Cyber Risk Report 2015 Executive summary report - Crack

Rapport
Rapport 2015 sur les
risques d’attaques
informatiques
Résumé analytique
Rapport | Rapport 2015 sur les risques d’attaques informatiques
Le paysage informatique
La version 2015 du Rapport annuel sur les risques d’attaques informatiques de HP Security
Research détaille un paysage de menaces encore très encombré par de vieux défauts et des
problèmes connus, et ce, malgré une avancée de plus en plus rapide du monde de la sécurité.
Il s’agit d’un environnement dans lequel des attaques et des mauvaises configurations
bien connues cohabitent avec des logiciels malveillants mobiles et des appareils connectés
(l’Internet des objets [IdO]) qui restent dans l’ensemble peu sûrs. Avec la reprise de l’économie
mondiale, les entreprises continuent d’utiliser des accès peu coûteux au capital, ce qui est
malheureusement aussi le cas des pirates de réseau, dont certains ont lancé des attaques
de particulièrement grande ampleur au cours de l’année.
Le Rapport 2015 sur les risques d’attaques informatiques, établi sur la base des travaux
innovants de HP Security Research (HPSR), aborde plusieurs points d’importance. Il examine
à la fois la nature des vulnérabilités les plus fréquentes actuellement qui exposent les
organisations aux risques d’attaques et la façon dont les adversaires profitent de ces
vulnérabilités. Le rapport met le lecteur au défi de repenser la façon dont et l’endroit
où leur organisation peut être attaquée, car il ne s’agit plus de « si » mais de « quand ».
Ces renseignements peuvent être utilisés à l’amélioration de l’affectation des ressources
financières et humaines à la sécurité afin de lutter contre les menaces.
Certaines des conclusions clés du rapport 2015 sont :
Les attaques bien connues sont encore courantes : les pirates continuent de profiter
de techniques bien connues pour infecter les systèmes et les réseaux. De nombreuses
vulnérabilités exploitées en 2014 tiraient parti du code écrit plusieurs années auparavant,
parfois même plusieurs décennies (Figure 1). Les adversaires continuent de profiter de ces
voies d’attaque classiques.
Figure 1. Les quatre failles principales découvertes par HPSR en 2014
Failles principales enregistrées en 2014
33 %
CVE-2010-2568
Microsoft ® Windows®
CVE-2010-0188
Adobe® Reader et Acrobat ®
CVE-2013-0422
Oracle Java
CVE-2012-1723
Oracle Java
11 %
9 %
7 %
L’exploitation d’applications client et serveur largement déployées est encore courante. Ces
attaques sont encore plus répandues dans des applications intermédiaires mal codées, telles
que des logiciels à la demande (SaaS, software as a service). Bien que de nouvelles failles aient
plus attiré l’attention de la presse, les attaques des années passées représentent toujours une
vraie menace pour la sécurité des entreprises. Les défenseurs de réseau devraient employer
une stratégie de modification complète, afin de s’assurer que les systèmes sont à jour au niveau
des dernières protections de sécurité et donc de réduire l’éventuelle réussite de ces attaques.
Les mauvaises configurations sont toujours un problème : Le Rapport HP 2013 sur les
risques d’attaques informatiques (publié début 2014) établissait qu’un fort pourcentage des
vulnérabilités enregistrées était lié à une mauvaise configuration des serveurs. La tendance
a continué en 2014, lorsque les mauvaises configurations représentaient le problème principal
de toutes les applications analysées. Nos découvertes montrent que l’accès à des fichiers et
à des répertoires inutiles domine la liste des problèmes liés aux mauvaises configurations.
Les informations divulguées aux pirates par le biais de ces mauvaises configurations offrent
des possibilités d’attaque supplémentaires et donnent aux pirates les connaissances
nécessaires à la réussite de leurs autres méthodes d’attaque. Des tests de pénétration et une
vérification des configurations effectués régulièrement par des entités internes et externes
peuvent identifier des erreurs de configuration avant que des pirates puissent les exploiter.
