Cybersécurité : l'émergence d'armées d'objets connectés malveillants
Pour suivre une cybercriminalité en pleine évolution, Fortinet, leader mondial de la cybersécurité installé à Sophia Antipolis, publie chaque année son Global Threat Landscape Report. L'édition 2017, parue récemment, fait ressortir, parmi les nouvelles menaces en expansion, la montée d'une armée d’objets connectés au service de l’économie numérique souterraine. Routeurs, imprimantes, enregistreurs DVR/NVR, mobiles Android deviennent des cibles privilégiées des cybercriminels.
Quelles sont les nouvelles menaces en matière de cybersécurité? Implanté à Sophia Antipolis, Fortinet, leader mondial en ce domaine, suit les évolutions au jour le jour avec son FortiGard Labs et fait un point chaque année à travers son Global Threat Landscape Report. L'édition 2017 vient de sortir. Elle se penche tout particulièrement sur l’émergence d’armées d’objets connectés malveillants. Une nette évolution des menaces qui ouvre de nouvelles perspectives en matière de cybersécurité, un sujet auquel la technopole de Sophia Antipolis et les entreprises azuréennes sont de plus en plus sensibilisées.
"L'univers des menaces opère une mutation rapide"
“Les défis de cybersécurité qui pèsent actuellement sur les organisations sont complexes, alors que l’univers des menaces opère une mutation rapide" commente Phil Quade, Chief Information Security Officer de Fortinet. "Les menaces sont intelligentes, autonomes et toujours plus compliquées à détecter : de nouveaux risques émergent et nous assistons également à un retour en force de menaces existantes mais enrichies de nouvelles fonctionnalités. La disponibilité d’outils et de services de création de menaces, et la perspective de gains financiers plus importants sont des moteurs de croissance pour un marché mondial de la cybercriminalité qui pèse désormais plusieurs dizaines de milliards de dollars."
"Pour protéger leurs organisations, les RSSI doivent s’assurer de la protection de leurs données, grâce à un arsenal de sécurité intégré, automatisé et capable de partager des informations de veille, sur l’ensemble d’une organisation, des objets connectés jusqu’au Cloud.”
Les recherches réalisées par Fortinet révèlent le détail des méthodes et stratégies utilisées par les cybercriminels, et évaluent leur impact potentiel à venir sur l’économie numérique. Quelle est actuellement la menace la plus critique ? La réponse n’est pas simple face à de nouvelles menaces automatisées et de masse, mais aussi compte tenu du comeback d’anciennes menaces dans une mouture plus virulente. Voici la synthèse qu'en donne Fortinet.
Les tendances en matière d’infrastructure et leurs liens avec les menaces
Les tendances qui se dessinent dans le monde des infrastructures ont un impact sur celui des menaces. Les exploits, logiciels malveillants et autres botnets n’évoluent pas en vase clos et leur identification est complexe face à des infrastructures réseau qui évoluent.
Les données témoignent que le trafic utilisant SSL reste stable à environ 50%, représentant environ la moitié du trafic global transitant sur le réseau d’une organisation. Le trafic HTTPS, s’il favorise la confidentialité des données, ne facilite cependant pas la détection des menaces, ces dernières étant susceptibles de se « camoufler » au sein de communications chiffrées. Trop souvent, le trafic SSL n’est pas inspecté compte de tenu d’une charge importante pour le déchiffrer, inspecter puis le chiffrer à nouveau : il s’agit donc souvent d’arbitrer entre protection et performances.
Au sein du parc applicatif au sein d’une organisation, le nombre d’applications Cloud ressort à 63, soit environ le tiers des applications identifiées. Voilà une tendance qui impacte directement la sécurité, les équipes IT disposant d’une visibilité moindre sur les données stockées dans les applications Cloud, leur utilisation et les modalités pour y accéder. Les réseaux sociaux, le streaming audio et vidéo, ainsi que les applications P2P ne connaissent pas de forte progression.
Une armée d’objets connectés au service de l’économie numérique souterraine
Les objets connectés sont des cibles privilégiées pour nombre de cybercriminels dans le monde. Ceux-ci bâtissent leur propre armée d’objets intelligents tandis que leur capacité à répliquer les attaques rapidement et à grande échelle constitue le fer de lance de l’écosystème cybercriminel actuel.
Sur le quatrième trimestre 2016, le secteur tentait encore de se remettre du piratage de données sur Yahoo! et de l’attaque DDoS sur Dyn. Mais avant la fin du trimestre, les records établis par ces deux événements étaient été largement battus, avec des chiffres deux fois plus importants.
