Qui sont les Script Kiddies? Sont-ils une menace pour votre sécurité ?

Les script kiddies peuvent donner l'impression qu'ils ne sont que des adolescents espiègles qui ne font rien de bon. Bien que ce soit souvent le cas, les script kiddies ne doivent pas nécessairement être des jeunes avec une intention malveillante. Ils pourraient aussi être des adultes.

Même ainsi, qu'ils soient jeunes ou vieux, les script kiddies peuvent vous causer de réels dommages si vous ne faites pas attention.

Qui sont les Script Kiddies?

En termes simples, un script kiddie est un hacker en herbe qui n'a pas les compétences ou les connaissances nécessaires pour mener des cyberattaques sophistiquées. Au lieu de cela, ils s'appuient sur des scripts et des programmes pré-écrits développés par d'autres pour pénétrer les réseaux et les systèmes.

Pensez à quelqu'un qui télécharge un outil de piratage prêt à l'emploi et l'utilise pour obtenir un accès non autorisé à l'ordinateur de quelqu'un. Ils n'ont pas codé l'outil eux-mêmes, ils l'ont simplement exécuté. C'est essentiellement ce que fait un script kiddie.

Certaines caractéristiques communes des script kiddies incluent :

• Peu ou pas de connaissances en programmation: Ils ne peuvent pas coder leurs propres outils de piratage à partir de zéro.
• Motivé par la réputation plutôt que par l'éthique : Ils piratent pour se vanter de leurs "compétences".
• Ciblez les victimes faciles : Les script kiddies recherchent des fruits à portée de main comme des sites Web personnels, plutôt que des réseaux particulièrement sécurisés et professionnels.
• Utilisez des techniques de force brute : Ils s'appuient sur des programmes de piratage pour déchiffrer les mots de passe et submerger les systèmes.
• Attaque pour perturbation: Ils recherchent l'attention et la controverse par des attaques perturbatrices plutôt que par un gain financier.

Bien qu'ils manquent de sophistication, les script kiddies peuvent toujours infliger des dégâts grâce à des techniques malicieuses courantes.

Le script tactique commun que les enfants utilisent

Les scénaristes ne sont peut-être pas hautement qualifiés, mais ils peuvent quand même causer de sérieux maux de tête avec des cyber bouffonneries. Voici quelques-unes des tactiques les plus courantes sur lesquelles ils s'appuient.

1. Attaques par déni de service (DoS)

Enfants de script utiliser des attaques par force brute submerger les sites Web et les services en ligne en les inondant de plus de trafic qu'ils ne peuvent en gérer et en les faisant ensuite planter. Ils utilisent des outils DDoS comme Low Orbit Ion Cannon (LOIC), High Orbit Ion Cannon (HOIC) ou des Botnets qu'ils n'ont pas eux-mêmes codés pour inonder les cibles de demandes indésirables et les mettre hors ligne.

Par exemple, le groupe de piratage Lizard Squad, composé de Julius "zeekill" Kivimaki, 17 ans, a détruit Xbox Live et PlayStation Network avec des attaques DoS en 2014 à l'aide d'outils prêts à l'emploi.

2. Injection SQL

La technique d'injection SQL implique de trouver des sites Web vulnérables et d'insérer des requêtes de base de données SQL malveillantes dans des champs de saisie tels que des formulaires de connexion ou des barres de recherche. En cas de succès, l'attaquant peut accéder, modifier ou supprimer les données principales d'un site.

Le script kiddie a juste besoin de trouver un site Web non sécurisé et de brancher le code d'injection SQL dans un champ de formulaire simple.

3. Tentatives d'hameçonnage

Les script kiddies utilisent escroqueries d'ingénierie sociale de base pour tromper les utilisateurs involontaires afin qu'ils transmettent des mots de passe ou des informations sensibles. Cela inclut le spam de fausses pages de connexion pour des sites courants tels que Google ou Facebook. Ou envoyer de faux e-mails "compte suspendu" pour inciter les victimes à entrer leurs informations d'identification sur le faux site de l'attaquant.

Bien qu'elles soient faciles à repérer pour beaucoup, ces tentatives de phishing attirent toujours les moins férus de technologie.

4. Craquage de mot de passe

Sans les compétences nécessaires pour écrire leurs propres outils de craquage de mots de passe, les script kiddies se tournent vers des programmes comme Cain et Abel pour lancer des attaques par dictionnaire de force brute. Ils devineront également simplement des mots de passe faibles comme "123456" ou déchiffreront des mots de passe hachés divulgués dans les vidages de base de données.

Ils tirent parti des tendances humaines courantes telles que l'utilisation de mots de passe simples ou leur réutilisation sur plusieurs sites.

5. Défigurations de sites Web

Les détournements rapides pour coller des images étranges ou des graffitis offensants, tels que "Hacked by [hacker name]" sur les sites Web, sont une carte de visite des script kiddies qui cherchent à troller et à attirer l'attention.

Dans l'une des plus grandes virées de défiguration de sites Web, un script kiddie connu sous le nom d'iSKORPiTX a réussi à pirater plusieurs milliers de sites Web en une seule attaque en mai 2006 (selon Les nouvelles des pirates).