2
Rapport | Rapport 2015 sur les risques d’attaques informatiques
Des technologies plus récentes créent des perspectives d’attaque inédites : Avec
l’introduction de nouvelles technologies dans l’écosystème informatique, de nouveaux types
d’attaques et de nouveaux défis de sécurité apparaissent. L’année écoulée a vu le nombre
de logiciels malveillants mobiles augmenter alors qu’ils étaient déjà très répandus. Bien que
le premier logiciel malveillant à destination des appareils mobiles ait été découvert il y a
une décennie, ce n’est qu’en 2014 qu’ils ont cessé d’être considérés comme une nouveauté.
La connexion de technologies existantes à Internet apporte également son lot de nouvelles
expositions. Les systèmes point de vente (PoS) étaient la cible principale de plusieurs logiciels
malveillants en 2014. Alors que des appareils physiques se connectent par le biais de l’Internet
des objets (IdO), un paradigme qui met l’informatique omniprésent et ses conséquences sur
la sécurité à la portée des citoyens moyens, la nature diverse de ces technologies a soulevé
des inquiétudes concernant la sécurité et la vie privée. Afin de se protéger contre de nouvelles
perspectives d’attaque, les entreprises doivent comprendre et savoir comment atténuer
les risques amenés dans un réseau avant d’adopter de nouvelles technologies.
Figure 2. Dix ans de logiciels malveillants mobiles ; les cibles des logiciels malveillants évoluent en même temps que les parts de marché
10 ans de logiciels malveillants mobiles
Part de marché relative
Symbian
Windows
iOS
Android
Xrove
WinCE
2006
Meiti
WinCE
2008
Ikee
iOS
2009
Wallpapers
Android
2010
KongFu
Android
2012
DroidDream
Android
2011
Cabir
Symbian
2004
2004
Drever
Symbian
2005
Master Key
Android
2013
Koler
Android
2014
FlexiSpy
Symbian
2007
2014
Les adversaires déterminés se multiplient : les pirates utilisent aussi bien d’anciennes que
de nouvelles vulnérabilités pour pénétrer l’ensemble des niveaux de défense classiques. Ils
maintiennent l’accès aux systèmes victimes en choisissant des outils d’attaque qui ne seront pas
détectés par des antilogiciels malveillants, ni d’autres technologies de défense. Dans certains
cas, ces attaques sont perpétrées par des acteurs représentant des États-nations, ou sont tout
au moins lancées en soutien aux États-nations. En plus des États-nations traditionnellement
associés à ce type d’activité, de nouveaux acteurs tels que la Turquie sont apparus en 2014.
Les défenseurs de réseau devraient comprendre la façon dont les événements sur le plan
mondial affectent les risques liés aux systèmes et aux réseaux.
La mise en place d’une législation sur la sécurité informatique se profile à l’horizon : des
actions au niveau des tribunaux européen et américain ont établi un lien plus fort que jamais
entre la sécurité des informations et la protection des données. Tandis que des organismes
législatifs et réglementaires s’interrogent sur la façon d’augmenter le niveau global de sécurité
dans les sphères publique et privée, une avalanche de failles individuelles a été enregistrée
3
Rapport | Rapport 2015 sur les risques d’attaques informatiques
en 2014. Ceci a soulevé des inquiétudes grandissantes concernant la façon dont les individus
et les organisations sont affectés une fois que des données privées ont filtré et sont utilisées à
des fins criminelles. Les attaques de grande envergure sur Target et Sony ont servi de parallèle
à ces discussions pendant la période d’étude de ce rapport. Les entreprises doivent savoir que
de nouvelles lois et réglementations affecteront la façon dont ils surveillent leurs actifs et
signalent les incidents potentiels.
