Watering hole attack : tout savoir sur l’attaque par point d’eau

Pour parvenir à leurs fins, les cybercriminels lancent des attaques de toute part et de tout type. La watering hole attack est une cyberattaque sophistiquée, visant les habitudes d’un utilisateur dans sa navigation web. Difficile à détecter, elle est heureusement peu courante. Elle demande en effet un long travail avant sa mise en exécution. Découvrez ce qu’est l’attaque par point d’eau et comment vous en protéger.

L’attaque par point d’eau : une cyberattaque d’ingénierie sociale

L’attaque par point d’eau est une cyberattaque sophistiquée mise en place en 2012. Le groupe de cybercriminels chinois Elderwood revendique sa création. Le mode opératoire de cette attaque s’inspire de celle des prédateurs dans la nature.

Une cible, un site web et une cyberattaque

Imaginez-vous dans une forêt, vous êtes un animal qui revient toujours au même point d’eau. Votre prédateur connaît votre habitude. Il n’a donc pas besoin de vous chasser, il sait où vous trouvez. Pour le cybercriminel, il s’agit de cibler un usager se rendant très régulièrement sur un site web.

Une fois le site identifié, le pirate informatique n’a plus qu’à le piéger. Le visiteur se rend comme à son habitude sur le site internet et se voit demander de cliquer sur un lien ou une promotion. Confiant, le visiteur clique et télécharge un programme malveillant sur son appareil. Le cybercriminel a trouvé une porte d’entrée pour infecter ensuite le système d’une organisation et accéder à des données.

Une attaque reposant sur la confiance de l’utilisateur

Cette cyberattaque repose sur l’ingénierie sociale, au même titre que la tentative de phishing. Le visiteur se sent en confiance parce qu’il connaît le site qu’il visite. Il n’a alors aucune raison de se méfier si le site en question lui demande de cliquer sur une pop-up présentant une offre exceptionnelle par exemple.

Ce type d’attaque demande du temps d’investigation, c’est pourquoi elle se montre peu fréquente. Néanmoins, son pouvoir est important, car elle vise non pas une victime en particulier, mais bien l’organisation pour laquelle elle travaille. Elle peut compromettre tout un système.

Fonctionnement d’une attaque par point d’eau : 3 étapes clés pour atteindre sa cible

La watering hole attack est une cyberattaque indirecte. Elle passe par de nombreuses étapes avant d’atteindre la cible finale. Elle demande du temps, de l’investigation et plusieurs actions avant d’arriver à ses fins.

Trouver une cible pour atteindre l’entreprise et ses données

La première étape d’une attaque par point d’eau est d’identifier une victime. Le cybercriminel doit avoir en tête une organisation qu’il souhaite atteindre. Il cherche ainsi un employé par le biais de son adresse IP, son adresse mail, son profil LinkedIn, etc. Une fois la victime trouvée, il enquête sur ses habitudes de navigation. Il étudie les sites web visités régulièrement pour trouver quels sont les sites auxquels le visiteur fait le plus confiance.

La recherche de vulnérabilités parmi les sites web préférés de la cible

Le cybercriminel recherche ensuite les sites web les moins sécurisés. Son objectif est d’exploiter les failles de sécurité afin d’injecter un logiciel ou un code malveillant. Les attaquants ont deux possibilités :

• faire télécharger un logiciel malveillant à partir du site compromis ;
• orienter le visiteur vers une copie du site web pour lui faire télécharger un logiciel malveillant.

Téléchargement du logiciel malveillant sur l’appareil puis sa propagation dans les systèmes de l’entreprise

Le visiteur ne s’interroge pas sur la fiabilité du lien sur lequel il clique puisqu’il se trouve sur un site qu’il a l’habitude de visiter. Il télécharge alors un logiciel malveillant sur son appareil (téléphone, ordinateur, etc.). Une fois en place, le virus peut se propager sur l’ensemble du réseau de la société ou d’un groupe et infecter les systèmes. Un ransomware peut alors interrompre l’activité de l’organisation. L’attaque peut également chercher à récupérer des informations confidentielles.

