McAfee Labs Prévisions 2016 en matière de menaces

Transcription

Rapport
McAfee Labs
Prévisions 2016
en matière de menaces
McAfee Labs présente
ses prévisions à cinq ans
sur la cybersécurité
et annonce les
principales menaces
de l'année à venir.
À propos de McAfee Labs
Introduction
McAfee Labs est l'une des principales références à l'échelle
mondiale en matière d'études et de cyberveille sur les
menaces, et les orientations stratégiques qu'il propose dans
le domaine de la cybersécurité font autorité. Grâce à des
données sur les principaux vecteurs de menaces (fichiers,
Web, messagerie et réseau) recueillies à partir de millions
de sondes, McAfee Labs fournit des renseignements en
temps réel sur les menaces, des analyses critiques et des
avis d'experts qui contribuent à améliorer les protections
informatiques tout en réduisant les risques.
Merci de l'intérêt que vous portez au rapport McAfee Labs
Prévisions 2016 en matière de menaces.
McAfee fait désormais partie d'Intel Security.
Pour le présent rapport, nous avons adopté la
perspective inverse et nous nous sommes penchés
sur les cinq prochaines années. Nous avons interrogé
21 spécialistes qui nous ont livré leur point de vue sur
l'avenir du paysage des cybermenaces et sur les mesures
que prendra vraisemblablement le secteur de la sécurité
informatique pour y faire face. Nous les avons invitées à se
projeter en avant pour prédire l'évolution des cyberpirates,
de leurs comportements et de leurs cibles, et la riposte
probable de notre secteur à l'horizon 2020.
www.mcafee.com/fr/mcafee-labs.aspx
Suivre McAfee Labs
Cette année, nous avons abordé l'avenir de la cybersécurité
selon deux perspectives différentes.
Dans le Rapport de McAfee Labs sur le paysage des
menaces — Août 2015, nous avons retracé l'évolution des
menaces au cours des cinq dernières années, soit depuis
l'annonce de l'acquisition de McAfee par Intel. Nous avons
ainsi comparé les prévisions de l'époque à la réalité des faits.
Prévisions 2016 en matière de menaces — McAfee Labs | 2
Dans la seconde partie, nous poussons plus loin notre
analyse et formulons des prévisions spécifiques sur
l'activité attendue en 2016 concernant un large éventail
de menaces. Celles-ci vont des logiciels de demande
de rançon aux attaques ciblant les automobiles ou les
infrastructures critiques, jusqu'à l'entreposage et la vente
de données volées. Parmi les sujets abordés :
■■
■■
■■
■■
■■
Nous espérons que ces deux éclairages sur l'avenir vous
seront utiles à l'heure d'élaborer des plans à court terme
et des stratégies à long terme pour renforcer votre sécurité.
Joyeuses fêtes à vous et à vos proches.
— Vincent Weafer, Vice-Président Directeur, McAfee Labs
Les attaques visant l'intégrité, une forme
d'attaque dont la subtilité n'enlève rien à son
efficacité et qui va s'intensifier en 2016
Les raisons pour lesquelles le renforcement
de la sécurité en entreprise entraînera une
prolifération des attaques contre le personnel
travaillant à domicile
L'évolution dans nos modes de paiement
et ses implications
Pourquoi les dispositifs vestimentaires,
connectés aux smartphones, constituent
un vecteur d'attaque attrayant
Des initiatives positives en matière de partage
de cyberveille sur les menaces au sein du
secteur privé et entre les secteurs privé
et public
Partager ce rapport
Sommaire
Prévisions 2016 en matière
de menaces — McAfee Labs
Ont collaboré à l'élaboration
de nos prévisions à cinq ans
de l'évolution du marché
de la cybersécurité et
des cyberpirates :
Brad Antoniewicz
Christiaan Beek
Torry Campbell
Gary Davis
Carric Dooley
Steven Grobman
Simon Hunt
Rees Johnson
Brett Kelsey
Tyson Macaulay
Raja Patel
Tom Quillin
Matthew Rosenquist
Raj Samani
Craig Schmugar
Michael Sentonas
Rick Simon
Bruce Snell
Jim Walter
Vincent Weafer
Candace Worley
Le rapport Prévisions 2016
en matière de menaces a été
préparé et rédigé par :
Christiaan Beek
Carlos Castillo
Cedric Cochin
Alex Hinchliffe
Jeannette Jarvis
Haifei Li
Qiang Liu
Debasish Mandal
Matthew Rosenquist
Raj Samani
Ryan Sherstobitoff
Rick Simon
Bruce Snell
Dan Sommer
Bing Sun
Jim Walter
Chong Xu
Stanley Zhu
Intel Security : Regard sur les cinq années à venir
6
Prévisions 2016 en matière de menaces — McAfee Labs 22
Matériel23
Logiciels de demande de rançon (ransomware)
24
Vulnérabilités25
Systèmes de paiement
27
Attaques via les systèmes du personnel
28
Services de cloud
29
Dispositifs vestimentaires
30
Automobiles 31
Entrepôts de données volées
33
Intégrité34
Cyberespionnage 35
Cyberactivisme36
Infrastructures critiques
37
Partage de cyberveille sur les menaces
38
Intel Security : Regard sur
les cinq années à venir
Intel Security : Regard sur les cinq années
à venir
Vingt et un collaborateurs clés
d'Intel Security ont collaboré
à l'élaboration de cette analyse
prospective de l'évolution du
marché de la cybersécurité et
des cyberpirates :
Il s'agit de :
Brad Antoniewicz
Christiaan Beek
Torry Campbell
Gary Davis
Carric Dooley
Steven Grobman
Simon Hunt
Rees Johnson
Brett Kelsey
Tyson Macaulay
Raja Patel
Tom Quillin
Matthew Rosenquist
Raj Samani
Craig Schmugar
Michael Sentonas
Rick Simon
Bruce Snell
Jim Walter
Vincent Weafer
Candace Worley
Désormais omniprésente, l'informatique améliore presque tous les aspects de nos
vies privées et professionnelles, multiplie les possibilités d'innovation, mais favorise
malheureusement aussi la prolifération des menaces. Des technologies qui font
appel à nos sens de la vue, de l'ouïe et du toucher nous permettent d'appréhender
le monde différemment et d'avoir des interactions inédites avec notre
environnement et d'autres personnes. Les objets du quotidien deviennent plus
intelligents et plus connectés, traçant la voie de l'informatique nouvelle génération.
Les entreprises établissent des connexions en temps réel plus poussées avec leurs
fournisseurs, leurs partenaires, leurs clients et les autorités publiques, collectant
et partageant de façon sélective des volumes considérables de données. La valeur
des informations stockées et transférées augmente rapidement, ce qui favorise
l'émergence de nouveaux marchés, crée un besoin de terminaux avec connexions
sécurisées, entraîne la transmission de données fiables vers le cloud et conduit
à l'extraction de valeur grâce aux outils analytiques.
Comme tout ce qui a de la valeur, les informations suscitent la convoitise des
cyberpirates, qui rivalisent d'ingéniosité pour les dérober, les utiliser et en tirer
un profit. On croit souvent que les attaques informatiques sont le fait du crime
organisé ou d'autres cybercriminels, mais elles peuvent aussi être commanditées
par des États ou orchestrées par des cyberactivistes et d'autres acteurs qui ne
sont pas toujours directement motivés par l'appât du gain. De même, l'on assiste
à l'émergence des cyberattaques personnalisées et privées : celles-ci peuvent
émaner de n'importe quelle personne cherchant à vous nuire : concurrent,
opposant politique, conjoint, voisin, rival en tout genre, etc. Sans oublier les
simples fauteurs de troubles, dont l'activité s'intensifie.
Tandis que les dispositifs informatiques deviennent le prolongement de l'être
humain et rendent notre environnement plus intelligent, plus sensible au
contexte et plus connecté, il faut s'attendre à des bouleversements à tous les
niveaux. Les mots de passe finiront par être remplacés par un système plus
sophistiqué de gestion et d'authentification des identifiants, et la confiance
acquerra un rôle vital pour nos activités en ligne et électroniques. La valeur,
la transparence et le consentement deviendront des concepts importants de
notre vocabulaire numérique. Enfin, nos données personnelles auront plus de
valeur, non seulement pour nous mais aussi pour nos adversaires.
Nos prévisions passées et actuelles
Dans le Rapport de McAfee Labs sur le paysage des menaces — Août 2015, nous
avons retracé l'évolution du paysage des menaces au cours des cinq dernières
années, depuis l'annonce de l'acquisition de McAfee par Intel en 2010,
en comparant les prévisions que nous avions établies à l'époque aux faits tels
qu'ils se sont déroulés. S'inspirant de cette rétrospective, 21 éminents experts
d'Intel Security ont collaboré pour dégager les tendances qui marqueront selon
eux le secteur de la sécurité informatique au cours des cinq prochaines années.
Quelles nouvelles fonctionnalités de sécurité seront ajoutées à notre matériel pour
renforcer la protection et contrer plus efficacement des menaces toujours plus
sophistiquées ? Comment les outils de sécurité seront-ils exploités pour assurer le
respect de votre vie privée et votre protection au sein de votre réseau personnel et
au-delà ? La situation explosive que nous avions anticipée n'était-elle que le signe
avant-coureur de tendances bien plus vastes, plus innovantes et potentiellement
plus destructrices ? Comment le paysage des cybermenaces évoluera-t-il sous
l'impulsion des changements technologiques et de la transformation de l'économie
de l'information ?
Partager ce rapport
La surface de cyberattaque
Il y a cinq ans, nous nous attendions à ce qu'une conjugaison de facteurs tels
que l'augmentation du nombre d'utilisateurs, la prolifération des données,
le foisonnement des types de terminaux et la multiplication des clouds, crée un
terrain propice à une explosion du nombre de menaces et de vulnérabilités.
Bon nombre de ces prévisions se sont avérées, mais elles n'étaient que les signes
précurseurs d'une amplification de ces tendances dangereuses.
Dans les entreprises, un environnement de travail dynamique, un effectif toujours
plus mobile et l'évolution rapide des attentes des travailleurs ont brouillé la
notion de périmètre réseau. Affranchis des limites des réseaux approuvés et des
restrictions d'un équipement spécifique, les membres du personnel gagnent
en productivité, mais cette liberté complique la sécurisation. Au fil du temps,
nous assistons à ce que nous appelons l'inversion du périmètre, c'est-à-dire
l'avènement d'un modèle d'entreprise où l'accès s'effectue de l'extérieur vers
l'intérieur. Ainsi, alors que les applications et équipements étaient auparavant
principalement dirigés vers le réseau d'entreprise et le centre de données, ils sont
à présent essentiellement tournés vers Internet et le cloud. Le centre de données
n'héberge plus que des ressources de traitement et de stockage limitées, réservées
à la propriété intellectuelle de base. L'avènement et l'adoption de Microsoft
Office 365 constituent sans doute pour la majorité d'entre nous le point de rupture
qui marque le passage du stockage sur PC au stockage dans le cloud. Les éditeurs
devront mettre au point des solutions de sécurité plus performantes pour l'éventail
toujours plus large de terminaux, d'environnements de traitement et de stockage
dans le cloud, sans oublier les canaux de communication qui les relient.
Partout où nous allons
et quoi que nous fassions,
nous laissons derrière nous
des traces numériques.
Côté utilisateurs, le foisonnement des terminaux et la prolifération de services
« gratuits » attrayants (téléphones, tablettes, dispositifs vestimentaires,
téléviseurs intelligents, domotique) favorisent la croissance exponentielle
des données personnelles. Partout où nous allons et quoi que nous fassions,
nous laissons derrière nous des traces numériques. Les attentes en matière
de confidentialité se confrontent à un partage d'informations à outrance,
intentionnel ou involontaire : un paradoxe qui alimente le débat sur le contrôle
et la réglementation de la protection des données personnelles. Au vu des
divergences importantes selon le pays et la culture concernant le respect de
la vie privée, un consensus mondial sur la question semble peu probable.
Les multinationales auront donc beaucoup de mal à proposer des produits
et services cohérents d'un pays à l'autre. Cette combinaison de tendances posera
également des défis en matière de conformité aux entreprises transnationales
dont les collaborateurs recourent aux mêmes outils pour accéder à la fois aux
ressources professionnelles et personnelles.
Partager ce rapport
La surface de cyberattaque grandissante
4 Mrd
3 Mrd
Plus de connexions
de smartphones
Plus d'utilisateurs
3 milliards en 2015
4 milliards en 2019
8,8 Zo
5,9 Mrd
3,3 Mrd
3,3 milliards en 2015
44 Zo
16,3 Mrd
24,4 Mrd
Plus
d'équipements IP
Plus de données
8,8 zettaoctets en 2015
44 zettaoctets en 2020
72,4 Eo
168 Eo
Plus de trafic réseau
72,4 exaoctets de trafic IP par mois en 2015
168 exaoctets de trafic IP par mois en 2019
Source : McAfee Labs, 2015
Les terminaux continueront de proliférer et de se diversifier. On prévoit au
moins 200 milliards d'appareils connectés en 2020. Ajoutez à cette pléthore de
terminaux à protéger une pénurie notoire d'experts en sécurité, et l'on comprend
aisément pourquoi il est essentiel que le secteur de la sécurité informatique
simplifie et automatise les dispositifs de défense et leurs configurations, et qu'il
améliore leur efficacité par l'apprentissage automatique et la collaboration en
réseau. En dépit de ces optimisations, le paramétrage de la sécurité demeurera
obscur pour l'utilisateur lambda, ce qui nourrira la croissance des services de
sécurité pour particuliers et petites entreprises axés sur la formation, les conseils
et l'aide à l'installation, la configuration et la mise à jour. Les installateurs de
réseaux domestiques et pour petites entreprises devront être beaucoup plus
attentifs à fournir des systèmes sécurisés à leurs clients, car ils ne disposeront
d'aucun administrateur de la sécurité.
