Les variantes dévastatrices de Wannacry et NotPetya en 2017 ont propulsé les enjeux de cybersécurité au premier plan des préoccupations. Ce qu’on percevait comme des risques d’escroquerie bancaire génère aujourd’hui davantage des craintes de voir tout le système d’information d’une entreprise ou d’un hôpital corrompu par une cyberattaque, risquant d’engendrer des conséquences physiques réelles. Puis en 2018, le RGPD est entré en vigueur, ce qui a entraîné une série d’atteintes à la protection des données, touchant des millions de clients dans toutes les industries, y compris de grands noms comme Reddit, Facebook, Uber, British Airways et la chaîne hôtelière Marriott. Et depuis mai, le règlement spécifie que les entreprises qui ont permis ce genre d’incident sont passibles de lourdes amendes.

D’autre part, les cyberattaques parrainées par des Etats se sont poursuivies tout au long de l’année. Il sera intéressant de vous vers quoi ces groupes de « menace persistante avancée » se dirigeront à l’avenir. Les experts de ce phénomène prédisent qu’ils deviendront encore plus clandestins. Et bien que la majorité des pirates continuent de privilégier les méthodes d’attaques les plus simples, ces dernières deviennent de plus en plus sophistiquées. Voici donc à quoi il faut être susceptible de s’attendre en 2019 concernant les cybermenaces.

Des botnets IoT toujours plus futés

Le premier cas véritablement mondial d’une attaque passant par un réseau d'objets connectés a été celui de Mirai en 2016. En quelques lignes de codes assez simples, cette attaque a réussi à faire tomber une bonne partie d’Internet car elle exploitait des objets comme les caméras IP qui n’était que rarement sécurisées ou mises à jour (pour les mots de passe notamment). Les fournisseurs d’accès à Internet (FAI) et les sociétés DNS ont renforcé leurs défenses depuis Mirai. Mais le marché de l’IoT pourrait atteindre 6 500 milliards de dollars en 2024 et les risques devraient aller croissant également. Certains fabricants ont sûrement renforcé la sécurisation de leurs produits, mais certainement pas tous, surtout lorsque ces objets s’intègrent dans la vie quotidienne.

Chrys Boyd, analyste principal chez Malwarebytes note qu’en 2018, plusieurs milliers de routeurs MikroTik ont été compromis pour être secrètement transformés en outils de minage de cryptomonnaies. « Ce n’est que le début de ce nous verrons probablement au cours de nouvelle année, avec de plus en plus de dispositifs matériels compromis pour réaliser tout types de tâches allant du cryptominage au lancement de malware. Des compromissions de routeurs et de dispositifs IoT vont avoir lieu à grande échelle et ces derniers sont plus difficiles à corriger que les ordinateurs. Et même un patch ne résout pas le problème si le terminal est infecté. »

Et Mike O’Malley, vice-président pour la stratégie des opérateurs et le développement commercial chez Radware, d’ajouter que les pirates pourraient tenter de transformer les périphériques IoT infectés en réseau « essaim » de robots capables de prendre des décisions semi-autonomes, en mettant les capacités de calcul en commun pour résoudre des problèmes ou de « cibler simultanément et au moment opportun des points vulnérables dans un réseau » par exemple.

« Les hivenets vont encore plus loin et forment des clusters d’auto-apprentissage de systèmes compromis qui identifient et s’attaquent à différents vecteurs » explique M. O’Malley. « Les terminaux de la ruche peuvent échanger entre eux et utiliser l’intelligence de l’essaim pour agir ensemble, recruter et former de nouveaux membres de la ruche. » Un hivenet capable de d’identifier et de compromettre plus de terminaux pourrait croître exponentiellement et « élargir ses capacités à attaquer en même temps plusieurs victimes. C’est particulièrement dangereux à mesure que nous déployons la 5G, ajoute l’expert, car les hivenets pourraient tirer parti de la latence améliorée et être encore plus efficaces.

