rapport - intel · cette année, nous avons abordé l'avenir de la cybersécurité selon deux...

McAfee Labs

Rapport

Prévisions 2016 en matière de menaces

Prévisions 2016 en matière de menaces — McAfee Labs | 2

À propos de McAfee LabsMcAfee Labs est l'une des principales références à l'échelle mondiale en matière d'études et de cyberveille sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cybersécurité font autorité. Grâce à des données sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des renseignements en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques.

McAfee fait désormais partie d'Intel Security.

www.mcafee.com/fr/mcafee-labs.aspx

Suivre McAfee Labs

IntroductionMerci de l'intérêt que vous portez au rapport McAfee Labs Prévisions 2016 en matière de menaces.

Cette année, nous avons abordé l'avenir de la cybersécurité selon deux perspectives différentes.

Dans le Rapport de McAfee Labs sur le paysage des menaces — Août 2015, nous avons retracé l'évolution des menaces au cours des cinq dernières années, soit depuis l'annonce de l'acquisition de McAfee par Intel. Nous avons ainsi comparé les prévisions de l'époque à la réalité des faits.

Pour le présent rapport, nous avons adopté la perspective inverse et nous nous sommes penchés sur les cinq prochaines années. Nous avons interrogé 21 spécialistes qui nous ont livré leur point de vue sur l'avenir du paysage des cybermenaces et sur les mesures que prendra vraisemblablement le secteur de la sécurité informatique pour y faire face. Nous les avons invitées à se projeter en avant pour prédire l'évolution des cyberpirates, de leurs comportements et de leurs cibles, et la riposte probable de notre secteur à l'horizon 2020.

McAfee Labs présente ses prévisions à cinq ans

sur la cybersécurité et annonce les

principales menaces de l'année à venir.


http://www.mcafee.com/fr/resources/reports/rp-quarterly-threats-aug-2015.pdf


http://blogs.mcafee.com/mcafee-labs

https://twitter.com/McAfee_Labs


Partager ce rapport

Dans la seconde partie, nous poussons plus loin notre analyse et formulons des prévisions spécifiques sur l'activité attendue en 2016 concernant un large éventail de menaces. Celles-ci vont des logiciels de demande de rançon aux attaques ciblant les automobiles ou les infrastructures critiques, jusqu'à l'entreposage et la vente de données volées. Parmi les sujets abordés :

■ Les attaques visant l'intégrité, une forme d'attaque dont la subtilité n'enlève rien à son efficacité et qui va s'intensifier en 2016

■ Les raisons pour lesquelles le renforcement de la sécurité en entreprise entraînera une prolifération des attaques contre le personnel travaillant à domicile

■ L'évolution dans nos modes de paiement et ses implications

■ Pourquoi les dispositifs vestimentaires, connectés aux smartphones, constituent un vecteur d'attaque attrayant

■ Des initiatives positives en matière de partage de cyberveille sur les menaces au sein du secteur privé et entre les secteurs privé et public

Nous espérons que ces deux éclairages sur l'avenir vous seront utiles à l'heure d'élaborer des plans à court terme et des stratégies à long terme pour renforcer votre sécurité.

Joyeuses fêtes à vous et à vos proches.

— Vincent Weafer, Vice-Président Directeur, McAfee Labs

https://twitter.com/intent/tweet?text=.%40McAfee_Labs+takes+a+look+at+the+next+five+years+of+%23cybersecurity+in+their+2016+Predictions+Report.+Read+it+here%3A&url=http%3A%2F%2Fbit.ly%2F1PyySTW

https://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fbit.ly%2F1MSRMU1&title=McAfee+Labs++2016+Threats+Predictions&summary=McAfee%20Labs%20shares%20unique%20insights%20on%20the%20expected%20cyberthreat%20landscape%20in%202016%20and%20beyond%20in%20their%202016%20Threats%20Predictions%20Report.&source=McAfee+Labs

Prévisions 2016 en matière de menaces — McAfee Labs

Ont collaboré à l'élaboration de nos prévisions à cinq ans de l'évolution du marché de la cybersécurité et des cyberpirates :

Brad AntoniewiczChristiaan BeekTorry CampbellGary DavisCarric DooleySteven GrobmanSimon HuntRees JohnsonBrett KelseyTyson MacaulayRaja PatelTom QuillinMatthew RosenquistRaj SamaniCraig SchmugarMichael SentonasRick SimonBruce SnellJim WalterVincent WeaferCandace Worley

Le rapport Prévisions 2016 en matière de menaces a été préparé et rédigé par :

Christiaan BeekCarlos CastilloCedric CochinAlex Hinchliffe Jeannette Jarvis Haifei LiQiang LiuDebasish MandalMatthew Rosenquist Raj SamaniRyan SherstobitoffRick SimonBruce SnellDan Sommer Bing Sun Jim WalterChong XuStanley Zhu

SommaireIntel Security : Regard sur les cinq années à venir 6

Prévisions 2016 en matière de menaces — McAfee Labs 22

Matériel 23

Logiciels de demande de rançon (ransomware) 24

Vulnérabilités 25

Systèmes de paiement 27

Attaques via les systèmes du personnel 28

Services de cloud 29

Dispositifs vestimentaires 30

Automobiles 31

Entrepôts de données volées 33

Intégrité 34

Cyberespionnage 35

Cyberactivisme 36

Infrastructures critiques 37

Partage de cyberveille sur les menaces 38

Intel Security : Regard sur les cinq années à venir



Partager ce rapport

Intel Security : Regard sur les cinq années à venirDésormais omniprésente, l'informatique améliore presque tous les aspects de nos vies privées et professionnelles, multiplie les possibilités d'innovation, mais favorise malheureusement aussi la prolifération des menaces. Des technologies qui font appel à nos sens de la vue, de l'ouïe et du toucher nous permettent d'appréhender le monde différemment et d'avoir des interactions inédites avec notre environnement et d'autres personnes. Les objets du quotidien deviennent plus intelligents et plus connectés, traçant la voie de l'informatique nouvelle génération. Les entreprises établissent des connexions en temps réel plus poussées avec leurs fournisseurs, leurs partenaires, leurs clients et les autorités publiques, collectant et partageant de façon sélective des volumes considérables de données. La valeur des informations stockées et transférées augmente rapidement, ce qui favorise l'émergence de nouveaux marchés, crée un besoin de terminaux avec connexions sécurisées, entraîne la transmission de données fiables vers le cloud et conduit à l'extraction de valeur grâce aux outils analytiques.

Comme tout ce qui a de la valeur, les informations suscitent la convoitise des cyberpirates, qui rivalisent d'ingéniosité pour les dérober, les utiliser et en tirer un profit. On croit souvent que les attaques informatiques sont le fait du crime organisé ou d'autres cybercriminels, mais elles peuvent aussi être commanditées par des États ou orchestrées par des cyberactivistes et d'autres acteurs qui ne sont pas toujours directement motivés par l'appât du gain. De même, l'on assiste à l'émergence des cyberattaques personnalisées et privées : celles-ci peuvent émaner de n'importe quelle personne cherchant à vous nuire : concurrent, opposant politique, conjoint, voisin, rival en tout genre, etc. Sans oublier les simples fauteurs de troubles, dont l'activité s'intensifie.

Tandis que les dispositifs informatiques deviennent le prolongement de l'être humain et rendent notre environnement plus intelligent, plus sensible au contexte et plus connecté, il faut s'attendre à des bouleversements à tous les niveaux. Les mots de passe finiront par être remplacés par un système plus sophistiqué de gestion et d'authentification des identifiants, et la confiance acquerra un rôle vital pour nos activités en ligne et électroniques. La valeur, la transparence et le consentement deviendront des concepts importants de notre vocabulaire numérique. Enfin, nos données personnelles auront plus de valeur, non seulement pour nous mais aussi pour nos adversaires.

Nos prévisions passées et actuellesDans le Rapport de McAfee Labs sur le paysage des menaces — Août 2015, nous avons retracé l'évolution du paysage des menaces au cours des cinq dernières années, depuis l'annonce de l'acquisition de McAfee par Intel en 2010, en comparant les prévisions que nous avions établies à l'époque aux faits tels qu'ils se sont déroulés. S'inspirant de cette rétrospective, 21 éminents experts d'Intel Security ont collaboré pour dégager les tendances qui marqueront selon eux le secteur de la sécurité informatique au cours des cinq prochaines années. Quelles nouvelles fonctionnalités de sécurité seront ajoutées à notre matériel pour renforcer la protection et contrer plus efficacement des menaces toujours plus sophistiquées ? Comment les outils de sécurité seront-ils exploités pour assurer le respect de votre vie privée et votre protection au sein de votre réseau personnel et au-delà ? La situation explosive que nous avions anticipée n'était-elle que le signe avant-coureur de tendances bien plus vastes, plus innovantes et potentiellement plus destructrices ? Comment le paysage des cybermenaces évoluera-t-il sous l'impulsion des changements technologiques et de la transformation de l'économie de l'information ?

Vingt et un collaborateurs clés d'Intel Security ont collaboré à l'élaboration de cette analyse prospective de l'évolution du marché de la cybersécurité et des cyberpirates :

Il s'agit de :

Brad AntoniewiczChristiaan BeekTorry CampbellGary DavisCarric DooleySteven GrobmanSimon HuntRees JohnsonBrett KelseyTyson MacaulayRaja PatelTom QuillinMatthew RosenquistRaj SamaniCraig SchmugarMichael SentonasRick SimonBruce SnellJim WalterVincent WeaferCandace Worley






Partager ce rapport

La surface de cyberattaqueIl y a cinq ans, nous nous attendions à ce qu'une conjugaison de facteurs tels que l'augmentation du nombre d'utilisateurs, la prolifération des données, le foisonnement des types de terminaux et la multiplication des clouds, crée un terrain propice à une explosion du nombre de menaces et de vulnérabilités. Bon nombre de ces prévisions se sont avérées, mais elles n'étaient que les signes précurseurs d'une amplification de ces tendances dangereuses.

Dans les entreprises, un environnement de travail dynamique, un effectif toujours plus mobile et l'évolution rapide des attentes des travailleurs ont brouillé la notion de périmètre réseau. Affranchis des limites des réseaux approuvés et des restrictions d'un équipement spécifique, les membres du personnel gagnent en productivité, mais cette liberté complique la sécurisation. Au fil du temps, nous assistons à ce que nous appelons l'inversion du périmètre, c'est-à-dire l'avènement d'un modèle d'entreprise où l'accès s'effectue de l'extérieur vers l'intérieur. Ainsi, alors que les applications et équipements étaient auparavant principalement dirigés vers le réseau d'entreprise et le centre de données, ils sont à présent essentiellement tournés vers Internet et le cloud. Le centre de données n'héberge plus que des ressources de traitement et de stockage limitées, réservées à la propriété intellectuelle de base. L'avènement et l'adoption de Microsoft Office 365 constituent sans doute pour la majorité d'entre nous le point de rupture qui marque le passage du stockage sur PC au stockage dans le cloud. Les éditeurs devront mettre au point des solutions de sécurité plus performantes pour l'éventail toujours plus large de terminaux, d'environnements de traitement et de stockage dans le cloud, sans oublier les canaux de communication qui les relient.

Côté utilisateurs, le foisonnement des terminaux et la prolifération de services « gratuits » attrayants (téléphones, tablettes, dispositifs vestimentaires, téléviseurs intelligents, domotique) favorisent la croissance exponentielle des données personnelles. Partout où nous allons et quoi que nous fassions, nous laissons derrière nous des traces numériques. Les attentes en matière de confidentialité se confrontent à un partage d'informations à outrance, intentionnel ou involontaire : un paradoxe qui alimente le débat sur le contrôle et la réglementation de la protection des données personnelles. Au vu des divergences importantes selon le pays et la culture concernant le respect de la vie privée, un consensus mondial sur la question semble peu probable. Les multinationales auront donc beaucoup de mal à proposer des produits et services cohérents d'un pays à l'autre. Cette combinaison de tendances posera également des défis en matière de conformité aux entreprises transnationales dont les collaborateurs recourent aux mêmes outils pour accéder à la fois aux ressources professionnelles et personnelles.

Partout où nous allons et quoi que nous fassions, nous laissons derrière nous des traces numériques.





Partager ce rapport

Les terminaux continueront de proliférer et de se diversifier. On prévoit au moins 200 milliards d'appareils connectés en 2020. Ajoutez à cette pléthore de terminaux à protéger une pénurie notoire d'experts en sécurité, et l'on comprend aisément pourquoi il est essentiel que le secteur de la sécurité informatique simplifie et automatise les dispositifs de défense et leurs configurations, et qu'il améliore leur efficacité par l'apprentissage automatique et la collaboration en réseau. En dépit de ces optimisations, le paramétrage de la sécurité demeurera obscur pour l'utilisateur lambda, ce qui nourrira la croissance des services de sécurité pour particuliers et petites entreprises axés sur la formation, les conseils et l'aide à l'installation, la configuration et la mise à jour. Les installateurs de réseaux domestiques et pour petites entreprises devront être beaucoup plus attentifs à fournir des systèmes sécurisés à leurs clients, car ils ne disposeront d'aucun administrateur de la sécurité.

La surface de cyberattaque grandissante

Plus d'utilisateurs 3 milliards en 2015 4 milliards en 2019

4 Mrd3 Mrd

Plus de connexions de smartphones 3,3 milliards en 2015 5,9 milliards en 2020

5,9 Mrd3,3 Mrd

Plus de données 8,8 zettaoctets en 2015 44 zettaoctets en 2020

44 Zo8,8 Zo

Plus d'équipements IP

24,4 Mrd16,3 Mrd

Plus de trafic réseau 72,4 exaoctets de trafic IP par mois en 2015 168 exaoctets de trafic IP par mois en 2019

168 Eo72,4 Eo

16,3 milliards en 2015 24,4 milliards en 2019

Source : McAfee Labs, 2015





Partager ce rapport

La sécurité intégrée à la puceFace à des applications et à des systèmes d'exploitation à la sécurité sans cesse renforcée et aux espaces protégés (walled gardens) toujours plus fermés, les auteurs d'attaques continueront d'explorer les couches plus profondes de la pile à la recherche de vulnérabilités à exploiter. Nous avons ainsi observé des attaques ciblant les micrologiciels des disques durs et les processeurs graphiques (GPU). Des cas récents d'exploits tirant parti de vulnérabilités du BIOS ou d'autres micrologiciels montrent que plus l'attaque agit à un niveau profond, plus grand est le contrôle qu'elle confère à son auteur. Au lieu d'être confinées à une seule application ou machine virtuelle, les attaques visant les micrologiciels ont accès à la totalité du système physique sans déclencher d'alertes ; elles peuvent persister au niveau de l'ensemble des machines virtuelles, de la mémoire et des pilotes, même après un redémarrage ou une réinstallation.