Partager ce rapport
La sécurité intégrée à la puce
Face à des applications et à des systèmes d'exploitation à la sécurité sans
cesse renforcée et aux espaces protégés (walled gardens) toujours plus fermés,
les auteurs d'attaques continueront d'explorer les couches plus profondes de
la pile à la recherche de vulnérabilités à exploiter. Nous avons ainsi observé des
attaques ciblant les micrologiciels des disques durs et les processeurs graphiques
(GPU). Des cas récents d'exploits tirant parti de vulnérabilités du BIOS ou d'autres
micrologiciels montrent que plus l'attaque agit à un niveau profond, plus grand
est le contrôle qu'elle confère à son auteur. Au lieu d'être confinées à une seule
application ou machine virtuelle, les attaques visant les micrologiciels ont accès
à la totalité du système physique sans déclencher d'alertes ; elles peuvent persister
au niveau de l'ensemble des machines virtuelles, de la mémoire et des pilotes,
même après un redémarrage ou une réinstallation.
De plus, ces attaques sont efficaces sur un large éventail d'équipements,
indépendamment de leur système d'exploitation. Nous assistons donc à une
course dont l'enjeu est la base de la pile, car le premier à l'atteindre bénéficiera
d'un avantage stratégique, en défense ou en attaque.
« De nouveaux cybercriminels
et de nouveaux États vont
s'essayer aux cybermenaces,
ce qui pourrait entraîner une
hausse des attaques basées sur
le matériel et destinées à causer
des perturbations ou des dénis
de services. »
— Steven Grobman, Directeur
des Technologies, Intel Security
Actuellement, les malwares ciblant les vulnérabilités du matériel ou des
micrologiciels sont très peu nombreux, mais la donne va changer ces cinq
prochaines années. Nous nous attendons en effet à ce que de nombreux
groupes tirent parti de techniques récentes, en partageant les connaissances
acquises à mesure qu'ils progressent dans la conception d'attaques efficaces.
Ces connaissances vont se diffuser, passant d'organismes spécialisés relevant
de la Défense et des services de renseignements nationaux à de grandes
organisations criminelles, pour devenir largement répandues.
Grâce à des mécanismes de protection du matériel et des micrologiciels, tels que
l'amorçage sécurisé, les environnements d'exécution approuvés, la protection
contre l'altération, l'accélération cryptographique, la protection de la mémoire
active et l'identité immuable des équipements, ces attaques ont plus de difficultés
à s'implanter, tout comme il est plus facile de les détecter et de les neutraliser.
Nous devons accepter le fait que nous ne parviendrons jamais à éliminer
totalement le risque et que rien ne peut être sûr en permanence. Même si cela
était possible, le coût serait prohibitif. Nous avons donc besoin d'un mécanisme
qui assure l'intégrité des terminaux, des gadgets et des sondes. Les mises à jour
de code sans fil ou par d'autres moyens non physiques seront une composante
essentielle de la protection du matériel et des micrologiciels. Si toute connexion
externe agrandit en théorie la surface d'attaque, les avantages de la mise à jour
rapide du code pour corriger une vulnérabilité venant d'être identifiée compensent
largement le risque de laisser des milliers ou millions d'équipements vulnérables
jusqu'à ce qu'ils puissent être modifiés physiquement.
Autre technologie en lien avec la mise à jour à distance et automatisée pour
les terminaux : les contrôles de l'identité et des accès qui, à la différence des
systèmes conventionnels, sont capables de prendre en charge à la fois plusieurs
millions de terminaux et des appareils simples ou de très petite taille.
En vertu de la célèbre loi de
Moore d'Intel, les opérations
mathématiques seront
accélérées au point de ramener
le coût du chiffrement matériel
des données à une valeur proche
de zéro.
En vertu de la célèbre loi de Moore d'Intel, les opérations mathématiques seront
accélérées au point de ramener le coût du chiffrement matériel des données à une
valeur proche de zéro, ce qui améliorera considérablement nos perspectives
de protection des données inactives (au repos), en cours d'utilisation et en
mouvement. Le chiffrement protège les données, les communications et les
mises à jour du code contre l'altération et la falsification. Le chiffrement matériel
encourage les développeurs à l'utiliser davantage en allégeant la charge liée au
processus et en rendant celui-ci entre 5 et 20 fois plus rapide, en fonction du type
de chiffrement. Chaque année, nous continuons à identifier quelques vulnérabilités
présentes dans les méthodes de chiffrement courantes. C'est pourquoi nous
devons étudier et adopter des modèles de chiffrement plus robustes ou plus
performants, à condition qu'ils restent efficaces et transparents pour l'utilisateur.
Partager ce rapport
Le lien toujours plus étroit entre le matériel et les logiciels de sécurité s'illustrera
également dans la capacité à exécuter certains types de traitements de paquets
TCP/IP au niveau du matériel, ce qui permettra un traitement des opérations de
sécurité plus intensif sur des plates-formes plus petites. Le coût par unité de
calcul associée à la sécurité baissera alors même que les technologies de sécurité
deviendront plus performantes.
Des attaques difficiles à détecter
Il y a cinq ans, nous avions correctement prédit que les attaques parviendraient
de mieux en mieux à déjouer les systèmes de sécurité traditionnels et à rester
indétectables. Nous n'en sommes cependant qu'au début du phénomène. Le
malware demeure très populaire et poursuit sa progression, mais l'année écoulée
a vu l'amorce d'un virage vers de nouvelles menaces plus difficiles à déceler —
notamment les attaques sans fichier, les exploits de protocoles de contrôle à
distance et de shell distant, les infiltrations chiffrées et le vol d'identifiants.
Comme les systèmes de sécurité au niveau des terminaux, du périmètre et de la
passerelle ont connu de nets progrès en matière d'inspection et d'identification
des fichiers exécutables malveillants, les auteurs d'attaques se sont tournés
vers d'autres types de fichiers. Ils s'essaient même aux infections ne recourant
pas du tout aux fichiers. En exploitant les vulnérabilités du BIOS, des pilotes et
d'autres micrologiciels, ils parviennent à contourner les défenses en injectant
des commandes directement dans la mémoire ou en manipulant des fonctions
en mémoire pour installer un mécanisme d'infection ou exfiltrer des données.
Ces attaques ne sont pas faciles à exécuter et ne sont pas aussi interchangeables
que certains des malwares les plus populaires, d'où le nombre relativement faible
d'attaques connues pour le moment. Toutefois, à l'instar d'autres techniques, ces
attaques ne manqueront pas de se simplifier et de se banaliser au fil du temps,
ce qui les rendra plus accessibles et dopera leur progression. Le secteur de la
sécurité informatique met au point des technologies d'analyse et de protection
de la mémoire active qui détecte la mémoire sans lien avec un fichier particulier.
Cela dit, nous nous attendons à une prolifération de ce type d'attaques, jusqu'à
ce que ces dispositifs de défense soient déployés à grande échelle.
Attaques difficiles à détecter
2015
2016
2017
2018
2019
2020
Sous le système
d'exploitation :
MBR, BIOS, micrologiciels
Menaces sans fichier
Exploitations de shells
distants et de protocoles
de contrôle à distance
Infiltrations chiffrées
Malwares avec mécanismes
de contournement
de sandbox
Autre type d'attaque sans fichier dont le nombre devrait augmenter au cours des
cinq prochaines années : le piratage de divers protocoles de contrôle à distance
et de shell distant, comme VNC, RDP, WMI et PowerShell. Grâce à ces attaques,
les pirates peuvent exercer un contrôle direct sur les systèmes et installer du
code malveillant sans déclencher d'alertes sur les terminaux. Ils peuvent en outre
dérober des identifiants utilisateur en vue d'exploiter ces protocoles de manière
légitime, ce qui est encore plus difficile à détecter. En réalité, il y a fort à parier
qu'ils se concentrent principalement sur l'acquisition d'identifiants. Ceux-si sont
souvent une cible plus facile que les données et offrent par ailleurs un accès direct
à une multitude de ressources précieuses (terminaux eux-mêmes, applications
et services de cloud des propriétaires, etc.). Après que l'attaquant a mis la main
sur des identifiants, la plupart des solutions de sécurité considèrent ses actions
ultérieures comme légitimes, de sorte qu'il peut se déplacer librement dans
l'environnement infiltré.
L'analyse comportementale est capable de détecter certaines de ces attaques.
Malheureusement, le secteur de la sécurité accuse constamment un retard dans
ce domaine et il faudra sans doute près de cinq ans pour que des technologies
d'analyse comportementale performantes parviennent à prendre l'avantage.
D'ici là, l'authentification à deux facteurs et la biométrie supplanteront les mots
de passe, et d'autres technologies joueront un rôle essentiel pour déterminer
la légitimité.
Nous observerons également des attaques plus patientes, capables de rester
à l'état dormant pendant plusieurs mois avant de s'activer afin de contourner
les environnements sandbox, ou des infections qui collectent silencieusement
des données sans interférer le moins du monde avec l'utilisateur. De plus, nous
constaterons des mécanismes d'infiltration dissimulés dans des protocoles
chiffrés courants, tels que HTTPS. Enfin, il faudra encore compter avec une autre
technique insidieuse, inspirée des tours d'illusionnisme : un logiciel malveillant
visible et actif ou une attaque par réseau de robots (botnet) focalise l'attention
et les ressources de l'équipe de sécurité, tandis que l'attaque réelle s'insinue
secrètement ailleurs pour ensuite se déplacer librement, ni vu ni connu.
Partager ce rapport
Virtualisation
Comme toute technologie, la virtualisation présente des avantages et des
inconvénients sur le plan de la sécurité. Bien qu'elle isole et protège les
applications et les serveurs virtuels, elle peut également rendre le déplacement
latéral plus difficile à détecter. Avant l'avènement de la virtualisation, nous étions
potentiellement à même de repérer ce déplacement en identifiant le trafic réseau
anormal. À présent, ce trafic est entièrement confiné au système physique au sein
du routage et de la commutation par logiciel. La vue descendante de l'ordinateur
complet, notre ancienne approche, est à présent compliquée par la multitude
de machines virtuelles et de barrières dressées entre les fonctions du système
d'exploitation. Qui plus est, lorsque les fonctions matérielles et de base sont
confiées à une entreprise ou rôle administratif précis, les services de cloud et
de virtualisation à d'autres, et les services applicatifs à un troisième, la question
se pose de savoir qui est responsable de la sécurité sur les diverses couches.
Au vu de toutes les méthodes de dissimulation possibles grâce aux clouds et à la
virtualisation, comment repérer une attaque et remonter jusqu'à son auteur ?
La virtualisation, sous ses multiples
formes, pose des défis de sécurité
considérables sur le plan technique
et opérationnel.
En outre, la virtualisation évolue en ce sens qu'elle se déplace du centre
de données vers le réseau. Cette technologie en évolution rapide appelée
virtualisation des fonctions réseau (NFV, Network Function Virtualization) va
conquérir les réseaux de télécommunications au cours des cinq prochaines années.
Si la gestion de réseau virtualisée est présente dans les clouds de centre de
données depuis plusieurs années déjà, elle n'a été introduite que très récemment
dans les réseaux qui connectent les utilisateurs et les terminaux aux clouds,
comme Internet. La technologie NFV recourt à des plates-formes informatiques
standard pour les tâches réseau spécialisées qui nécessitaient auparavant
des appliances spécialisées elles aussi : routeurs, commutateurs, systèmes
informatiques propres aux télécoms, pare-feux, systèmes IPS, DNS et DHCP, etc.
La technologie NFV est une autre grande inconnue en matière de sécurité, pour
diverses raisons. Elle rend en effet la gestion de réseau nettement plus flexible et
efficace, mais aussi plus complexe. Par ailleurs, elle est le plus souvent basée sur
des technologies open source, dont les failles sont en général rendues publiques
sur-le-champ : il n'existe pas de délai de grâce imposé par l'éditeur entre la
découverte et la divulgation. La technologie NFV procure un gain d'efficacité
en permettant à plusieurs éléments réseau d'être virtualisés sur une seule
plate-forme, mais cela engendre un point de défaillance unique en cas d'attaque
réussie ou d'incident.
Nous assistons également à l'apparition de « conteneurs » : une nouvelle forme
de virtualisation qui crée des machines virtuelles plus performantes, plus rapides
et plus légères. Les conteneurs remplacent les « images » dans le centre de
données et le cloud, principalement par le partage non seulement des ressources
matérielles (comme avec l'hyperviseur), mais également des ressources du
système d'exploitation, telles que les bibliothèques. La conteneurisation est une
technologie déjà largement utilisée par les principaux fournisseurs de services de
cloud. Il faut s'attendre à ce qu'elle soit largement déployée dans les centres de
données au cours des cinq prochaines années. Tout comme la technologie NFV,
les conteneurs peuvent engendrer des complexités et des risques d'un nouveau
genre. Ils sont essentiellement basés sur des logiciels open source et créent de
nouvelles surfaces d'attaque en raison du partage d'un plus grand nombre de
ressources entre tous les conteneurs.
Partager ce rapport
Enfin, les cinq années à venir verront la généralisation de la technologie SDN
(Software-Defined Networking), ou mise en réseau définie par logiciel, dans le
domaine de la gestion de réseau, et pas simplement dans les environnements
de centre de données et de cloud. La mise en réseau définie par logiciel sera
combinée à la technologie NFV pour créer de nouvelles formes de services à
valeur à ajoutée disponibles à la demande, hautement évolutifs et entièrement
automatisés. Hélas, tout comme la technologie NFV, les réseaux SDN ont un prix
en matière de sécurité : complexité encore accrue, logiciels open source, surfaces
d'attaque élargies et points de défaillance uniques.