De son côté, Damon Kachur, en charge de l’IoT chez Sectigo, pointe l’importance des certificats numériques. « Du point de vue de l’utilisateur final, la lenteur de la sécurisation des dispositifs IoT a incité les gouvernements à réglementer tout cela. Les nations et d’autres Etats américains suivront l’exemple de la Californie et adopteront une législation exigeant la sécurité des réseaux IoT. C’est encore plus important pour les secteurs de la santé, des transports, de l’énergie et de la fabrication, qui sont les plus exposés. La législation ne prescrit pas de formes solides d’authentification, mais heureusement, des groupes de consortium tels que l’Open Connectivity Foundation et AeroMACS sont reconnus dans l’utilisation de l’authentification forte par certificat dans leurs normes de bonnes pratiques pour l’IoT. » Pour l’expert de Sectigo, il sera vital de gérer de manière proactive les algorithmes cryptographiques actuels et ceux qui seront déployer ensuite pendant toute la durée de vie des terminaux.

Attaques contre les infrastructures nationales critiques

Un comité parlementaire britannique a récemment averti que les infrastructures nationales critiques sont menacées par des pirates. Le National Cyber Security Centre (NCSC) a aussi récemment averti que les Etats hostiles à la Grande-Bretagne cibleraient probablement les infrastructures du pays. Bien que des exemples concrets de ce type d’attaques soient relativement rares, certains experts préviennent que 2019 pourrait voir les rivalités intraétatiques se matérialiser davantage sur la toile. Même en éliminant les Etats hostiles de l’équations, les attaquants motivés par l’argent pourraient tirer parti de la faiblesse de l’infrastructure IT britannique pour frapper les instances gouvernementales du pays.

« Les experts ont déjà identifié les nouveaux compteurs d’énergie intelligents que le gouvernement veut installer dans des millions de foyers, comme de futures cibles de cyberattaques qui rendront vulnérables tous ces ménages » s’inquiète James Wickes, CEO et fondateur de Cloudview. « Les cybercriminels pourraient gonfler artificiellement les relevés des compteurs pour augmenter les factures mais cela pourrait aussi mener à une attaque catastrophique sur notre réseau électrique. Le réseau national a déjà été mis en état d’alerte en mars 2018 par des responsables du NCSC qui craignaient une attaque russe. Des conseils ont alors été donnés sur la manière de renforcer ses défenses et prévenir les coupures de courant. »

Suzanne Spaulding, ancienne sous-secrétaire du département de la Sécurité intérieure des Etats-Unis (DHS) et aujourd'hui consultante chez Nozomi Networks, ajoute que le réseau électrique américain dispose, lui, d’une « bonne dose de redondance physique » pour venir en soutien des cybercontrôles. Mais lorsqu’une infrastructure virtuelle est adoptée, ces redondances physiques sont abandonnées, ce qui permettrait à un pirate de provoquer plus facilement des « réactions en chaîne pouvant causer des dommages importants. » La consultante insiste sur le fait qu’avec moins de contrôle physiques sur site, il sera plus difficile de reprendre le contrôle des systèmes et d’empêcher l’attaque de progresser. « Compte tenu des apports du monde en réseau, la numérisation ne va pas ralentir. Il faut pouvoir évaluer notre cyberdépendance et les conséquences potentielles d’une cyberattaque sur nos SI » alerte Mme Spaulding. « Maintenir des sauvegardes physiques et d’autres redondances, changer les processus opérationnels, et même conserver moins de données peut réduire l’impact d’une attaque réussie. »

Avec le crypto-jacking, tous à la mine de gré ou de force

Si en 2017, les cryptomonnaies ont connu un effet tulipomanie – un engouement fort pour un produit entraînant une hausse brutale de son cours puis un effondrement soudain en bourse – 2018 était l’année du crypto-jaking. Ce processus consiste à utiliser la puissance de calcul du terminal infecté pour miner des cryptomonnaies. Webroot est même allé jusqu’à affirmer dans son rapport semestriel sur les menaces que ce type de piratage représentait jusqu’à 35% de toutes les menaces. Et que ses clients ont tenté de visiter des sites web exécutant des scripts de crypto-jacking dans 3% des cas. Le domaine le plus fréquemment utilisé pour cette activité était Xxgasm.com pour 31% du trafic et Coinhive.com à 38%.

