Attaque par trou d'eau

Une attaque de point d'eau est lorsque des cybercriminels infectent un site web qu'ils savent que leurs victimes ciblées visiteront.

.st0{fill:#0D3ECC;} TÉLÉCHARGEZ MALWAREBYTES GRATUITEMENT

Également pour Windows, iOS, Android, Chromebook et pour les entreprises

Qu'est-ce qu'une attaque de point d'eau ?

Que ce soit en matière de cybersécurité ou dans la jungle, une attaque de point d'eau est quand les acteurs menaçants frappent leurs cibles là où elles se rassemblent. Dans la nature, un point d'eau est une dépression naturelle d'eau où les animaux viennent boire. Avec leur garde baissée, ils deviennent une proie plus facile pour les chasseurs tels que les lions. C'est un concept similaire en cybersécurité, sauf qu'au lieu de grands félins et de gazelles, ce sont des hackers traquant les utilisateurs sur le web.  

Comment fonctionnent les attaques de point d'eau ?

Une attaque de point d'eau est lorsque des cybercriminels attaquent des individus, des groupes ou des organisations sur un site web qu'ils fréquentent, en utilisant des compétences telles que le piratage et l'ingénierie sociale. Alternativement, l'attaquant peut attirer la ou les victimes vers un site web qu'ils créent. Les attaques nécessitent une exécution minutieuse dans les quatre phases suivantes :

1. Collecte de renseignements

L'acteur de la menace recueille des renseignements en suivant les habitudes de navigation de sa cible sur le web. Les outils courants de collecte de renseignements comprennent les moteurs de recherche, les pages de médias sociaux, les données démographiques des sites web, l'ingénierie sociale, les logiciels espions et les enregistreurs de frappe. Parfois, les connaissances communes sont d'une grande aide. À la fin de cette phase, les cybercriminels disposent d'une liste restreinte de cibles à utiliser pour une cyberattaque de type "watering hole".

2. Analyse

Les cybercriminels analysent la liste des sites web pour détecter les faiblesses des domaines et sous-domaines qu'ils peuvent exploiter. Alternativement, les attaquants peuvent créer un clone de site web malveillant. Parfois, ils font les deux — compromis un site web légitime de sorte qu'il redirige les cibles vers un site frauduleux.

3. Préparation

Les hackers injectent dans le site web des exploits transmis par le web afin d'infecter leurs cibles. Ce code peut exploiter des technologies web comme ActiveX, HTML, JavaScript, des images, etc. pour compromettre les navigateurs. Pour des attaques plus ciblées, les acteurs de la menace peuvent également utiliser des kits d'exploitation qui leur permettent d'infecter les visiteurs avec des adresses IP spécifiques. Ces kits d'exploitation sont particulièrement utiles pour cibler une organisation.

4. Exécution

Le point d'eau étant prêt, les attaquants attendent que le logiciel malveillant fasse son travail. Si tout se passe bien, les navigateurs de la cible téléchargent et exécutent le logiciel malveillant à partir du site web. Les navigateurs web peuvent être vulnérables aux exploits transmis par le web car ils téléchargent généralement sans discernement le code des sites web vers les ordinateurs et appareils locaux.

Quelles techniques les hackers utilisent-ils dans les attaques de point d'eau ?

  • Les scripts intersites (XSS) : Avec cette attaque par injection, un hacker peut insérer des scripts malveillants dans le contenu d'un site pour rediriger les utilisateurs vers des sites web malveillants.
  • Injection SQL: LesHackers peuvent utiliser des attaques par injection SQL pour voler des données.
  • Empoisonnement du cache DNS: Également connu sous le nom de spoofing DNS, les hackers utilisent cette technique de manipulation pour envoyer les cibles vers des pages malveillantes.
  • Téléchargements à la volée : Les cibles à un point d'eau peuvent télécharger du contenu malveillant sans leur connaissance, consentement, ou action dans un téléchargement à la volée.
  • Malvertising: Connu sous le nom de malvertising, les hackers injectent un code malveillant dans les publicités d'un point d'eau afin de propager des logiciels malveillants à leurs proies.
  • Exploitation de journée zéro : Les acteurs menaçants peuvent exploiter des vulnérabilités de jour zéro dans un site web ou un navigateur que les attaquants de point d'eau peuvent utiliser.

Exemples d'attaques de point d'eau

2012 : Les hackers ont infecté le site web du American Council on Foreign Relations (CFR) par le biais d'une faille exploitant Internet Explorer. Curieusement, le point d'eau n'a touché que les navigateurs Internet Explorer utilisant certaines langues.

2013 : Une attaque de malware parrainée par l'État a frappé des systèmes de contrôle industriel (ICS) aux États-Unis et en Europe, ciblant les secteurs de la défense, de l'énergie, de l'aviation, de la pharmacie, et de la pétrochimie.