De plus, ces attaques sont efficaces sur un large éventail d'équipements, indépendamment de leur système d'exploitation. Nous assistons donc à une course dont l'enjeu est la base de la pile, car le premier à l'atteindre bénéficiera d'un avantage stratégique, en défense ou en attaque.

Actuellement, les malwares ciblant les vulnérabilités du matériel ou des micrologiciels sont très peu nombreux, mais la donne va changer ces cinq prochaines années. Nous nous attendons en effet à ce que de nombreux groupes tirent parti de techniques récentes, en partageant les connaissances acquises à mesure qu'ils progressent dans la conception d'attaques efficaces. Ces connaissances vont se diffuser, passant d'organismes spécialisés relevant de la Défense et des services de renseignements nationaux à de grandes organisations criminelles, pour devenir largement répandues.

Grâce à des mécanismes de protection du matériel et des micrologiciels, tels que l'amorçage sécurisé, les environnements d'exécution approuvés, la protection contre l'altération, l'accélération cryptographique, la protection de la mémoire active et l'identité immuable des équipements, ces attaques ont plus de difficultés à s'implanter, tout comme il est plus facile de les détecter et de les neutraliser.

Nous devons accepter le fait que nous ne parviendrons jamais à éliminer totalement le risque et que rien ne peut être sûr en permanence. Même si cela était possible, le coût serait prohibitif. Nous avons donc besoin d'un mécanisme qui assure l'intégrité des terminaux, des gadgets et des sondes. Les mises à jour de code sans fil ou par d'autres moyens non physiques seront une composante essentielle de la protection du matériel et des micrologiciels. Si toute connexion externe agrandit en théorie la surface d'attaque, les avantages de la mise à jour rapide du code pour corriger une vulnérabilité venant d'être identifiée compensent largement le risque de laisser des milliers ou millions d'équipements vulnérables jusqu'à ce qu'ils puissent être modifiés physiquement.

Autre technologie en lien avec la mise à jour à distance et automatisée pour les terminaux : les contrôles de l'identité et des accès qui, à la différence des systèmes conventionnels, sont capables de prendre en charge à la fois plusieurs millions de terminaux et des appareils simples ou de très petite taille.

En vertu de la célèbre loi de Moore d'Intel, les opérations mathématiques seront accélérées au point de ramener le coût du chiffrement matériel des données à une valeur proche de zéro, ce qui améliorera considérablement nos perspectives de protection des données inactives (au repos), en cours d'utilisation et en mouvement. Le chiffrement protège les données, les communications et les mises à jour du code contre l'altération et la falsification. Le chiffrement matériel encourage les développeurs à l'utiliser davantage en allégeant la charge liée au processus et en rendant celui-ci entre 5 et 20 fois plus rapide, en fonction du type de chiffrement. Chaque année, nous continuons à identifier quelques vulnérabilités présentes dans les méthodes de chiffrement courantes. C'est pourquoi nous devons étudier et adopter des modèles de chiffrement plus robustes ou plus performants, à condition qu'ils restent efficaces et transparents pour l'utilisateur.

« De nouveaux cybercriminels et de nouveaux États vont s'essayer aux cybermenaces, ce qui pourrait entraîner une hausse des attaques basées sur le matériel et destinées à causer des perturbations ou des dénis de services. »

— Steven Grobman, Directeur des Technologies, Intel Security

En vertu de la célèbre loi de Moore d'Intel, les opérations mathématiques seront accélérées au point de ramener le coût du chiffrement matériel des données à une valeur proche de zéro.



http://www.intel.fr/content/www/fr/fr/silicon-innovations/moores-law-technology.html



Le lien toujours plus étroit entre le matériel et les logiciels de sécurité s'illustrera également dans la capacité à exécuter certains types de traitements de paquets TCP/IP au niveau du matériel, ce qui permettra un traitement des opérations de sécurité plus intensif sur des plates-formes plus petites. Le coût par unité de calcul associée à la sécurité baissera alors même que les technologies de sécurité deviendront plus performantes.

Des attaques difficiles à détecterIl y a cinq ans, nous avions correctement prédit que les attaques parviendraient de mieux en mieux à déjouer les systèmes de sécurité traditionnels et à rester indétectables. Nous n'en sommes cependant qu'au début du phénomène. Le malware demeure très populaire et poursuit sa progression, mais l'année écoulée a vu l'amorce d'un virage vers de nouvelles menaces plus difficiles à déceler — notamment les attaques sans fichier, les exploits de protocoles de contrôle à distance et de shell distant, les infiltrations chiffrées et le vol d'identifiants.

Comme les systèmes de sécurité au niveau des terminaux, du périmètre et de la passerelle ont connu de nets progrès en matière d'inspection et d'identification des fichiers exécutables malveillants, les auteurs d'attaques se sont tournés vers d'autres types de fichiers. Ils s'essaient même aux infections ne recourant pas du tout aux fichiers. En exploitant les vulnérabilités du BIOS, des pilotes et d'autres micrologiciels, ils parviennent à contourner les défenses en injectant des commandes directement dans la mémoire ou en manipulant des fonctions en mémoire pour installer un mécanisme d'infection ou exfiltrer des données. Ces attaques ne sont pas faciles à exécuter et ne sont pas aussi interchangeables que certains des malwares les plus populaires, d'où le nombre relativement faible d'attaques connues pour le moment. Toutefois, à l'instar d'autres techniques, ces attaques ne manqueront pas de se simplifier et de se banaliser au fil du temps, ce qui les rendra plus accessibles et dopera leur progression. Le secteur de la sécurité informatique met au point des technologies d'analyse et de protection de la mémoire active qui détecte la mémoire sans lien avec un fichier particulier. Cela dit, nous nous attendons à une prolifération de ce type d'attaques, jusqu'à ce que ces dispositifs de défense soient déployés à grande échelle.



Partager ce rapport

Attaques difficiles à détecter

Autre type d'attaque sans fichier dont le nombre devrait augmenter au cours des cinq prochaines années : le piratage de divers protocoles de contrôle à distance et de shell distant, comme VNC, RDP, WMI et PowerShell. Grâce à ces attaques, les pirates peuvent exercer un contrôle direct sur les systèmes et installer du code malveillant sans déclencher d'alertes sur les terminaux. Ils peuvent en outre dérober des identifiants utilisateur en vue d'exploiter ces protocoles de manière légitime, ce qui est encore plus difficile à détecter. En réalité, il y a fort à parier qu'ils se concentrent principalement sur l'acquisition d'identifiants. Ceux-si sont souvent une cible plus facile que les données et offrent par ailleurs un accès direct à une multitude de ressources précieuses (terminaux eux-mêmes, applications et services de cloud des propriétaires, etc.). Après que l'attaquant a mis la main sur des identifiants, la plupart des solutions de sécurité considèrent ses actions ultérieures comme légitimes, de sorte qu'il peut se déplacer librement dans l'environnement infiltré.

L'analyse comportementale est capable de détecter certaines de ces attaques. Malheureusement, le secteur de la sécurité accuse constamment un retard dans ce domaine et il faudra sans doute près de cinq ans pour que des technologies d'analyse comportementale performantes parviennent à prendre l'avantage. D'ici là, l'authentification à deux facteurs et la biométrie supplanteront les mots de passe, et d'autres technologies joueront un rôle essentiel pour déterminer la légitimité.

Nous observerons également des attaques plus patientes, capables de rester à l'état dormant pendant plusieurs mois avant de s'activer afin de contourner les environnements sandbox, ou des infections qui collectent silencieusement des données sans interférer le moins du monde avec l'utilisateur. De plus, nous constaterons des mécanismes d'infiltration dissimulés dans des protocoles chiffrés courants, tels que HTTPS. Enfin, il faudra encore compter avec une autre technique insidieuse, inspirée des tours d'illusionnisme : un logiciel malveillant visible et actif ou une attaque par réseau de robots (botnet) focalise l'attention et les ressources de l'équipe de sécurité, tandis que l'attaque réelle s'insinue secrètement ailleurs pour ensuite se déplacer librement, ni vu ni connu.

Sous le système d'exploitation : MBR, BIOS, micrologiciels

Menaces sans fichier

Exploitations de shells distants et de protocoles de contrôle à distance

Infiltrations chiffrées

Malwares avec mécanismes de contournement de sandbox

2015 2016 2017 2018 2019 2020





Partager ce rapport

Virtualisation Comme toute technologie, la virtualisation présente des avantages et des inconvénients sur le plan de la sécurité. Bien qu'elle isole et protège les applications et les serveurs virtuels, elle peut également rendre le déplacement latéral plus difficile à détecter. Avant l'avènement de la virtualisation, nous étions potentiellement à même de repérer ce déplacement en identifiant le trafic réseau anormal. À présent, ce trafic est entièrement confiné au système physique au sein du routage et de la commutation par logiciel. La vue descendante de l'ordinateur complet, notre ancienne approche, est à présent compliquée par la multitude de machines virtuelles et de barrières dressées entre les fonctions du système d'exploitation. Qui plus est, lorsque les fonctions matérielles et de base sont confiées à une entreprise ou rôle administratif précis, les services de cloud et de virtualisation à d'autres, et les services applicatifs à un troisième, la question se pose de savoir qui est responsable de la sécurité sur les diverses couches. Au vu de toutes les méthodes de dissimulation possibles grâce aux clouds et à la virtualisation, comment repérer une attaque et remonter jusqu'à son auteur ?

En outre, la virtualisation évolue en ce sens qu'elle se déplace du centre de données vers le réseau. Cette technologie en évolution rapide appelée virtualisation des fonctions réseau (NFV, Network Function Virtualization) va conquérir les réseaux de télécommunications au cours des cinq prochaines années.

Si la gestion de réseau virtualisée est présente dans les clouds de centre de données depuis plusieurs années déjà, elle n'a été introduite que très récemment dans les réseaux qui connectent les utilisateurs et les terminaux aux clouds, comme Internet. La technologie NFV recourt à des plates-formes informatiques standard pour les tâches réseau spécialisées qui nécessitaient auparavant des appliances spécialisées elles aussi : routeurs, commutateurs, systèmes informatiques propres aux télécoms, pare-feux, systèmes IPS, DNS et DHCP, etc.

La technologie NFV est une autre grande inconnue en matière de sécurité, pour diverses raisons. Elle rend en effet la gestion de réseau nettement plus flexible et efficace, mais aussi plus complexe. Par ailleurs, elle est le plus souvent basée sur des technologies open source, dont les failles sont en général rendues publiques sur-le-champ : il n'existe pas de délai de grâce imposé par l'éditeur entre la découverte et la divulgation. La technologie NFV procure un gain d'efficacité en permettant à plusieurs éléments réseau d'être virtualisés sur une seule plate-forme, mais cela engendre un point de défaillance unique en cas d'attaque réussie ou d'incident.

Nous assistons également à l'apparition de « conteneurs » : une nouvelle forme de virtualisation qui crée des machines virtuelles plus performantes, plus rapides et plus légères. Les conteneurs remplacent les « images » dans le centre de données et le cloud, principalement par le partage non seulement des ressources matérielles (comme avec l'hyperviseur), mais également des ressources du système d'exploitation, telles que les bibliothèques. La conteneurisation est une technologie déjà largement utilisée par les principaux fournisseurs de services de cloud. Il faut s'attendre à ce qu'elle soit largement déployée dans les centres de données au cours des cinq prochaines années. Tout comme la technologie NFV, les conteneurs peuvent engendrer des complexités et des risques d'un nouveau genre. Ils sont essentiellement basés sur des logiciels open source et créent de nouvelles surfaces d'attaque en raison du partage d'un plus grand nombre de ressources entre tous les conteneurs.

Enfin, les cinq années à venir verront la généralisation de la technologie SDN (Software-Defined Networking), ou mise en réseau définie par logiciel, dans le domaine de la gestion de réseau, et pas simplement dans les environnements de centre de données et de cloud. La mise en réseau définie par logiciel sera combinée à la technologie NFV pour créer de nouvelles formes de services à valeur à ajoutée disponibles à la demande, hautement évolutifs et entièrement automatisés. Hélas, tout comme la technologie NFV, les réseaux SDN ont un prix en matière de sécurité : complexité encore accrue, logiciels open source, surfaces d'attaque élargies et points de défaillance uniques.

La virtualisation, sous ses multiples formes, pose des défis de sécurité considérables sur le plan technique et opérationnel.





De nouveaux types de terminauxNos précédentes estimations concernant la prolifération et la diversification des terminaux ne pêchaient que par prudence, et les tendances de ces cinq dernières années ne sont qu'un avant-goût de ce qui nous attend à l'avenir. La conception des appareils connectés à Internet est de plus en plus facile et coûte toujours moins cher. Résultat : le nombre de nouveaux produits, modèles commerciaux et modèles d'utilisation explose. Les prototypes deviennent des produits très rapidement. De même, les nouveaux gadgets arrivent vite à maturité et gagnent un public de plus en plus nombreux sur les segments des applications grand public, industrielles et métier. Certains de ces appareils de pointe connectés à l'Internet des objets (IoT) disposent de suffisamment d'utilisateurs pour susciter l'intérêt des cyberpirates, et d'autres suivront.