La mise en place d’un codage sûr continue de représenter un obstacle : Les premières causes
de vulnérabilités couramment exploitées sur les logiciels sont des défaillances, des bugs et
des défauts de logique. Des professionnels de la recherche en matière de sécurité informatique
ont découvert que la plupart des vulnérabilités provient d’un assez faible nombre d’erreurs
de programmation logicielle courantes. De nombreuses publications existent pour guider les
développeurs de logiciel vers l’intégration de pratiques de codage plus sûres dans leur travail de
développement de tous les jours Malgré toutes ces connaissances, d’anciennes et de nouvelles
vulnérabilités continuent d’apparaître dans les logiciels. Celles-ci sont alors rapidement exploitées
par des pirates. Cela peut représenter un défi, mais il est devenu impératif que le développement
de logiciels soit synonyme du développement de logiciels sûrs. Bien qu’il ne soit probablement
jamais possible d’éliminer tous les défauts de code, un processus de développement sûr
correctement mis en place peut réduire l’impact et la fréquence de tels bugs.
Rapport sur les technologies de protection complémentaires : En mai 2014, un cadre
supérieur d’un fournisseur d’antilogiciels malveillants très connu a annoncé la mort des
antivirus. Le secteur a répondu par un « non, ils ne sont pas morts » retentissant. Ils ont tous les
deux raison. Des études montrent que les logiciels de lutte contre les logiciels malveillants ne
détectent qu’environ la moitié de l’ensemble des attaques informatiques, un taux extrêmement
faible. Lors de notre examen du paysage des menaces en 2014, nous avons remarqué que
les entreprises qui réussissent le mieux à protéger leur environnement ont recours à des
technologies de protection complémentaires. Ces technologies fonctionnent mieux si elles
sont couplées à une mentalité qui suppose qu’une faille va se produire, plutôt qu’à une
mentalité qui ne vise qu’à éviter les intrusions et les infections. En utilisant tous les outils mis
à leur disposition et en ne reposant pas que sur un unique produit ou service, les défenseurs
sont mieux placés pour éviter, détecter et récupérer d’une attaque.
Actions et réactions
Face à des menaces de plus en plus importantes, les fournisseurs de logiciels continuent
à rendre la vie plus difficile aux pirates avec la mise en place d’éléments de réduction des
risques. Cependant, ces réductions ne suffisent pas lorsqu’elles sont bâties sur un code source
intrinsèquement vulnérable.
Plusieurs fois en 2014, d’importantes vulnérabilités sont apparues et ont laissé les entreprises
s’efforcer de déployer des mises à jour et de nettoyer les machines infectées. Observer les
réponses du secteur à la vulnérabilité Heartbleed a mis en avant le manque de préparation face
à ce genre d’événement. En raison de la sévérité et de l’exploitation active de la vulnérabilité,
des organisations ont dû répondre rapidement et mettre à jour des serveurs qui ne l’étaient pas
régulièrement. Le problème se trouvait dans une bibliothèque d’applications qui ne disposait
pas d’un chemin de mise à jour suffisamment clair, ce qui a encore compliqué les efforts ;
les entreprises ne disposaient pas d’une parfaite connaissance des applications qui utilisaient
cette bibliothèque, ni de son emplacement au sein de leurs réseaux.
La découverte de vulnérabilités de divulgation d’informations telles que Heartbleed illustre
parfaitement la valeur que ces vulnérabilités ont au sein de la communauté des pirates.
Heartbleed est une parfaite démonstration d’une vulnérabilité de divulgation d’information
hautement contrôlable due à une lecture trop fréquente du tampon. Les vulnérabilités trouvées
dans du code source étaient également un facteur important en 2014. L’augmentation continue
de la qualité des exploitations révèle une compréhension approfondie de la nature de la
vulnérabilité et des processus internes des applications cible.
