Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email & Collaboration Threat Protection

    Qu'est-ce qu'une attaque par trou d'eau et comment la prévenir ?

    Comme un lion attaquant une antilope à son point d'eau favori, les cybercriminels se cachent sur vos sites web et outils préférés.

    by Giulian Garruba

    Key Points

    • Ayant souvent utilisé un site web, les victimes d'attaques de type "watering hole" réfléchissent rarement à sa sécurité, ce qui les rend vulnérables à des attaques surprises provenant de diverses sources.
    • En général, les attaques de type "watering hole" se déroulent en quatre étapes qui visent à surveiller, analyser et exécuter l'un des nombreux types d'exploits véhiculés par le web.
    • Identifier les attaques de type "watering hole" peut être simple si l'on dispose de la formation, de l'intelligence et des outils adéquats.

    La sophistication des cyberattaques a augmenté de façon exponentielle au cours de la dernière décennie, laissant de nombreuses organisations dans l'obligation de maintenir la sécurité de leur réseau et de leurs données face à l'apparition de nouvelles menaces inconnues jusqu'alors. Des termes tels que malware, phishing et même attaques par déni de service sont familiers à la plupart des gens. En revanche, d'autres termes, tels que les attaques de type "watering hole", peuvent être tout à fait nouveaux.

    Nous examinons ici ce que sont les attaques de type "watering hole", comment elles fonctionnent et comment vous et votre organisation pouvez sensibiliser aux menaces qu'elles représentent et vous en protéger.

    Comment fonctionnent les attaques par trou d'eau ?

    Les attaques par trou d'eau, parfois connues sous le nom de phishing, tirent leur nom de la nature, comme lorsqu'un prédateur frappe sa proie alors qu'elle s'arrête à un point d'eau pour s'abreuver. Pensez à un lion qui se cache dans un point d'eau populaire de la savane et qui bondit sur une antilope qui ne se doute de rien. L'antilope est une cible facile, mais le point d'eau est aussi un endroit où toutes sortes d'animaux se rassemblent régulièrement. 

    La raison de cette analogie apparaît clairement lorsque nous définissons une attaque de type "watering hole" dans le contexte de la cybersécurité. Les acteurs de la menace cherchent à frapper leurs cibles là où elles se rassemblent, généralement sur des sites web fréquemment utilisés par la cible. Ayant souvent utilisé ce site web, la cible réfléchit rarement à sa sécurité, ce qui la rend vulnérable à des attaques surprises provenant de diverses sources.

    Le concept des attaques par trou d'eau est clair, mais les méthodes utilisées par les cyberattaquants pour les mettre en œuvre et en tirer profit sont également essentielles à comprendre. En général, les attaques de type "watering hole" se déroulent en quatre étapes qui visent à surveiller, analyser et exécuter l'un des nombreux types d'exploits véhiculés par le web. En règle générale, ces étapes sont les suivantes

    Recueillir des renseignements grâce à la traçabilité 

    Les attaquants commencent par identifier une cible et par recueillir des informations sur ses habitudes de navigation sur le web. Il peut s'agir de sites publics fréquemment visités, de sites web spécifiques à l'entreprise ou au secteur, ou même d'outils tels que le webmail et le stockage en nuage. Les acteurs de la menace utilisent une série d'outils pour recueillir ces informations, notamment des moteurs de recherche, des pages de médias sociaux, des données démographiques de sites web, de l'ingénierie sociale, des logiciels espions et des enregistreurs de frappe.

    Analyser les sites web pour détecter les vulnérabilités 

    Une fois les cibles viables identifiées, les cyberattaquants commencent à analyser la liste des sites web à la recherche de faiblesses et de vulnérabilités au niveau du domaine et du sous-domaine. En outre, des clones de sites web peuvent être créés pour tromper la cible et lui faire croire qu'elle utilise le site officiel. Parfois, les deux sont utilisés en tandem, compromettant un site légitime pour conduire les cibles vers une page malveillante.

    Préparer des exploits et infecter des sites web cibles 

    Les exploits transmis par le web sont utilisés pour infecter les sites web couramment utilisés par la cible. En se concentrant sur des technologies telles que ActiveX, HTML, JavaScript, des images et d'autres vecteurs, les cyberattaquants visent à compromettre les navigateurs utilisés par la cible. Des attaques sophistiquées peuvent même permettre aux acteurs d'infecter les visiteurs avec des adresses IP spécifiques.

    Attendez que la cible télécharge sans méfiance un Malware.

    L'infrastructure de phishing est maintenant en place et les acteurs malveillants n'ont plus qu'à attendre que le malware s'active. Cela se produit lorsque le navigateur de la cible télécharge sans méfiance et exécute automatiquement le logiciel préinstallé à partir des sites compromis. Cela fonctionne car les navigateurs web téléchargent souvent sans discernement du code sur les ordinateurs et les appareils. 

    Comment fonctionnent les attaques de trous d'eau.png
    Infographie expliquant le fonctionnement des attaques par trou d'eau

    Comment les particuliers peuvent-ils se protéger contre les attaques de type "Watering Hole" ?

