Les experts en cybersécurité du SANS Institute ont révélé les cinq techniques d'attaque récentes les plus dangereuses utilisées par les attaquants, notamment les cybercriminels et les acteurs bénéficiant de soutiens de niveau étatique. Elles ont été présentées lors d'une session de la dernière conférence RSA à San Francisco (24-27 avril), où un groupe d'analystes de cet organisme a exploré les dernières tactiques, techniques et procédures (TTP) et conseillé les organisations sur la manière de s'y préparer. Le SANS Institute est une société importante dans le domaine de la formation, des certifications, des diplômes et des ressources en matière de cybersécurité, qui vise à doter les professionnels de la cybersécurité de compétences et de connaissances pratiques.

Intitulée « Les cinq nouvelles techniques d'attaque les plus dangereuses », cet échange a réuni quatre éminents panélistes du SANS qui ont fourni des informations utiles pour aider les responsables de la sécurité à comprendre l'évolution des menaces et à en garder la maîtrise. Les cinq vecteurs émergents de cyber-attaques couverts par les orateurs étaient l'IA adverse, l'ingénierie sociale alimentée par ChatGPT, les développeurs tiers, le référencement et les attaques par publicité payante.

Les IA adverses

Les acteurs de la menace manipulent les outils d'IA pour amplifier la vitesse des campagnes de ransomware et identifier les vulnérabilités zero day dans les logiciels complexes, a déclaré Stephen Sims, membre du SANS et responsable du programme d'études sur les opérations offensives en cybersécurité. De la rationalisation des processus de codage des logiciels malveillants à la démocratisation de l'ingénierie sociale, l'IA a changé la donne pour les attaquants, a-t-il ajouté. En réponse, les entreprises doivent déployer un modèle de sécurité intégré de défense en profondeur qui fournit des protections en couches, automatise les actions critiques de détection et de réponse, et facilite les processus efficaces de traitement des incidents.

L'ingénierie sociale à la sauce GPT

En ce qui concerne l'ingénierie sociale alimentée par le ChatGPT, les acteurs de la menace tirent parti de l'IA générative pour exploiter le risque humain - en ciblant les vulnérabilités des employés individuels pour pénétrer dans le réseau de toute leur organisation, y compris leur famille, selon Heather Mahalik, membre du SANS. Cette évolution signifie que les utilisateurs sont aujourd'hui plus facilement attaquables que jamais, et qu'il suffit d'un mauvais clic sur un fichier malveillant pour mettre en danger non seulement une entreprise entière, mais aussi les moyens de subsistance de la victime, a déclaré Heather Mahalik. Cette surface d'attaque élargie exige des sociétés qu'elles encouragent une culture de cyber-vigilance à tous les niveaux de l'entreprise afin de s'assurer que les employés sont conscients des attaques liées à ChatGPT.

Les attaques par supply chain

Autre technique d'attaque sérieuse étudiée : celle qui passe par la chaîne d'approvisionnement des logiciels (SCM) pour infiltrer les réseaux d'entreprise, a pointé le Dr Johannes Ullrich, doyen de la recherche du SANS Technology Institute. Ce phénomène s'est manifesté de manière significative lors de la violation de LastPass en 2022, où un acteur de la menace a exploité les vulnérabilités de logiciels tiers pour contourner les contrôles existants et accéder à des environnements à privilège. Pour les entreprises de tous les secteurs, cette attaque a souligné l'importance de travailler efficacement en tandem avec les développeurs de logiciels pour aligner les architectures de sécurité, partager les informations sur les menaces et naviguer dans les techniques d'attaque en constante évolution, a déclaré Johannes Ullrich.

Le malvertising

Les attaques par référencement sont une autre méthode d'attaque dangereuse et émergente, tout comme les attaques par publicité payante, selon Katie Nickels, instructrice certifiée par le SANS. Selon elle, le malvertising tirent parti de stratégies de marketing fondamentales pour obtenir un accès initial aux réseaux d'entreprise. Dans ces cas, les cybercriminels exploitent des mots-clés SEO et des publicités payantes pour inciter les victimes à s'engager sur des sites Web falsifiés, à télécharger des fichiers malveillants et à autoriser l'accès d'utilisateurs à distance.

Ces attaques témoignent de la proactivité des attaquants, qui s'éloignent de plus en plus des techniques traditionnelles contre lesquelles il est devenu plus facile de se défendre, a déclaré Katie Nickels. Ces deux vecteurs d'attaque soulignent l'importance d'intégrer des programmes de formation de sensibilisation des utilisateurs évolutifs et adaptés aux nouvelles menaces.

Varier et diversifier les attaques pour mieux surprendre

Les attaques abordées sont devenues de plus en plus fréquentes, sophistiquées et difficiles à détecter, a expliqué John Davis, directeur pour le Royaume-Uni et l'Irlande du SANS Institute, EMEA. « Elles s'inscrivent toutes dans une tendance plus large selon laquelle les efforts et les techniques d'attaque utilisés par les pirates informatiques sont de plus en plus complexes et ciblés. L'ampleur de la cybercriminalité actuelle et l'audace des attaquants sont difficiles à comprendre pour de nombreux chefs d'entreprise - 450 000 nouveaux logiciels malveillants sont détectés chaque jour et 3,4 milliards de courriels d'hameçonnage arrivent dans les boîtes de réception ». Et d'ajouter : « Il n'est pas étonnant que tant d'entreprises s'efforcent de garder les portes et les fenêtres fermement fermées au milieu d'une tempête déchaînée. Ces nouvelles menaces audacieuses nous apprennent que les pirates prospèrent en diversifiant leurs techniques. Il n'est donc pas étonnant de voir des groupes de ransomware bien établis procéder à des licenciements, tandis que le ransomware as a service prend de l'ampleur ».

La bonne nouvelle, c'est que même les entreprises les plus petites et les plus jeunes peuvent se défendre contre ces attaques, affirme M. Davis. « La sensibilisation, la vigilance et l'éducation sont des armes vitales et notre ligne de défense la plus critique. En fin de compte, si nous voulons renforcer les meilleures défenses dans un monde de pirates informatiques toujours en activité, il est vital que nous restions à l'avant-garde et que nous modifiions sans cesse notre approche, quelle que soit la menace ».