La majorité des constructeurs de ces appareils et gadgets misent principalement sur la commercialisation rapide, la convivialité et les structures de coûts avantageuses ; le temps et les ressources qu'ils peuvent investir dans la sécurité des appareils de l'Internet des objets sont limités. Non seulement ces appareils prêtent le flanc aux attaques, mais ils exposent par voie de conséquence les systèmes qu'ils connectent, de même que les informations personnelles qu'ils gèrent. De plus, bon nombre d'entre eux sont conçus pour fonctionner durant plusieurs années, ce qui les rend, de même que les systèmes auxquels ils se connectent, vulnérables aux menaces qui sans cela seraient éliminées par des mises à niveau ou des cycles d'actualisation courts.



Partager ce rapport

Nouveaux types de terminaux

2015

2015

2015

2015

Tablettes

Appareils de l'Internet des objets

Dispositifs vestimentaires

Taille du marché mondial des clouds publics

2019

2020

2018

2020

248 Mio

15 Mrd

200 Mio

97 Mrd USD

269 Mio

200 Mrd

780 Mio

159 Mrd USD

Dans les foyers, les smartphones ou les tablettes sont devenus le centre nerveux de cet écosystème IoT. Ils constituent les points de collecte de la plupart des dispositifs vestimentaires. Ils s'utilisent pour configurer et contrôler les téléviseurs intelligents, pour commander les éclairages, les serrures et les électroménagers, pour se connecter au véhicule et coordonner de nombreux outils numériques de santé personnelle — le tout connecté à une dorsale dans le cloud. Malheureusement, ce nœud de communication central représente également un excellent point de collecte de renseignements pour les escrocs. Nous savons que les téléphones présentent des vulnérabilités qui n'ont pas été ciblées par les auteurs d'attaques car ils n'y voient pas encore une motivation financière suffisante. Toutefois, l'utilisation croissante des smartphones et des tablettes en tant que points de collecte devrait en faire des cibles de choix au cours des cinq prochaines années, en raison des données stockées ou transitant sur ceux-ci.

De la même façon, à l'heure où les entreprises rivalisent pour conquérir les foyers connectés, il est fort probable que certaines plates-formes et leurs services de cloud soient ciblés par des logiciels malveillants discrets et patients, axés sur la collecte de renseignements. Nombre de ces appareils fonctionnent et communiquent en permanence, toujours à l'écoute, ce qui suscite certaines préoccupations concernant la transparence et la confidentialité. Les particuliers étant mal préparés et équipés pour détecter et neutraliser la plupart des






menaces informatiques, certaines attaques parfaitement abouties vont recueillir des informations personnelles de façon régulière, permettre des attaques par déni de service et transformer en zombies des appareils domestiques connectés à Internet. Au cours des cinq prochaines années, les réseaux domestiques connectés pourraient bien devenir la voie la plus simple pour pirater la vie des particuliers et les ressources de leurs employeurs. On peut donc s'attendre à diverses conséquences : une forte demande en spécialistes en installation disposant de compétences en cybersécurité ; la nécessité de configurations par défaut plus efficaces pour les réseaux domestiques ; l'offre de nouveaux services de sécurité par des fournisseurs de solutions haut débit et d'applications pour venir compléter ces appareils résidentiels connectés.

Des passerelles domestiques plus intelligentes et sécurisées feront également leur apparition au cours des cinq années à venir. De nos jours, ces systèmes ont des fonctions très sommaires. Ils transmettent les paquets vers et depuis Internet sans exercer la moindre surveillance, ou très peu, et ils assurent leur acheminement (routage) à travers le domicile sans aucun suivi ni application de stratégie. Les passerelles doivent s'améliorer pour prendre en charge l'Internet des objets, avec ses interconnexions entre le cyberespace et le monde physique et ses applications critiques en matière de sécurité. Elles devront empêcher qu'un terminal (ou un utilisateur) compromis au sein de l'habitation soit utilisé pour pirater un autre appareil IoT dépourvu d'un quelconque mécanisme de détection ou, mieux, de protection. En plus de devenir la dernière ligne de défense, les passerelles domestiques permettront la mise en place de plusieurs nouveaux services essentiels à la sécurité pour dissiper les craintes des consommateurs et les incertitudes réglementaires.

La nouvelle gamme d'appareils implique bien plus qu'une simple transition vers les téléphones et les tablettes. Elle incarne également le passage à un monde où les utilisateurs, de plus en plus nomades, peuvent utiliser n'importe quel équipement équipé d'un clavier et d'un écran pour accéder à des informations dans le cloud. Les données sont convoitées depuis toujours par les cybercriminels, mais aujourd'hui, les terminaux d'accès sont moins contrôlés et leurs protections souvent moins rigoureuses peuvent leur ouvrir la porte à des données bien plus nombreuses. Le fait de stocker nos données dans le cloud et d'y accéder à partir d'un téléphone, d'une tablette, d'une borne interactive, d'un véhicule ou d'une montre connectée (chacun d'entre eux exécutant des systèmes d'exploitation et des applications différents) agrandit considérablement la surface d'attaque. Étant donné que ces terminaux d'accès seront inévitablement moins sûrs, les fournisseurs de solutions de cloud seront forcés d'améliorer de façon significative la sécurité des connexions et des données elles-mêmes. Nous sommes convaincus que des fournisseurs de cloud performants parviendront à relever ce défi au cours des cinq prochaines années, aidés des technologies de grands éditeurs de solutions de sécurité.

Parallèlement, de nouveaux types de sondes et équipements d'entreprise alimentent à présent les systèmes industriels, les systèmes de contrôle des infrastructures critiques et les processus métier fondamentaux, créant ainsi de nouvelles surfaces d'attaque. Outre les menaces directes, nous avons observé la manière dont ces nouveaux dispositifs permettent de passer des systèmes industriels aux systèmes métier, et comme ils seront toujours plus nombreux à être interconnectés, le problème ne fera que s'aggraver. Situés à des emplacements critiques des réseaux approuvés, certains de ces dispositifs seront attrayants pour les cybercriminels car, une fois compromis, ils pourraient servir de têtes de pont pour de nouvelles attaques. Enfin, sachez que les attaques n'obéissent pas à la loi des nombres. Si la compromission d'un système industriel composé de plusieurs centaines de millions d'appareils IoT peut causer des dommages importants, elle peut être beaucoup plus dévastatrice s'il s'agit d'un appareil situé à un point stratégique d'un système de contrôle d'infrastructures critiques.



Partager ce rapport

Évolution des cybermenaces Tant qu'il y aura des éléments numériques de valeur, il y aura des cybercriminels. Une chose est sûre : la cybercriminalité continuera de progresser au cours des cinq années à venir. Comme pour toute entreprise, la motivation finale des opérations cybercriminelles est de générer du profit, dans leur cas en recherchant la façon la plus aisée de voler des éléments de valeur. Ainsi, la valeur grandissante des données personnelles sera déterminante, car elle est déjà supérieure à celle des informations de cartes de paiement et elle continuera de grimper. L'utilisation croissante des cryptomonnaies telles que bitcoin fera des devises virtuelles une cible de choix pour le vol, et pas simplement la méthode de paiement privilégiée par les criminels.

Proposées sous la forme de produits prêts à l'emploi, les cyberattaques seront davantage accessibles à des individus sans grandes compétences. Elles permettront ou favoriseront la réalisation d'objectifs plus personnels : atteinte à la réputation, compromission de l'intégrité, harcèlement, vandalisme, désordre.

L'adoption grandissante du cloud engendrera de nouvelles vulnérabilités et menaces. Les infrastructures système et réseau traditionnelles offraient la possibilité de définir clairement un périmètre à sécuriser, mais avec les clouds et leur large spectre de frontières organisationnelles et de points de contrôle distribués, cette tâche est plus compliquée. De plus en plus, les auteurs d'attaques cibleront le cloud pour tirer parti de ces frontières souvent mal définies. Ils s'en prendront également au cloud public car il leur donne l'occasion de se déplacer latéralement et d'infiltrer ses autres réseaux virtuels.

Le cloud offrira également aux cybercriminels d'incroyables ressources sous la forme de capacité de calcul et de stockage, tout en leur permettant d'apparaître et de disparaître d'un simple clic de souris. Il sera très difficile pour les autorités policières de faire cesser les activités d'un fournisseur de cloud en raison du comportement de ses clients criminels. Il faudra donc identifier des ressources en possession des criminels, comme leurs portefeuilles de bitcoins.

Lors de notre rétrospective sur cinq ans, nous avions constaté une tendance à l'augmentation d'attaques commanditées par des États. Certaines nations continueront de renforcer leurs cybercompétences offensives et défensives. Elles amélioreront leurs capacités de collecte de renseignements, perfectionneront leurs méthodes de manipulation secrète des marchés et continueront à élargir la définition de la cyberguerre et les règles d'engagement dans ce domaine.

La cyberguerre entre États jouera un rôle de nivellement, transformant l'équilibre des pouvoirs dans de nombreuses relations internationales tout comme l'a fait l'armement nucléaire à partir des années 1950. Les petits pays pourront mettre sur pied ou se procurer les services d'une cyberéquipe qualifiée pour prendre le dessus sur une nation plus puissante. De fait, les compétences en cyberguerre font déjà partie de l'arsenal politique international, constitué d'un appareil offensif et défensif.





Partager ce rapport

La cyberguerre offensive peut également cibler des bases de données et des infrastructures numériques, tout comme des armes et infrastructures physiques. L'objectif des cybermanœuvres de ces États peut être de mettre hors service le réseau de distribution d'eau ou d'électricité d'un pays rival plutôt qu'Internet, ou de prendre le contrôle de drones ou d'armements, et de cibler des systèmes. L'espionnage numérique fait également partie de la cyberguerre : les agents du renseignement mettent la main sur des systèmes de surveillance, épient des fonctionnaires et exfiltrent des documents en vue d'offrir un avantage stratégique à leur pays. Nous avons déjà observé de telles pratiques lors de l'intrusion majeure perpétrée au sein de l'Office of Personnel Management (Bureau de la gestion du personnel) des États-Unis et il y a fort à parier qu'elles se répéteront au cours des cinq prochaines années.

Normes de sécurité de l'Internet des objetsNous avons déjà abordé la question des appareils de l'Internet des objets (IoT) émergents dans la section consacrée aux nouveaux types de terminaux. Cependant, nous ne nous sommes pas encore intéressés aux nouvelles normes attendues pour l'Internet des objets, en particulier celles liées à la sécurité. L'établissement de normes adéquates en la matière est d'une importance cruciale car de nombreux appareils de l'IoT collectent des données très personnelles ou stratégiques. Entre de mauvaises mains, de telles données peuvent être utilisées pour mettre à mal une entreprise ou la vie d'une personne.

En matière de standards, l'Internet des objets est un kaléidoscope. Il existe des centaines de normes potentiellement liées à l'Internet des objets, mais très peu d'entre elles répondent directement à ses exigences. De multiples domaines sont concernés : sécurité des réseaux (avec des normes émanant de divers organismes), sécurité des centres de données (de même), gestion des identités, interopérabilité, technologies sans fil, protection des données personnelles et bien d'autres encore.

Or, dans cette masse de normes et standards redondants et conflictuels, il subsiste des brèches, notamment liées à la sécurité. Par exemple, la question de la conception et la gestion sécurisées d'un réseau NFV ou SDN n'a pas été abordée par des organismes majeurs comme l'ISO, la CEI ou l'ITU. De même, des efforts considérables sont nécessaires concernant les exigences nouvelles et divergentes en matière de contrôle des accès et des identités associées à l'Internet des objets, ou encore l'application claire au Big Data des normes en matière de confidentialité.

70 %

48 %

Évolution des cybermenaces —Étude sur les infrastructures critiques

Plus de 70 % pensent que les menaces de cybersécurité

pesant sur leur entreprise sont en hausse.

48 % considèrent comme probable une cyberattaque de sabotage d'une

infrastructure critique susceptible d'entraîner la perte de vies humaines.

Source : http://www.mcafee.com/fr/resources/reports/rp-aspen-holding-line-cyberthreats.pdf



http://www.mcafee.com/fr/resources/reports/rp-aspen-holding-line-cyberthreats.pdf



Partager ce rapport

Bonne nouvelle cependant : certaines initiatives sont en cours et devraient déboucher sur des orientations résolument meilleures, au niveau de normes internationales, concernant la sécurité de l'Internet des objets. Par ailleurs, elles amélioreront le fonctionnement de ces marchés et apaiseront les esprits après certaines catastrophes fortement médiatisées et attribuées aux balbutiements de l'Internet des objets.

Données personnelles, sécurité et confidentialitéLes données personnelles, leur valeur et les exigences en matière de confidentialité transformeront de manière radicale la sécurité et la cybercriminalité, que ce soit au niveau des cibles, des attaques ou des défenses. Au cours des cinq années à venir, les informations personnelles collectées et stockées augmenteront en volume et se diversifieront. En plus des nom et prénom, du numéro de téléphone, de l'adresse, de l'e-mail de la personne et des données historiques des achats, elles incluront les lieux fréquemment visités, les comportements, les habitudes alimentaires, les préférences musicales, vidéo et télévisuelles, le poids, la pression sanguine, les prescriptions médicales, le rythme de sommeil, l'emploi du temps quotidien et les sports pratiqués. Des sondes transmettront des informations à toutes sortes d'organisations, pour renvoyer au consommateur des publicités, des recommandations et des offres présentant un véritable intérêt pour lui. Ces informations combinées représentent les traces numériques des activités de l'internaute, un sous-produit inévitable de la vie moderne.

Ces traces numériques, fournies de façon délibérée ou collectées à notre insu, prendront une valeur économique inestimable à l'avenir. En effet, elles pourront être vendues ou échangées contre de l'argent, des réductions, des biens ou des services toujours plus personnalisés et conçus sur mesure. En raison de leur valeur accrue, ces informations devront impérativement être protégées et contrôlées. Certains continueront de récolter nos données « légitimement » en enfouissant leurs conditions générales dans un accord de services d'une application ou d'un service par ailleurs inoffensif. D'autres tenteront de les extraire à partir du cloud, par l'intermédiaire de nos appareils, ou au moment où elles transitent sur les nombreux réseaux que nous traversons chaque jour. D'autres encore voudront bien sûr s'en emparer illégalement.

