Au cours des cinq dernières années, il y a eu une augmentation exponentielle des cyberattaques dans le monde et une grande partie d'entre elles se sont produites au mois d'octobre de chaque année selon une récente étude de l'Infosec Institute. Une offensive similaire semble se mettre en place ce mois-ci, à en juger par les projections de l'étude concernant une « surprise d'octobre » ainsi que par les observations des cyberattaques qui ont eu lieu jusqu'à présent. L'étude souligne que les attaques qui ont eu lieu en octobre au cours des cinq dernières années ont été attribuées à cinq entités principalement : la Russie, la Chine, la Corée du Nord, l'Iran et un groupe fourre-tout appelé « anonyme ». Le groupe anonyme est utilisé pour désigner les attaques non revendiquées dont les assaillants sont inconnus et qui n'ont pas pu être liées à des parties ou des nations coupables.

Bien qu'aucune explication spécifique n'ait pu être trouvée pour le pic soudain d'attaques au mois d'octobre au cours des cinq dernières années, l'auteur de l'étude suppose qu'une partie de ce pic pourrait être attribuée aux incidents « tous risques » - des événements perturbateurs de tous types - que les deux hémisphères ont connus au mois d'octobre. Les cyberattaques pourraient avoir été programmées pour coïncider avec des nations déjà aux prises avec des catastrophes naturelles. Avant d'arriver à l'hypothèse que les cyberattaques pourraient être liées à des catastrophes naturelles, Jerri LeAnn Clairday, qui a préparé le rapport de l’Infosec Institute, sous la direction de James Phelps, consultant en sécurité et universitaire, avait également examiné les données par rapport aux actualités politiques, scientifiques et technologiques, ne trouvant aucun lien concluant avec les cyberattaques survenues au cours des mois d'octobre de 2017 à 2020.

Une corrélation possible avec les catastrophes naturelles

« La seule corrélation plausible que j'ai pu trouver aux pics d'octobre était les catastrophes naturelles », explique Jerri Clairday. « En effectuant une recherche Google rudimentaire sur les catastrophes mondiales au mois d'octobre, j'ai constaté qu'il y avait une augmentation significative au cours de cette période. L'automne dans l'hémisphère Nord et le printemps dans l'hémisphère Sud connaissent tous deux des calamités plus importantes. Cela m'a conduit à la théorie selon laquelle il pourrait y avoir un lien ». Cette analyste annonce qu'elle poursuit ses recherches et a l'intention d'approfondir cette notion et de tenter de la valider.

« La corrélation, me suis-je dit, est due au fait que, peut-être, chaque fois qu'il y a une catastrophe nationale, les cybercriminels cherchent à profiter de toutes les occasions possibles. Ils savent qu'ils peuvent atteindre les gens à ce moment-là, car leur corde sensible est déjà mise à rude épreuve, et la plupart d'entre eux renoncent à une bonne cyber hygiène, devenant ainsi la proie du phishing et d'autres attaques alors qu'ils cherchent à faire des dons et à être utiles », détaille-t-elle. « Les catastrophes ne doivent pas nécessairement être naturelles, de nombreuses attaques ont eu lieu sur fond de détresses nationales causées par des hommes ».

Octobre 2021, un mois chargé d'attaques

Une vague similaire de cyberattaques semble prendre de l'ampleur ce mois-ci. Début octobre, des chercheurs en sécurité ont découvert des opérations de cyberespionnage menées par un groupe de pirates informatiques basé en Iran et ciblant des entreprises du secteur de l'aérospatial et des télécommunications à l'aide d'un programme troyen furtif jusqu'alors non documenté, utilisé depuis 2018. En outre, la société de cybersécurité DarkOwl a récemment découvert un groupe cybercriminel proposant de pirater des hôpitaux situés dans toute l'Union européenne (UE) pour accéder aux dossiers de vaccination covid-19 et les falsifier pour des acheteurs consentants sur le darknet.

Le cas le plus récent est la plateforme de jeux Twitch, propriété d'Amazon, qui a subi une violation de données au début du mois. Cette dernière a révélé un grand nombre de données sensibles – 125 Go -  dont l'intégralité du code source de Twitch et plusieurs années d'informations sur les paiements des streamers les plus populaires du service.

Un bond en 5 ans

Les données de 2016 à 2020 révèlent qu'il y a eu 41 attaques importantes en 2016, soit une augmentation de 17 % par rapport à l'année précédente, avec une moyenne mensuelle de 3,41 attaques. Pour 2020, les chiffres s'élèvent à 134, soit une augmentation de 23 % par rapport à l'année précédente, avec 20,6 attaques par mois en moyenne. Cette période de cinq ans a, dans son ensemble, enregistré un bond de 283 % des attaques. Le groupement anonyme est en tête des ransomwares avec 111 incidents pour la période. La Russie arrive juste derrière avec 95 incidents, la Chine avec 91, l'Iran avec 54 et la Corée du Nord avec 42. Le rapport souligne que les 14 attaques enregistrées comme provenant des États-Unis étaient soit des mesures d'atténuation, soit des contre-mesures en réponse à des violations ou des attaques, et n'ont pas été évaluées plus avant. Si l'on se concentre sur les incidents d'octobre de 2016 à 2020, les chiffres passent de 3 à 25, soit une augmentation de 1 150 %.