De nouveaux types de terminaux
Nos précédentes estimations concernant la prolifération et la diversification des
terminaux ne pêchaient que par prudence, et les tendances de ces cinq dernières
années ne sont qu'un avant-goût de ce qui nous attend à l'avenir. La conception
des appareils connectés à Internet est de plus en plus facile et coûte toujours
moins cher. Résultat : le nombre de nouveaux produits, modèles commerciaux
et modèles d'utilisation explose. Les prototypes deviennent des produits très
rapidement. De même, les nouveaux gadgets arrivent vite à maturité et gagnent
un public de plus en plus nombreux sur les segments des applications grand
public, industrielles et métier. Certains de ces appareils de pointe connectés à
l'Internet des objets (IoT) disposent de suffisamment d'utilisateurs pour susciter
l'intérêt des cyberpirates, et d'autres suivront.
La majorité des constructeurs de ces appareils et gadgets misent principalement
sur la commercialisation rapide, la convivialité et les structures de coûts
avantageuses ; le temps et les ressources qu'ils peuvent investir dans la sécurité
des appareils de l'Internet des objets sont limités. Non seulement ces appareils
prêtent le flanc aux attaques, mais ils exposent par voie de conséquence les
systèmes qu'ils connectent, de même que les informations personnelles qu'ils
gèrent. De plus, bon nombre d'entre eux sont conçus pour fonctionner durant
plusieurs années, ce qui les rend, de même que les systèmes auxquels ils se
connectent, vulnérables aux menaces qui sans cela seraient éliminées par des
mises à niveau ou des cycles d'actualisation courts.
Nouveaux types de terminaux
Tablettes
2019 269 Mio
2018 780 Mio
248 Mio
200 Mio
2015
Appareils de l'Internet
des objets
2020 200 Mrd
2015
Taille du marché mondial
des clouds publics
2020 159 Mrd
USD
15 Mrd
97 Mrd
USD
2015
2015
Dans les foyers, les smartphones ou les tablettes sont devenus le centre
nerveux de cet écosystème IoT. Ils constituent les points de collecte de la
plupart des dispositifs vestimentaires. Ils s'utilisent pour configurer et contrôler
les téléviseurs intelligents, pour commander les éclairages, les serrures et les
électroménagers, pour se connecter au véhicule et coordonner de nombreux
outils numériques de santé personnelle — le tout connecté à une dorsale dans
le cloud. Malheureusement, ce nœud de communication central représente
également un excellent point de collecte de renseignements pour les escrocs.
Nous savons que les téléphones présentent des vulnérabilités qui n'ont pas été
ciblées par les auteurs d'attaques car ils n'y voient pas encore une motivation
financière suffisante. Toutefois, l'utilisation croissante des smartphones et des
tablettes en tant que points de collecte devrait en faire des cibles de choix au
cours des cinq prochaines années, en raison des données stockées ou transitant
sur ceux-ci.
De la même façon, à l'heure où les entreprises rivalisent pour conquérir les foyers
connectés, il est fort probable que certaines plates-formes et leurs services
de cloud soient ciblés par des logiciels malveillants discrets et patients, axés
sur la collecte de renseignements. Nombre de ces appareils fonctionnent et
communiquent en permanence, toujours à l'écoute, ce qui suscite certaines
préoccupations concernant la transparence et la confidentialité. Les particuliers
étant mal préparés et équipés pour détecter et neutraliser la plupart des
Partager ce rapport
menaces informatiques, certaines attaques parfaitement abouties vont recueillir
des informations personnelles de façon régulière, permettre des attaques par
déni de service et transformer en zombies des appareils domestiques connectés
à Internet. Au cours des cinq prochaines années, les réseaux domestiques
connectés pourraient bien devenir la voie la plus simple pour pirater la vie des
particuliers et les ressources de leurs employeurs. On peut donc s'attendre
à diverses conséquences : une forte demande en spécialistes en installation
disposant de compétences en cybersécurité ; la nécessité de configurations par
défaut plus efficaces pour les réseaux domestiques ; l'offre de nouveaux services
de sécurité par des fournisseurs de solutions haut débit et d'applications pour
venir compléter ces appareils résidentiels connectés.
Des passerelles domestiques plus intelligentes et sécurisées feront également
leur apparition au cours des cinq années à venir. De nos jours, ces systèmes
ont des fonctions très sommaires. Ils transmettent les paquets vers et depuis
Internet sans exercer la moindre surveillance, ou très peu, et ils assurent leur
acheminement (routage) à travers le domicile sans aucun suivi ni application de
stratégie. Les passerelles doivent s'améliorer pour prendre en charge l'Internet
des objets, avec ses interconnexions entre le cyberespace et le monde physique
et ses applications critiques en matière de sécurité. Elles devront empêcher qu'un
terminal (ou un utilisateur) compromis au sein de l'habitation soit utilisé pour
pirater un autre appareil IoT dépourvu d'un quelconque mécanisme de détection
ou, mieux, de protection. En plus de devenir la dernière ligne de défense, les
passerelles domestiques permettront la mise en place de plusieurs nouveaux
services essentiels à la sécurité pour dissiper les craintes des consommateurs
et les incertitudes réglementaires.
La nouvelle gamme d'appareils implique bien plus qu'une simple transition
vers les téléphones et les tablettes. Elle incarne également le passage à un
monde où les utilisateurs, de plus en plus nomades, peuvent utiliser n'importe
quel équipement équipé d'un clavier et d'un écran pour accéder à des
informations dans le cloud. Les données sont convoitées depuis toujours par
les cybercriminels, mais aujourd'hui, les terminaux d'accès sont moins contrôlés
et leurs protections souvent moins rigoureuses peuvent leur ouvrir la porte
à des données bien plus nombreuses. Le fait de stocker nos données dans
le cloud et d'y accéder à partir d'un téléphone, d'une tablette, d'une borne
interactive, d'un véhicule ou d'une montre connectée (chacun d'entre eux
exécutant des systèmes d'exploitation et des applications différents) agrandit
considérablement la surface d'attaque. Étant donné que ces terminaux d'accès
seront inévitablement moins sûrs, les fournisseurs de solutions de cloud seront
forcés d'améliorer de façon significative la sécurité des connexions et des
données elles-mêmes. Nous sommes convaincus que des fournisseurs de cloud
performants parviendront à relever ce défi au cours des cinq prochaines années,
aidés des technologies de grands éditeurs de solutions de sécurité.
Parallèlement, de nouveaux types de sondes et équipements d'entreprise
alimentent à présent les systèmes industriels, les systèmes de contrôle des
infrastructures critiques et les processus métier fondamentaux, créant ainsi de
nouvelles surfaces d'attaque. Outre les menaces directes, nous avons observé
la manière dont ces nouveaux dispositifs permettent de passer des systèmes
industriels aux systèmes métier, et comme ils seront toujours plus nombreux à être
interconnectés, le problème ne fera que s'aggraver. Situés à des emplacements
critiques des réseaux approuvés, certains de ces dispositifs seront attrayants pour
les cybercriminels car, une fois compromis, ils pourraient servir de têtes de pont
pour de nouvelles attaques. Enfin, sachez que les attaques n'obéissent pas à la loi
des nombres. Si la compromission d'un système industriel composé de plusieurs
centaines de millions d'appareils IoT peut causer des dommages importants,
elle peut être beaucoup plus dévastatrice s'il s'agit d'un appareil situé à un point
stratégique d'un système de contrôle d'infrastructures critiques.
Évolution des cybermenaces
Tant qu'il y aura des éléments numériques de valeur, il y aura des cybercriminels.
Une chose est sûre : la cybercriminalité continuera de progresser au cours des cinq
années à venir. Comme pour toute entreprise, la motivation finale des opérations
cybercriminelles est de générer du profit, dans leur cas en recherchant la façon
la plus aisée de voler des éléments de valeur. Ainsi, la valeur grandissante des
données personnelles sera déterminante, car elle est déjà supérieure à celle des
informations de cartes de paiement et elle continuera de grimper. L'utilisation
croissante des cryptomonnaies telles que bitcoin fera des devises virtuelles une
cible de choix pour le vol, et pas simplement la méthode de paiement privilégiée
par les criminels.
Proposées sous la forme de produits prêts à l'emploi, les cyberattaques
seront davantage accessibles à des individus sans grandes compétences. Elles
permettront ou favoriseront la réalisation d'objectifs plus personnels : atteinte à
la réputation, compromission de l'intégrité, harcèlement, vandalisme, désordre.
L'adoption grandissante du cloud engendrera de nouvelles vulnérabilités et
menaces. Les infrastructures système et réseau traditionnelles offraient la
possibilité de définir clairement un périmètre à sécuriser, mais avec les clouds
et leur large spectre de frontières organisationnelles et de points de contrôle
distribués, cette tâche est plus compliquée. De plus en plus, les auteurs d'attaques
cibleront le cloud pour tirer parti de ces frontières souvent mal définies. Ils s'en
prendront également au cloud public car il leur donne l'occasion de se déplacer
latéralement et d'infiltrer ses autres réseaux virtuels.
Le cloud offrira également aux cybercriminels d'incroyables ressources sous la
forme de capacité de calcul et de stockage, tout en leur permettant d'apparaître
et de disparaître d'un simple clic de souris. Il sera très difficile pour les autorités
policières de faire cesser les activités d'un fournisseur de cloud en raison du
comportement de ses clients criminels. Il faudra donc identifier des ressources
en possession des criminels, comme leurs portefeuilles de bitcoins.
Lors de notre rétrospective sur cinq ans, nous avions constaté une tendance
à l'augmentation d'attaques commanditées par des États. Certaines
nations continueront de renforcer leurs cybercompétences offensives et
défensives. Elles amélioreront leurs capacités de collecte de renseignements,
perfectionneront leurs méthodes de manipulation secrète des marchés et
continueront à élargir la définition de la cyberguerre et les règles d'engagement
dans ce domaine.
La cyberguerre entre États jouera un rôle de nivellement, transformant l'équilibre
des pouvoirs dans de nombreuses relations internationales tout comme l'a fait
l'armement nucléaire à partir des années 1950. Les petits pays pourront mettre
sur pied ou se procurer les services d'une cyberéquipe qualifiée pour prendre
le dessus sur une nation plus puissante. De fait, les compétences en cyberguerre
font déjà partie de l'arsenal politique international, constitué d'un appareil
offensif et défensif.
Partager ce rapport
Évolution des cybermenaces —
Étude sur les infrastructures critiques
48 %
70 %
Plus de 70 % pensent que
les menaces de cybersécurité
pesant sur leur entreprise
sont en hausse.
48 % considèrent comme probable
une cyberattaque de sabotage d'une
infrastructure critique susceptible
d'entraîner la perte de vies humaines.
Source : http://www.mcafee.com/fr/resources/reports/rp-aspen-holding-line-cyberthreats.pdf
La cyberguerre offensive peut également cibler des bases de données et des
infrastructures numériques, tout comme des armes et infrastructures physiques.
L'objectif des cybermanœuvres de ces États peut être de mettre hors service le
réseau de distribution d'eau ou d'électricité d'un pays rival plutôt qu'Internet,
ou de prendre le contrôle de drones ou d'armements, et de cibler des systèmes.
L'espionnage numérique fait également partie de la cyberguerre : les agents du
renseignement mettent la main sur des systèmes de surveillance, épient des
fonctionnaires et exfiltrent des documents en vue d'offrir un avantage stratégique
à leur pays. Nous avons déjà observé de telles pratiques lors de l'intrusion majeure
perpétrée au sein de l'Office of Personnel Management (Bureau de la gestion du
personnel) des États-Unis et il y a fort à parier qu'elles se répéteront au cours des
cinq prochaines années.
Normes de sécurité de l'Internet des objets
Nous avons déjà abordé la question des appareils de l'Internet des objets
(IoT) émergents dans la section consacrée aux nouveaux types de terminaux.
Cependant, nous ne nous sommes pas encore intéressés aux nouvelles normes
attendues pour l'Internet des objets, en particulier celles liées à la sécurité.
L'établissement de normes adéquates en la matière est d'une importance cruciale
car de nombreux appareils de l'IoT collectent des données très personnelles
ou stratégiques. Entre de mauvaises mains, de telles données peuvent être
utilisées pour mettre à mal une entreprise ou la vie d'une personne.
En matière de standards, l'Internet des objets est un kaléidoscope. Il existe des
centaines de normes potentiellement liées à l'Internet des objets, mais très peu
d'entre elles répondent directement à ses exigences. De multiples domaines sont
concernés : sécurité des réseaux (avec des normes émanant de divers organismes),
sécurité des centres de données (de même), gestion des identités, interopérabilité,
technologies sans fil, protection des données personnelles et bien d'autres encore.
Partager ce rapport
Or, dans cette masse de normes et standards redondants et conflictuels,
il subsiste des brèches, notamment liées à la sécurité. Par exemple, la question
de la conception et la gestion sécurisées d'un réseau NFV ou SDN n'a pas été
abordée par des organismes majeurs comme l'ISO, la CEI ou l'ITU. De même,
des efforts considérables sont nécessaires concernant les exigences nouvelles
et divergentes en matière de contrôle des accès et des identités associées
à l'Internet des objets, ou encore l'application claire au Big Data des normes
en matière de confidentialité.
Bonne nouvelle cependant : certaines initiatives sont en cours et devraient
déboucher sur des orientations résolument meilleures, au niveau de normes
internationales, concernant la sécurité de l'Internet des objets. Par ailleurs, elles
amélioreront le fonctionnement de ces marchés et apaiseront les esprits après
certaines catastrophes fortement médiatisées et attribuées aux balbutiements
de l'Internet des objets.
Données personnelles, sécurité et confidentialité
La valeur grandissante des
données personnelles suscitera
la convoitise des cyberescrocs et
conduira à l'émergence de marchés
sophistiqués pour la vente des
données volées. Elle donnera
également lieu à un renforcement
de la sécurité et de la législation sur
le respect de la vie privée.