Avec l'augmentation de la valeur des données personnelles, on voit apparaître des criminels d'un nouveau genre, qui combinent, entreposent et vendent à des fins spécifiques les informations dérobées. Ils font appel à des techniques analytiques utilisées dans le contexte des grands volumes de données (Big Data) afin de rechercher des liens et des corrélations au sein de leur précieux butin, pour ensuite reconstituer les identités personnelles et vendre ces renseignements au plus offrant.

Les voleurs peuvent ainsi contourner les techniques courantes de vérification de l'identité (numéros de sécurité sociale, dates de naissance, quatre derniers chiffres des numéros de cartes de crédit ou encore réponses aux questions de sécurité). Cela leur permet au bout du compte de vendre des identifiants légitimes et de compliquer l'identification des comportements suspects par les dispositifs de défense. Les cybercriminels pourraient même utiliser l'analyse comportementale pour déterminer les achats susceptibles d'être réalisés à l'aide d'informations de cartes de paiement volées sans déclencher d'alerte.

La valeur grandissante des données personnelles suscitera la convoitise des cyberescrocs et conduira à l'émergence de marchés sophistiqués pour la vente des données volées. Elle donnera également lieu à un renforcement de la sécurité et de la législation sur le respect de la vie privée.





Les réglementations et consignes en matière de confidentialité et de sécurité numériques ne datent pas d'hier. Depuis longtemps, des discussions et des travaux sont menés dans de nombreux pays et secteurs d'activité pour s'accorder sur les pratiques acceptables, les exigences de conformité adéquates et les sanctions à appliquer en cas d'actes répréhensibles. Pour faire face à l'augmentation de la quantité de données personnelles collectées et stockées, les tentatives de codifier des politiques et sanctions se poursuivront. Les consommateurs exigeront non seulement une meilleure protection de leur vie privée, mais également des méthodes plus efficaces pour accepter ou refuser la collecte de leurs données, plus de transparence concernant les données conservées à leur sujet et le droit de consulter, de modifier et même de supprimer celles-ci. À titre préventif, les entreprises opteront pour l'autorégulation, éventuellement en proposant des produits avec des configurations par défaut davantage orientées vers la confidentialité du consommateur que vers la collecte d'informations, c'est-à-dire en privilégiant un modèle où l'utilisateur doit autoriser spécifiquement cette collecte, plutôt que la refuser. Il s'agira d'un exercice périlleux, et les secteurs d'activité incapables de s'adapter suffisamment se retrouveront dans le collimateur des autorités législatives.

Il faut également craindre la surrégulation, aux conséquences imprévues, qui pourrait entraver l'innovation et mettre sérieusement en péril certains secteurs d'activité. Il a fallu attendre plus d'un siècle pour que la réglementation dans les domaines des véhicules et des téléphones évolue. Au cours des cinq prochaines années, nous constaterons l'impact (le cas échéant) des règles de neutralité d'Internet récemment édictées par la Federal Communications Commission (FCC), organisme officiel américain. La réglementation de l'Internet des objets devrait donner lieu à des initiatives audacieuses et des fiascos au cours des cinq années à venir.

Sous la pression des États souhaitant le partage de certaines données personnelles, les multinationales se heurteront par la force des choses à des responsabilités légales et des réglementations conflictuelles au moment de l'échange transfrontalier des données. Comme c'est déjà le cas aujourd'hui, il est possible que les entreprises demandent une protection contre ces responsabilités ou refusent de se soumettre à des réglementations de divulgation dans certains pays lorsqu'elles sont contraires à leurs valeurs ou aux réglementations du pays de leur siège social, sous peine de conflits d'intérêts.

Carte thermique 2014 de la protection des données personnelles

Sources : Ministère américain du Commerce et législations nationales ; Forrester Research, Inc.

Très restreint

Restreint

Certaines restrictions

Restrictions minimes

Absence de restriction dans les faits

Absence de législation ou d'information

https://www.federalregister.gov/articles/2015/04/13/2015-07841/protecting-and-promoting-the-open-internet

https://www.federalregister.gov/articles/2015/04/13/2015-07841/protecting-and-promoting-the-open-internet



Partager ce rapport

La riposte du secteur de la sécuritéL'analyse comportementale est la prochaine arme stratégique de l'arsenal du secteur de la sécurité. En créant des bases de référence du comportement normal et en surveillant l'activité en continu, ces outils apprendront les faits et gestes habituels des utilisateurs légitimes et enverront des alertes ou prendront des mesures lorsqu'ils détecteront des activités anormales. Cette application est-elle généralement utilisée pendant que la personne travaille ? Cette activité a-t-elle lieu pendant les heures de bureau normales, dans des emplacements spécifiques et sur des terminaux vérifiés ? Les technologies d'analyse comportementale n'en sont qu'à leurs balbutiements et il est encore très compliqué d'extraire des informations pertinentes à partir d'ensembles de données volumineux. Cependant, elles vont rapidement gagner en maturité au cours des cinq prochaines années, à mesure que les compétences dans les domaines de l'apprentissage automatique, les gros volumes de données et l'analytique résoudront les problèmes.

Dans le but d'assurer une protection plus rapide et plus performante, les entreprises, les États et les fournisseurs de solutions de sécurité seront tenus de partager la cyberveille sur les menaces. Ce processus a déjà débuté, certains participants de l'écosystème estimant que les avantages du partage sont supérieurs à ses désavantages. Ces échanges de cyberveille sur les menaces sont susceptibles de s'intensifier aux échelons supérieurs et inférieurs de la chaîne logistique et dans les différents secteurs d'activité, dans la mesure où les différents acteurs détermineront qui est digne de confiance et comment ils peuvent exploiter ces renseignements en interne. Les produits et services de cyberveille sur les menaces continueront de proliférer, mais les éditeurs auront du mal à concilier, d'une part, la valeur marketing et le rendement des services d'abonnements de cyberveille et, d'autre part, le besoin évident de renseignements partagés et d'une meilleure collaboration. Par ailleurs, les organismes publics devront faire face à des conflits et à des problèmes de coopération juridictionnelle, tandis que les entreprises seront préoccupées par la question de la responsabilité liée au partage d'informations de cyberveille avec les forces de l'ordre.

Le volume même de la cyberveille sur les menaces générée nécessitera des progrès en matière d'apprentissage automatique et d'analytique afin qu'elle puisse être traduite efficacement et rapidement en mesures adéquates et en notifications en langage humain. Les échanges de telles informations exigeront des systèmes de notation de la confiance et de la qualité, des fonctionnalités d'audit et des méthodes sophistiquées permettant une corroboration et une attestation rapides afin de réduire le nombre de faux positifs et d'empêcher que le système puisse être trompé.

Il faudra en outre impérativement améliorer l'efficacité et la rentabilité de la sécurité informatique au cours des cinq prochaines années. Le nombre d'appareils à protéger passera la barre des 200 milliards en 2020. Parallèlement, le nombre de professionnels de la sécurité requis augmente, de même que le niveau de compétences exigé, alors que leur offre et leurs qualifications sont bien inférieures à la demande du marché. Par nécessité, l'automatisation des fonctions de sécurité deviendra plus performante et plus sophistiquée.

Les entreprises exigeront également des niveaux prévisibles d'investissement en sécurité et gestion des risques, ce qui entraînera le développement continu de services SaaS (Security-as-a-Service), de produits d'assurance de la sécurité et de plans de couverture contre les incidents de sécurité catastrophiques. La cyberveille sur les menaces jouera ici aussi son rôle, en fournissant les données nécessaires à l'élaboration de modèles actuariels pour le secteur de l'assurance. Celles-ci peuvent provenir de partenariats intéressants entre le secteur de l'assurance et les fournisseurs de solutions de sécurité, les fournisseurs de services de cloud ou les consortiums de cyberveille sur les menaces.

L'analyse comportementale améliorera la capacité à détecter les attaques avancées.

Une meilleure collaboration et le partage de la cyberveille sur les menaces accéléreront l'identification des tactiques et techniques des attaquants.

La liste des tâches du secteur de la sécurité :

■ Analyse comportementale, pour détecter les activités anormales

■ Partage de la cyberveille sur les menaces, pour assurer une protection plus performante, plus rapidement

■ Sécurité intégrée dans le cloud, pour améliorer la visibilité et le contrôle

■ Détection et correction automatisées, pour protéger davantage d'appareils avec un nombre réduit de professionnels de la sécurité



http://www.intel.com/content/www/us/en/internet-of-things/infographics/guide-to-iot.html



Partager ce rapport

ConclusionIl y a cinq ans, nous avions pressenti que trois forces ébranleraient le paysage de la cybersécurité : l'agrandissement de la surface d'attaque, l'industrialisation du piratage, et la complexité et fragmentation du marché de la sécurité informatique. Pour l'avenir, nous estimons que les principales forces seront la poursuite de l'expansion de la surface d'attaque, la sophistication accrue des attaquants, le coût croissant des compromissions, le manque d'intégration des technologies de sécurité et la pénurie d'experts en sécurité qualifiés pour garantir une riposte efficace.

Dispositifs vestimentaires, gadgets, sondes et autres appareils connectés à Internet : tous créent de nouvelles connexions et font apparaître de nouvelles vulnérabilités. Chaque nouveau produit qui se connecte à Internet est confronté à l'efficacité redoutable des menaces actuelles, et il nous reste un long chemin à parcourir avant de combler notre retard sur les attaques en termes de vitesse et de complexité. Il est essentiel que nous intégrions la sécurité dans les couches matérielles et logicielles pour que les nouveaux produits réussissent à gagner la confiance des utilisateurs. Fort heureusement, de nouveaux outils de sécurité sont commercialisés et les entreprises de toutes tailles sont de plus en plus conscientes de l'importance d'une cybersécurité adéquate.

L'économie des données personnelles sera une véritable aubaine pour les consommateurs qui vont dégager de plus en plus de valeur de leurs activités et leurs informations. Néanmoins, comme ces données et leur valeur potentielle suscitent la convoitise, le respect de la vie privée pourrait sérieusement en pâtir. De plus, les initiatives réglementaires autour de ces données risquent d'entraver l'innovation et les libertés individuelles. De fait, les entreprises et organisations de tous types feront pression pour faire entendre leur point de vue et réduire leur responsabilité en cas de compromission. La sécurité informatique se détournera de plus en plus du modèle de dépenses d'investissement au profit d'un modèle continu et prévisible de frais d'exploitation et d'externalisation, couplé à des services d'assurance et de gestion des risques.

Enfin, certains États continueront d'élargir la portée de leurs capacités de cyberguerre et d'en accroître la sophistication. Ils mèneront des offensives de cyberguerre froide et ouverte qui influenceront les relations politiques et les structures de pouvoir de par le monde. Par ailleurs, leurs outils se diffuseront aux organisations criminelles ainsi qu'à d'autres groupes motivés par des objectifs malveillants ou économiques ou fauteurs de trouble.

Heureusement, il existe des signes encourageants. Le secteur de la sécurité et de nombreux organismes publics jugent leur collaboration plus facile, ce qui se traduit par des progrès dans la détection et le blocage des cybermenaces. De plus, les recherches en matière de vulnérabilités et de sécurité continuent de se développer, avec pour résultat une identification plus précoce des exploits. De grandes entreprises spécialisées dans les technologies, notamment Intel, ont constitué des équipes hautement qualifiées de recherche et développement en sécurité qui continueront à améliorer l'efficacité des outils pour la protection, la détection et la neutralisation des attaques.




Matériel

Logiciels de demande de rançon (ransomware)

Vulnérabilités

Systèmes de paiement

Attaques via les systèmes du personnel

Services de cloud

Dispositifs vestimentaires

Automobiles

Entrepôts de données volées

Intégrité

Cyberespionnage

Cyberactivisme

Infrastructures critiques

Partage de cyberveille sur les menaces



Partager ce rapport

MatérielL'année 2015 marque un changement radical dans les attaques centrées sur le matériel. Une pléthore d'études universitaires et de preuves de concept ont été publiées sur le sujet et les différents acteurs du secteur de la sécurité ont mis au jour de nombreuses attaques ciblant le matériel.

Dans le cas des attaques d'Equation Group révélées plus tôt dans l'année, il est intéressant de noter que les composants malveillants découverts étaient vieux de plusieurs années. C'est un exemple parmi tant d'autres de malware hautement sophistiqué et agissant à très bas niveau qui est basé sur du code relativement ancien selon les critères des auteurs de logiciels malveillants. De fait, Flame, Duqu et d'autres menaces de ce type utilisaient, elles aussi, des « vieux » logiciels malveillants.

En ce qui concerne Equation Group, leurs logiciels malveillants sont capables de reprogrammer les micrologiciels des disques durs et disques électroniques et de persister en dépit des efforts déployés pour les éliminer à un niveau supérieur — notamment par la réinstallation du système d'exploitation et le reformatage des disques. Cette attaque illustre parfaitement comment un pirate tire parti d'une connaissance approfondie des micrologiciels et du code de référence de fabricants spécifiques pour assurer la persistance des logiciels malveillants. Non seulement cette tendance devrait perdurer en 2016, mais tout laisse penser que les spécialistes des menaces découvriront d'autres attaques persistantes de ce type dès lors qu'ils en sauront davantage sur les différents mécanismes intervenant dans les menaces actuelles.

Les attaques contre le matériel sont amplifiées par l'émergence des outils d'attaque commerciaux. 2015 marque également la découverte du premier rootkit commercial pour UEFI, code source inclus. Hacking Team, à qui l'on doit ce rootkit, propose une plate-forme appelée Remote Control System qui inclut ce module de rootkit. Certains éléments de l'outil ont déjà été modifiés pour lancer des attaques. La distribution du code source a permis aux attaquants de personnaliser et d'adapter facilement la menace pour la conformer à leurs objectifs. Des copies du code et d'autres outils similaires devraient suivre en 2016.

Il existe d'autres recherches et projets semblables, dont le NSA Playset. Une fois encore, ces outils ne sont pas neufs ; les attaquants peuvent néanmoins les adapter pour réaliser leurs visées malveillantes, ce qu'ils continueront à faire. Persister sous le système d'exploitation, une couche généralement bien protégée par les contrôles de sécurité classiques, offre des perspectives très intéressantes pour tous les auteurs de menaces, quelles que soient leurs compétences et qu'il s'agisse de simples cybercriminels ou d'États.