    La prévention des attaques par trou d'eau pour les particuliers consiste à maintenir de bonnes pratiques de cybersécurité chaque fois que vous êtes en ligne. Cela signifie qu'il faut faire attention à l'endroit où l'on clique et à ce que l'on clique lorsqu'on navigue sur le web, et veiller à ce qu'un logiciel antivirus de haute qualité soit installé et régulièrement mis à jour. Les applications de protection des navigateurs et les VPN peuvent également être utiles, en alertant les utilisateurs sur les sites ou les téléchargements potentiellement malveillants et en les bloquant complètement si nécessaire. 

    Comment les entreprises peuvent-elles se protéger contre les attaques de type "Watering Hole" ?

    Les entreprises peuvent adopter une approche plus robuste de la prévention des attaques de type "watering hole" grâce à divers outils et protocoles de cybersécurité avancés. Il s'agit notamment de

    • Sensibilisation aux attaques de type "watering hole" et formation du personnel par le biais de programmes de sensibilisation et de formation à la sécurité centrés sur les risques humains afin de leur permettre de détecter plus rapidement les activités suspectes.
    • Veiller à ce que tous les logiciels, y compris les logiciels non liés à la sécurité, soient mis à jour. Les attaques de type "watering hole" recherchent activement les vulnérabilités, c'est pourquoi des analyses régulières des vulnérabilités et des correctifs de sécurité constituent une ligne de défense essentielle.
    • Utiliser des passerelles web sécurisées pour filtrer les menaces basées sur le web et appliquer des politiques d'utilisation acceptable. Une passerelle web sécurisée agit comme un intermédiaire entre l'utilisateur et le site web externe, bloquant le trafic réseau malveillant et permettant au personnel de naviguer en toute sécurité.
    • Veiller à ce que tout le trafic qui passe par le réseau de l'organisation soit traité comme non fiable jusqu'à ce qu'il ait été validé.
    • Utiliser les outils de détection et de réponse des points d'accès pour protéger votre organisation contre les nouvelles menaces de malware. 
    Comment prévenir les attaques de trous d'eau.png
    Infographie sur la façon de prévenir les attaques d'arrosage

    Exemples d'attaques par trou d'eau

    Dans le passé, les attaques de type "watering hole" ont visé des organisations de premier plan qui étaient censées avoir mis en place une protection de cybersécurité haut de gamme. Cela signifie que tout type d'organisation peut être vulnérable à ces menaces persistantes avancées (APT). Voici quelques exemples concrets d'attaques de points d'eau très médiatisées :

    2012 - Conseil américain des relations extérieures

    Les cyber-attaquants ont infecté le CFR par le biais d'un programme d'exploitation d'Internet Explorer. Le phishing de type "Watering hole" visait les navigateurs n'utilisant que certaines langues susceptibles d'être exploitées. 

    2016 - Autorité financière polonaise

    Ciblant plus de 31 pays, dont la Pologne, les États-Unis et le Mexique, les chercheurs ont découvert un kit d'exploitation intégré au serveur web de l'autorité financière polonaise. 

    2019 - Eau bénite

    En intégrant un pop-up Adobe Flash malveillant qui déclenche une attaque par téléchargement, des dizaines de sites web religieux, caritatifs et bénévoles ont été infectés. 

    2020 - SolarWinds

    L'entreprise informatique SolarWinds a été la cible d'une attaque de grande envergure, de type "watering hole", qui a duré longtemps. Après des mois de travail de cyberespionnage, il a été découvert que des agents parrainés par l'État utilisaient le phishing pour espionner des entreprises de cybersécurité, le département du Trésor, la sécurité intérieure et bien d'autres encore.

    2021 - Hong Kong

    Le groupe d'analyse des menaces de Google a identifié de nombreuses attaques de type "watering hole" (trou d'eau) visant les utilisateurs qui consultent les sites web des médias et des partisans de la démocratie à Hong Kong. Une fois qu'il a réussi, le malware installe une porte dérobée sur les personnes utilisant des appareils Apple.

    Comment savoir si vous avez été victime d'une attaque dans un point de vente d'eau ?

    Comme les attaques de type "watering hole" sont, de par leur conception, censées nous faire croire que nous visitons un site web de confiance ou une source légitime, il peut être difficile de les identifier immédiatement. Si vous ne vous êtes pas rendu compte de l'attaque à la source en temps réel, le prochain indicateur probable sera que vos réseaux commencent à agir différemment et que des données disparaissent ou ne sont plus accessibles. C'est pourquoi il est essentiel de redoubler de vigilance à l'égard des exploits de type "zero-day", qui sont les vecteurs les plus courants du phishing "watering hole".

    Gartner® Magic Quadrant™: Mimecast nommé Leader

    Mimecast est à nouveau reconnu pour l'exhaustivité de sa vision et sa capacité d'exécution dans le quadrant magique 2025 de Gartner®™ pour la sécurité de la messagerie électronique.
    Télécharger le rapport

    Le bilan

    L'aspect le plus inquiétant des attaques de type "watering hole" est peut-être le fait qu'elles ciblent constamment des lieux dans lesquels des personnes et des organisations ont acquis une certaine confiance. Cependant, l'identification de cette cyberattaque spécifique peut être simple si l'on dispose de la formation, des renseignements et des outils appropriés. N'oubliez pas que les meilleures pratiques en matière de cybersécurité ont une raison d'être et qu'elles doivent être appliquées sans faille.