Comme nous pouvons le voir, les script kiddies s'appuient sur des techniques rudimentaires mais parfois efficaces pour provoquer des perturbations disproportionnées. Comprendre leurs tactiques est essentiel pour vous protéger contre ces pirates informatiques téméraires et en herbe.

Comment se défendre contre les attaques de Script Kiddie

Tout d'abord, sachez à quoi vous faites face. Les Script Kiddies sont essentiellement des hackers novices qui utilisent des scripts et des outils développés par d'autres pour mener des cyberattaques. Ils s'attaquent souvent à des cibles faciles parce qu'ils n'ont pas les compétences nécessaires pour s'introduire dans des systèmes sophistiqués.

La bonne nouvelle est que leurs attaques ne sont généralement pas particulièrement avancées. Cependant, la mauvaise nouvelle est qu'il existe des tonnes d'outils de piratage gratuits que n'importe qui peut télécharger et utiliser pour vous cibler. Voici comment vous protéger.

1. Utilisez des mots de passe forts

Les mots de passe faibles et faciles à deviner sont un tapis de bienvenue pour les script kiddies qui cherchent à se frayer un chemin brutalement dans les comptes. Au lieu de "password123", créer des mots de passe uniques avec jusqu'à 15+ caractères aléatoires, chiffres, lettres majuscules et symboles. Pensez aux phrases de passe comme 3Th! sL0ngJibberish.

Si vous utilisiez un mot de passe faible comme "baseball" sur tous les sites, les script kiddies pourraient compromettre vos comptes eBay, bancaires et de messagerie en une seule fois. (Nous vous déconseillons d'utiliser le même mot de passe sur plusieurs sites pour cette raison.)

2. Activer l'authentification à deux facteurs

Les codes SMS, la biométrie et les notifications push ponctuelles peuvent être le pire cauchemar d'un pirate informatique. Même avec un mot de passe à portée de main, les script kiddies seront arrêtés dans leur élan lorsque 2FA est activé.

Qu'il s'agisse d'un code envoyé par SMS à un téléphone, d'une analyse d'empreintes digitales ou d'une notification sur un appareil séparé, le deuxième facteur empêche les connexions non autorisées, même si les pirates ont obtenu un mot de passe volé.

Bien qu'il ne soit pas totalement infaillible contre les attaques sophistiquées, l'activation de 2FA améliore considérablement la sécurité et rend la vie beaucoup plus difficile pour les tactiques courantes de script kiddie.

3. Correctif et logiciel de mise à jour

Mettre à jour vos applications, c'est comme recevoir des rappels: cela vous protège contre les vulnérabilités récemment découvertes. Les script kiddies recherchent des logiciels obsolètes sensibles à leurs outils, un peu comme la façon dont les virus de la grippe s'attaquent aux personnes qui sautent leur vaccin contre la grippe. Automatisez les mises à jour pour que vous n'ayez pas à y penser.

Rappelez-vous le rançongiciel WannaCry, l'une des attaques de logiciels malveillants les plus notoires de tous les temps? La plupart de ses dégâts sont dus à la négligence des mises à jour Windows.

4. Utiliser un VPN et un pare-feu

La plupart des scripts d'attaque reniflent les adresses IP cibles dans un premier temps. Mais cacher votre adresse IP derrière un VPN ou bloquer l'accès avec un pare-feu rompt ce lien.

Par masquage ou restriction de votre adresse IP publique, les script kiddies sont incapables de localiser votre emplacement exact et vos appareils sur le réseau. Les services VPN vous attribuent une adresse IP virtuelle différente, masquant votre véritable adresse.

Les pare-feu créent des règles uniquement pour autoriser les connexions à partir de sources fiables. Les deux mécanismes fonctionnent comme des barrages routiers qui entravent la reconnaissance initiale de l'attaquant et rendent les scripts basés sur IP inefficaces.

5. Sauvegardez vos données

Les ransomwares et les fichiers effacés peuvent entraîner une perte de données permanente. Planifiez des sauvegardes régulières afin que vous puissiez restaurer des données corrompues ou cryptées si une attaque de script frappe votre machine.

Les solutions de sauvegarde automatisées qui s'exécutent quotidiennement ou hebdomadairement en arrière-plan créent des copies sécurisées de vos fichiers sur des disques externes ou un stockage en nuage.

Si un script malveillant chiffre vos données et exige un paiement, vous pouvez rejeter la rançon, sachant que vous disposez de sauvegardes intactes sur lesquelles revenir. Même une attaque qui supprime ou écrase de manière irréversible vos fichiers peut être récupérée en extrayant de vos archives de sauvegarde.

Gardez une longueur d'avance sur la courbe des script kiddie avec ces pratiques de sécurité. Ils peuvent continuer à essayer, mais vous serez une cible trop dure.

Le manque de compétence des Script Kiddies n'est pas un manque de risque

Bien qu'ils ne semblent pas être de redoutables adversaires à première vue, l'utilisation imprudente des outils d'attaque par les script kiddies peut entraîner de réels dégâts. Vous ne pouvez pas vous permettre de sous-estimer ces fauteurs de trouble rusés.

Alors restez au top de la protection de vos appareils, et vous ne devriez pas avoir trop à craindre de ces nuisances du monde des hackers.