Les attaques visant les micrologiciels système posent un risque grave lorsqu'elles sont associées au cloud ou aux fournisseurs de services de cloud. En 2015, l'équipe ATR d'Intel a montré comment avoir accès aux machines virtuelles adjacentes au moyen de plusieurs vecteurs, dont les rootkits pour micrologiciels ou de simples erreurs de configuration. Des menaces similaires à l'attaque S3 Boot Script peuvent être adaptées pour en faire des attaques réelles. Dans bon nombre de cas, il suffit d'exploiter des erreurs de configuration au niveau de l'UEFI ou du BIOS.

À l'avenir, nous devrons porter une attention particulière aux composants système situés sous le système d'exploitation et appréhender parfaitement les modes d'exploitation possibles de ceux-ci dans le cadre d'attaques. Les contrôles destinés à contrer les attaques visant les composants situés sous le système d'exploitation incluent des outils tels que CHIPSEC, et des technologies comme Intel iKGT (Kernel Guard Technology) et Intel BIOS Guard.

— Jim Walter

Dans le contexte de ces prévisions, les menaces visant le matériel incluent les attaques contre les micrologiciels, le BIOS et l'UEFI (sous le système d'exploitation) qui affectent ou exploitent directement les composants matériels du système.

L'UEFI (Unified Extensible Firmware Interface) est une interface micrologicielle extensible unifiée, destinée aux PC et conçue pour remplacer le BIOS. Cette norme a été développée par plus de 140 sociétés du secteur des technologies, membres du Forum UEFI.



http://www.mcafee.com/fr/resources/reports/rp-quarterly-threat-q1-2015.pdf

http://www.intelsecurity.com/advanced-threat-research/ht_uefi_rootkit.html_7142015.html

http://www.intelsecurity.com/advanced-threat-research/ht_uefi_rootkit.html_7142015.html

http://www.nsaplayset.org/

http://www.intelsecurity.com/advanced-threat-research/

http://www.intelsecurity.com/advanced-threat-research/

http://www.intelsecurity.com/advanced-threat-research/content/AttackingHypervisorsViaFirmware_bhusa15_dc23.pdf

http://www.intelsecurity.com/advanced-threat-research/content/WP_Intel_ATR_S3_ResBS_Vuln.pdf

http://www.intelsecurity.com/advanced-threat-research/chipsec.html

https://01.org/intel-kgt

http://www.intel.com/content/dam/www/public/us/en/documents/white-papers/security-technologies-4th-gen-core-retail-paper.pdf



Partager ce rapport

Logiciels de demande de rançon (ransomware)Les logiciels de demande de rançon, ou ransomware, resteront une menace majeure, en croissance rapide en 2016. Avec l'arrivée de nouvelles variantes et le succès du modèle commercial « RaaS », soit le ransomware proposé sous forme de service, l'essor de ces logiciels, entamé au troisième trimestre 2014, devrait se poursuivre en 2016.

En 2015, notre équipe a découvert des services RaaS hébergés sur le réseau Tor, payables en monnaie virtuelle. Selon nous, leur popularité devrait encore grandir en 2016, dès lors que les cybercriminels inexpérimentés feront appel à ces services tout en bénéficiant d'un relatif anonymat.

Bien que l'univers des ransomwares soit actuellement dominé par quelques familles, dont CryptoWall 3, CTB-Locker et CryptoLocker, nous anticipons l'émergence de nouvelles variantes et familles dotées de fonctions furtives inédites. Ainsi, on peut imaginer que ces nouvelles variantes commencent à chiffrer les données de façon silencieuse. Ces fichiers chiffrés seront sauvegardés et lorsque l'attaquant retirera la clé au bout d'un certain temps, les fichiers seront chiffrés tant sur le système que dans les sauvegardes. D'autres nouvelles variantes pourraient utiliser des composants du noyau pour se connecter au système de fichiers et chiffrer les fichiers à la volée, au fur et à mesure que l'utilisateur y accède.

Les groupes à l'origine de la plupart des campagnes actuelles de demande de rançon recherchent un profit rapide. Ils utilisent des campagnes de spam et des kits d'exploits comme Angler et ciblent les pays prospères dont les habitants ont les moyens de payer les rançons. Selon nos prévisions, cette tendance devrait se poursuivre en 2016 et les auteurs de ces campagnes pourraient se tourner vers certains secteurs industriels, dont la finance et les administrations publiques, qui n'auront d'autre choix que payer les rançons pour rétablir leurs services critiques. En fait, nous avons déjà observé des attaques très efficaces contre ces secteurs. En général, seuls les fichiers Microsoft Office, Adobe PDF et graphiques sont visés. Pour 2016, nous anticipons un élargissement des formats de fichier pris pour cible, dont ceux utilisés dans les environnements d'entreprise. Les attaques contre Microsoft Windows se poursuivront et les logiciels de demande de rançon commenceront également à cibler les systèmes Mac OS X en 2016 compte tenu de leur popularité grandissante.

20 000

15 000

10 000

5 000

25 000

0

Nouveaux échantillons des grandes familles de ransomware

2e trim. 3e trim.1er trim.4e trim.3e trim.2e trim.1er trim.4e trim.2013 2014 2015


CTB-Locker TeeracCryptoWall CryptoLocker





Partager ce rapport

Le rapport 2015 prévoyait que le ransomware s'en prendrait aux services cloud et mobiles mais jusqu'à présent, cette prévision ne s'est pas réalisée, les tentatives d'attaque restant rares dans ces domaines. Même si les utilisateurs conservent des fichiers personnels sur leurs téléphones mobiles, il est assez simple de restaurer des fichiers chiffrés ou endommagés à partir du service de cloud du fournisseur d'applications ou d'une sauvegarde locale.

— Christiaan Beek

Vulnérabilités Les vulnérabilités des applications restent problématiques pour les développeurs de logiciels et leurs clients. Adobe Flash est sans doute le produit le plus souvent pris pour cible. Les vulnérabilités Flash, notamment CVE-2015-0311 et CVE-2015-0313, représentent près d'un tiers de toutes les attaques « jour zéro » découvertes par les entreprises spécialisées en sécurité en 2014 et 2015. Même si Flash a mauvaise réputation, Adobe corrige rapidement ses failles. Selon nous, l'attrait pour ce vecteur d'attaques (spécialement les attaques lancées à l'aide de kits d'exploits) diminuera au cours de l'année à venir en raison des nouvelles fonctions de prévention introduites dans un récent correctif de Flash Player.

Ces fonctions permettent de neutraliser la méthode d'exploitation « Vector Spray ». La sécurité de Flash s'en trouve renforcée et son exploitation est plus difficile. Mais aucune méthode de prévention ou de réduction des risques n'est parfaite. Comme la qualité et la complexité du code de Flash n'ont pas changé, les vulnérabilités Flash perdureront. Selon nos prévisions, certaines preuves de concept validées du contournement des mesures de prévention devraient voir le jour en 2016.

Certains développeurs réclament le remplacement de Flash par HTML5 et la désactivation par défaut de Flash bientôt incluse à Google Chrome risque de poser problème. Mais l'abandon de Flash n'est pas encore à l'ordre du jour. Internet héberge encore un volume considérable d'anciens contenus Flash, tout au moins pour les ordinateurs (mais pas pour les équipements mobiles). De notre avis, cela n'est pas prêt de changer.

34 %

6 %18 %

6 %

16 %

6 %

12 %

Attaques de type « jour zéro » par application vulnérable en 2014 et 2015

Adobe Reader

Adobe Flash

Système d'exploitation non Windows

Microsoft InternetExplorer

Autres

Microsoft Office

Oracle Java

Noyau/composant du système d'exploitation Windows

2 %




http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0311


https://blogs.mcafee.com/business/security-connected/advance-wont-want-miss-mcafee-adds-flash-exploit-detection-nsp-8-2/

https://blogs.mcafee.com/business/security-connected/advance-wont-want-miss-mcafee-adds-flash-exploit-detection-nsp-8-2/



En ce qui concerne Internet Explorer, les vulnérabilités sont plus rares qu'il y a quelques années, même si nous observons encore de temps à autre des exploits tels que CVE-2015-2425 et CVE-2014-1815. Ce déclin s'explique essentiellement par les récentes mesures de prévention qui augmentent le coût de l'exploitation et la situation ne devrait pas beaucoup évoluer en 2016. Cela étant, même si Microsoft ne cesse d'ajouter de nouvelles défenses à Internet Explorer (mode protégé amélioré, VTGuard, protection du flux de contrôle, segment de mémoire isolé, protection de la mémoire, etc.), les attaquants trouvent souvent le moyen de les contourner. De nombreuses astuces pour contourner ces fonctions sont publiées. Dès lors, ce n'est jamais qu'une question de temps avant que des attaques de type « jour zéro » contournant les dernières protections d'Internet Explorer ne fassent leur apparition.

Que dire du nouveau navigateur Microsoft Edge inclus dans Windows 10 ? Compte tenu de l'extension de sa surface d'attaque (due à la prise en charge de nouveaux standards web) et des fonctions de prévention nouvelles ou améliorées (telles que le récupérateur de mémoire), nous anticipons une confrontation intéressante entre les deux camps. Edge sera-t-il aussi vulnérable que ne l'était Internet Explorer ? Selon nous, toutes les vulnérabilités n'auront pas disparu mais elles seront plus difficiles à exploiter.

Les exploits Java, PDF et Office sont en net recul depuis quelques années. Nous n'avons découvert qu'un seul exploit Java de type « jour zéro » (CVE-2015-2590) au cours des deux dernières années. Cette rareté est à mettre au compte des améliorations de sécurité apportées à l'environnement JVE (Java Runtime Environment).

Le nombre d'attaques critiques de type « jour zéro » contre Office ces dernières années est faible. Néanmoins, elles sont très dangereuses pour les environnements informatiques des entreprises. Lors de la conférence Black Hat USA 2015, nous avons présenté notre étude sur la sécurité du système OLE (Object Linking and Embedding), une fonction importante utilisée par les documents Office. L'étude révèle qu'OLE possède une surface d'attaque importante et devrait dès lors rester une cible de choix pour les attaquants. Les méthodes de détection et de protection actuelles face aux attaques ciblant les vulnérabilités d'Office ne sont pas encore assez efficaces (par exemple des documents Office chiffrés peuvent être utilisés pour contourner la détection). En conséquence, nous anticipons une hausse des attaques contre Office au cours de l'année à venir.

Nous nous attendons tout particulièrement à une exploitation des vulnérabilités récemment découvertes dans d'autres systèmes que Windows. De plus en plus, les systèmes embarqués, l'Internet des objets (IoT) et les logiciels d'infrastructure deviendront la cible de menaces avancées et d'attaques de type « jour zéro ». Ces cibles incluent des variantes d'Unix, des plates-formes de smartphones très populaires, des systèmes spécifiques à l'IoT (notamment Tizen et Project Brillo) ainsi que les composants et bibliothèques de base sous-jacents (Glibc, OpenSSL, etc.) Les bibliothèques et les composants de base largement utilisés, notamment les outils open source, ne sont pas aussi sécurisés qu'ils devraient l'être. L'examen des attaques critiques de type « jour zéro » de ces deux dernières années montre qu'un grand nombre d'entre elles sont liées à des vulnérabilités présentes dans les logiciels open source, par exemple CVE-2015-0235 (GHOST), et à des problèmes touchant OpenSSL (CVE-2015-1793, CVE-2014-3566, et CVE-2014-0160). Selon nous, les menaces à l'encontre des systèmes non Windows devraient se multiplier en 2016.

— Bing Sun et Haifei Li




https://www.blackhat.com/us-15/briefings.html#attacking-interoperability-an-ole-edition

https://www.blackhat.com/us-15/briefings.html#attacking-interoperability-an-ole-edition







Partager ce rapport

Systèmes de paiementPar le passé, il était si simple de faire des achats. Il vous suffisait pour cela d'avoir assez d'argent en poche. Aujourd'hui, par contre, les méthodes de paiement alternatives se multiplient à un rythme effréné. Bitcoins, ApplePay, cartes de crédit, cartes de débit, services de paiement en ligne : le choix est vaste. Le rapport Le blanchiment numérique — Analyse des monnaies virtuelles et de leur utilisation à des fins criminelles de 2013 s'intéressait aux principales plates-formes de monnaies électroniques et virtuelles disponibles à l'époque. D'après Wikipédia, il existe à présente plus de 740 cryptomonnaies ! Wikipedia recense également plus de 60 systèmes de paiement en ligne.

Du point de vue de la sécurité, nous accordons une grande attention aux vulnérabilités associées aux transactions par carte de crédit et de débit. C'est tout à fait logique dans la mesure où la plupart des transactions numériques utilisent ces modes de paiement. Toutefois, face à la multiplication des méthodes de paiement alternatives, la surface d'attaque a considérablement augmenté et offre aux cybercriminels un large éventail de cibles.

Les cybercriminels innovent peu en termes de méthodes d'attaques associées aux cartes de crédit et de débit. La plupart emploient des tactiques de vol de cartes utilisées depuis dix ans, en ciblant les mécanismes de paiement ou les bases de données contenant les renseignements relatifs aux cartes. Dès qu'ils sont en possession des données des cartes, ils les vendent le plus rapidement possible et empochent leurs bénéfices.

Toutefois, aujourd'hui, la situation est en passe de changer. Face à la pléthore de méthodes de paiement, dont la plupart exigent des noms d'utilisateur et des mots de passe, les identifiants revêtent désormais une très grande valeur. Pour s'emparer de ces identifiants, les cybercriminels ciblent directement les consommateurs car ils sont à la fois la source de ces identifiants et le maillon faible du processus de paiement.

En ce qui concerne les systèmes de paiement, nous devrions voir en 2016 un nombre croissant d'attaques ayant pour but le vol et la revente d'identifiants. Selon nous, les cybercriminels continueront à tirer parti de mécanismes classiques et éprouvés, par exemple les attaques par phishing et les enregistreurs de frappes, mais de nouvelles méthodes émergeront également. Nous anticipons aussi que les vols liés aux systèmes de paiement poursuivront leur inexorable progression.

