Quelle est la différence entre une attaque active et une attaque passive utilisant le chiffrement ?

Blogueur invité : Nihad Hassan

Internet comporte de nombreux risques ! Lorsque vous naviguez, vous êtes susceptible de vous trouver face à un risque. Parmi ceux-ci, différents types de menaces informatiques produisent diverses combinaisons aux conséquences néfastes. Par exemple, certaines menaces peuvent endommager ou corrompre le système d’exploitation de votre ordinateur et vous forcer à le réinstaller ou dérobent les informations d’identification et les mots de passe que vous avez enregistrés. D’autres, bien qu’inoffensives pour votre ordinateur, surveillent vos activités en ligne et s’immiscent dans votre vie privée.

Plus intelligents que jamais, les criminels d’aujourd’hui développent des programmes malveillants de plus en plus sophistiqués. Ceux-ci peuvent infecter l’ordinateur ciblé et passer inaperçus pendant de longues périodes, et les avancées en matière de puissance de calcul informatique permettent de craquer des mots de passe complexes en une fraction de seconde. Le motif à l’origine de la plupart des cyberattaques actuelles n’est pas d’endommager votre machine, mais de vous dérober de l’argent, d’accéder à vos informations privées ou d’obtenir vos identifiants de connexion. À première vue, les risques de cybersécurité peuvent être classés en deux catégories principales, à savoir les attaques passives et actives. Cet article abordera brièvement la différence entre ces deux types d’attaques à l’aide d’exemples illustrant chacun d’eux.

Attaque passive

Lors d’une attaque passive, un intrus surveille un système et ses communications réseau à la recherche de ports ouverts et d’autres vulnérabilités. Il pourra s’agir par exemple d’exploiter un système non protégé ou de tirer parti d’un certificat expiré sur un périphérique de sécurité (on pourra noter que la fuite de données d’Equifax a été rendue possible en raison d’un certificat expiré non découvert par l’équipe de sécurité de l’entreprise).

Une fois qu’il a infiltré le réseau, l’intrus peut recueillir des informations de plusieurs manières. Lors d’une attaque passive de footprinting, l’intrus tente de recueillir le plus d’informations possible afin de les utiliser ultérieurement pour attaquer le système ou le réseau ciblé. Il peut par exemple enregistrer le trafic réseau à l’aide d’un outil d’analyse de paquets tels que Wireshark afin de l’analyser plus tard.

Un autre type d’attaque passive consiste à installer un enregistreur de frappe et patienter jusqu’à ce que l’utilisateur saisisse ses identifiants de connexion afin de les enregistrer.

Les deux cas d’utilisation les plus courants des attaques passives sont les suivants :

1. Analyse du trafic : Dans ce cas, l’attaquant surveille les canaux de communication afin de recueillir différentes informations, notamment l’identité des personnes et des machines, l’emplacement de ces identités et, le cas échéant, le type des chiffrements utilisés.
2. Diffusion du contenu des messages : Dans ce cas, l’attaquant surveille un moyen de communication non protégé tel qu’une adresse e-mail ou un appel téléphonique non chiffré afin d’intercepter les informations sensibles.

D’autres types d’attaques passives comprennent la « reconnaissance passive », lors de laquelle l’attaquant tente d’accéder à des informations importantes concernant l’entreprise ciblée connectée à Internet sans transmettre de trafic (de paquets) au serveur ou au réseau ciblé. Un exemple de ce type d’attaque consiste à accéder au contenu d’un site Web à la recherche d’informations utiles (telles que les coordonnées de l’employé) susceptibles d’être utilisées lors d’attaques actives ou de rechercher des fichiers non protégés sur un serveur cible, par exemple des comptes-rendus de réunion ou de la propriété intellectuelle.

Dans de nombreux cas, il est très difficile, voire impossible, de détecter une attaque passive, car elle ne génère aucune modification de données. Il est cependant possible de mettre en place des mesures conservatoires visant à les stopper, notamment :

1. Utiliser des techniques de chiffrement pour crypter les messages et les rendre illisibles pour les destinataires indésirables. Dans ce cas, deux types de chiffrement peuvent être mis en œuvre :
   • Clés symétriques (clé identique aux deux extrémités) : il est toujours problématique d’échanger secrètement la clé secrète.
   • Chiffrement à clé publique : dans ce cas, chaque partie (qu’il s’agisse d’un utilisateur, d’un programme ou d’un système) participant à la communication possède deux clés : une clé publique et une clé privée devant être gardée secrète. On peut citer à titre d’exemple l’utilisation de certificats SSL/TLS (HTTPS) en vue d’assurer la validité de l’identité des machines entre un serveur Web et le navigateur d’un utilisateur.
2. Éviter de publier des informations sensibles en ligne (par exemple les informations privées et de l’entreprise) susceptibles d’être utilisées par des pirates extérieurs désirant accéder à votre réseau privé.

Attaque active

Une attaque active consiste à utiliser les informations recueillies au cours d’une attaque passive de manière à compromettre un utilisateur ou un réseau. Il existe de nombreux types d’attaques actives. Lors d’une attaque de type usurpation d’identité, l’intrus prétend être un autre utilisateur afin d’accéder à une zone restreinte du système. Lors d’une attaque par rejeu, l’intrus intercepte un paquet du réseau avant de le renvoyer à un service ou une application comme s’il s’agissait de l’expéditeur réel de ce paquet. On peut également citer les attaques par déni de service (DoS) et déni de service distribué (DDoS), qui empêchent les utilisateurs autorisés d’accéder à une ressource donnée du réseau ou d’Internet (par exemple en inondant un serveur Web d’une quantité de trafic qu’il n’est pas en mesure de gérer).

Contrairement aux attaques passives, les attaques actives sont plus susceptibles d’être détectées rapidement par la cible lorsqu’elles ont lieu. Voici quelques mesures de protection contre ce type d’attaques :

1. Une clé de session aléatoire valide pour une seule transaction simultanée peut être générée afin d’empêcher efficacement un utilisateur malveillant de retransmettre le message d’origine à l’issue de la session d’origine.
2. Les mots de passe à usage unique permettent d’authentifier les transactions et les sessions entre les parties communicantes. Même si l’attaquant est parvenu à enregistrer et retransmettre le message capturé, ce système garantit que le mot de passe correspondant aura expiré d’ici là.
3. L’emploi du protocole d’authentification Kerberos (généralement au sein d’environnements Microsoft Active Directory), qui prend en charge de nombreuses contre-mesures correspondant à différents types d’attaques par rejeu.

Résumé

Les risques de cybersécurité peuvent être classés en deux types généraux : les attaques passives et actives. Lors d’une attaque passive, aucune modification de données n’a lieu et la cible n’a pas conscience qu’elle se produit, à moins qu’elle ne dispose d’un système de surveillance et de protection des identités des machines. Lors d’une attaque active, les ressources et les données d’un système sont modifiées, voire endommagées afin d’altérer son fonctionnement normal. Bien que l’utilisateur soit susceptible de détecter ce type d’attaque, il est difficile de déterminer leur cause première sans surveiller et protéger l’identité des personnes et des machines.

Lire plus de Venafi

• Comprendre la différence entre SSL et TLS
• Les 5 choses les plus terribles que les cyber criminels peuvent faire dans vos tunnels chiffrés
• Les certificats génériques facilitent le cryptage, mais le rendent moins sécurisé.