Les signes d’une attaque par point d’eau

Les attaques par points d’eau demandent un long processus. Elles ne sont détectables qu’une fois l’appareil compromis ou l’ensemble du réseau. Quelques signes récurrents peuvent vous alerter et vous permettre d’agir rapidement. Vous pouvez par exemple rencontrer :

• une recrudescence de mails de certains sites web ;
• un ralentissement des performances de votre appareil ;
• l’ouverture de pop-up sur des sites qui n’en avaient pas auparavant ;
• la modification des paramètres de sécurité de votre navigateur web ;
• des applications téléchargées sans votre autorisation ;
• des fichiers manquants sur votre appareil.

Dans le cas où vous constatez un ou plusieurs de ces éléments, vous devez alerter l’équipe de sécurité informatique de votre entreprise. Elle doit en effet intervenir rapidement pour isoler votre appareil du reste de l’infrastructure et vérifier que les systèmes n’ont pas été eux aussi compromis.

Comment se protéger des attaques watering hole ?

Les attaques watering hole représente une vraie menace pour les équipes de cybersécurité. Elle repose sur le comportement des utilisateurs et de leurs méconnaissances des malwares et des modes opératoires des acteurs de la menace. C’est pourquoi il est nécessaire de mettre en place une stratégie de sécurité, ciblant la navigation web et la détection des intrusions dans les réseaux.

Installer une passerelle web sécurisée (SWG)

Une passerelle web sécurisée (SWG) s’installe entre les employés d’une organisation et internet. Il agit comme un véritable filtre sur l’accès aux sites. Cet outil de cybersécurité fait le tri entre les URL légitimes et celles compromises. Le dispositif peut également empêcher le téléchargement en arrière-plan de malwares, les bloquer, les placer en quarantaine dans un bac à sable ou encore assurer une protection contre la fuite des données. Un SWG apporte une navigation plus sécurisée et moins à risques pour les systèmes d’une organisation.

Mettre en place des solutions de détection et de réponse sur les endpoints (EDR)

Des solutions de sécurité sont également à mettre en place pour détecter les comportements anormaux des endpoints (téléphone, ordinateur, etc.). Cet outil offre la possibilité d’isoler l’appareil ou les appareils compromis du reste du système informatique dès qu’une anomalie est relevée. Ainsi, les équipes SI peuvent intervenir plus rapidement et centraliser la défense sur la zone infectée.

Maintenir les logiciels à jour

Il est nécessaire de réaliser les mises à jour de sécurité sur l’ensemble des logiciels et des outils, sans oublier celles du navigateur web. Elles limitent les failles de sécurité que les pirates informatiques pourraient exploiter à votre insu. Ces mises à jour doivent être faites sur l’ensemble des appareils des utilisateurs et sur chaque couche de l’infrastructure informatique.

Adopter des pratiques de navigation sécurisées pour protéger les données

Si les utilisateurs ont des comportements à risques dans leur navigation web, vous devez alors segmenter votre réseau. Ainsi, vous limitez les menaces de propagation de virus. Vous pouvez également mettre en place des politiques de sécurité et interdire l’accès aux sites ne respectant pas le protocole HTTPS. Vous pouvez aussi implanter une sandbox dédiée à la navigation web et cloisonner la navigation dans un environnement sécurisé.

Surveiller les comportements inhabituels sur l’ensemble du réseau

La surveillance réseau vous aide à détecter les comportements anormaux des employés. Vous pouvez ainsi relever les accès à des sites web non sécurisés, non approuvés ou un accès excessif à une même URL. Vous pouvez alors alerter chaque personne et vérifier que leur appareil n’est pas compromis.

Sensibiliser les utilisateurs aux attaques par point d’eau

Les outils de cybersécurité ne suffisent pas toujours pour répondre de manière efficace à un instant T à une cyberattaque. Aussi, la sensibilisation des utilisateurs aux différentes menaces peut aider à limiter les risques d’intrusion. La formation ou des campagnes de prévention sur l’usage d’internet au bureau et ses risques se montrent essentielles pour protéger vos utilisateurs, vos données et votre activité.

Pour lutter efficacement contre les attaques par point d’eau, vous devez mettre en place une stratégie de sécurité autour de la navigation web. Le comportement à risques de vos employés est une vraie menace à prendre en considération. Vous limitez ainsi les intrusions, tout en protégeant vos collaborateurs. Votre politique de sécurité les transforme en cibles moins faciles à atteindre.

Vous aimez la cybersécurité et vous souhaitez lutter contre les menaces comme la watering hole ? La Cyber Management School propose une formation ciblée sur la cybersécurité et vous donne le bagage nécessaire pour intervenir contre les cyberattaques.