Les données personnelles, leur valeur et les exigences en matière de confidentialité
transformeront de manière radicale la sécurité et la cybercriminalité, que ce soit
au niveau des cibles, des attaques ou des défenses. Au cours des cinq années
à venir, les informations personnelles collectées et stockées augmenteront en
volume et se diversifieront. En plus des nom et prénom, du numéro de téléphone,
de l'adresse, de l'e-mail de la personne et des données historiques des achats,
elles incluront les lieux fréquemment visités, les comportements, les habitudes
alimentaires, les préférences musicales, vidéo et télévisuelles, le poids, la pression
sanguine, les prescriptions médicales, le rythme de sommeil, l'emploi du temps
quotidien et les sports pratiqués. Des sondes transmettront des informations à
toutes sortes d'organisations, pour renvoyer au consommateur des publicités,
des recommandations et des offres présentant un véritable intérêt pour lui.
Ces informations combinées représentent les traces numériques des activités
de l'internaute, un sous-produit inévitable de la vie moderne.
Ces traces numériques, fournies de façon délibérée ou collectées à notre insu,
prendront une valeur économique inestimable à l'avenir. En effet, elles pourront
être vendues ou échangées contre de l'argent, des réductions, des biens ou
des services toujours plus personnalisés et conçus sur mesure. En raison de
leur valeur accrue, ces informations devront impérativement être protégées
et contrôlées. Certains continueront de récolter nos données « légitimement »
en enfouissant leurs conditions générales dans un accord de services d'une
application ou d'un service par ailleurs inoffensif. D'autres tenteront de les
extraire à partir du cloud, par l'intermédiaire de nos appareils, ou au moment
où elles transitent sur les nombreux réseaux que nous traversons chaque jour.
D'autres encore voudront bien sûr s'en emparer illégalement.
Avec l'augmentation de la valeur des données personnelles, on voit apparaître
des criminels d'un nouveau genre, qui combinent, entreposent et vendent à des
fins spécifiques les informations dérobées. Ils font appel à des techniques
analytiques utilisées dans le contexte des grands volumes de données (Big Data)
afin de rechercher des liens et des corrélations au sein de leur précieux butin,
pour ensuite reconstituer les identités personnelles et vendre ces renseignements
au plus offrant.
Les voleurs peuvent ainsi contourner les techniques courantes de vérification de
l'identité (numéros de sécurité sociale, dates de naissance, quatre derniers chiffres
des numéros de cartes de crédit ou encore réponses aux questions de sécurité).
Cela leur permet au bout du compte de vendre des identifiants légitimes et de
compliquer l'identification des comportements suspects par les dispositifs de
défense. Les cybercriminels pourraient même utiliser l'analyse comportementale
pour déterminer les achats susceptibles d'être réalisés à l'aide d'informations de
cartes de paiement volées sans déclencher d'alerte.
Partager ce rapport
Carte thermique 2014 de la protection des données personnelles
Très restreint
Certaines restrictions
Absence de restriction dans les faits
Restreint
Restrictions minimes
Absence de législation ou d'information
Sources : Ministère américain du Commerce et législations nationales ; Forrester Research, Inc.
Les réglementations et consignes en matière de confidentialité et de sécurité
numériques ne datent pas d'hier. Depuis longtemps, des discussions et des travaux
sont menés dans de nombreux pays et secteurs d'activité pour s'accorder sur les
pratiques acceptables, les exigences de conformité adéquates et les sanctions
à appliquer en cas d'actes répréhensibles. Pour faire face à l'augmentation de
la quantité de données personnelles collectées et stockées, les tentatives de
codifier des politiques et sanctions se poursuivront. Les consommateurs exigeront
non seulement une meilleure protection de leur vie privée, mais également des
méthodes plus efficaces pour accepter ou refuser la collecte de leurs données,
plus de transparence concernant les données conservées à leur sujet et le droit
de consulter, de modifier et même de supprimer celles-ci. À titre préventif,
les entreprises opteront pour l'autorégulation, éventuellement en proposant
des produits avec des configurations par défaut davantage orientées vers la
confidentialité du consommateur que vers la collecte d'informations, c'est-àdire en privilégiant un modèle où l'utilisateur doit autoriser spécifiquement cette
collecte, plutôt que la refuser. Il s'agira d'un exercice périlleux, et les secteurs
d'activité incapables de s'adapter suffisamment se retrouveront dans le collimateur
des autorités législatives.
Il faut également craindre la surrégulation, aux conséquences imprévues, qui
pourrait entraver l'innovation et mettre sérieusement en péril certains secteurs
d'activité. Il a fallu attendre plus d'un siècle pour que la réglementation dans les
domaines des véhicules et des téléphones évolue. Au cours des cinq prochaines
années, nous constaterons l'impact (le cas échéant) des règles de neutralité
d'Internet récemment édictées par la Federal Communications Commission (FCC),
organisme officiel américain. La réglementation de l'Internet des objets devrait
donner lieu à des initiatives audacieuses et des fiascos au cours des cinq années
à venir.
Sous la pression des États souhaitant le partage de certaines données
personnelles, les multinationales se heurteront par la force des choses à des
responsabilités légales et des réglementations conflictuelles au moment de
l'échange transfrontalier des données. Comme c'est déjà le cas aujourd'hui, il est
possible que les entreprises demandent une protection contre ces responsabilités
ou refusent de se soumettre à des réglementations de divulgation dans certains
pays lorsqu'elles sont contraires à leurs valeurs ou aux réglementations du pays de
leur siège social, sous peine de conflits d'intérêts.
La riposte du secteur de la sécurité
L'analyse comportementale
améliorera la capacité à
détecter les attaques avancées.
Une meilleure collaboration
et le partage de la cyberveille
sur les menaces accéléreront
l'identification des tactiques
et techniques des attaquants.
La liste des tâches du secteur
de la sécurité :
■■
■■
■■
■■
Analyse comportementale, pour
détecter les activités anormales
Partage de la cyberveille sur
les menaces, pour assurer une
protection plus performante,
plus rapidement
Sécurité intégrée dans le cloud,
pour améliorer la visibilité et
le contrôle
Détection et correction
automatisées, pour protéger
davantage d'appareils avec un
nombre réduit de professionnels
de la sécurité
L'analyse comportementale est la prochaine arme stratégique de l'arsenal du
secteur de la sécurité. En créant des bases de référence du comportement normal
et en surveillant l'activité en continu, ces outils apprendront les faits et gestes
habituels des utilisateurs légitimes et enverront des alertes ou prendront des
mesures lorsqu'ils détecteront des activités anormales. Cette application est-elle
généralement utilisée pendant que la personne travaille ? Cette activité a-t-elle lieu
pendant les heures de bureau normales, dans des emplacements spécifiques et
sur des terminaux vérifiés ? Les technologies d'analyse comportementale n'en sont
qu'à leurs balbutiements et il est encore très compliqué d'extraire des informations
pertinentes à partir d'ensembles de données volumineux. Cependant, elles vont
rapidement gagner en maturité au cours des cinq prochaines années, à mesure
que les compétences dans les domaines de l'apprentissage automatique, les gros
volumes de données et l'analytique résoudront les problèmes.
Dans le but d'assurer une protection plus rapide et plus performante,
les entreprises, les États et les fournisseurs de solutions de sécurité seront
tenus de partager la cyberveille sur les menaces. Ce processus a déjà débuté,
certains participants de l'écosystème estimant que les avantages du partage sont
supérieurs à ses désavantages. Ces échanges de cyberveille sur les menaces sont
susceptibles de s'intensifier aux échelons supérieurs et inférieurs de la chaîne
logistique et dans les différents secteurs d'activité, dans la mesure où les différents
acteurs détermineront qui est digne de confiance et comment ils peuvent exploiter
ces renseignements en interne. Les produits et services de cyberveille sur les
menaces continueront de proliférer, mais les éditeurs auront du mal à concilier,
d'une part, la valeur marketing et le rendement des services d'abonnements de
cyberveille et, d'autre part, le besoin évident de renseignements partagés et d'une
meilleure collaboration. Par ailleurs, les organismes publics devront faire face
à des conflits et à des problèmes de coopération juridictionnelle, tandis que les
entreprises seront préoccupées par la question de la responsabilité liée au partage
d'informations de cyberveille avec les forces de l'ordre.
Le volume même de la cyberveille sur les menaces générée nécessitera des
progrès en matière d'apprentissage automatique et d'analytique afin qu'elle
puisse être traduite efficacement et rapidement en mesures adéquates et en
notifications en langage humain. Les échanges de telles informations exigeront
des systèmes de notation de la confiance et de la qualité, des fonctionnalités
d'audit et des méthodes sophistiquées permettant une corroboration et une
attestation rapides afin de réduire le nombre de faux positifs et d'empêcher
que le système puisse être trompé.
Il faudra en outre impérativement améliorer l'efficacité et la rentabilité de
la sécurité informatique au cours des cinq prochaines années. Le nombre
d'appareils à protéger passera la barre des 200 milliards en 2020. Parallèlement,
le nombre de professionnels de la sécurité requis augmente, de même que le
niveau de compétences exigé, alors que leur offre et leurs qualifications sont bien
inférieures à la demande du marché. Par nécessité, l'automatisation des fonctions
de sécurité deviendra plus performante et plus sophistiquée.
Les entreprises exigeront également des niveaux prévisibles d'investissement
en sécurité et gestion des risques, ce qui entraînera le développement continu
de services SaaS (Security-as-a-Service), de produits d'assurance de la sécurité
et de plans de couverture contre les incidents de sécurité catastrophiques.
La cyberveille sur les menaces jouera ici aussi son rôle, en fournissant les
données nécessaires à l'élaboration de modèles actuariels pour le secteur
de l'assurance. Celles-ci peuvent provenir de partenariats intéressants
entre le secteur de l'assurance et les fournisseurs de solutions de sécurité,
les fournisseurs de services de cloud ou les consortiums de cyberveille sur
les menaces.
Partager ce rapport
Conclusion
Il y a cinq ans, nous avions pressenti que trois forces ébranleraient le paysage de
la cybersécurité : l'agrandissement de la surface d'attaque, l'industrialisation du
piratage, et la complexité et fragmentation du marché de la sécurité informatique.
Pour l'avenir, nous estimons que les principales forces seront la poursuite de
l'expansion de la surface d'attaque, la sophistication accrue des attaquants,
le coût croissant des compromissions, le manque d'intégration des technologies
de sécurité et la pénurie d'experts en sécurité qualifiés pour garantir une
riposte efficace.
Dispositifs vestimentaires, gadgets, sondes et autres appareils connectés
à Internet : tous créent de nouvelles connexions et font apparaître de nouvelles
vulnérabilités. Chaque nouveau produit qui se connecte à Internet est confronté
à l'efficacité redoutable des menaces actuelles, et il nous reste un long chemin
à parcourir avant de combler notre retard sur les attaques en termes de vitesse
et de complexité. Il est essentiel que nous intégrions la sécurité dans les couches
matérielles et logicielles pour que les nouveaux produits réussissent à gagner la
confiance des utilisateurs. Fort heureusement, de nouveaux outils de sécurité sont
commercialisés et les entreprises de toutes tailles sont de plus en plus conscientes
de l'importance d'une cybersécurité adéquate.
L'économie des données personnelles sera une véritable aubaine pour les
consommateurs qui vont dégager de plus en plus de valeur de leurs activités
et leurs informations. Néanmoins, comme ces données et leur valeur potentielle
suscitent la convoitise, le respect de la vie privée pourrait sérieusement en pâtir.
De plus, les initiatives réglementaires autour de ces données risquent d'entraver
l'innovation et les libertés individuelles. De fait, les entreprises et organisations
de tous types feront pression pour faire entendre leur point de vue et réduire leur
responsabilité en cas de compromission. La sécurité informatique se détournera
de plus en plus du modèle de dépenses d'investissement au profit d'un modèle
continu et prévisible de frais d'exploitation et d'externalisation, couplé à des
services d'assurance et de gestion des risques.
Enfin, certains États continueront d'élargir la portée de leurs capacités de
cyberguerre et d'en accroître la sophistication. Ils mèneront des offensives de
cyberguerre froide et ouverte qui influenceront les relations politiques et les
structures de pouvoir de par le monde. Par ailleurs, leurs outils se diffuseront aux
organisations criminelles ainsi qu'à d'autres groupes motivés par des objectifs
malveillants ou économiques ou fauteurs de trouble.
Heureusement, il existe des signes encourageants. Le secteur de la sécurité et de
nombreux organismes publics jugent leur collaboration plus facile, ce qui se traduit
par des progrès dans la détection et le blocage des cybermenaces. De plus, les
recherches en matière de vulnérabilités et de sécurité continuent de se développer,
avec pour résultat une identification plus précoce des exploits. De grandes
entreprises spécialisées dans les technologies, notamment Intel, ont constitué
des équipes hautement qualifiées de recherche et développement en sécurité qui
continueront à améliorer l'efficacité des outils pour la protection, la détection et la
neutralisation des attaques.
Partager ce rapport
Prévisions 2016
en matière
de menaces —
McAfee Labs
Matériel
Automobiles
Logiciels
de demande
de rançon
(ransomware)
Entrepôts de
données volées
Vulnérabilités
Cyberespionnage
Systèmes de
paiement
Cyberactivisme
Attaques via
les systèmes
du personnel
Services de cloud
Dispositifs
vestimentaires
Intégrité
Infrastructures
critiques
Partage de
cyberveille sur
les menaces
Prévisions 2016 en matière de menaces — McAfee Labs
Matériel
Dans le contexte de ces prévisions,
les menaces visant le matériel
incluent les attaques contre les
micrologiciels, le BIOS et l'UEFI
(sous le système d'exploitation)
qui affectent ou exploitent
directement les composants
matériels du système.
L'année 2015 marque un changement radical dans les attaques centrées sur le
matériel. Une pléthore d'études universitaires et de preuves de concept ont été
publiées sur le sujet et les différents acteurs du secteur de la sécurité ont mis au
jour de nombreuses attaques ciblant le matériel.
