Les script kiddies peuvent donner l’impression qu’il s’agit simplement d’adolescents espiègles et mal intentionnés. C’est souvent le cas, mais les script kiddies ne sont pas forcément des jeunes aux intentions malveillantes. Il peut aussi s’agir d’adultes.
Néanmoins, qu’ils soient jeunes ou vieux, les script kiddies peuvent vous causer de sérieux dommages si vous ne faites pas attention.
Qui sont les script kiddies ?
En termes simples, un script kiddie est un pirate en herbe qui n’a pas les compétences ou les connaissances nécessaires pour mener des cyberattaques sophistiquées. Au lieu de cela, il s’appuie sur des scripts et des programmes pré-écrits développés par d’autres pour pénétrer dans les réseaux et les systèmes.
Pensez à quelqu’un qui télécharge un outil de piratage prêt à l’emploi et l’utilise pour obtenir un accès non autorisé à l’ordinateur de quelqu’un. Cette personne n’a pas codé l’outil elle-même, elle l’a simplement exécuté. C’est essentiellement ce que fait un script kiddie.
Voici quelques caractéristiques communes des script kiddies :
- Peu ou pas de connaissances en programmation : Ils ne peuvent pas coder leurs propres outils de piratage à partir de zéro.
- Motivés par la réputation plutôt que par l’éthique : Ils piratent pour se vanter de leurs « compétences ».
- Ils ciblent des victimes faciles : Les script kiddies s’attaquent aux sites web personnels, plutôt qu’aux réseaux professionnels particulièrement sécurisés.
- Utiliser des techniques de force brute : Ils s’appuient sur des programmes de piratage brutaux pour déchiffrer les mots de passe et submerger les systèmes.
- Attaquer pour perturber : Ils cherchent à attirer l’attention et à susciter la controverse par des attaques perturbatrices plutôt que par des gains financiers.
Même s’ils ne sont pas très sophistiqués, les script kiddies peuvent tout de même causer des dommages en utilisant des techniques malveillantes courantes.
Les tactiques courantes des script kiddies
Les script kiddies ne sont peut-être pas très habiles, mais ils peuvent tout de même causer de sérieux maux de tête avec leurs cyber-attaques. Voici quelques-unes des tactiques les plus courantes qu’ils utilisent.
1. Attaques par déni de service (DoS)
Les script kiddies utilisent des attaques par force brute pour submerger les sites web et les services en ligne en les inondant d’un trafic supérieur à ce qu’ils peuvent supporter et en les faisant tomber en panne. Ils utilisent des outils DDoS tels que Low Orbit Ion Cannon (LOIC), High Orbit Ion Cannon (HOIC), ou des botnets qu’ils n’ont pas codés eux-mêmes pour inonder les cibles de requêtes inutiles et les mettre hors ligne.
Par exemple, le groupe de pirates Lizard Squad, composé de Julius « zeekill » Kivimaki, 17 ans, a mis hors service Xbox Live et PlayStation Network par des attaques DoS en 2014 en utilisant des outils standard.
2. Injection SQL
La technique de l’injection SQL consiste à trouver des sites web vulnérables et à insérer des requêtes de base de données SQL malveillantes dans des champs de saisie tels que des formulaires de connexion ou des barres de recherche. En cas de succès, l’attaquant peut accéder, modifier ou supprimer les données d’un site.
Il suffit au script kiddie de trouver un site web non sécurisé et d’insérer le code d’injection SQL dans un simple champ de formulaire.
3. Tentatives d’hameçonnage
Les « script kiddies » utilisent des techniques d’ingénierie sociale de base pour inciter les utilisateurs mal intentionnés à leur communiquer des mots de passe ou des informations sensibles. Ils envoient notamment de fausses pages de connexion à des sites courants comme Google ou Facebook. Ou l’envoi de faux courriels « compte suspendu » pour inciter les victimes à saisir leurs identifiants sur le faux site de l’attaquant.
Bien qu’elles soient faciles à repérer pour beaucoup, ces tentatives d’hameçonnage accrochent toujours les moins avertis sur le plan technologique.
4. Craquage de mot de passe
N’ayant pas les compétences nécessaires pour écrire leurs propres outils de cassage de mots de passe, les script kiddies se tournent vers des programmes tels que Cain et Abel pour lancer des attaques par dictionnaire en force brute. Ils se contentent également de deviner des mots de passe faibles tels que « 123456 » ou de déchiffrer des mots de passe hachés divulgués dans des vidages de bases de données.
Ils tirent parti des tendances humaines courantes, telles que l’utilisation de mots de passe simples ou leur réutilisation sur plusieurs sites.
5. Défauts de sites web
Les détournements rapides visant à afficher des images bizarres ou des graffitis offensants – tels que « Hacked by (hacker name) » – sur des sites web sont la carte de visite de script kiddies cherchant à troller et à attirer l’attention.
Lors de l’une des plus grandes vagues de défiguration de sites web, un script kiddie connu sous le nom de iSKORPiTX a réussi à pirater plusieurs milliers de sites web en une seule attaque en mai 2006 (d’après The Hacker News).