— Raj Samani



http://www.mcafee.com/fr/resources/white-papers/wp-digital-laundry.pdf

http://www.mcafee.com/fr/resources/white-papers/wp-digital-laundry.pdf

https://en.wikipedia.org/wiki/List_of_cryptocurrencies

https://en.wikipedia.org/wiki/List_of_online_payment_service_providers



Partager ce rapport

Attaques via les systèmes du personnelLa fréquence des attaques fortement médiatisées continuera d'augmenter. Cette année, nous avons assisté à des attaques majeures contre de très grandes entreprises, des organismes publics et même des sites de rencontre (Ashley Madison). Les pirates ne se contentent plus de dégrader les pages d'accueil. Au cours de la seule année 2015, des millions de personnes se sont fait voler leurs informations personnelles, notamment des numéros de carte de crédit, des numéros de sécurité sociale et des adresses. Malheureusement, tout laisse penser que cette tendance perdurera.

Les piratages de ces dernières années ont mis la sécurité informatique à l'ordre du jour des conseils d'administration : c'est désormais un sujet pris très au sérieux par les cadres dirigeants. Nous assistons actuellement à une hausse des dépenses en sécurité. Bien que les fonds ne soient pas toujours dépensés à bon escient, nous prévoyons une augmentation des investissements en sécurité dans la plupart des entreprises. Les petites entreprises n'investiront pas simplement dans les technologies mais également dans la formation, la sensibilisation et l'embauche de personnel.

Qu'est-ce que cela signifie pour les cyberpirates ? Si une entreprise possède les technologies les plus récentes et un personnel avisé, capable de mettre en place des stratégies efficaces et de rester vigilant, leur tâche n'en sera que plus compliquée. Quoi qu'il en soit, jamais les cybercriminels ne baisseront les bras :

■ Ils redoubleront d'efforts. Aucune sécurité n'est infaillible. Si les pirates veulent vraiment vos données, ils trouveront les moyens de se les approprier. Toutefois, avec un personnel bien informé et des technologies efficaces en place, il leur faudra investir beaucoup plus de temps et d'efforts pour parvenir à leurs fins.

■ Ils s'en prendront à d'autres. Si elles utilisent mal le budget dont elles disposent, par exemple en achetant les dernières technologies mais sans recruter les effectifs supplémentaires requis pour les gérer, les entreprises continueront d'être des proies (relativement) faciles pour les pirates.

■ Ils s'en prendront aux employés à leur domicile et lors de leurs déplacements. Si les attaquants ont décidé de s'emparer de vos données mais se trouvent bloqués à chaque tentative de pénétration du centre de données de l'entreprise, les systèmes relativement peu sécurisés au domicile du personnel deviendront leur prochaine cible logique.

Accéder à l'entreprise par l'intermédiaire d'employés en dehors du réseau protégé n'a rien de nouveau. L'une des premières attaques fortement médiatisées (l'opération Aurora) a eu lieu en 2009. Depuis lors, les médias ont rapporté de nombreuses attaques réussies contre des réseaux d'entreprise dues à la compromission d'un ordinateur portable professionnel se connectant d'un café ou d'un hôtel, ou d'un équipement personnel au domicile d'un collaborateur.

Plusieurs études montrent que le nombre d'attaques continue d'augmenter. L'année prochaine, nous devrions assister à au moins une attaque majeure, sinon plus, initiée grâce à la compromission d'un équipement personnel ou professionnel d'un employé connecté à partir d'un endroit non sécurisé, par exemple un hôtel ou un café. Étant donné les possibilités d'exploitation récemment mises en lumière par la vulnérabilité Stagefright, il faut s'attendre à ce que les logiciels malveillants et autres APT utilisent aussi les équipements Android comme portes d'accès aux environnements sécurisés.

Cette menace devrait inciter les équipes informatiques à s'interroger sur la sécurité et ce qu'elle sous-entend réellement. Il ne suffit pas de s'inquiéter uniquement de la sécurité du réseau de l'entreprise. Une approche intelligente se doit d'élargir la protection aux domiciles des employés.



http://www.gartner.com/newsroom/id/3062017

https://en.wikipedia.org/wiki/Operation_Aurora

https://blogs.mcafee.com/consumer/android-stagefright-vulnerability/



À l'heure actuelle, la plupart des entreprises fournissent à leur personnel un logiciel VPN qui permet de sécuriser la connexion au réseau d'entreprise. C'est un excellent moyen de s'assurer que la communication entre l'équipement professionnel du collaborateur et le bureau est sûre. Toutefois, la plupart des utilisateurs accèdent à Internet à partir de plusieurs équipements. Même si un ordinateur portable d'entreprise est sécurisé, qu'en est-il des systèmes personnels de l'employé ? Alors que bon nombre de sociétés déploient des pare-feux, des passerelles web, des passerelles de messagerie, des solutions IPS et d'autres technologies pour sécuriser leur infrastructure, les équipements utilisés au domicile ne possèdent pas toujours de solution antimalware et rarement de pare-feu ou de passerelle. Cette protection très lacunaire du domicile l'expose à des attaques dirigées contre l'entreprise.

Dans un avenir proche, nous pensons que les entreprises fourniront des technologies de sécurité plus avancées à leurs employés pour protéger leurs équipements personnels et les préserver des menaces transmises par les réseaux sociaux et le harponnage (spear phishing).

— Bruce Snell

Services de cloudLes services de cloud axés sur l'entreprise se multiplient. Les sociétés ont adopté des solutions de collaboration dans le cloud pour bénéficier des avantages offerts par la vidéoconférence, d'un stockage des données plus rentable et de la possibilité de se connecter à n'importe qui, n'importe quand. Cet engouement pour les services et le stockage dans le cloud se généralise dans un environnement d'entreprise mondial de plus en plus connecté.

Le caractère extrêmement confidentiel des données d'entreprise partagées sur ces plates-formes et services est alarmant : stratégies d'entreprise, état du portefeuille de la société, innovations, données financières, fusions et cessions d'actifs, données du personnel et bien plus encore.

Comme les services de cloud de ce type hébergent souvent ou servent à transmettre des secrets commerciaux, ils représentent des cibles de choix pour les cybercriminels, les concurrents et les États. Les clients de ces services sont à la merci des contrôles de sécurité déployés par le service d'hébergement et ont peu de visibilité sur le niveau de sécurité des fournisseurs de services.

Il y a peu, des pirates se sont introduits dans les systèmes informatiques d'une grande agence de presse et ont volé des informations confidentielles qu'ils ont utilisées pour réaliser des transactions boursières illégales et générer ainsi des millions de dollars de bénéfices tout aussi illégaux.

Le piratage et la divulgation d'informations clients sensibles volées sur le site de rencontre en ligne Ashley Madison, relatés par Fortune, Krebs on Security et d'autres, ont causé beaucoup d'embarras et de problèmes à toutes les parties concernées. Cette compromission a réussi à exploiter des failles dans la sécurité du site.

Toute l'année a été émaillée de compromissions de données entraînant la divulgation d'informations sur le personnel (dont des e-mails et des informations salariales) et de vols d'informations confidentielles rendues ensuite publiques. Personne n'est à l'abri de telles attaques ; même la très controversée Hacking Team a été prise pour cible cet été.

http://www.nytimes.com/2015/08/12/business/dealbook/insider-trading-sec-hacking-case.html?_r=2

http://fortune.com/2015/08/26/ashley-madison-hack/

http://krebsonsecurity.com/2015/07/online-cheating-site-ashleymadison-hacked/

http://www.wired.com/2015/07/hacking-team-breach-shows-global-spying-firm-run-amok/



Partager ce rapport

Avec ou sans le consentement de l'équipe informatique, la plupart des entreprises utilisent des services de collaboration dans le cloud gratuits ou à bas prix. Malheureusement, elles ignorent souvent les mesures de sécurité mises en place par ces services ainsi que les risques de piratage et de divulgation des données. Qu'ils utilisent la vidéoconférence et la messagerie vocale, les outils de gestion de projets, les sites de stockage des données ou les applications hébergées dans le cloud, les employés peuvent faire courir des risques à l'entreprise lorsqu'ils accèdent aux données d'entreprise ou qu'ils les stockent sur des sites tiers qui n'offrent pas un contrôle adéquat de la sécurité. Ces sites s'exposent alors à des attaques de leur infrastructure principale, dans le but de voler des informations ou d'écouter des conversations privées, dont vos réunions par vidéoconférence.

Un fournisseur de services de cloud doit toujours rester vigilant face aux menaces émergentes et adapter ses contrôles de sécurité aux techniques en constant progrès des pirates informatiques. La protection des services de cloud exige une approche globale en matière de contrôles de sécurité, notamment en prévision des tactiques d'ingénierie sociale. Elle nécessite par ailleurs l'implémentation d'un niveau de chiffrement élevé et un contrôle de l'accès réservé aux seuls utilisateurs autorisés.

À la lumière de ces exemples, il faut s'attendre à ce que les cybercriminels, les concurrents peu scrupuleux, les cyberjusticiers et les États ciblent de plus en plus les plates-formes de services de cloud pour s'emparer d'informations confidentielles en vue d'en retirer un avantage concurrentiel, financier ou stratégique.

— Jeannette Jarvis

Dispositifs vestimentaires Ces deux dernières années, l'Internet des objets a connu un essor exceptionnel. À ses débuts, il s'agissait avant tout de rendre des équipements et produits existants plus « intelligents » en y incorporant l'informatique et la connectivité sans fil. Les téléviseurs intelligents et l'habitation connectée étaient, à cet égard, deux domaines très prometteurs. Récemment, nous avons observé une progression rapide du nombre de dispositifs vestimentaires, dont les capteurs d'activité, les montres intelligentes et autres appareils portables. (J'en porte deux au moment où j'écris cet article.)

Si, aujourd'hui, l'attention se porte surtout sur l'Apple Watch, nous pensons que les dispositifs vestimentaires en général vont se multiplier, grâce à un secteur en plein essor, emmené par des marques connues comme Fitbit et Pebble. Selon ABI Research, ces sociétés établies et leurs émules devraient commercialiser environ 780 millions de dispositifs vestimentaires d'ici 2019, ce qui représente un dispositif pour une personne sur dix. En tenant compte du fait qu'ils seront moins répandus dans les pays en développement, une personne sur quatre ou cinq dans les pays plus riches portera ce type de dispositif.

Pour le pirate informatique, ces pays densément peuplés représenteront un environnement très favorable aux attaques. Même si la compromission d'un dispositif vestimentaire n'offre pas un avantage immédiat à un pirate (quoique la collecte des données GPS puisse favoriser le harponnage), sa véritable valeur réside dans la connexion du dispositif à un smartphone.

La plupart de ces dispositifs se contentent de collecter des données, puis de les transmettre à l'application d'un smartphone ou d'une tablette en vue de leur traitement. Ils utilisent généralement la technologie Bluetooth LE (Low Energy), qui présente une série de failles de sécurité importantes bien documentées et dont chaque nouvelle version risque d'en produire d'autres. (Je vous recommande les recherches menées par Mike Ryan sur le sujet.) Bluetooth est le maillon faible.



http://www.techrepublic.com/article/the-dark-side-of-wearables-how-theyre-secretly-jeopardizing-your-security-and-privacy/

https://lacklustre.net/bluetooth/



Partager ce rapport

Le code mal écrit du dispositif vestimentaire créera une porte dérobée (backdoor) dans votre smartphone. Au départ, il est peu probable qu'une attaque d'un dispositif vestimentaire parvienne à compromettre complètement un smartphone. Toutefois, nous pensons qu'au cours des 12 à 18 mois qui viennent, les tactiques développées pour compromettre les applications de contrôle de ces dispositifs permettront de recueillir des renseignements précieux qui seront exploités dans le cadre d'attaques de harponnage (spear phishing).

On pourrait imaginer le scénario suivant : les données GPS sont collectées dans une application de course à pied connectée à un capteur d'activité. Un spécialiste en spear phishing pourrait utiliser ces données pour rédiger un e-mail que vous seriez plus enclin à ouvrir. Si vous vous arrêtez dans un café après votre jogging, un attaquant pourrait utiliser les données GPS pour vous envoyer un e-mail vous signalant la perte d'un objet vous appartenant dans ce café et inclure un lien vers un fichier image infecté.

Si les dispositifs vestimentaires peuvent inciter les gens à interagir davantage avec le monde qui les entoure plutôt de rester collés à l'écran de leur ordinateur portable ou téléphone, ils posent également un risque de sécurité croissant dès lors que leur adoption se généralise.

— Bruce Snell

AutomobilesLes attaques contre les systèmes automobiles s'accentueront rapidement en 2016 en raison de l'augmentation rapide des systèmes connectés embarqués dans l'automobile et dépourvus d'une véritable sécurité intégrée. Même les voitures ont besoin d'une défense en profondeur multiniveau pour réduire le risque et l'impact d'une cyberattaque. Les véhicules sans conducteur peu sécurisés et les autoroutes intelligentes augmenteront encore les risques posés aux conducteurs et aux passagers en 2017 et au-delà, ce qui se traduira sans doute par la perte de vies humaines.

■ Noyau du système d'exploitation■ Logiciels de mise en réseau/Wi-Fi■ Interface utilisateur■ Mémoire■ Système de stockage et fichiers locaux■ Logiciels de contrôle d'accès

ou de sécurité

■ Applications de contrôle et de machines virtuelles dans le cloud

■ Applications web■ Mémoire■ Système de stockage et fichiers locaux■ Logiciels de contrôle d'accès ou de sécurité

Surfaces d'attaque des dispositifs vestimentaires





Partager ce rapport

D'après le rapport sur la voiture connectée du site d'information Business Insider, 220 millions de véhicules connectés seront sur les routes d'ici 2020. Le portail d'analyse Statista, citant un rapport de McKinsey, prévoit que 12 % des voitures seront connectées à Internet d'ici 2016. Il révèle par ailleurs que les consommateurs souhaitent surfer sur Internet à partir d'un écran installé dans la voiture (57 %) et bénéficier d'une fonction d'identification automatique des feux de circulation, d'informations sur les embouteillages et les accidents (52 %), d'un système d'arrêt du véhicule par le passager (51 %), d'un système anticollision avant/arrière (45 %), d'une caméra de vision nocturne (42 %), d'un dispositif de détection de fatigue (41 %) et d'un accès aux réseaux sociaux dans le véhicule (40 %). Toutes ces fonctions exigent la présence de logiciels et de matériel embarqués pour se connecter à des systèmes externes de façon sécurisée et éviter ainsi les actions indésirables ou non autorisées susceptibles de mettre la vie des passagers du véhicule en danger.