Dans le cas des attaques d'Equation Group révélées plus tôt dans l'année, il est
intéressant de noter que les composants malveillants découverts étaient vieux
de plusieurs années. C'est un exemple parmi tant d'autres de malware hautement
sophistiqué et agissant à très bas niveau qui est basé sur du code relativement
ancien selon les critères des auteurs de logiciels malveillants. De fait, Flame,
Duqu et d'autres menaces de ce type utilisaient, elles aussi, des « vieux »
logiciels malveillants.
En ce qui concerne Equation Group, leurs logiciels malveillants sont capables de
reprogrammer les micrologiciels des disques durs et disques électroniques et de
persister en dépit des efforts déployés pour les éliminer à un niveau supérieur —
notamment par la réinstallation du système d'exploitation et le reformatage
des disques. Cette attaque illustre parfaitement comment un pirate tire parti
d'une connaissance approfondie des micrologiciels et du code de référence
de fabricants spécifiques pour assurer la persistance des logiciels malveillants.
Non seulement cette tendance devrait perdurer en 2016, mais tout laisse penser
que les spécialistes des menaces découvriront d'autres attaques persistantes
de ce type dès lors qu'ils en sauront davantage sur les différents mécanismes
intervenant dans les menaces actuelles.
L'UEFI (Unified Extensible
Firmware Interface) est une
interface micrologicielle extensible
unifiée, destinée aux PC et conçue
pour remplacer le BIOS. Cette
norme a été développée par
plus de 140 sociétés du secteur
des technologies, membres du
Forum UEFI.
Les attaques contre le matériel sont amplifiées par l'émergence des outils
d'attaque commerciaux. 2015 marque également la découverte du premier rootkit
commercial pour UEFI, code source inclus. Hacking Team, à qui l'on doit ce rootkit,
propose une plate-forme appelée Remote Control System qui inclut ce module de
rootkit. Certains éléments de l'outil ont déjà été modifiés pour lancer des attaques.
La distribution du code source a permis aux attaquants de personnaliser et
d'adapter facilement la menace pour la conformer à leurs objectifs. Des copies du
code et d'autres outils similaires devraient suivre en 2016.
Il existe d'autres recherches et projets semblables, dont le NSA Playset. Une fois
encore, ces outils ne sont pas neufs ; les attaquants peuvent néanmoins les adapter
pour réaliser leurs visées malveillantes, ce qu'ils continueront à faire. Persister
sous le système d'exploitation, une couche généralement bien protégée par les
contrôles de sécurité classiques, offre des perspectives très intéressantes pour tous
les auteurs de menaces, quelles que soient leurs compétences et qu'il s'agisse de
simples cybercriminels ou d'États.
Les attaques visant les micrologiciels système posent un risque grave lorsqu'elles
sont associées au cloud ou aux fournisseurs de services de cloud. En 2015, l'équipe
ATR d'Intel a montré comment avoir accès aux machines virtuelles adjacentes au
moyen de plusieurs vecteurs, dont les rootkits pour micrologiciels ou de simples
erreurs de configuration. Des menaces similaires à l'attaque S3 Boot Script peuvent
être adaptées pour en faire des attaques réelles. Dans bon nombre de cas, il suffit
d'exploiter des erreurs de configuration au niveau de l'UEFI ou du BIOS.
À l'avenir, nous devrons porter une attention particulière aux composants
système situés sous le système d'exploitation et appréhender parfaitement les
modes d'exploitation possibles de ceux-ci dans le cadre d'attaques. Les contrôles
destinés à contrer les attaques visant les composants situés sous le système
d'exploitation incluent des outils tels que CHIPSEC, et des technologies comme
Intel iKGT (Kernel Guard Technology) et Intel BIOS Guard.
— Jim Walter
Partager ce rapport
Logiciels de demande de rançon
(ransomware)
Les logiciels de demande de rançon, ou ransomware, resteront une menace
majeure, en croissance rapide en 2016. Avec l'arrivée de nouvelles variantes et le
succès du modèle commercial « RaaS », soit le ransomware proposé sous forme
de service, l'essor de ces logiciels, entamé au troisième trimestre 2014, devrait se
poursuivre en 2016.
En 2015, notre équipe a découvert des services RaaS hébergés sur le réseau Tor,
payables en monnaie virtuelle. Selon nous, leur popularité devrait encore grandir
en 2016, dès lors que les cybercriminels inexpérimentés feront appel à ces
services tout en bénéficiant d'un relatif anonymat.
Bien que l'univers des ransomwares soit actuellement dominé par quelques
familles, dont CryptoWall 3, CTB-Locker et CryptoLocker, nous anticipons
l'émergence de nouvelles variantes et familles dotées de fonctions furtives inédites.
Ainsi, on peut imaginer que ces nouvelles variantes commencent à chiffrer les
données de façon silencieuse. Ces fichiers chiffrés seront sauvegardés et lorsque
l'attaquant retirera la clé au bout d'un certain temps, les fichiers seront chiffrés tant
sur le système que dans les sauvegardes. D'autres nouvelles variantes pourraient
utiliser des composants du noyau pour se connecter au système de fichiers et
chiffrer les fichiers à la volée, au fur et à mesure que l'utilisateur y accède.
Nouveaux échantillons des grandes familles de ransomware
25 000
20 000
15 000
10 000
5 000
0
4e trim.
2013
1er trim.
CTB-Locker
2e trim.
3e trim.
2014
CryptoWall
4e trim.
1er trim.
Teerac
2e trim.
2015
3e trim.
CryptoLocker
Partager ce rapport
Les groupes à l'origine de la plupart des campagnes actuelles de demande de
rançon recherchent un profit rapide. Ils utilisent des campagnes de spam et des
kits d'exploits comme Angler et ciblent les pays prospères dont les habitants
ont les moyens de payer les rançons. Selon nos prévisions, cette tendance
devrait se poursuivre en 2016 et les auteurs de ces campagnes pourraient se
tourner vers certains secteurs industriels, dont la finance et les administrations
publiques, qui n'auront d'autre choix que payer les rançons pour rétablir leurs
services critiques. En fait, nous avons déjà observé des attaques très efficaces
contre ces secteurs. En général, seuls les fichiers Microsoft Office, Adobe PDF et
graphiques sont visés. Pour 2016, nous anticipons un élargissement des formats
de fichier pris pour cible, dont ceux utilisés dans les environnements d'entreprise.
Les attaques contre Microsoft Windows se poursuivront et les logiciels de
demande de rançon commenceront également à cibler les systèmes Mac OS X
en 2016 compte tenu de leur popularité grandissante.
Le rapport 2015 prévoyait que le ransomware s'en prendrait aux services
cloud et mobiles mais jusqu'à présent, cette prévision ne s'est pas réalisée,
les tentatives d'attaque restant rares dans ces domaines. Même si les utilisateurs
conservent des fichiers personnels sur leurs téléphones mobiles, il est assez
simple de restaurer des fichiers chiffrés ou endommagés à partir du service de
cloud du fournisseur d'applications ou d'une sauvegarde locale.
— Christiaan Beek
Vulnérabilités
Les vulnérabilités des applications restent problématiques pour les développeurs
de logiciels et leurs clients. Adobe Flash est sans doute le produit le plus
souvent pris pour cible. Les vulnérabilités Flash, notamment CVE-2015-0311 et
CVE‑2015‑0313, représentent près d'un tiers de toutes les attaques « jour zéro »
découvertes par les entreprises spécialisées en sécurité en 2014 et 2015. Même
si Flash a mauvaise réputation, Adobe corrige rapidement ses failles. Selon nous,
l'attrait pour ce vecteur d'attaques (spécialement les attaques lancées à l'aide
de kits d'exploits) diminuera au cours de l'année à venir en raison des nouvelles
fonctions de prévention introduites dans un récent correctif de Flash Player.
Ces fonctions permettent de neutraliser la méthode d'exploitation « Vector
Spray ». La sécurité de Flash s'en trouve renforcée et son exploitation est plus
difficile. Mais aucune méthode de prévention ou de réduction des risques n'est
parfaite. Comme la qualité et la complexité du code de Flash n'ont pas changé,
les vulnérabilités Flash perdureront. Selon nos prévisions, certaines preuves de
concept validées du contournement des mesures de prévention devraient voir
le jour en 2016.
Certains développeurs réclament le remplacement de Flash par HTML5 et la
désactivation par défaut de Flash bientôt incluse à Google Chrome risque de
poser problème. Mais l'abandon de Flash n'est pas encore à l'ordre du jour.
Internet héberge encore un volume considérable d'anciens contenus Flash,
tout au moins pour les ordinateurs (mais pas pour les équipements mobiles).
De notre avis, cela n'est pas prêt de changer.
Attaques de type « jour zéro »
par application vulnérable en 2014 et 2015
Adobe Flash
Adobe Reader
12 %
2%
6%
34 %
Microsoft Internet
Explorer
Microsoft Office
Noyau/composant du
système d'exploitation
Windows
16 %
6%
6%
18 %
Oracle Java
Système d'exploitation
non Windows
Autres
Partager ce rapport
En ce qui concerne Internet Explorer, les vulnérabilités sont plus rares qu'il y a
quelques années, même si nous observons encore de temps à autre des exploits
tels que CVE-2015-2425 et CVE-2014-1815. Ce déclin s'explique essentiellement
par les récentes mesures de prévention qui augmentent le coût de l'exploitation
et la situation ne devrait pas beaucoup évoluer en 2016. Cela étant, même si
Microsoft ne cesse d'ajouter de nouvelles défenses à Internet Explorer (mode
protégé amélioré, VTGuard, protection du flux de contrôle, segment de mémoire
isolé, protection de la mémoire, etc.), les attaquants trouvent souvent le moyen
de les contourner. De nombreuses astuces pour contourner ces fonctions sont
publiées. Dès lors, ce n'est jamais qu'une question de temps avant que des
attaques de type « jour zéro » contournant les dernières protections d'Internet
Explorer ne fassent leur apparition.
Que dire du nouveau navigateur Microsoft Edge inclus dans Windows 10 ?
Compte tenu de l'extension de sa surface d'attaque (due à la prise en charge
de nouveaux standards web) et des fonctions de prévention nouvelles ou
améliorées (telles que le récupérateur de mémoire), nous anticipons une
confrontation intéressante entre les deux camps. Edge sera-t-il aussi vulnérable
que ne l'était Internet Explorer ? Selon nous, toutes les vulnérabilités n'auront
pas disparu mais elles seront plus difficiles à exploiter.
Les exploits Java, PDF et Office sont en net recul depuis quelques années.
Nous n'avons découvert qu'un seul exploit Java de type « jour zéro »
(CVE‑2015‑2590) au cours des deux dernières années. Cette rareté est à mettre
au compte des améliorations de sécurité apportées à l'environnement JVE
(Java Runtime Environment).
Le nombre d'attaques critiques de type « jour zéro » contre Office ces dernières
années est faible. Néanmoins, elles sont très dangereuses pour les environnements
informatiques des entreprises. Lors de la conférence Black Hat USA 2015, nous
avons présenté notre étude sur la sécurité du système OLE (Object Linking and
Embedding), une fonction importante utilisée par les documents Office. L'étude
révèle qu'OLE possède une surface d'attaque importante et devrait dès lors rester
une cible de choix pour les attaquants. Les méthodes de détection et de protection
actuelles face aux attaques ciblant les vulnérabilités d'Office ne sont pas encore
assez efficaces (par exemple des documents Office chiffrés peuvent être utilisés
pour contourner la détection). En conséquence, nous anticipons une hausse des
attaques contre Office au cours de l'année à venir.
Nous nous attendons tout particulièrement à une exploitation des vulnérabilités
récemment découvertes dans d'autres systèmes que Windows. De plus en plus,
les systèmes embarqués, l'Internet des objets (IoT) et les logiciels d'infrastructure
deviendront la cible de menaces avancées et d'attaques de type « jour zéro ».
Ces cibles incluent des variantes d'Unix, des plates-formes de smartphones
très populaires, des systèmes spécifiques à l'IoT (notamment Tizen et Project
Brillo) ainsi que les composants et bibliothèques de base sous-jacents (Glibc,
OpenSSL, etc.) Les bibliothèques et les composants de base largement utilisés,
notamment les outils open source, ne sont pas aussi sécurisés qu'ils devraient
l'être. L'examen des attaques critiques de type « jour zéro » de ces deux dernières
années montre qu'un grand nombre d'entre elles sont liées à des vulnérabilités
présentes dans les logiciels open source, par exemple CVE-2015-0235 (GHOST),
et à des problèmes touchant OpenSSL (CVE-2015-1793, CVE-2014-3566,
et CVE-2014-0160). Selon nous, les menaces à l'encontre des systèmes non
Windows devraient se multiplier en 2016.
— Bing Sun et Haifei Li
Systèmes de paiement
Par le passé, il était si simple de faire des achats. Il vous suffisait pour cela d'avoir
assez d'argent en poche. Aujourd'hui, par contre, les méthodes de paiement
alternatives se multiplient à un rythme effréné. Bitcoins, ApplePay, cartes de
crédit, cartes de débit, services de paiement en ligne : le choix est vaste. Le rapport
Le blanchiment numérique — Analyse des monnaies virtuelles et de leur utilisation
à des fins criminelles de 2013 s'intéressait aux principales plates-formes de
monnaies électroniques et virtuelles disponibles à l'époque. D'après Wikipédia,
il existe à présente plus de 740 cryptomonnaies ! Wikipedia recense également
plus de 60 systèmes de paiement en ligne.
Du point de vue de la sécurité, nous accordons une grande attention aux
vulnérabilités associées aux transactions par carte de crédit et de débit. C'est tout
à fait logique dans la mesure où la plupart des transactions numériques utilisent
ces modes de paiement. Toutefois, face à la multiplication des méthodes de
paiement alternatives, la surface d'attaque a considérablement augmenté et offre
aux cybercriminels un large éventail de cibles.
