A la base, un pirate informatique est une personne qui montre une passion pour la compréhension du fonctionnement intime des systèmes et réseaux informatiques. Il a une maitrise presque parfaite de la sécurité des systèmes d’information et sait comment déjouer cette sécurité. Il est important pour les chefs d’entreprises de connaitre les étapes que suivent ces pirates pour s’introduire dans les systèmes informatiques de nombreuses entreprises.
La collecte d’informations
Généralement qualifié de prise d’empreinte, elle est un préalable à toute attaque et consiste à recueillir un maximum d’informations sur les infrastructures de communication du réseau cible telles que : l’adressage IP, le nom de domaine, les protocoles réseaux, l’architecture des serveurs, etc.
Balayage du réseau
Une fois la topologie du réseau connue par le pirate, il peut le scanner (balayer), c’est-à-dire utiliser un outil logiciel pour déterminer les services accessibles, le système d’exploitation installé sur le/les infrastructures cible, les adresses IP actives sur le réseau.
Repérage des vulnérabilités
Une fois l’inventaire matériel et logiciel fait par le pirate, il procède à la détection de faille de sécurité existante. De nombreux outils de détection automatique de vulnérabilité existent et peuvent même être d’une très grande utilité pour des amateurs. Ces outils listent les vulnérabilités par niveaux de criticité ce qui permettra au pirate de mieux orienter son attaque.
Des pirates plus expérimentés allient recherche de vulnérabilité manuelle et/ou automatique.
L’intrusion
Lorsque le pirate a dressé une cartographie complète du réseau ou de sa cible, il peut maintenant préparer son intrusion grâce aux informations recueillies et en exploitant les vulnérabilités détectées.
Pour pouvoir s’introduire dans le réseau, le pirate aura besoin d’accéder à des comptes valide sur les machines qu’il a recensées. L’ingénierie sociale (Soutirer des informations aux utilisateurs du réseau), l’exploitation des failles, les attaques par force brute (consistant à essayer de façon automatique différents mots de passe sur une liste de compte) sont des méthodes pouvant être utilisées pour l’accès à ces comptes.
Extension de privilèges
Le pirate ayant obtenue quelque accès peu protégé, tente maintenant d’augmenter ses privilèges sur la cible en obtenant un/des accès root (super administrateur). On parle ainsi d’extension de privilège.
Une fois les accès root obtenu, le pirate peut obtenir des informations supplémentaires en utilisant par exemple un sniffer pour écouter le trafic réseau en provenance et à destination des machines situées sur le même brin. Cela lui permettra d’avoir par exemple d’autres comptes utilisateur du réseau.
Maintenir l’accès
Lorsque le pirate a réussi à s’introduire dans un réseau d’entreprise et à compromettre l’une des infrastructures de ce réseau, il peut arriver qu’il ait envie d’y revenir. Il installe dans ce cas un backdoor (porte dérobée) sur l’un des serveurs par exemple qui crée un genre de faille de sécurité artificielle sur celui-ci.
Nettoyage des traces
Une fois que le pirate a obtenu un niveau élevé de maîtrise du réseau, il lui reste à effacer les traces de son passage sur le réseau. Il efface les lignes de ses actions menées sur le/les serveur(s) dans les fichiers logs et supprime aussi les fichiers qu’il aurait pu créer.