Les objets connectés piratés par le botnet Mirai ont été à l’origine de multiples attaques d’envergure. La publication du code source de Mirai a dopé son activité par un facteur de 25, et ce, en seulement une semaine. Ce facteur était de 125 à la fin de l’année.
Les exploits liés à l’Internet des Objets et sur différentes catégories d’appareils démontrent l’existence de scans recherchant des routeurs et imprimantes vulnérables en environnement résidentiel. Notons que les enregistreurs DVR/NVR ont été, pendant une période brève, des cibles plus importantes que les routeurs, suite à un bond géant des attaques sur ces systèmes (6 fois plus importantes).
La problématique des logiciels malveillants mobiles s’est accentuée. Bien qu’ils ne représentent que 1,7% du volume total de logiciels malveillants, une organisation sur 5 ayant découvert un malware indique également l’existence d’une variante mobile, essentiellement sur Android. Des différences notables sont visibles entre les régions géographiques : 36% des attaques par logiciel malveillant mobile sont associées à des organisations du continent Africain, contre 23% pour l’Asie, 26% pour l’Amérique du Nord et seulement 8% pour L’Europe. Ces faits impactent directement la notion de dispositif de confiance sur les réseaux corporate.
La nouvelle norme : des attaques automatisées et d’envergure
La corrélation entre le volume des exploits et leur prévalence indique une automatisation des attaques et un moindre coût des outils de distribution et de logiciels malveillants proposés au sein du Dark Web. Initier des attaques n’a jamais été aussi simple et économique.
SQL Slammer est à la première place des exploits détectés, avec un degré de sévérité important à critique. Les acteurs de l’enseignement en sont la principale cible.
Au second rang en matière de prévalence, un exploit lié à des attaques par force brute sur le protocole RDP (Remote Desktop Protocol) de Microsoft. Des requêtes RDP étaient émises à un rythme de 200 par tranche de 10 secondes, ce qui explique le fort volume détecté au niveau des grandes entreprises mondiales.
Au troisième rang, une vulnérabilité de corruption de la mémoire dans Windows File Manager. Elle permet à un assaillant d’exécuter à distance un code arbitraire au sein d’applications vulnérables, et ce à l’aide d’un fichier jpg.
H-Worm et ZeroAccess présentent la prévalence et le volume les plus importants dans la catégorie des botnets. Ainsi, les cybercriminels peuvent contrôler les systèmes infectés pour détourner des données, commettre une fraude ou détourner des ressources à des fins de génération de bitcoins. Le secteur de la technologie et celui des institutions gouvernementales ont subi le plus de tentatives d’attaques de la part de ces deux familles de botnets.
Le ransomware reste d’actualité
Le ransomware s’en prend à tous les secteurs d’activité et cette méthode d’attaque est appelée à perdurer, compte tenu de la croissance du ransomware-as-a-service (RaaS) qui permet à des criminels en herbe, sans formation ni compétences particulières, de télécharger simplement les outils nécessaires à leur exactions. 36% des organisations ont détecté une activité associée au ransomware, avec TorrentLocker et Locky qui sont, respectivement, le premier et le troisième ransomware le plus souvent identifiés.
Les deux familles de logiciels malveillants Nemucod et Agent se sont montrées particulièrement virulentes. 81,4 % des échantillons de logiciels malveillants identifiés appartiennent à une de ces deux familles. Il est d’ailleurs connu que la famille Nemucod est un ransomware.
Le ransomware est présent sur toutes les régions géographiques et pèse sur tous les secteurs d’activité, avec néanmoins une prévalence dans celui des soins de santé. Le détournement de données de patients est préoccupant : l’impact est bien plus lourd puisque ces données peuvent être utilisées sur une plus longue période et présentent davantage de valeur que tout autre type de données.
Des attaques audacieuses mais l’ancien perdure
Les cybercriminels visent à tirer parti de toutes les vulnérabilités identifiées. Mais se pencher sur les failles de sécurité des équipements et applications obsolètes laisse moins de temps pour se focaliser sur les vecteurs d’attaque associés aux dispositifs numériques de nouvelle génération.
86% des entreprises ont connu des attaques visant à tirer parti de vulnérabilités qui existent depuis plus de 10 ans. 40% d’entre elles ont par ailleurs identifié des tentatives d’exploits visant des CVE même plus anciens.
En moyenne, ce sont 10,7 exploits applicatifs uniques qui ont été identifiés par organisation. Environ 9 entreprises sur 10 ont su détecter des exploits de sévérité importante à critique.
De manière générale, l’Afrique, le Moyen-Orient et l’Amérique Latine subissent la plus forte occurrence et la plus grande diversité pour chaque catégorie de menaces. Ceci est d’autant plus vrai dans le cas des botnets.