Les cybercriminels innovent peu en termes de méthodes d'attaques associées
aux cartes de crédit et de débit. La plupart emploient des tactiques de vol de
cartes utilisées depuis dix ans, en ciblant les mécanismes de paiement ou les
bases de données contenant les renseignements relatifs aux cartes. Dès qu'ils
sont en possession des données des cartes, ils les vendent le plus rapidement
possible et empochent leurs bénéfices.
Toutefois, aujourd'hui, la situation est en passe de changer. Face à la pléthore
de méthodes de paiement, dont la plupart exigent des noms d'utilisateur et des
mots de passe, les identifiants revêtent désormais une très grande valeur.
Pour s'emparer de ces identifiants, les cybercriminels ciblent directement les
consommateurs car ils sont à la fois la source de ces identifiants et le maillon
faible du processus de paiement.
En ce qui concerne les systèmes de paiement, nous devrions voir en 2016 un
nombre croissant d'attaques ayant pour but le vol et la revente d'identifiants.
Selon nous, les cybercriminels continueront à tirer parti de mécanismes classiques
et éprouvés, par exemple les attaques par phishing et les enregistreurs de frappes,
mais de nouvelles méthodes émergeront également. Nous anticipons aussi que
les vols liés aux systèmes de paiement poursuivront leur inexorable progression.
— Raj Samani
Partager ce rapport
Attaques via les systèmes du personnel
La fréquence des attaques fortement médiatisées continuera d'augmenter.
Cette année, nous avons assisté à des attaques majeures contre de très grandes
entreprises, des organismes publics et même des sites de rencontre (Ashley
Madison). Les pirates ne se contentent plus de dégrader les pages d'accueil.
Au cours de la seule année 2015, des millions de personnes se sont fait voler
leurs informations personnelles, notamment des numéros de carte de crédit,
des numéros de sécurité sociale et des adresses. Malheureusement, tout laisse
penser que cette tendance perdurera.
Les piratages de ces dernières années ont mis la sécurité informatique à l'ordre
du jour des conseils d'administration : c'est désormais un sujet pris très au
sérieux par les cadres dirigeants. Nous assistons actuellement à une hausse des
dépenses en sécurité. Bien que les fonds ne soient pas toujours dépensés à bon
escient, nous prévoyons une augmentation des investissements en sécurité dans
la plupart des entreprises. Les petites entreprises n'investiront pas simplement
dans les technologies mais également dans la formation, la sensibilisation
et l'embauche de personnel.
Qu'est-ce que cela signifie pour les cyberpirates ? Si une entreprise possède
les technologies les plus récentes et un personnel avisé, capable de mettre en
place des stratégies efficaces et de rester vigilant, leur tâche n'en sera que plus
compliquée. Quoi qu'il en soit, jamais les cybercriminels ne baisseront les bras :
■■
■■
■■
Ils redoubleront d'efforts. Aucune sécurité n'est infaillible. Si les
pirates veulent vraiment vos données, ils trouveront les moyens de
se les approprier. Toutefois, avec un personnel bien informé et des
technologies efficaces en place, il leur faudra investir beaucoup plus
de temps et d'efforts pour parvenir à leurs fins.
Ils s'en prendront à d'autres. Si elles utilisent mal le budget dont elles
disposent, par exemple en achetant les dernières technologies mais
sans recruter les effectifs supplémentaires requis pour les gérer, les
entreprises continueront d'être des proies (relativement) faciles pour
les pirates.
Ils s'en prendront aux employés à leur domicile et lors de leurs
déplacements. Si les attaquants ont décidé de s'emparer de vos
données mais se trouvent bloqués à chaque tentative de pénétration
du centre de données de l'entreprise, les systèmes relativement
peu sécurisés au domicile du personnel deviendront leur prochaine
cible logique.
Accéder à l'entreprise par l'intermédiaire d'employés en dehors du réseau
protégé n'a rien de nouveau. L'une des premières attaques fortement médiatisées
(l'opération Aurora) a eu lieu en 2009. Depuis lors, les médias ont rapporté
de nombreuses attaques réussies contre des réseaux d'entreprise dues à la
compromission d'un ordinateur portable professionnel se connectant d'un café
ou d'un hôtel, ou d'un équipement personnel au domicile d'un collaborateur.
Plusieurs études montrent que le nombre d'attaques continue d'augmenter.
L'année prochaine, nous devrions assister à au moins une attaque majeure, sinon
plus, initiée grâce à la compromission d'un équipement personnel ou professionnel
d'un employé connecté à partir d'un endroit non sécurisé, par exemple un hôtel
ou un café. Étant donné les possibilités d'exploitation récemment mises en lumière
par la vulnérabilité Stagefright, il faut s'attendre à ce que les logiciels malveillants
et autres APT utilisent aussi les équipements Android comme portes d'accès aux
environnements sécurisés.
Partager ce rapport
Cette menace devrait inciter les équipes informatiques à s'interroger sur la
sécurité et ce qu'elle sous-entend réellement. Il ne suffit pas de s'inquiéter
uniquement de la sécurité du réseau de l'entreprise. Une approche intelligente
se doit d'élargir la protection aux domiciles des employés.
À l'heure actuelle, la plupart des entreprises fournissent à leur personnel un logiciel
VPN qui permet de sécuriser la connexion au réseau d'entreprise. C'est un excellent
moyen de s'assurer que la communication entre l'équipement professionnel du
collaborateur et le bureau est sûre. Toutefois, la plupart des utilisateurs accèdent
à Internet à partir de plusieurs équipements. Même si un ordinateur portable
d'entreprise est sécurisé, qu'en est-il des systèmes personnels de l'employé ?
Alors que bon nombre de sociétés déploient des pare-feux, des passerelles web,
des passerelles de messagerie, des solutions IPS et d'autres technologies pour
sécuriser leur infrastructure, les équipements utilisés au domicile ne possèdent
pas toujours de solution antimalware et rarement de pare-feu ou de passerelle.
Cette protection très lacunaire du domicile l'expose à des attaques dirigées contre
l'entreprise.
Dans un avenir proche, nous pensons que les entreprises fourniront des
technologies de sécurité plus avancées à leurs employés pour protéger leurs
équipements personnels et les préserver des menaces transmises par les réseaux
sociaux et le harponnage (spear phishing).
— Bruce Snell
Services de cloud
Les services de cloud axés sur l'entreprise se multiplient. Les sociétés ont adopté
des solutions de collaboration dans le cloud pour bénéficier des avantages
offerts par la vidéoconférence, d'un stockage des données plus rentable et de la
possibilité de se connecter à n'importe qui, n'importe quand. Cet engouement
pour les services et le stockage dans le cloud se généralise dans un environnement
d'entreprise mondial de plus en plus connecté.
Le caractère extrêmement confidentiel des données d'entreprise partagées
sur ces plates-formes et services est alarmant : stratégies d'entreprise, état du
portefeuille de la société, innovations, données financières, fusions et cessions
d'actifs, données du personnel et bien plus encore.
Comme les services de cloud de ce type hébergent souvent ou servent à
transmettre des secrets commerciaux, ils représentent des cibles de choix pour
les cybercriminels, les concurrents et les États. Les clients de ces services sont
à la merci des contrôles de sécurité déployés par le service d'hébergement et ont
peu de visibilité sur le niveau de sécurité des fournisseurs de services.
Il y a peu, des pirates se sont introduits dans les systèmes informatiques d'une
grande agence de presse et ont volé des informations confidentielles qu'ils ont
utilisées pour réaliser des transactions boursières illégales et générer ainsi des
millions de dollars de bénéfices tout aussi illégaux.
Le piratage et la divulgation d'informations clients sensibles volées sur le site
de rencontre en ligne Ashley Madison, relatés par Fortune, Krebs on Security
et d'autres, ont causé beaucoup d'embarras et de problèmes à toutes les parties
concernées. Cette compromission a réussi à exploiter des failles dans la sécurité
du site.
Toute l'année a été émaillée de compromissions de données entraînant la
divulgation d'informations sur le personnel (dont des e-mails et des informations
salariales) et de vols d'informations confidentielles rendues ensuite publiques.
Personne n'est à l'abri de telles attaques ; même la très controversée Hacking
Team a été prise pour cible cet été.
Avec ou sans le consentement de l'équipe informatique, la plupart des
entreprises utilisent des services de collaboration dans le cloud gratuits ou à bas
prix. Malheureusement, elles ignorent souvent les mesures de sécurité mises
en place par ces services ainsi que les risques de piratage et de divulgation des
données. Qu'ils utilisent la vidéoconférence et la messagerie vocale, les outils
de gestion de projets, les sites de stockage des données ou les applications
hébergées dans le cloud, les employés peuvent faire courir des risques à
l'entreprise lorsqu'ils accèdent aux données d'entreprise ou qu'ils les stockent
sur des sites tiers qui n'offrent pas un contrôle adéquat de la sécurité. Ces sites
s'exposent alors à des attaques de leur infrastructure principale, dans le but de
voler des informations ou d'écouter des conversations privées, dont vos réunions
par vidéoconférence.
Un fournisseur de services de cloud doit toujours rester vigilant face aux
menaces émergentes et adapter ses contrôles de sécurité aux techniques en
constant progrès des pirates informatiques. La protection des services de cloud
exige une approche globale en matière de contrôles de sécurité, notamment
en prévision des tactiques d'ingénierie sociale. Elle nécessite par ailleurs
l'implémentation d'un niveau de chiffrement élevé et un contrôle de l'accès
réservé aux seuls utilisateurs autorisés.
À la lumière de ces exemples, il faut s'attendre à ce que les cybercriminels,
les concurrents peu scrupuleux, les cyberjusticiers et les États ciblent de plus
en plus les plates-formes de services de cloud pour s'emparer d'informations
confidentielles en vue d'en retirer un avantage concurrentiel, financier
ou stratégique.
— Jeannette Jarvis
Ces deux dernières années, l'Internet des objets a connu un essor exceptionnel.
À ses débuts, il s'agissait avant tout de rendre des équipements et produits
existants plus « intelligents » en y incorporant l'informatique et la connectivité
sans fil. Les téléviseurs intelligents et l'habitation connectée étaient, à cet
égard, deux domaines très prometteurs. Récemment, nous avons observé une
progression rapide du nombre de dispositifs vestimentaires, dont les capteurs
d'activité, les montres intelligentes et autres appareils portables. (J'en porte deux
au moment où j'écris cet article.)
Si, aujourd'hui, l'attention se porte surtout sur l'Apple Watch, nous pensons que
les dispositifs vestimentaires en général vont se multiplier, grâce à un secteur en
plein essor, emmené par des marques connues comme Fitbit et Pebble. Selon
ABI Research, ces sociétés établies et leurs émules devraient commercialiser
environ 780 millions de dispositifs vestimentaires d'ici 2019, ce qui représente
un dispositif pour une personne sur dix. En tenant compte du fait qu'ils seront
moins répandus dans les pays en développement, une personne sur quatre ou
cinq dans les pays plus riches portera ce type de dispositif.
Pour le pirate informatique, ces pays densément peuplés représenteront un
environnement très favorable aux attaques. Même si la compromission d'un
dispositif vestimentaire n'offre pas un avantage immédiat à un pirate (quoique
la collecte des données GPS puisse favoriser le harponnage), sa véritable valeur
réside dans la connexion du dispositif à un smartphone.
La plupart de ces dispositifs se contentent de collecter des données, puis de les
transmettre à l'application d'un smartphone ou d'une tablette en vue de leur
traitement. Ils utilisent généralement la technologie Bluetooth LE (Low Energy),
qui présente une série de failles de sécurité importantes bien documentées
et dont chaque nouvelle version risque d'en produire d'autres. (Je vous
recommande les recherches menées par Mike Ryan sur le sujet.) Bluetooth est le
maillon faible.
Partager ce rapport
Surfaces d'attaque des dispositifs vestimentaires
■
Noyau du système d'exploitation
■
Logiciels de mise en réseau/Wi-Fi
■
Interface utilisateur
■
Mémoire
■
Système de stockage et fichiers locaux
■
■
Logiciels de contrôle d'accès
ou de sécurité
Applications de contrôle et de machines
virtuelles dans le cloud
■
Applications web
■
Mémoire
■
Système de stockage et fichiers locaux
■
Logiciels de contrôle d'accès ou de sécurité
Le code mal écrit du dispositif vestimentaire créera une porte dérobée
(backdoor) dans votre smartphone. Au départ, il est peu probable qu'une attaque
d'un dispositif vestimentaire parvienne à compromettre complètement un
smartphone. Toutefois, nous pensons qu'au cours des 12 à 18 mois qui viennent,
les tactiques développées pour compromettre les applications de contrôle de
ces dispositifs permettront de recueillir des renseignements précieux qui seront
exploités dans le cadre d'attaques de harponnage (spear phishing).
On pourrait imaginer le scénario suivant : les données GPS sont collectées dans
une application de course à pied connectée à un capteur d'activité. Un spécialiste
en spear phishing pourrait utiliser ces données pour rédiger un e-mail que vous
seriez plus enclin à ouvrir. Si vous vous arrêtez dans un café après votre jogging,
un attaquant pourrait utiliser les données GPS pour vous envoyer un e-mail vous
signalant la perte d'un objet vous appartenant dans ce café et inclure un lien vers
un fichier image infecté.
Si les dispositifs vestimentaires peuvent inciter les gens à interagir davantage
avec le monde qui les entoure plutôt de rester collés à l'écran de leur ordinateur
portable ou téléphone, ils posent également un risque de sécurité croissant dès
lors que leur adoption se généralise.
— Bruce Snell
Automobiles
Les attaques contre les systèmes automobiles s'accentueront rapidement en
2016 en raison de l'augmentation rapide des systèmes connectés embarqués
dans l'automobile et dépourvus d'une véritable sécurité intégrée. Même les
voitures ont besoin d'une défense en profondeur multiniveau pour réduire
le risque et l'impact d'une cyberattaque. Les véhicules sans conducteur peu
sécurisés et les autoroutes intelligentes augmenteront encore les risques posés
aux conducteurs et aux passagers en 2017 et au-delà, ce qui se traduira sans
doute par la perte de vies humaines.