4
Notre étude de 2014 (abordée au cours de plusieurs réunions de sécurité pendant l’année et
résumée dans le Rapport sur les risques) indiquait que la propriété intellectuelle faisait toujours
partie des cibles, en particulier de la part d’intérêts chinois. D’autres nations représentent
également une menace importante dans notre monde connecté à l’international. La Corée du
Nord continue sur sa tradition de la guerre asymétrique à l’âge d’Internet, avec un dévouement
remarquable au développement de capacités de guerre informatique même si elle se débat
avec une infrastructure vieillissante. L’Iran continue de développer ses capacités informatiques
Rapport | Rapport 2015 sur les risques d’attaques informatiques
et considère les groupes de pirates informatiques comme des multiplicateurs de force à utiliser pour
cibler des entités occidentales, en particulier des organisations et des entités gouvernementales.
Le monde souterrain des pirates informatiques turcs, parmi d’autres de la région, continue de se
développer. Nous nous attendons à ce que la tendance continue dans cette zone.
2014 a également été une année essentielle pour les logiciels malveillants, en particulier parce
qu’ils sont enfin considérés comme de véritables menaces par le public. Bien que la majorité
des logiciels malveillants sous Android découverts en 2014 se trouvait en dehors du marché
GoogleTM Play, il est arrivé que des logiciels malveillants y soient placés à l’aide de comptes de
développeurs créés à des fins criminelles. Le ransomware était également un thème clé l’année
dernière alors que des pirates continuent d’exploiter un modèle économique dans lequel les
données des utilisateurs sont retenues contre une rançon par un logiciel malveillant, souvent
à l’aide d’algorithmes de cryptage asymétriques. Le ransomware le plus remarquable de l’année
était peut-être CryptoLocker, qui est apparu fin 2013 et a causé des dégâts importants avant
d’être supprimé au cours d’une opération dirigée par le FBI. Malgré cette action, le modèle
économique de la rétention des données de l’utilisateur contre une rançon par le biais d’un
logiciel malveillant reposant sur un cryptage a vu l’apparition d’un certain nombre d’imitateurs,
dont CryptoWall est l’exemple le plus emblématique.
La menace des logiciels malveillants continue d’augmenter en même temps que les attaques
sur Target et Home Depot ont mis en avant les risques liés aux appareils PoS. Notre enquête
nous a permis de découvrir un développement continu, une sophistication accrue et une base
de code divergente dans les logiciels malveillants PoS actuels. De manière significative, ces
programmes malveillants sont bâtis par des personnes disposant de connaissances spécifiques
sur les environnements ciblés. Ceci met en avant la nature planifiée de ces attaques et nous
rappelle que les pirates s’installent de plus en plus dans la durée. Les entreprises doivent
être capables de surveiller leurs réseaux et leurs systèmes d’une façon qui leur permet de
reconnaître une collecte malveillante de renseignements et des activités de reconnaissance
qui pourraient annoncer l’imminence d’une attaque.
Figure 3. Le développement dans le cadre de l’Internet des objets (d’après l’étude d’Evans Data auprès
de plus de 1 400 développeurs, 2014)
Le développement dans le cadre de l’Internet des objets
17 %
Pourcentage de développeurs au niveau mondial qui travaillent
sur des applications à destination d’appareils connectés.
23 %
Pourcentage de développeurs projetant de travailler
sur des appareils connectés dans les six prochains mois.
Il semble que les consommateurs soient de plus en plus informés des problèmes de protection des
données au niveau des appareils connectés (IdO), qu’il s’agisse d’une inquiétude liée aux risques de
divulgation de la vie privée et de sécurité posés par les appareils connectés de base ou de quelque
chose de plus global. L’IdO est plus qu’un mot à la mode, c’est un paradigme qui met l’informatique
omniprésente et ses conséquences sur la sécurité à la portée des citoyens moyens (Figure 3).
Les attaques impliquent souvent diverses couches de l’infrastructure de l’appareil. Ceci
pourrait inclure des applications prises en charge par les smartphones, les tablettes ou
par les services dans le cloud, ainsi que par des couches de micrologiciels et d’applications
situées sur l’ordinateur hôte. Divers vecteurs de propagation peuvent également être utilisés,
notamment des fichiers de mise à jour infectés, un réseau exploité et des vulnérabilités dans
les couches de communication de l’ordinateur hôte, ainsi que de possibles vulnérabilités dans
l’infrastructure des services dans le cloud et dans les applications des appareils intelligents.
