel (ICS) aux États-Unis et en Europe, ciblant les secteurs de la défense, de l'énergie, de l'aviation, de la pharmacie, et de la pétrochimie.

2013 : Les hackers ont récolté des informations d'utilisateur en utilisant le site web du Département du Travail des États-Unis comme point d'eau.

2016 : Des chercheurs ont trouvé un kit d'exploitation sur mesure ciblant des organisations dans plus de 31 pays, dont la Pologne, les États-Unis, et le Mexique. La source de l'attaque pourrait avoir été le serveur web de l'Autorité polonaise de supervision financière.

2016 : L'Organisation de l'aviation civile internationale (OACI), basée à Montréal, est une passerelle vers presque toutes les compagnies aériennes, aéroports, et agences de l'aviation nationale. En corrompant deux des serveurs de l'OACI, un hacker a diffusé des logiciels malveillants à d'autres sites web, laissant les données sensibles de 2000 utilisateurs et membres du personnel vulnérables.

2017 : Le malware NotPetya a infiltré des réseaux dans toute l'Ukraine, infectant les visiteurs des sites web et supprimant les données de leurs disques durs.

2018: Des chercheurs ont découvert une campagne de point d'eau appelée OceanLotus. Cette attaque a touché des sites web gouvernementaux cambodgiens et des sites médiatiques vietnamiens.

2019 : Des cybercriminels ont utilisé une fenêtre contextuelle malveillante d'Adobe Flash pour déclencher une attaque de téléchargement à la volée sur presque une douzaine de sites web. Appelée Holy Water, cette attaque a visé des sites religieux, caritatifs, et bénévoles.

2020 : La société américaine de technologie de l'information SolarWinds a été la cible d'une attaque de point d'eau qui a pris des mois à être découverte. Des agents parrainés par l'État ont utilisé l'attaque de point d'eau pour espionner des entreprises de cybersécurité, le département du Trésor, la Sécurité intérieure, etc.

2021 : Le Threat Analysis Group (TAG) de Google a découvert des attaques de point d'eau généralisées ciblant les visiteurs de sites web médiatiques et pro-démocratie à Hong Kong. L'infection par le logiciel malveillant installait une porte dérobée sur les appareils Apple des utilisateurs.

Maintenant : Les attaques de point d'eau sont une menace persistante avancée (APT) contre tous types d'entreprises à travers le monde. Malheureusement, les hackers ciblent les entreprises de vente au détail, les agences immobilières, et d'autres établissements avec du phishing de point d'eau alimenté par des stratégies d'ingénierie sociale.

Attaques de point d'eau vs attaques de la chaîne d'approvisionnement

Bien que les attaques de point d'eau et les attaques de la chaîne d'approvisionnement puissent être similaires, elles ne sont pas toujours les mêmes. Une attaque de la chaîne d'approvisionnement diffuse le logiciel malveillant à travers l'élément le plus faible du réseau d'une organisation, comme un fournisseur, vendeur, ou partenaire. Par exemple, cinq entreprises externes ont pu involontairement fonctionner comme patient zéro dans l'attaque Stuxnet contre les ordinateurs aéro-isolés de l'Iran. Une attaque de la chaîne d'approvisionnement peut également utiliser un site web compromis comme point d'eau, mais cela n'est pas nécessaire.

Comment se protéger contre les attaques de point d'eau

Pour les consommateurs, de bonnes pratiques de cybersécurité comme faire attention à où vous naviguez et cliquez sur le web, utiliser un bon programme antivirus et utiliser une protection de navigateur comme Malwarebytes Browser Guard sont collectivement un bon moyen d'éviter les attaques de point d'eau. Browser Guard vous permet de naviguer plus en sécurité en bloquant les pages web contenant des logiciels malveillants.

Pour les entreprises, les meilleures pratiques pour se protéger contre les attaques de point d'eau incluent :

  • Utiliser des logiciels d'analyse avancée des logiciels malveillants qui utilisent l'apprentissage machine pour reconnaître les comportements malveillants sur les sites web et les courriels.
  • Tester régulièrement votre solution de sécurité et surveiller votre trafic Internet pour détecter toute activité suspecte.
  • Former les utilisateurs finaux sur les stratégies d'atténuation des attaques de point d'eau.
  • Utiliser les dernières mises à jour de sécurité du système d'exploitation et du navigateur pour réduire le risque d'exploits.
  • Essayer des navigateurs cloud au lieu des navigateurs locaux pour une meilleure sécurité.
  • Auditer les autorisations accordées aux sites web.
  • Utiliser des outils de détection et réponse sur les endpoints pour Windows et Mac afin de protéger les endpoints de votre organisation contre les menaces de logiciels malveillants émergents.
  • Utiliser des ressources en cybersécurité pertinentes pour en savoir plus sur les vecteurs de menace que les hackers utilisent pour les attaques de point d'eau.

Actualités sur les attaques de point d'eau