2013 : Les hackers ont récolté des informations d'utilisateur en utilisant le site web du Département du Travail des États-Unis comme point d'eau.

2016 : Des chercheurs ont trouvé un kit d'exploitation sur mesure ciblant des organisations dans plus de 31 pays, dont la Pologne, les États-Unis, et le Mexique. La source de l'attaque pourrait avoir été le serveur web de l'Autorité polonaise de supervision financière.

2016 : L'Organisation de l'aviation civile internationale (OACI), basée à Montréal, est une passerelle vers presque toutes les compagnies aériennes, aéroports, et agences de l'aviation nationale. En corrompant deux des serveurs de l'OACI, un hacker a diffusé des logiciels malveillants à d'autres sites web, laissant les données sensibles de 2000 utilisateurs et membres du personnel vulnérables.

2017 : Le logiciel malveillant NotPetya a infiltré des réseaux à travers l'Ukraine, infectant les visiteurs de sites web et supprimant les données de leur disque dur.

2018: Des chercheurs ont découvert une campagne de point d'eau appelée OceanLotus. Cette attaque a touché des sites web gouvernementaux cambodgiens et des sites médiatiques vietnamiens.

2019 : Des cybercriminels ont utilisé une fenêtre contextuelle malveillante d'Adobe Flash pour déclencher une attaque de téléchargement à la volée sur presque une douzaine de sites web. Appelée Holy Water, cette attaque a visé des sites religieux, caritatifs, et bénévoles.

2020 : La société américaine de technologie de l'information SolarWinds a été la cible d'une attaque de point d'eau qui a pris des mois à être découverte. Des agents parrainés par l'État ont utilisé l'attaque de point d'eau pour espionner des entreprises de cybersécurité, le département du Trésor, la Sécurité intérieure, etc.

2021 : Le groupe d'analyse des menaces (TAG) de Google a découvert des attaques de type "watering hole" à grande échelle ciblant les visiteurs des médias et des sites web pro-démocratiques à Hong Kong. L'infection par un logiciel malveillant installerait une porte dérobée sur les personnes utilisant des appareils Apple.

Aujourd'hui : Les attaques de type "watering hole" constituent une menace persistante avancée (APT) contre tous les types d'entreprises dans le monde entier. Malheureusement, hackers ciblent les commerces de détail, les sociétés immobilières et d'autres établissements par le biais de l'hameçonnage par trou d'eau (watering hole phishing ) qui s'appuie sur des stratégies d'ingénierie sociale.

Attaques de point d'eau vs attaques de la chaîne d'approvisionnement

Bien que les attaques de point d'eau et les attaques de la chaîne d'approvisionnement puissent être similaires, elles ne sont pas toujours les mêmes. Une attaque de la chaîne d'approvisionnement diffuse le logiciel malveillant à travers l'élément le plus faible du réseau d'une organisation, comme un fournisseur, vendeur, ou partenaire. Par exemple, cinq entreprises externes ont pu involontairement fonctionner comme patient zéro dans l'attaque Stuxnet contre les ordinateurs aéro-isolés de l'Iran. Une attaque de la chaîne d'approvisionnement peut également utiliser un site web compromis comme point d'eau, mais cela n'est pas nécessaire.

Comment se protéger contre les attaques de point d'eau

Pour les consommateurs, de bonnes pratiques de cybersécurité, comme faire attention à l'endroit où l'on navigue et clique sur le web, utiliser un bon programme antivirus et utiliser une protection de navigateur comme Malwarebytes Browser Guard , sont collectivement un bon moyen d'éviter les attaques de type "watering hole". Browser Guard vous permet de naviguer en toute sécurité en bloquant les pages web qui contiennent des logiciels malveillants.

Pour les entreprises, les meilleures pratiques pour se protéger contre les attaques de point d'eau incluent :

  • Utiliser un logiciel avancé d'analyse des logiciels malveillants qui utilise l'apprentissage automatique pour reconnaître les comportements malveillants sur les sites web et dans les courriels.
  • Tester régulièrement votre solution de sécurité et surveiller votre trafic Internet pour détecter toute activité suspecte.
  • Former les utilisateurs finaux sur les stratégies d'atténuation des attaques de point d'eau.
  • Utiliser les dernières mises à jour de sécurité du système d'exploitation et du navigateur pour réduire le risque d'exploits.
  • Essayez les navigateurs en nuage plutôt que les navigateurs locaux pour une meilleure sécurité.
  • Auditer les autorisations accordées aux sites web.
  • Utiliser des outils de détection et réponse sur les endpoints pour Windows et Mac afin de protéger les endpoints de votre organisation contre les menaces de logiciels malveillants émergents.
  • Utiliser des ressources en cybersécurité pertinentes pour en savoir plus sur les vecteurs de menace que les hackers utilisent pour les attaques de point d'eau.

Actualités sur les attaques de point d'eau