    FAQ sur l'attaque d'un point d'eau

    Les petites entreprises peuvent-elles être la cible d'attaques de type "watering hole" ?

    Oui, les petites entreprises sont souvent la cible d'attaques de type "watering hole" parce qu'elles ont généralement des mesures de cybersécurité moins robustes que les grandes organisations. Les attaquants savent que les petites entreprises n'ont pas toujours d'équipes dédiées à la sécurité informatique ni les ressources nécessaires pour surveiller et corriger en permanence les vulnérabilités, ce qui les rend plus faciles à exploiter. En outre, les petites entreprises travaillent souvent avec des sociétés plus importantes en tant que fournisseurs ou partenaires, ce qui offre aux cybercriminels une porte d'entrée potentielle dans ces grandes organisations. Les petites entreprises doivent donc être vigilantes et mettre en œuvre de solides protocoles de cybersécurité pour se protéger contre les attaques de type "watering hole".

    Quelles sont les caractéristiques d'une attaque de type "watering hole" ?

    Les attaques de type "watering hole" impliquent souvent plusieurs types de malware, chacun servant un objectif différent dans la chaîne d'attaque :

    1. Cheval de Troie: il s'agit d'un type de malware déguisé en logiciel légitime. Une fois installé, il permet aux pirates d'obtenir un accès non autorisé au système de la victime.
    2. Les enregistreurs de frappe: Ces outils enregistrent les frappes effectuées par l'utilisateur, ce qui permet aux pirates de s'emparer d'informations sensibles telles que les identifiants de connexion et les données personnelles.
    3. Ransomware: Certaines attaques de type "watering hole" génèrent des ransomware, qui cryptent les données de la victime et exigent un paiement pour leur décryptage.
    4. Logiciels espions: Ce type de malware surveille secrètement les activités de la victime et collecte des informations telles que les habitudes de navigation, les mots de passe et d'autres données personnelles.
    5. Rootkits: Les rootkits sont utilisés pour obtenir un accès de niveau racine au système de la victime, ce qui permet aux attaquants de contrôler le système à distance et d'échapper à la détection par les logiciels de sécurité.
    6. Les portes dérobées: Elles permettent aux attaquants de contourner les processus d'authentification normaux, ce qui leur donne un accès permanent au système, même après la fin de l'attaque initiale.

    Quelle est la différence entre les attaques de type "watering hole" et le spear phishing ?

    Bien que les attaques par trou d'eau et le spear phishing soient des targeted attacks, elles diffèrent considérablement dans leur approche et leur exécution :

    1. Méthode d'attaque :
      • Attaque par trou d'eau : Il s'agit de compromettre un site web légitime que la cible visite fréquemment. La victime ne sait pas que son site de confiance a été infecté par un malware.
      • Spear Phishing : il s'agit d'envoyer un courriel ciblé, souvent personnalisé, à la victime, pour l'inciter à cliquer sur un lien malveillant ou à télécharger une pièce jointe infectée.
    2. Point d'entrée :
      • Attaque par trou d'eau : Il s'agit de compromettre un site web légitime que la cible visite fréquemment. La victime ne sait pas que son site de confiance a été infecté par un malware.
      • Spear Phishing : il s'agit d'envoyer un courriel ciblé, souvent personnalisé, à la victime, pour l'inciter à cliquer sur un lien malveillant ou à télécharger une pièce jointe infectée.
    3. Niveau d'interaction avec l'utilisateur :
      • Attaque par trou d'eau : La victime peut n'avoir à effectuer aucune action spécifique autre que la visite du site compromis. Les logiciels malveillants peuvent être téléchargés et exécutés automatiquement.
      • Spear Phishing : la victime doit interagir activement avec l'e-mail de phishing, par exemple en cliquant sur un lien ou en téléchargeant une pièce jointe, pour lancer l'attaque.
    4. La complexité :
      • Attaque par trou d'eau : Cette attaque est souvent plus complexe et exige que l'attaquant identifie et compromette un site web tiers.
      • Spear Phishing : ce type d'hameçonnage peut être plus simple et ne nécessite qu'un courrier électronique convaincant et une charge utile malveillante.

     

     

    **Ce blog a été initialement publié le 12 mars 2022.

    Solutions de protection contre les menaces
    43BLOG_1.jpg
    Up Next
    Email & Collaboration Threat Protection |
    Qu'est-ce que le SIEM en nuage ?

    Related Articles

    Email & Collaboration Threat Protection
    Qu'est-ce que le courrier gris et pourquoi la détection par l'IA est-elle importante ?
    Email & Collaboration Threat Protection
    L'évolution des menaces par courrier électronique : L'importance d'une défense coordonnée
    Email & Collaboration Threat Protection
    Une protection inégalée : Les avantages de l'intégration de Mimecast avec CrowdStrike

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page