Dans le cadre de l'intégration et de l'interconnexion des systèmes du véhicule, le rapport Automotive Security Best Practices (Les bonnes pratiques de sécurité dans le secteur automobile) d'Intel Security recommande une conception de sécurité incluant des fonctionnalités telles que « l'amorçage sécurisé, des environnements d'exécution approuvés, une protection contre les manipulations, l'isolement des systèmes de sécurité critiques, l'authentification des messages, le chiffrement du trafic réseau, la confidentialité des données, la surveillance des comportements, la détection des anomalies et le partage de cyberveille sur les menaces. » À l'heure actuelle, peu de véhicules connectés sont équipés de ces fonctions de sécurité ou n'en possèdent qu'une partie. En août, plusieurs chercheurs en sécurité ont démontré qu'il était possible de pirater différents types de véhicules connectés, dont une Jeep Cherokee, par l'envoi, via le système multimédia de la voiture, de commandes aux fonctions du tableau de bord, à la direction, aux freins et à la transmission, le tout à partir d'un ordinateur portable distant.

Même sur les systèmes sécurisés, il est toujours possible de découvrir un bogue ou une vulnérabilité. Dès lors, il faudrait disposer d'une solution capable d'effectuer une mise à jour à distance du logiciel pour corriger le problème. Apparemment, les mises à jour à distance ne sont pas possibles sur certaines Cherokee et plusieurs modèles Dodge et Chrysler puisque la société mère a publié un rappel de sécurité concernant 1,4 million de véhicules aux États-Unis après que les chercheurs en sécurité ont rendu publics les résultats de leurs recherches. Le seul constructeur capable d'effectuer des mises à jour logicielles à distance semble être Tesla, qui a distribué un correctif à distance après que des chercheurs ont divulgué une vulnérabilité lors de la conférence Def Con 23.

Les quinze surfaces d'attaque les plus exposées au piratage, dont plusieurs systèmes de commande électroniques, sur un véhicule de nouvelle génération

Smartphone

Application de type

liaison distante

UCE du système

d'accès au véhicule

UCE des systèmes de direction

et de freinage

UCE du moteur

et de la boîte de vitesses

UCE des airbags

OBD || Bluetooth

USB

UCE du système d'éclairage

(intérieur et extérieur)

UCE du système

d'aide à la conduiteTPMS

Récepteur DSRC (V2X)

Système d'entrée

passif sans clé

Clé à télécommande

Surfaces d'attaque des automobiles



http://www.businessinsider.com/connected-car-statistics-manufacturers-2015-2

http://www.statista.com/statistics/275849/number-of-vehicles-connected-to-the-internet/

http://www.mcafee.com/us/resources/white-papers/wp-automotive-security.pdf

http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

http://www.bbc.com/news/technology-33650491

http://www.wired.com/2015/08/researchers-hacked-model-s-teslas-already/

http://www.cnet.com/news/tesla-hackers-explain-how-they-did-it-at-def-con-23/

http://www.cnet.com/news/tesla-hackers-explain-how-they-did-it-at-def-con-23/



Partager ce rapport

Jusqu'à présent, les chercheurs ont agi de manière responsable en communiquant aux constructeurs les vulnérabilités identifiées. En 2016, nous nous attendons à ce que les chercheurs en sécurité découvrent d'autres vulnérabilités dans les systèmes automobiles. Il est également probable que des cybercriminels identifient et exploitent des vulnérabilités de type « jour zéro », susceptibles de mettre en péril la vie des gens, d'affecter la sécurité routière et de créer une congestion dans les transports.

Les automobiles seraient déjà exposées à certains risques. Des menaces qui ne concernent pas directement la sécurité mais plutôt la vie privée du propriétaire du véhicule (suivi de sa localisation, enregistrement de vidéos à l'aide des caméras de la voiture) pourraient déjà être en circulation. Selon nous, 2016 marquera le début des campagnes d'attaque qui pourraient bien n'être découvertes que bien longtemps après l'infection initiale.

— Carlos Castillo, Cedric Cochin et Alex Hinchliffe

Entrepôts de données voléesEn raison de l'efficacité des composants de sécurité tels que les pare-feux, les passerelles et les produits de protection des terminaux contre les attaques courantes dans les environnements d'entreprise, les cybercriminels cherchent de nouvelles techniques pour contourner ces technologies. L'une d'elles consiste à collecter et à utiliser des identifiants valides. Les cybercriminels peuvent se les approprier en exploitant des vulnérabilités ou en les achetant sur les marchés clandestins du Web.

Forts de ces identifiants, les pirates peuvent échapper à la détection des solutions de sécurité car ils se présentent comme des utilisateurs valides. Souvent, le seul indice est leur comportement. Le comportement de l'utilisateur est-il normal ou suffisamment inhabituel pour attirer l'attention ? Alors que le secteur de la sécurité travaille sans relâche au développement de fonctions de détection basées sur les comportements à l'aide des Big Data et des technologies d'analyse avancée, leurs adversaires profitent du manque actuel d'outils de détection des comportements en adoptant des techniques d'attaque furtives. Cette tendance se poursuivra en 2016 et au-delà, jusqu'à ce que les technologies de détection des comportements soient en place et capables de détecter les activités inhabituelles.

En 2015, d'importants volumes de données ont été dérobés aux entreprises et au secteur public. Certains dossiers volés avaient relativement peu de valeur, mais d'autres sont probablement conservés en lieu sûr avant d'être utilisés dans des attaques à venir. Qui plus est, l'établissement de liens entre les diverses séries de données volées peut accroître la valeur de celles-ci pour les pirates. Que se passerait-il si les données volées à un prestataire de soins de santé sur les patients et les donneurs, au site Madison Ashley et au Bureau de la gestion du personnel des États-Unis étaient combinées et stockées dans un entrepôt de données hébergé dans le cloud ? Elles pourraient être utilisées pour se livrer à du chantage, générer de nouveaux identifiants ou usurper les identités.

Cette accumulation de données volées dure depuis deux ans. Nous anticipons le développement d'un important marché clandestin d'informations d'identification personnelle et d'identifiants en 2016. Des entrepôts clandestins spécialisés feront leur apparition et proposeront des données personnelles volées, des identifiants compromis ainsi que des renseignements sur les infrastructures issus de différentes sources. Les cybercriminels adeptes du Web clandestin (Dark Web) seront en mesure de sélectionner et d'acheter des ensembles de données spécifiques qu'ils utiliseront dans leurs prochaines attaques.

— Christiaan Beek





IntégritéLa seule constante du secteur de la cybersécurité est le changement. Il ne cesse d'évoluer en fonction des progrès technologiques, des compétences des attaquants, de la valeur des cibles potentielles et de l'impact des attaques. 2016 devrait marquer une nouvelle expansion des tactiques utilisées. L'un des nouveaux vecteurs d'attaque les plus importants est la compromission de l'intégrité des systèmes et des données.

Les attaques visant à compromettre la confidentialité et la disponibilité sont évidentes, peu subtiles et facilement repérables. Elles s'introduisent en force et exposent des données, provoquant au passage beaucoup d'embarras, de gêne mais aussi des pertes. Les attaques qui cherchent à compromettre l'intégrité des systèmes sont furtives, sélectives et peuvent avoir des effets bien plus dévastateurs. Au lieu de causer des dégâts ou de dérober d'importants volumes de données sensibles, elles se concentrent sur la modification de certains éléments au sein des transactions, des communications ou des données pour en tirer un profit considérable.

Nous avons eu l'occasion de le constater lors de plusieurs attaques sophistiquées, commanditées par des États. Stuxnet et les logiciels malveillants Duqu, Flame, et Gauss ont été développés pour cibler furtivement des systèmes spécifiques et apporter des modifications de configuration mineures qui ont pourtant eu un impact majeur sur le programme nucléaire d'une nation. Leur intention n'était pas de détruire un ordinateur ou de collecter d'importants volumes de données. Ils cherchaient plutôt à modifier des systèmes opérationnels pour parvenir à leurs objectifs.

Au début de l'année 2015, ces tactiques ont été employées par des cybercriminels pour attaquer des banques. La campagne Carbanak se distinguait des précédents logiciels malveillants bancaires, conçus pour voler les données des comptes bancaires et de connexion. Carbanak a compromis furtivement une centaine de banques et permis aux attaquants de comprendre le fonctionnement des opérations internes. Le malware s'est livré à des opérations de reconnaissance pour le compte des pirates qui ont ensuite commencé à modifier certaines transactions précises. Au terme de l'attaque, on a constaté qu'un nombre très limité de comptes avait été compromis mais que l'opération avait permis de subtiliser entre 300 millions et 1 milliard de dollars.

Les chercheurs semblent se mobiliser pour trouver des parades aux attaques visant l'intégrité des systèmes et des données. Les récents piratages des véhicules en sont un parfait exemple. Ce n'est pas tant l'arrêt du véhicule ou la collecte des données qui intéresse les chercheurs, mais plutôt la modification sélective des communications et des commandes afin de pouvoir prendre le contrôle du véhicule ou d'en modifier le fonctionnement. L'impact de telles manipulations peut avoir des conséquences catastrophiques.

En 2016, il faudra s'attendre à une attaque contre l'intégrité des systèmes dans le secteur financier. Celle-ci devrait conduire au vol de millions de dollars par des cybercriminels qui modifieront certaines données du flux de transactions en vue de rediriger le paiement vers des comptes anonymes. La détection de ce type d'incidents sera très difficile. En effet, les attaques mettant à mal l'intégrité des systèmes peuvent apparaître comme des problèmes de fonctionnement, des erreurs comptables, des problèmes d'audit, des actions d'employés mécontents ou simplement des erreurs dues à la maladresse. Plus grave encore, les outils, les mécanismes et les processus actuellement disponibles sont pour la plupart incapables de détecter ce type d'attaques. Il sera très difficile de remonter à la source de l'attaque. Les transactions de vente et de facturation dans le secteur du détail, les documents d'identité, comme les actes de naissance et de décès, les données fiscales, les cartes d'identité nationales, les comptes bancaires et les transactions des guichets automatiques seront également pris pour cible. D'autres secteurs, par exemple les dossiers médicaux, la facturation des soins, la gestion des ordonnances dans le secteur de la santé ou encore la gestion et le contrôle des transports (véhicules, trains et avions) suivront.

http://www.mcafee.com/fr/security-awareness/articles/what-is-stuxnet.aspx

http://www.mcafee.com/fr/about/duqu.aspx

http://www.mcafee.com/fr/about/skywiper.aspx

https://blogs.mcafee.com/executive-perspectives/the-science-behind-gausswork/

http://krebsonsecurity.com/2015/02/the-great-bank-heist-or-death-by-1000-cuts/



Partager ce rapport

L'un des vecteurs les plus prévalents dans les attaques visant l'intégrité est sans doute le logiciel de demande de rançon (ransomware), qui modifie uniquement quelques fichiers et qui connaît actuellement un bel essor. Avec cette forme permanente d'attaque par déni de service, le système reste opérationnel et conserve toutes les données mais, comme l'intégrité est compromise, certains fichiers deviennent inutilisables. Les attaquants exigent alors une rançon pour rétablir l'intégrité initiale des systèmes. Ce vecteur d'attaque connaîtra aussi une forte progression en 2016.

— Matthew Rosenquist

CyberespionnageL'année dernière, McAfee Labs avait prédit qu'en 2015, la fréquence et la furtivité des attaques de cyberespionnage augmenteraient. À l'heure de la rédaction de ce rapport, nous ignorons encore si le nombre d'actes de cyberespionnage dépassera les 548 incidents recensés en 2014 dans le rapport d'enquête 2014 sur les compromissions de données de Verizon. Une chose est certaine : les actes d'espionnage ont gagné en furtivité et ont un impact plus grand que les compromissions précédentes.

Dans un cas particulièrement frappant, expliqué dans l'article de blog Stealthy Cyberespionage Campaign Attacks With Social Engineering (Des campagnes de cyberespionnage furtives utilisant l'ingénierie sociale), l'auteur de la menace a eu recours à une campagne de harponnage sophistiquée pour compromettre des cibles de la défense, de l'aérospatiale et du secteur juridique et minimiser son empreinte grâce à l'exécution exclusive de JavaScript. L'attaquant a réussi à développer des profils des systèmes compromis et à les exfiltrer vers des serveurs de contrôle.

Lors d'un autre incident, un État est parvenu à compromettre les systèmes du secteur de l'énergie d'un autre pays et à insérer des composants personnalisés de suppression des secteurs d'amorçage maîtres, capables de désactiver ou de détruire les systèmes et les réseaux de son ennemi. Dans ce cas-ci aussi, le vecteur d'attaque initial semble être le harponnage (spear phishing).

Et, bien évidemment, la compromission et le vol d'environ 20 millions de vérifications des antécédents menées par l'Office of Personnel Management des États-Unis illustre clairement l'impact stratégique croissant du cyberespionnage.

Ces activités devraient perdurer en 2016. À titre d'exemple de techniques spécifiques employées par les auteurs des menaces, citons les suivantes :

■ Les services légitimes, notamment l'hébergement de fichiers dans le cloud (Dropbox, Box et Stream Nation) seront utilisés comme serveurs de contrôle dans les campagnes de cyberespionnage à venir. Les auteurs des menaces utiliseront les infrastructures légitimes afin de passer inaperçus et d'échapper aux tentatives de démantèlement de leurs ressources par les chercheurs en sécurité. Ces services de stockage dans le cloud permettront aux logiciels malveillants d'envoyer et de recevoir des commandes sans attirer l'attention mais aussi de contourner les défenses des passerelles en s'associant au trafic légitime, ce qui permettra de prolonger la campagne.