Partager ce rapport
D'après le rapport sur la voiture connectée du site d'information Business
Insider, 220 millions de véhicules connectés seront sur les routes d'ici 2020.
Le portail d'analyse Statista, citant un rapport de McKinsey, prévoit que 12 %
des voitures seront connectées à Internet d'ici 2016. Il révèle par ailleurs que
les consommateurs souhaitent surfer sur Internet à partir d'un écran installé
dans la voiture (57 %) et bénéficier d'une fonction d'identification automatique
des feux de circulation, d'informations sur les embouteillages et les accidents
(52 %), d'un système d'arrêt du véhicule par le passager (51 %), d'un système
anticollision avant/arrière (45 %), d'une caméra de vision nocturne (42 %),
d'un dispositif de détection de fatigue (41 %) et d'un accès aux réseaux sociaux
dans le véhicule (40 %). Toutes ces fonctions exigent la présence de logiciels
et de matériel embarqués pour se connecter à des systèmes externes de façon
sécurisée et éviter ainsi les actions indésirables ou non autorisées susceptibles
de mettre la vie des passagers du véhicule en danger.
Surfaces d'attaque des automobiles
Smartphone
UCE
du système
d'accès
au véhicule
Récepteur DSRC
UCE
(V2X)
USB
des airbags
Application
OBD ||
Bluetooth
Clé à télécommande
de type
Système
liaison distante
d'entrée
passif sans clé
UCE
des systèmes
de direction
et de freinage
UCE
TPMS
du système
d'aide à la conduite
UCE
UCE
du système
du moteur
d'éclairage
et de la boîte
de vitesses (intérieur et extérieur)
Les quinze surfaces d'attaque les plus exposées au piratage, dont plusieurs systèmes de
commande électroniques, sur un véhicule de nouvelle génération
Dans le cadre de l'intégration et de l'interconnexion des systèmes du véhicule, le
rapport Automotive Security Best Practices (Les bonnes pratiques de sécurité dans
le secteur automobile) d'Intel Security recommande une conception de sécurité
incluant des fonctionnalités telles que « l'amorçage sécurisé, des environnements
d'exécution approuvés, une protection contre les manipulations, l'isolement des
systèmes de sécurité critiques, l'authentification des messages, le chiffrement du
trafic réseau, la confidentialité des données, la surveillance des comportements,
la détection des anomalies et le partage de cyberveille sur les menaces. » À l'heure
actuelle, peu de véhicules connectés sont équipés de ces fonctions de sécurité
ou n'en possèdent qu'une partie. En août, plusieurs chercheurs en sécurité ont
démontré qu'il était possible de pirater différents types de véhicules connectés,
dont une Jeep Cherokee, par l'envoi, via le système multimédia de la voiture,
de commandes aux fonctions du tableau de bord, à la direction, aux freins et à la
transmission, le tout à partir d'un ordinateur portable distant.
Partager ce rapport
Même sur les systèmes sécurisés, il est toujours possible de découvrir un
bogue ou une vulnérabilité. Dès lors, il faudrait disposer d'une solution capable
d'effectuer une mise à jour à distance du logiciel pour corriger le problème.
Apparemment, les mises à jour à distance ne sont pas possibles sur certaines
Cherokee et plusieurs modèles Dodge et Chrysler puisque la société mère a publié
un rappel de sécurité concernant 1,4 million de véhicules aux États-Unis après
que les chercheurs en sécurité ont rendu publics les résultats de leurs recherches.
Le seul constructeur capable d'effectuer des mises à jour logicielles à distance
semble être Tesla, qui a distribué un correctif à distance après que des chercheurs
ont divulgué une vulnérabilité lors de la conférence Def Con 23.
Jusqu'à présent, les chercheurs ont agi de manière responsable en communiquant
aux constructeurs les vulnérabilités identifiées. En 2016, nous nous attendons
à ce que les chercheurs en sécurité découvrent d'autres vulnérabilités dans
les systèmes automobiles. Il est également probable que des cybercriminels
identifient et exploitent des vulnérabilités de type « jour zéro », susceptibles
de mettre en péril la vie des gens, d'affecter la sécurité routière et de créer une
congestion dans les transports.
Les automobiles seraient déjà exposées à certains risques. Des menaces qui ne
concernent pas directement la sécurité mais plutôt la vie privée du propriétaire
du véhicule (suivi de sa localisation, enregistrement de vidéos à l'aide des caméras
de la voiture) pourraient déjà être en circulation. Selon nous, 2016 marquera le
début des campagnes d'attaque qui pourraient bien n'être découvertes que bien
longtemps après l'infection initiale.
— Carlos Castillo, Cedric Cochin et Alex Hinchliffe
Entrepôts de données volées
En raison de l'efficacité des composants de sécurité tels que les pare-feux,
les passerelles et les produits de protection des terminaux contre les attaques
courantes dans les environnements d'entreprise, les cybercriminels cherchent
de nouvelles techniques pour contourner ces technologies. L'une d'elles consiste
à collecter et à utiliser des identifiants valides. Les cybercriminels peuvent se les
approprier en exploitant des vulnérabilités ou en les achetant sur les marchés
clandestins du Web.
Forts de ces identifiants, les pirates peuvent échapper à la détection des solutions
de sécurité car ils se présentent comme des utilisateurs valides. Souvent, le seul
indice est leur comportement. Le comportement de l'utilisateur est-il normal ou
suffisamment inhabituel pour attirer l'attention ? Alors que le secteur de la sécurité
travaille sans relâche au développement de fonctions de détection basées sur les
comportements à l'aide des Big Data et des technologies d'analyse avancée, leurs
adversaires profitent du manque actuel d'outils de détection des comportements
en adoptant des techniques d'attaque furtives. Cette tendance se poursuivra en
2016 et au-delà, jusqu'à ce que les technologies de détection des comportements
soient en place et capables de détecter les activités inhabituelles.
En 2015, d'importants volumes de données ont été dérobés aux entreprises
et au secteur public. Certains dossiers volés avaient relativement peu de valeur,
mais d'autres sont probablement conservés en lieu sûr avant d'être utilisés dans
des attaques à venir. Qui plus est, l'établissement de liens entre les diverses
séries de données volées peut accroître la valeur de celles-ci pour les pirates.
Que se passerait-il si les données volées à un prestataire de soins de santé sur
les patients et les donneurs, au site Madison Ashley et au Bureau de la gestion
du personnel des États-Unis étaient combinées et stockées dans un entrepôt de
données hébergé dans le cloud ? Elles pourraient être utilisées pour se livrer à du
chantage, générer de nouveaux identifiants ou usurper les identités.
Cette accumulation de données volées dure depuis deux ans. Nous anticipons le
développement d'un important marché clandestin d'informations d'identification
personnelle et d'identifiants en 2016. Des entrepôts clandestins spécialisés
feront leur apparition et proposeront des données personnelles volées, des
identifiants compromis ainsi que des renseignements sur les infrastructures issus
de différentes sources. Les cybercriminels adeptes du Web clandestin (Dark Web)
seront en mesure de sélectionner et d'acheter des ensembles de données
spécifiques qu'ils utiliseront dans leurs prochaines attaques.
— Christiaan Beek
Partager ce rapport
Intégrité
La seule constante du secteur de la cybersécurité est le changement. Il ne
cesse d'évoluer en fonction des progrès technologiques, des compétences
des attaquants, de la valeur des cibles potentielles et de l'impact des attaques.
2016 devrait marquer une nouvelle expansion des tactiques utilisées. L'un des
nouveaux vecteurs d'attaque les plus importants est la compromission de
l'intégrité des systèmes et des données.
Les attaques visant à compromettre la confidentialité et la disponibilité sont
évidentes, peu subtiles et facilement repérables. Elles s'introduisent en force
et exposent des données, provoquant au passage beaucoup d'embarras, de gêne
mais aussi des pertes. Les attaques qui cherchent à compromettre l'intégrité
des systèmes sont furtives, sélectives et peuvent avoir des effets bien plus
dévastateurs. Au lieu de causer des dégâts ou de dérober d'importants volumes
de données sensibles, elles se concentrent sur la modification de certains
éléments au sein des transactions, des communications ou des données pour
en tirer un profit considérable.
Nous avons eu l'occasion de le constater lors de plusieurs attaques sophistiquées,
commanditées par des États. Stuxnet et les logiciels malveillants Duqu, Flame,
et Gauss ont été développés pour cibler furtivement des systèmes spécifiques
et apporter des modifications de configuration mineures qui ont pourtant eu un
impact majeur sur le programme nucléaire d'une nation. Leur intention n'était
pas de détruire un ordinateur ou de collecter d'importants volumes de données.
Ils cherchaient plutôt à modifier des systèmes opérationnels pour parvenir à
leurs objectifs.
Au début de l'année 2015, ces tactiques ont été employées par des
cybercriminels pour attaquer des banques. La campagne Carbanak se
distinguait des précédents logiciels malveillants bancaires, conçus pour voler
les données des comptes bancaires et de connexion. Carbanak a compromis
furtivement une centaine de banques et permis aux attaquants de comprendre le
fonctionnement des opérations internes. Le malware s'est livré à des opérations
de reconnaissance pour le compte des pirates qui ont ensuite commencé
à modifier certaines transactions précises. Au terme de l'attaque, on a constaté
qu'un nombre très limité de comptes avait été compromis mais que l'opération
avait permis de subtiliser entre 300 millions et 1 milliard de dollars.
Les chercheurs semblent se mobiliser pour trouver des parades aux attaques
visant l'intégrité des systèmes et des données. Les récents piratages des
véhicules en sont un parfait exemple. Ce n'est pas tant l'arrêt du véhicule ou la
collecte des données qui intéresse les chercheurs, mais plutôt la modification
sélective des communications et des commandes afin de pouvoir prendre le
contrôle du véhicule ou d'en modifier le fonctionnement. L'impact de telles
manipulations peut avoir des conséquences catastrophiques.
En 2016, il faudra s'attendre à une attaque contre l'intégrité des systèmes dans
le secteur financier. Celle-ci devrait conduire au vol de millions de dollars par
des cybercriminels qui modifieront certaines données du flux de transactions
en vue de rediriger le paiement vers des comptes anonymes. La détection de ce
type d'incidents sera très difficile. En effet, les attaques mettant à mal l'intégrité
des systèmes peuvent apparaître comme des problèmes de fonctionnement,
des erreurs comptables, des problèmes d'audit, des actions d'employés
mécontents ou simplement des erreurs dues à la maladresse. Plus grave encore,
les outils, les mécanismes et les processus actuellement disponibles sont pour la
plupart incapables de détecter ce type d'attaques. Il sera très difficile de remonter
à la source de l'attaque. Les transactions de vente et de facturation dans le
secteur du détail, les documents d'identité, comme les actes de naissance et de
décès, les données fiscales, les cartes d'identité nationales, les comptes bancaires
et les transactions des guichets automatiques seront également pris pour cible.
D'autres secteurs, par exemple les dossiers médicaux, la facturation des soins,
la gestion des ordonnances dans le secteur de la santé ou encore la gestion et le
contrôle des transports (véhicules, trains et avions) suivront.
L'un des vecteurs les plus prévalents dans les attaques visant l'intégrité est sans
doute le logiciel de demande de rançon (ransomware), qui modifie uniquement
quelques fichiers et qui connaît actuellement un bel essor. Avec cette forme
permanente d'attaque par déni de service, le système reste opérationnel et
conserve toutes les données mais, comme l'intégrité est compromise, certains
fichiers deviennent inutilisables. Les attaquants exigent alors une rançon pour
rétablir l'intégrité initiale des systèmes. Ce vecteur d'attaque connaîtra aussi une
forte progression en 2016.
— Matthew Rosenquist
Cyberespionnage
L'année dernière, McAfee Labs avait prédit qu'en 2015, la fréquence et la furtivité
des attaques de cyberespionnage augmenteraient. À l'heure de la rédaction
de ce rapport, nous ignorons encore si le nombre d'actes de cyberespionnage
dépassera les 548 incidents recensés en 2014 dans le rapport d'enquête 2014
sur les compromissions de données de Verizon. Une chose est certaine :
les actes d'espionnage ont gagné en furtivité et ont un impact plus grand que les
compromissions précédentes.
Dans un cas particulièrement frappant, expliqué dans l'article de blog Stealthy
Cyberespionage Campaign Attacks With Social Engineering (Des campagnes
de cyberespionnage furtives utilisant l'ingénierie sociale), l'auteur de la menace
a eu recours à une campagne de harponnage sophistiquée pour compromettre
des cibles de la défense, de l'aérospatiale et du secteur juridique et minimiser
son empreinte grâce à l'exécution exclusive de JavaScript. L'attaquant a réussi
à développer des profils des systèmes compromis et à les exfiltrer vers des
serveurs de contrôle.
Lors d'un autre incident, un État est parvenu à compromettre les systèmes du
secteur de l'énergie d'un autre pays et à insérer des composants personnalisés
de suppression des secteurs d'amorçage maîtres, capables de désactiver ou
de détruire les systèmes et les réseaux de son ennemi. Dans ce cas-ci aussi,
le vecteur d'attaque initial semble être le harponnage (spear phishing).
Et, bien évidemment, la compromission et le vol d'environ 20 millions de
vérifications des antécédents menées par l'Office of Personnel Management des
États-Unis illustre clairement l'impact stratégique croissant du cyberespionnage.
Ces activités devraient perdurer en 2016. À titre d'exemple de techniques
spécifiques employées par les auteurs des menaces, citons les suivantes :
■■
■■
■■
Partager ce rapport
Les services légitimes, notamment l'hébergement de fichiers dans
le cloud (Dropbox, Box et Stream Nation) seront utilisés comme
serveurs de contrôle dans les campagnes de cyberespionnage à venir.