Bien que les menaces provenant d’Internet en lui-même existent au niveau mondial, un réseau
mondial de chercheurs en sécurité est toujours sur le qui-vive afin d’aider le secteur des logiciels
à rendre son code plus sûr. L’Initiative Zero Day (ZDI) de HPSR est le plus gros programme de prime
à la recherche de bugs chez les fournisseurs, et bénéficie de plus de dix ans d’expérience dans
la coordination de la divulgation des vulnérabilités. Fin 2014, il s’était construit un réseau de plus
de 3 000 chercheurs indépendants et travaillant à l’exposition et à la résolution des faiblesses
dans les logiciels et les plateformes les plus connus au monde. Ces deux dernières années,
des chercheurs représentant de nouvelles zones géographiques (dont l’Allemagne, la Corée
du Sud, la Chine et la Fédération de Russie) sont apparus et ont publié des analyses techniques
d’excellente qualité (Figure 4). Les chercheurs de ces pays ne se concentrent pas seulement sur
la découverte des vulnérabilités, mais également sur des techniques d’exploitation innovantes.
5
Rapport | Rapport 2015 sur les risques d’attaques informatiques
Figure 4. Des chercheurs externes pour ZDI répondent présent des quatre coins du globe
Carte de répartition géographique des chercheurs
Conclusion
Dans un monde où de plus en plus de personnes et d’appareils se connectent à Internet,
il est essentiel de se concentrer plus sur la sécurité et la protection de la vie privée. L’année
dernière a vu l’apparition de plusieurs vulnérabilités qui ont réellement attiré l’attention des
médias. Les défenseurs de réseau devraient se servir des informations contenues dans le du
Rapport 2015 sur les risques d’attaques informatiques pour mieux comprendre le paysage des
menaces et mieux déployer les ressources dans l’optique de minimiser les risques de sécurité.
En se tournant vers l’avenir, On constate que La technologie va poursuivre son amélioration de
notre monde de différentes manières, mais ces bénéfices apportent aussi leur lot de défis liés au
maintien de la sécurité et de la protection de la vie privée tout au long de notre vie numérique.
Cependant, grâce à un regain de la collaboration et à une compréhension approfondie des
menaces imminentes, nous pouvons augmenter encore les poursuivre l’augmentation des
coûts physiques et intellectuels auxquels un pirate doit faire face pour exploiter un système.
Pour en savoir plus sur la façon dont HP peut aider votre organisation à mettre en place
un programme de sécurité efficace, à combler les manques dans votre environnement ou
à remettre en place votre infrastructure après une infection, rendez-vous sur hp.com/go/hpsr.
En savoir plus sur
hp.com/go/hpsr
Inscrivez-vous pour
recevoir les nouveautés
hp.com/go/getupdated
Partagez ce document
avec vos collègues
Notez ce document
© Copyright 2014–2015 Hewlett-Packard Development Company, L.P. Les informations contenues dans les présentes peuvent être modifiées sans préavis.
Les seules garanties concernant les produits et services HP sont celles mentionnées dans les déclarations de garantie explicites accompagnant ces produits
et services. Rien de ce qui figure aux présentes ne peut constituer une garantie supplémentaire. La société HP ne peut être tenue pour responsable des erreurs
ou des omissions techniques ou rédactionnelles contenues dans les présentes.
Adobe et Acrobat sont des marques de commerce de Adobe Systems Incorporated. Microsoft et Windows sont des marques de commerce du groupe
d’entreprises Microsoft. Oracle et Java sont des marques déposées d’Oracle et/ou de ses sociétés affiliées. Google est une marque déposée de Google Inc.
4AA5-0920ENW, Février 2015, Rév. 1