« Nous assistons effectivement à une hausse spectaculaire des attaques au cours des mois d'octobre, bien que je ne puisse pas tout à fait placer une explication valable », déclare Allie Mellen, analyste chez Forrester. « Ma meilleure hypothèse est que cela est lié au fait que les gens reviennent des vacances d'été et font l'expérience d'être de retour sur le marché du travail et dans des situations qu'ils n'ont pas connues depuis un certain temps. Ils doivent laisser une fenêtre vulnérable pour se remettre à niveau ». Les attaques perpétrées en octobre au cours des cinq années analysées comprenaient des balayages de données gouvernementales, des violations de banques, d'élections et d'entreprises de sécurité nationale, des perturbations dans les transports et les médias et des attaques par déni de service distribué (DDoS). Les cibles importantes comprenaient la propriété intellectuelle, l'énergie, les infrastructures militaires et politiques. La nature des attaques au cours de cette période allait des malwares aux botnet. « Actuellement, les rançongiciels sont à la mode. Je pense que nous pouvons probablement prédire de manière fiable qu'il y aura davantage d'attaques par ransomware et qu'elles continueront à se développer jusqu'à ce que nous prenions une décision politique concernant la crypto-monnaie et le paiement d'une rançon », déclare J. R. Cunningham, CSO de Nuspire, fournisseur de cybersécurité.

Les points à retenir en matière de sécurité

L'étude de l'Infosec Institute prévoit une augmentation d'au moins 40 % des incidents ce mois-ci par le groupe « anonyme » qui a une large portée en termes de nombre de victimes, de types d'informations recherchées, de but, de durée et de méthode d'attaque. L'étude prévoit que les infractions commises par la Chine augmenteront de 92 % et concerneront principalement l'espionnage, le vol de propriété intellectuelle, les infrastructures de transport et de défense militaire, ainsi que la surveillance diplomatique.

L'Iran a été un contrevenant constant et, malgré des chiffres moins élevés par le passé, il devrait augmenter ses efforts de 224 %, lançant des attaques militaires et politiques contre ses voisins, l'Irak, le Koweït et les Émirats arabes unis. Les États-Unis pourraient également être une cible, à en juger par les données des années précédentes. La Corée du Nord devrait augmenter de 76 % ses attaques contre les entreprises privées, les organisations non gouvernementales (ONG) et les agences gouvernementales impliquées dans des événements nouveaux (par exemple, les instituts de recherche sur les pandémies).

Les attaques russes devraient augmenter de 36 %, principalement contre les infrastructures d'énergie, de télécommunication et de recherche. Elles pourraient également s'attaquer aux installations sportives. J. R. Cunningham de Nuspire met en garde contre les attaques de ransomware sur les équipements critiques, en soulignant les incidents récents impliquant Colonial Pipeline, et le fournisseur de viande JBS. « Nous savons en quelque sorte que les méchants ont les infrastructures critiques dans leur ligne de mire », a-t-il soutenu. L'autre phénomène intéressant à surveiller, selon M. Cunningham, est la pénurie de la chaîne d'approvisionnement dans le commerce de détail, alors que les gens commencent à faire leurs achats pour les fêtes de fin d'année. « Il s'agira d'une attaque par ransomware contre les infrastructures critiques ou les fournisseurs de détail », conclut-il.

Mise en garde des RSSI

S'agissant des mesures que les RSSI du monde entier pourraient prendre pour se préparer, M. Cunningham déclare. « Lorsque nous parlons à nos clients, nous leur conseillons essentiellement de faire deux ou trois choses. Il n'est pas nécessaire de faire de la figuration. Il s'agit de revenir à l'essentiel : l'application de correctifs, la gestion des accès privilégiés, l'authentification multifactorielle sont autant d'éléments essentiels qui constituent des moyens relativement peu coûteux et faciles de contrecarrer les activités de l'ennemi. L'une des difficultés que nous rencontrons dans le secteur de la cybersécurité est que nous essayons de trop réfléchir au problème et que, bien souvent, les pirates utilisent des méthodes très simplistes pour compromettre les organisations ».

Pour s'attaquer efficacement aux menaces à venir, Allie Mellen de Forrester indique que les RSSI doivent essayer de couvrir les bases en mettant en œuvre une authentification multifactorielle utilisant des mots de passe forts, en préconisant des gestionnaires de mots de passe et en appliquant des correctifs selon un calendrier cohérent. Les examens de formation sont également cruciaux pour les RSSI, déclare Keatron Evans, chercheur principal en sécurité chez Infosec Institute. « Ils doivent s'assurer qu'ils accordent une plus grande attention à la formation de leur personnel », explique-t-il. « La formation est généralement négligée dans le travail quotidien, mais il est impératif qu'ils soient constamment formés et informés sur les dernières menaces, car les menaces qui nous ont frappés en octobre 2020 étaient probablement très différentes de certaines des attaques que nous pourrions voir en octobre prochain », a-t-il déclaré. Il a ajouté qu'étant donné la probabilité d'une augmentation des cyberattaques, les CISO devraient allouer des ressources temporaires à la détection et à la prévention des menaces.