■ L'utilisation du réseau Tor pour anonymiser les connexions aux serveurs de contrôle s'intensifiera dans les prochaines campagnes de cyberespionnage. Les serveurs de contrôle seront hébergés au sein du réseau Tor et permettront aux malwares d'établir une connexion sans nécessiter l'installation d'un navigateur Tor sur l'ordinateur de la victime.

■ Ces dernières années, les auteurs de menaces ont exploité un large éventail de vulnérabilités présentes dans les documents Microsoft. En 2016, nous devrions assister à l'exploitation d'autres formats que les fichiers .ppt, .doc et .xls.

— Ryan Sherstobitoff



http://www.verizonenterprise.com/DBIR/2015/

http://www.verizonenterprise.com/DBIR/2015/

https://blogs.mcafee.com/mcafee-labs/stealthy-cyberespionage-campaign-attacks-with-social-engineering/

https://blogs.mcafee.com/mcafee-labs/stealthy-cyberespionage-campaign-attacks-with-social-engineering/



Partager ce rapport

Cyberactivisme Le concept du cyberactivisme n'est pas neuf. Motivé par un objectif social ou politique clair, un groupe de cyberactivistes compétents attaque généralement une entité très connue et utilise cette plate-forme pour faire passer son message. Depuis plus de 20 ans, des groupes de cyberactivistes font les gros titres des médias et ont réussi à imposer leur propre « marque ». Anonymous est sans doute le groupe de cyberactivistes le plus connu, mais il en existe beaucoup d'autres.

Ces dernières années, on assiste à une évolution du phénomène en ce sens que des acteurs sans lien avec les cyberactivistes parviennent sans grande difficulté à associer leurs propres actions avec les groupes connus en lançant des opérations en tous points similaires. Cette évolution tend à masquer l'idéologie motivant les véritables actes de cyberactivisme. Prenons le cas du piratage du site de rencontre Ashley Madison, au cours duquel un groupe inconnu a eu accès à des données de paiement censées être supprimées, pour ensuite divulguer les informations personnelles d'utilisateurs. Ce type d'action ne ressemble pas vraiment à une action sociale ou politique noble et clairement définie — fondement d'une véritable attaque de cyberactivisme.

Dans un autre cas, un groupe prétendant être Anonymous a lancé une série de cyberattaques contre les institutions, les forces de police et les tribunaux canadiens l'année dernière. Anonymous a démenti toute participation aux attaques, déclarant qu'il ne cautionnait pas certains actes commis par les pirates. Aucune explication crédible des attaques n'a été avancée.

Il est possible que ce type d'actions soit simplement l'œuvre de fauteurs de troubles. Si c'est le cas, nous entrons peut-être dans une ère de vandalisme d'une ampleur sans précédent. Il est également possible que leur véritable motivation soit le cyberdélit d'entreprise classique dissimulé sous le couvert du cyberactivisme. Il peut aussi s'agir d'actions « sous faux pavillon », comme l'a prétendu Anonymous lors de l'attaque contre les institutions canadiennes. Quelles que soient les véritables motivations de ces attaques, force est de constater qu'elles entraînent des pertes financières importantes pour leurs victimes.

Source : « Anonymous at Scientology in Los Angeles » (Manifestation d'Anonymous devant un centre de scientologie à Los Angeles), Vincent Diamante. Publié initialement sur Flickr sous le titre « Anonymous at Scientology in Los Angeles ».

Sous licence CC BY-SA 2.0 via Commons—https://commons.wikimedia.org/wiki/File:Anonymous_at_Scientology_in_Los_Angeles.jpg#/media/File:Anonymous_at_Scientology_in_Los_Angeles.jpg



https://en.wikipedia.org/wiki/Anonymous_(group)



http://www.ottawasun.com/2014/11/24/anonymous-denies-involvement-in-hacks

http://www.ottawasun.com/2014/11/24/anonymous-denies-involvement-in-hacks

https://commons.wikimedia.org/wiki/File:Anonymous_at_Scientology_in_Los_Angeles.jpg#/media/File:Anonymous_at_Scientology_in_Los_Angeles.jpg

https://commons.wikimedia.org/wiki/File:Anonymous_at_Scientology_in_Los_Angeles.jpg#/media/File:Anonymous_at_Scientology_in_Los_Angeles.jpg



Selon nous, le cyberactivisme au vrai sens du terme se poursuivra en 2016, mais il n'aura probablement pas la même ampleur que par le passé. La plupart des cyberactivistes les plus engagés ont été arrêtés, poursuivis et incarcérés. Ce qui risque d'augmenter en revanche, ce sont les attaques inspirées en apparence par le cyberactivisme, mais en réalité motivées par des enjeux très différents et difficiles à déterminer. Concrètement, le cyberactivisme moderne n'est rien d'autre qu'une imitation du mouvement à ses débuts et, comme nous l'avons constaté, notre capacité à lever le voile sur ces actes rencontrera encore bien plus d'obstacles qu'auparavant.

— Raj Samani

Infrastructures critiquesÀ en croire les communiqués de presse publiés par certaines sociétés du secteur de la sécurité, notre avenir pourrait être fort compromis en cas d'attaques ciblées lancées contre nos infrastructures critiques. Bon nombre de ces rapports très médiatisés ont été publiés après l'attaque Stuxnet de 2010, qui avait entraîné des dégâts matériels majeurs. Toutefois, il a fallu des années avant que la presse ne relate une deuxième attaque réussie contre des infrastructures critiques. Avec seulement deux cas officiels depuis 2009, il convient de préciser dans nos prévisions 2016 concernant les attaques contre des infrastructures critiques qu'elles représentent un risque faible en dépit de leur impact élevé.

Cela dit, nous vivons dans un monde toujours plus connecté, des gisements pétroliers numériques aux applications de traitement des eaux hébergées dans le cloud public. Le cloisonnement qui caractérisait les technologies opérationnelles a disparu, comme l'explique une étude sur les équipements d'infrastructure critique exposés à Internet. Fait autrement plus préoccupant, certains de ces équipements n'ont d'autre protection que les informations de connexion par défaut. Il faut en outre tenir compte d'une tendance émergente, à savoir la vente par les cybercriminels d'un accès direct aux systèmes des infrastructures critiques. Les chiffres sont là : le nombre de vulnérabilités détectées au sein des infrastructures critiques est en constante augmentation.

C'est sans doute cette explosion des vulnérabilités qui a conduit 48 % des répondants représentant des entreprises d'infrastructures critiques à admettre la probabilité élevée, voire très élevée, d'être confronté au cours des trois prochaines années à une cyberattaque contre des infrastructures critiques qui entraînera une indisponibilité des services et la perte de vies humaines. Une prédiction aussi pessimiste est inquiétante et, sans vouloir exagérer la menace, force est de constater que l'élargissement de la surface d'attaque accroît l'exposition des systèmes.

L'indisponibilité d'un service critique n'est pas toujours le seul objectif de l'attaquant. L'attaque Dragonfly de 2014 contre les entreprises du secteur de l'énergie a montré que l'intention à court terme de ses auteurs n'était pas l'interruption de service. Dans ce cas précis, leur but ultime était, semble-t-il, l'espionnage et un accès persistant.

Les attaques lancées contre les infrastructures critiques ont moins d'attrait pour les cybercriminels que pour les États rivaux. Les premiers ne poursuivent qu'un seul objectif : l'argent. Si l'on exclut le recours au chantage à l'encontre des opérateurs d'infrastructures critiques ou la vente d'informations d'accès à ces infrastructures, le retour sur investissement des cybercriminels est plus intéressant lorsqu'ils ciblent d'autres secteurs. Par conséquent, le volume des attaques contre les infrastructures critiques est, et continuera d'être, nettement moins élevé que contre d'autres cibles. Les cybercriminels sont bien plus nombreux que les États agresseurs.

https://en.wikipedia.org/wiki/Stuxnet

http://www.bbc.co.uk/news/technology-30575104

http://securityaffairs.co/wordpress/38134/cyber-crime/scada-systems-underground.html




https://blogs.mcafee.com/mcafee-labs/operation-dragonfly-imperils-industrial-protocol/

https://blogs.mcafee.com/mcafee-labs/operation-dragonfly-imperils-industrial-protocol/



Partager ce rapport

En 2016 et au-delà, le nombre croissant des vulnérabilités détectées au sein des infrastructures critiques restera un problème majeur. Si elles réussissent, les attaques contre ce type de cibles auront un impact préjudiciable considérable sur la société. Toutefois, comme la plupart des auteurs malveillants réalisent de juteux bénéfices ailleurs, ces attaques seront probablement fomentées par des États qui seront très sélectifs et stratégiques dans leurs opérations.

— Raj Samani

Partage de cyberveille sur les menaces Lors du sommet White House Summit on Cybersecurity and Consumer Protection organisé par la Maison blanche à l'Université de Stanford en février dernier, le Président Obama s'est exprimé sur la nouvelle priorité du gouvernement américain, à savoir le partage de cyberveille sur les menaces entre les agences gouvernementales afin de pouvoir détecter et neutraliser plus rapidement les cybermenaces. Il a signé un décret visant à promouvoir aussi le partage de telles informations entre le secteur public et privé.

Son intervention montre clairement que le partage de cyberveille sur les menaces joue un rôle essentiel dans l'amélioration de la sécurité nationale. Bien que cette mesure constitue une excellente initiative, il en faudra plus pour protéger la sécurité nationale et la propriété intellectuelle des entreprises, tout en respectant la vie privée des citoyens. La cyberveille sur les menaces se compose d'informations collectées à propos d'une attaque ou d'un attaquant qui peuvent être distribuées en vue d'améliorer les défenses mises en place pour les contrer. Ces renseignements incluent généralement des données contextuelles, des indicateurs de compromission (IoC) et des mesures à mettre en place pour les neutraliser. Le partage de cyberveille permet aux entreprises et au secteur public de combiner des preuves internes et des informations externes afin de détecter plus rapidement les attaques et de réagir en conséquence.

Intel Security est l'un des quatre membres fondateurs de la Cyber Threat Alliance, créée pour faciliter le partage efficace et automatisé de cyberveille sur les menaces au sein d'une communauté fiable d'acteurs du secteur. Les membres de la Cyber Threat Alliance partagent les indicateurs de compromission et d'autres caractéristiques complexes et subtiles des cyberattaques en cours, fournissant ainsi une visibilité en temps réel sur les activités et les techniques déployées.

Le partage de cyberveille sur les menaces et la collaboration sont indispensables si l'on veut combattre des adversaires agressifs et motivés, qu'ils ciblent une infrastructure critique, la propriété intellectuelle d'une société ou les informations personnelles d'un individu. En s'appuyant sur l'expertise conjuguée des membres de la Cyber Threat Alliance, nous pourrons réagir de façon plus intelligente aux attaques multidimensionnelles complexes.

En 2016, la Cyber Threat Alliance adoptera la norme STIX/TAXII relative au partage de cyberveille sur les menaces afin d'accélérer la détection et l'application de mesures correctives pour tous les membres de l'Alliance. La Cyber Threat Alliance est l'une des nombreuses initiatives de partage de cyberveille soutenues par le secteur, toutes à différents stades de développement mais dans la poursuite d'objectifs similaires. En 2016, des indicateurs de performance verront le jour afin que les clients et les administrations prennent conscience les progrès réalisés en matière de protection grâce à ces projets.





Partager ce rapport

En revanche, il est plus difficile de savoir si le partage systématique de la cyberveille sur les menaces sera véritablement appliqué en 2016. Nous assisterons sans doute à l'adoption de mesures législatives destinées à limiter la responsabilité légale des entreprises et à leur permettre de partager ces renseignements. Quoi qu'il en soit, même si des lois sont promulguées, leur application dans les tribunaux représentera sans doute un défi considérable.

Le ministère américain de la Sécurité nationale a octroyé des subventions à l'Université du Texas de San Antonio pour collaborer avec les acteurs impliqués dans les initiatives de partage de cyberveille sur les menaces (opérateurs d'infrastructures critiques, agences fédérales, secteur public et privé) afin de développer des directives visant à accélérer le partage des renseignements. Par conséquent, nous assisterons en 2016 à un développement accéléré des meilleures pratiques en matière de partage des informations sur les menaces, adaptées aux besoins du secteur.

— Jeannette Jarvis



À propos de McAfee LabsMcAfee Labs est l'une des principales références à l'échelle mondiale en matière d'études et de cyberveille sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cybersécurité font autorité. Grâce à des données sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des renseignements en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques.


À propos d'Intel SecurityMcAfee fait désormais partie d'Intel Security. Avec sa stratégie Security Connected, son approche innovante de la sécurité optimisée par le matériel et son réseau de cyberveille Global Threat Intelligence, Intel Security met tout en œuvre pour proposer des solutions et des services de sécurité proactifs et éprouvés, qui assurent la protection des systèmes, réseaux et équipements mobiles des entreprises et des particuliers du monde entier. Intel Security associe le savoir-faire et l'expérience de McAfee aux innovations et aux performances reconnues d'Intel pour faire de la sécurité un élément essentiel de chaque architecture et plate-forme informatique. La mission d'Intel Security est de permettre à chacun de vivre et de travailler en toute confiance et en toute sécurité dans le monde numérique.

www.intelsecurity.com

Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques.

Intel et les logos Intel et McAfee sont des marques commerciales d'Intel Corporation ou de McAfee, Inc. aux États-Unis et/ou dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Copyright © 2015 McAfee, Inc. 62156rpt_threats-predictions_1015

McAfee. Part of Intel Security.Tour Franklin, La Défense 892042 Paris La Défense CedexFrance+33 1 47 62 56 00 (standard) www.intelsecurity.com

Suivre McAfee Labs

http://www.mcafee.com/fr/mcafee-labs.aspx

http://www.intelsecurity.com

https://twitter.com/McAfee_Labs

http://blogs.mcafee.com/mcafee-labs

rapport - intel · cette année, nous avons abordé l'avenir de la cybersécurité selon deux...

Documents