Les auteurs des menaces utiliseront les infrastructures légitimes afin
de passer inaperçus et d'échapper aux tentatives de démantèlement
de leurs ressources par les chercheurs en sécurité. Ces services de
stockage dans le cloud permettront aux logiciels malveillants d'envoyer
et de recevoir des commandes sans attirer l'attention mais aussi
de contourner les défenses des passerelles en s'associant au trafic
légitime, ce qui permettra de prolonger la campagne.
L'utilisation du réseau Tor pour anonymiser les connexions aux
serveurs de contrôle s'intensifiera dans les prochaines campagnes
de cyberespionnage. Les serveurs de contrôle seront hébergés
au sein du réseau Tor et permettront aux malwares d'établir une
connexion sans nécessiter l'installation d'un navigateur Tor sur
l'ordinateur de la victime.
Ces dernières années, les auteurs de menaces ont exploité un large
éventail de vulnérabilités présentes dans les documents Microsoft.
En 2016, nous devrions assister à l'exploitation d'autres formats que
les fichiers .ppt, .doc et .xls.
— Ryan Sherstobitoff
Cyberactivisme
Le concept du cyberactivisme n'est pas neuf. Motivé par un objectif social ou
politique clair, un groupe de cyberactivistes compétents attaque généralement
une entité très connue et utilise cette plate-forme pour faire passer son message.
Depuis plus de 20 ans, des groupes de cyberactivistes font les gros titres des
médias et ont réussi à imposer leur propre « marque ». Anonymous est sans doute
le groupe de cyberactivistes le plus connu, mais il en existe beaucoup d'autres.
Source : « Anonymous at Scientology in Los Angeles » (Manifestation d'Anonymous devant un centre de scientologie à
Los Angeles), Vincent Diamante. Publié initialement sur Flickr sous le titre « Anonymous at Scientology in Los Angeles ».
Sous licence CC BY-SA 2.0 via Commons—https://commons.wikimedia.org/wiki/File:Anonymous_at_Scientology_in_Los_
Angeles.jpg#/media/File:Anonymous_at_Scientology_in_Los_Angeles.jpg
Ces dernières années, on assiste à une évolution du phénomène en ce sens
que des acteurs sans lien avec les cyberactivistes parviennent sans grande
difficulté à associer leurs propres actions avec les groupes connus en lançant des
opérations en tous points similaires. Cette évolution tend à masquer l'idéologie
motivant les véritables actes de cyberactivisme. Prenons le cas du piratage du
site de rencontre Ashley Madison, au cours duquel un groupe inconnu a eu accès
à des données de paiement censées être supprimées, pour ensuite divulguer
les informations personnelles d'utilisateurs. Ce type d'action ne ressemble
pas vraiment à une action sociale ou politique noble et clairement définie —
fondement d'une véritable attaque de cyberactivisme.
Dans un autre cas, un groupe prétendant être Anonymous a lancé une série
de cyberattaques contre les institutions, les forces de police et les tribunaux
canadiens l'année dernière. Anonymous a démenti toute participation aux
attaques, déclarant qu'il ne cautionnait pas certains actes commis par les pirates.
Aucune explication crédible des attaques n'a été avancée.
Il est possible que ce type d'actions soit simplement l'œuvre de fauteurs de
troubles. Si c'est le cas, nous entrons peut-être dans une ère de vandalisme
d'une ampleur sans précédent. Il est également possible que leur véritable
motivation soit le cyberdélit d'entreprise classique dissimulé sous le couvert
du cyberactivisme. Il peut aussi s'agir d'actions « sous faux pavillon », comme
l'a prétendu Anonymous lors de l'attaque contre les institutions canadiennes.
Quelles que soient les véritables motivations de ces attaques, force est
de constater qu'elles entraînent des pertes financières importantes pour
leurs victimes.
Partager ce rapport
Selon nous, le cyberactivisme au vrai sens du terme se poursuivra en 2016,
mais il n'aura probablement pas la même ampleur que par le passé. La plupart
des cyberactivistes les plus engagés ont été arrêtés, poursuivis et incarcérés.
Ce qui risque d'augmenter en revanche, ce sont les attaques inspirées en
apparence par le cyberactivisme, mais en réalité motivées par des enjeux très
différents et difficiles à déterminer. Concrètement, le cyberactivisme moderne
n'est rien d'autre qu'une imitation du mouvement à ses débuts et, comme nous
l'avons constaté, notre capacité à lever le voile sur ces actes rencontrera encore
bien plus d'obstacles qu'auparavant.
— Raj Samani
Infrastructures critiques
À en croire les communiqués de presse publiés par certaines sociétés du secteur
de la sécurité, notre avenir pourrait être fort compromis en cas d'attaques ciblées
lancées contre nos infrastructures critiques. Bon nombre de ces rapports très
médiatisés ont été publiés après l'attaque Stuxnet de 2010, qui avait entraîné
des dégâts matériels majeurs. Toutefois, il a fallu des années avant que la presse
ne relate une deuxième attaque réussie contre des infrastructures critiques.
Avec seulement deux cas officiels depuis 2009, il convient de préciser dans nos
prévisions 2016 concernant les attaques contre des infrastructures critiques
qu'elles représentent un risque faible en dépit de leur impact élevé.
Cela dit, nous vivons dans un monde toujours plus connecté, des gisements
pétroliers numériques aux applications de traitement des eaux hébergées dans
le cloud public. Le cloisonnement qui caractérisait les technologies opérationnelles
a disparu, comme l'explique une étude sur les équipements d'infrastructure
critique exposés à Internet. Fait autrement plus préoccupant, certains de ces
équipements n'ont d'autre protection que les informations de connexion par
défaut. Il faut en outre tenir compte d'une tendance émergente, à savoir la
vente par les cybercriminels d'un accès direct aux systèmes des infrastructures
critiques. Les chiffres sont là : le nombre de vulnérabilités détectées au sein des
infrastructures critiques est en constante augmentation.
C'est sans doute cette explosion des vulnérabilités qui a conduit 48 % des
répondants représentant des entreprises d'infrastructures critiques à admettre
la probabilité élevée, voire très élevée, d'être confronté au cours des trois
prochaines années à une cyberattaque contre des infrastructures critiques
qui entraînera une indisponibilité des services et la perte de vies humaines.
Une prédiction aussi pessimiste est inquiétante et, sans vouloir exagérer la
menace, force est de constater que l'élargissement de la surface d'attaque accroît
l'exposition des systèmes.
L'indisponibilité d'un service critique n'est pas toujours le seul objectif de
l'attaquant. L'attaque Dragonfly de 2014 contre les entreprises du secteur
de l'énergie a montré que l'intention à court terme de ses auteurs n'était pas
l'interruption de service. Dans ce cas précis, leur but ultime était, semble-t-il,
l'espionnage et un accès persistant.
Les attaques lancées contre les infrastructures critiques ont moins d'attrait
pour les cybercriminels que pour les États rivaux. Les premiers ne poursuivent
qu'un seul objectif : l'argent. Si l'on exclut le recours au chantage à l'encontre
des opérateurs d'infrastructures critiques ou la vente d'informations d'accès
à ces infrastructures, le retour sur investissement des cybercriminels est plus
intéressant lorsqu'ils ciblent d'autres secteurs. Par conséquent, le volume des
attaques contre les infrastructures critiques est, et continuera d'être, nettement
moins élevé que contre d'autres cibles. Les cybercriminels sont bien plus
nombreux que les États agresseurs.
En 2016 et au-delà, le nombre croissant des vulnérabilités détectées au sein
des infrastructures critiques restera un problème majeur. Si elles réussissent,
les attaques contre ce type de cibles auront un impact préjudiciable considérable
sur la société. Toutefois, comme la plupart des auteurs malveillants réalisent de
juteux bénéfices ailleurs, ces attaques seront probablement fomentées par des
États qui seront très sélectifs et stratégiques dans leurs opérations.
— Raj Samani
Partage de cyberveille sur les menaces
Lors du sommet White House Summit on Cybersecurity and Consumer
Protection organisé par la Maison blanche à l'Université de Stanford en
février dernier, le Président Obama s'est exprimé sur la nouvelle priorité du
gouvernement américain, à savoir le partage de cyberveille sur les menaces
entre les agences gouvernementales afin de pouvoir détecter et neutraliser plus
rapidement les cybermenaces. Il a signé un décret visant à promouvoir aussi le
partage de telles informations entre le secteur public et privé.
Son intervention montre clairement que le partage de cyberveille sur les
menaces joue un rôle essentiel dans l'amélioration de la sécurité nationale.
Bien que cette mesure constitue une excellente initiative, il en faudra plus pour
protéger la sécurité nationale et la propriété intellectuelle des entreprises,
tout en respectant la vie privée des citoyens. La cyberveille sur les menaces se
compose d'informations collectées à propos d'une attaque ou d'un attaquant qui
peuvent être distribuées en vue d'améliorer les défenses mises en place pour les
contrer. Ces renseignements incluent généralement des données contextuelles,
des indicateurs de compromission (IoC) et des mesures à mettre en place pour
les neutraliser. Le partage de cyberveille permet aux entreprises et au secteur
public de combiner des preuves internes et des informations externes afin de
détecter plus rapidement les attaques et de réagir en conséquence.
Intel Security est l'un des quatre membres fondateurs de la Cyber Threat Alliance,
créée pour faciliter le partage efficace et automatisé de cyberveille sur les
menaces au sein d'une communauté fiable d'acteurs du secteur. Les membres de
la Cyber Threat Alliance partagent les indicateurs de compromission et d'autres
caractéristiques complexes et subtiles des cyberattaques en cours, fournissant
ainsi une visibilité en temps réel sur les activités et les techniques déployées.
Le partage de cyberveille sur les menaces et la collaboration sont indispensables
si l'on veut combattre des adversaires agressifs et motivés, qu'ils ciblent
une infrastructure critique, la propriété intellectuelle d'une société ou les
informations personnelles d'un individu. En s'appuyant sur l'expertise conjuguée
des membres de la Cyber Threat Alliance, nous pourrons réagir de façon plus
intelligente aux attaques multidimensionnelles complexes.
En 2016, la Cyber Threat Alliance adoptera la norme STIX/TAXII relative au
partage de cyberveille sur les menaces afin d'accélérer la détection et l'application
de mesures correctives pour tous les membres de l'Alliance. La Cyber Threat
Alliance est l'une des nombreuses initiatives de partage de cyberveille soutenues
par le secteur, toutes à différents stades de développement mais dans la poursuite
d'objectifs similaires. En 2016, des indicateurs de performance verront le jour afin
que les clients et les administrations prennent conscience les progrès réalisés en
matière de protection grâce à ces projets.
Partager ce rapport
En revanche, il est plus difficile de savoir si le partage systématique de
la cyberveille sur les menaces sera véritablement appliqué en 2016.
Nous assisterons sans doute à l'adoption de mesures législatives destinées
à limiter la responsabilité légale des entreprises et à leur permettre de partager
ces renseignements. Quoi qu'il en soit, même si des lois sont promulguées,
leur application dans les tribunaux représentera sans doute un défi considérable.
Le ministère américain de la Sécurité nationale a octroyé des subventions
à l'Université du Texas de San Antonio pour collaborer avec les acteurs impliqués
dans les initiatives de partage de cyberveille sur les menaces (opérateurs
d'infrastructures critiques, agences fédérales, secteur public et privé) afin de
développer des directives visant à accélérer le partage des renseignements.
Par conséquent, nous assisterons en 2016 à un développement accéléré des
meilleures pratiques en matière de partage des informations sur les menaces,
adaptées aux besoins du secteur.
— Jeannette Jarvis
Partager ce rapport
À propos de McAfee Labs
Suivre McAfee Labs
McAfee Labs est l'une des principales références à l'échelle mondiale en matière
d'études et de cyberveille sur les menaces, et les orientations stratégiques
qu'il propose dans le domaine de la cybersécurité font autorité. Grâce à des
données sur les principaux vecteurs de menaces (fichiers, Web, messagerie
et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des
renseignements en temps réel sur les menaces, des analyses critiques et des
avis d'experts qui contribuent à améliorer les protections informatiques tout
en réduisant les risques.
www.mcafee.com/fr/mcafee-labs.aspx
À propos d'Intel Security
McAfee fait désormais partie d'Intel Security. Avec sa stratégie Security
Connected, son approche innovante de la sécurité optimisée par le matériel
et son réseau de cyberveille Global Threat Intelligence, Intel Security met tout
en œuvre pour proposer des solutions et des services de sécurité proactifs et
éprouvés, qui assurent la protection des systèmes, réseaux et équipements
mobiles des entreprises et des particuliers du monde entier. Intel Security
associe le savoir-faire et l'expérience de McAfee aux innovations et aux
performances reconnues d'Intel pour faire de la sécurité un élément essentiel
de chaque architecture et plate-forme informatique. La mission d'Intel Security
est de permettre à chacun de vivre et de travailler en toute confiance et en toute
sécurité dans le monde numérique.
www.intelsecurity.com
McAfee. Part of Intel Security.
Tour Franklin, La Défense 8
92042 Paris La Défense Cedex
France
+33 1 47 62 56 00 (standard)
www.intelsecurity.com
Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de
McAfee. Les informations présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie
ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques.
Intel et les logos Intel et McAfee sont des marques commerciales d'Intel Corporation ou de McAfee, Inc. aux États-Unis
et/ou dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.
Copyright © 2015 McAfee, Inc. 62156rpt_threats-predictions_1015

McAfee Labs Prévisions 2016 en matière de menaces

Transcription

Documents pareils

Installation de McAfee Enterprise ULB sur un ordinateur Windows :

Le test d`intrusion une valeur ajoutée

Service Expert en ligne d`Aliant

livre blanc - Bitdefender

viv3 labs : une pilule qui a du mal à passer

La sécurité

Installation de McAfee Entreprise ULB sur un MAC

atemi ju-jitsu - Ecole Atemi jujitsu EAJJ

JEU CONCOURS (2 CPGE ECT Lycée Condorcet (Saint