L’impact mondial des mineurs de cryptomonnaies a, selon Checkpoint, doublé en l’espace d’un semestre en 2018. Rich Camapgna, CMO de Bitglass, a indiqué qu’il faut s’attendre à subir plus d’attaques de ce type en 2019 et plus tard. « Cette technique combine en fait deux types d’attaques couramment utilisées : le crypto-jacking lorsque des individus malveillants s’approprient la puissance de calcul des appareils pour miner des crypto-monnaies et le cloud-jacking, lorsque des tiers illégitimes détournent les ressources cloud d’une entreprise » explique Campagna. « Ensemble, les deux méthodes peuvent être utilisées pour extraire des monnaies chiffrées plus rapidement. »

Le ransomware, une manie toujours à la mode

Les logiciels de demande rançon persistent dans l’écosystème des menaces informatiques, d’une part parce qu’ils ont un impact pouvant être dévastateur et d’autre part pour leur relative simplicité de programmation. Des scripts sont disponibles à l’achat sur le darkweb pour quelques euros dans de nombreux cas. Ne reste ensuite plus qu’à viser et tirer.

D’après John Fokker, responsables des cyber-enquêtes chez MacAfee, les réseaux fermés de développeurs de ransomware vont se consolider en créant des « familles moins nombreuses mais plus puissantes de malware-as-a-service qui travailleront ensemble. Nous prévoyons également une continuité des « marques » les plus fortes de ransomwares qui utiliseront des structures d’affiliation pour augmenter leur menace. » Leroy Terrelonge, directeur des opérations chez Flashpoint nous avais également fait part de ce repli des communautés du darkweb vers des services peer-to-peer plus sécurisés et moins traçables.

Ce bon vieux chantage

Selon Paul Drapeau, enterprise architect de la division d’analyse des menaces de Carbon Black, les jeux de données compromis pourraient aussi ouvrir très facilement la voie au retour du chantage traditionnel. « Les brèches dans Facebook et d’autres plateformes de médias sociaux représentent une mine d’or pouvant être exploitée par des acteurs malveillants. Ces données seraient susceptibles d’être utilisées pour corréler les activités entre les gens afin de trouver des comportements scandaleux, compromettants ou illégaux et ensuite utiliser ces informations pour réaliser du chantage à grande échelle. »

A quoi cela pourrait ressembler ? « Payez-moi en bitcoins ou votre conjoint/employeur recevra des copies de ces messages » Là où le bât blesse, note M. Drapeau, c’est que nous sommes capables de lutter contre les ransomware avec des logiciels de protection ou des sauvegardes, mais nous dépendons de groupes multinationaux pour protéger nos données les plus personnelles. « Il n’est même pas nécessaire que la brèche soit réelle pour qu’il y ait des tentatives d’extorsions » ajoute Paul Drapeau. « Comme on l’a vu en 2018 avec l’arnaque par courriel de masse qui prétendait avoir des vidéos et des mots de passe compromettants des personnes visées. Imaginez un pirate se basant sur les données d’une faille qui reproduit le contenu d’un échange de messages et qui exige le paiement d’une rançon pour ne pas le diffuser. Ce type d’attaque demande certainement plus de travail, et de cibler davantage les victimes, mais le paiement de la rançon pourrait être plus récurrent. Et les victimes peuvent être prêtes à payer plus d’argent quand il s’agit de leur vie privée et de leur réputation. »

Les guerres entre Etats dématérialisées

Kaspersky estime que les groupes de menaces persistantes avancées (APT) – comme Fancy Bear ou Shadow Brokers – pourraient aller plus loin pour couvrir leurs traces. Par des attaques de marque ou de signature moins franches, pour faire court, qui rendraient leur détection et attribution extrêmement difficiles. Le fournisseur ajoute que l’un des scénarios les plus probables de cette nouvelle approche serait de construire des outils répondants à des cibles très spécifiques.