Comme nous pouvons le constater, les script kiddies s’appuient sur des techniques rudimentaires mais parfois efficaces pour provoquer des perturbations disproportionnées. Il est essentiel de comprendre leurs tactiques pour se protéger contre ces pirates en herbe téméraires.
Comment se défendre contre les attaques des script kiddies ?
Tout d’abord, il faut savoir à quoi l’on s’attaque. Les « script kiddies » sont des pirates novices qui utilisent des scripts et des outils développés par d’autres pour mener des cyberattaques. Ils s’attaquent souvent à des cibles faciles parce qu’ils n’ont pas les compétences nécessaires pour pénétrer dans des systèmes sophistiqués.
La bonne nouvelle, c’est que leurs attaques ne sont généralement pas très avancées. Mais la mauvaise nouvelle, c’est qu’il existe des tonnes d’outils de piratage gratuits que n’importe qui peut télécharger et utiliser pour vous cibler. Voici comment vous protéger.
1. Utiliser des mots de passe forts
Les mots de passe faibles, faciles à deviner, sont les bienvenus pour les script kiddies qui cherchent à s’introduire par force brute dans les comptes. Au lieu de « password123 », créez des mots de passe uniques avec plus de 15 caractères aléatoires, des chiffres, des lettres majuscules et des symboles. Phrases de penséelik3Th!sL0ngJibberish.
Si vous utilisez un mot de passe faible comme « baseball » sur plusieurs sites, des pirates informatiques pourraient compromettre vos comptes eBay, bancaires et de messagerie en une seule fois. (Pour cette raison, nous vous déconseillons d’utiliser le même mot de passe sur plusieurs sites).
2. Activer l’authentification à deux facteurs
Les codes SMS, les données biométriques et les notifications push uniques peuvent être le pire cauchemar des pirates. Même avec un mot de passe à portée de main, les « script kiddies » seront stoppés dans leur élan lorsque l’authentification à deux facteurs est activée.
Qu’il s’agisse d’un code envoyé par SMS à un téléphone, d’un balayage d’empreinte digitale ou d’une notification sur un autre appareil, le deuxième facteur empêche les connexions non autorisées, même si les pirates ont obtenu un mot de passe volé.
Même si elle n’est pas totalement infaillible contre les attaques sophistiquées, l’activation de la fonction 2FA améliore considérablement la sécurité et rend la vie beaucoup plus difficile aux tactiques de script kiddies courantes.
3. Patch et mise à jour des logiciels
La mise à jour de vos applications est comme une piqûre de rappel : elle vous protège contre les vulnérabilités récemment découvertes. Les pirates informatiques recherchent des logiciels obsolètes susceptibles d’être utilisés par leurs outils, tout comme les virus de la grippe s’attaquent aux personnes qui ne se font pas vacciner. Automatisez les mises à jour pour ne pas avoir à y penser.
Vous vous souvenez du ransomware WannaCry, l’une des attaques de logiciels malveillants les plus célèbres de tous les temps ? La plupart des dégâts ont été causés par la négligence des mises à jour de Windows.
4. Utiliser un VPN et un pare-feu
La plupart des scripts d’attaque commencent par renifler les adresses IP de la cible. Mais le fait de cacher son IP derrière un VPN ou de bloquer l’accès à l’aide d’un pare-feu rompt ce lien.
En masquant ou en limitant votre adresse IP publique, les pirates informatiques sont incapables de déterminer votre emplacement exact et les appareils présents sur le réseau. Les services VPN vous attribuent une IP virtuelle différente, masquant ainsi votre véritable adresse.
Les pare-feu créent des règles qui n’autorisent que les connexions provenant de sources fiables. Ces deux mécanismes fonctionnent comme des barrières qui entravent la reconnaissance initiale de l’attaquant et rendent inefficaces les scripts basés sur l’adresse IP.
5. Sauvegardez vos données
Les ransomwares et les fichiers effacés peuvent entraîner une perte de données permanente. Planifiez des sauvegardes régulières afin de pouvoir restaurer les données corrompues ou cryptées en cas d’attaque par script sur votre machine.
Les solutions de sauvegarde automatisées qui s’exécutent quotidiennement ou hebdomadairement en arrière-plan créent des copies sûres de vos fichiers sur des disques externes ou sur un espace de stockage dans le nuage.
Si un script malveillant chiffre vos données et exige un paiement, vous pouvez refuser la rançon, sachant que vous disposez de sauvegardes intactes sur lesquelles revenir. Même une attaque qui supprime ou écrase vos fichiers de manière irréversible peut être récupérée en puisant dans vos archives de sauvegarde.
Gardez une longueur d’avance sur la courbe des scripts grâce à ces pratiques de sécurité. Ils pourront continuer à essayer, mais vous serez une cible trop difficile.
Le manque de compétences des script kiddies n’est pas une absence de risque
Même s’ils ne semblent pas être des adversaires redoutables à première vue, l’utilisation imprudente des outils d’attaque par les script kiddies peut entraîner de réels dommages. Vous ne pouvez pas vous permettre de sous-estimer ces faiseurs de troubles rusés.
Protégez bien vos appareils et vous n’aurez pas trop à craindre ces nuisances du monde des pirates informatiques.