Selon Priscilla Moriuchi, directrice du développement des menaces stratégiques chez Recorded Future, ces groupes parrainés par des Etats sont susceptibles d’accorder une attention croissante aux entreprises de télécommunications et aux FAI. Ils « fournissent aux acteurs malveillants un accès ç une infrastructure de confiance pour permettre des attaques secondaires ou des intrusions. Ils sont également le point médian des télécommunications mondiales et les intrusions dans ces types d’entreprises peuvent exposer non seulement les données des utilisateurs, mais aussi les appels téléphoniques, les messages, l’historiques de géolocalisation, les contacts, etc. »

La représentante de Recorded Future ajoute que les attaques et les points d’accès non traditionnels sont aussi susceptibles d’êtres plus largement utilisés, notamment les compromissions de la chaîne d’approvisionnement, les vulnérabilités matérielles et autres, tandis que les campagnes d’influence dirigées par un Etat via les réseaux sociaux vont se développer.

Pour s’en défendre, les Etats-Unis vont devenir plus agressifs dans la dénonciation nominative des hackers, selon Suzanne Spaulding. « Jusqu’à récemment, les Etats-Unis n’attribuaient pas publiquement divers cyber-incidents à des pays spécifiques, malgré les pressions exercées par l’opinion publique. Il peut être difficile d’attribuer ce genre d’activité avec une certitude de 100%, mais les responsables américains étaient également préoccupés par les demandes du public de réagir s’ils devaient attribuer une attaque. » Pour noter cette ouverture à la dénonciation de ce type d’activité, Mme Spaulding prend l’exemple des sanctions prises à l’encontre de la Russie en réponse aux menaces perçues sur l’infrastructure américaine en 2016.

Des malwares inviolables dans les trafics chiffrés ?

La compréhension accrue du chiffrement des données pourrait aussi être exploité par des groupes malveillants. En cachant des malwares dans un trafic chiffré par exemple. Omar Yaacoubi, fondateur et CEO de Barac, souligne une étude de Google suggérant que 80 % de tout le trafic sera chiffré en 2019 et une autre de PwC qui indique que 60% des attaques auront lieu sur ce trafic crypté. « L’inconvénient du chiffrement c’est que les outils de sécurité ne peuvent pas inspecter un trafic encodé à la recherche de malwares, ce qui en fait donc l’endroit idéal pour réaliser tout type de trafic malveillant » démontre Omar Yaacoubi. « Le défi pour les entreprises est de détecter ces logiciels malveillants sans décrypter le trafic, ce qui ouvre une nouvelle brèche dans la protection des données et à surtout un impact considérable sur les performances du réseau. »

Une solution, selon l’expert, serait d’examiner les métadonnées associées à ces flux de trafic, en utilisant le machine learning pour détecter avec précision la différence entre les bons et les mauvais flux. « Cela permet aux entreprises d’identifier et de bloquer le mauvais trafic sans avoir à déchiffrer et examiner le contenu de chaque paquet de données, et de se conformer aux lois sur la confidentialité des données. »

L’IA comme parfait assistant des imposteurs

Nvidia a dévoilé ce mois-ci un rendu du visage humain extrêmement réaliste, et il n'y a aucune raison que cette technologie ne finisse pas entre les mains de mauvais acteurs, qu'il s'agisse de groupes de pirates ou d'États nations.

Ces technologies de rendu du visage pourraient-elles être utilisées pour créer des personnages entièrement nouveaux, peut-être pour diffuser de la désinformation ? Cela peut sembler paranoïaque, mais il y a quinze ans, personne n’aurait cru qu’on pouvait espionner nos faits et geste par notre webcam. Jusqu'à ce que cela arrive…