Silicon

INSIGHTS FOR IT PROFESSIONALS

Le panorama des menaces informatiques en 2017

Tour d’horizon des différents types de pièges informatiques auxquels vous aurez à faire face en 2017. Toutes les entreprises et tous les réseaux sont potentiellement concernés.

Attaques par ransomware, infections d’Android, cyberespionnage étatique, objets connectés… Jamais la cybercriminalité n’avait autant provoqué de craintes. Voici les grandes tendances à venir.

Le cyberespionnage d’État généralisé

2016 a ouvert la voie à l’incursion du piratage « d’État » dans les élections. Le FBI et la CIA ont ainsi directement mis en cause les hackers russes liés au pouvoir dans la déstabilisation de la campagne présidentielle américaine. En mai, le mouvement « En marche » d’Emmanuel Macron a été victime d’un piratage massif avec la mise en ligne de documents confidentiels. L’Allemagne, où les élections sont programmées en septembre, pourrait être la prochaine cible. « Les indices de tentatives pour influencer les élections législatives se multiplient », s’est inquiété le renseignement intérieur allemand, mettant en cause le Kremlin.

Les politiques ne sont pas les seuls visés. 90 % des attaques contre les entreprises et les administrations sont également attribuées à des groupes « affiliés » à des États, d’après le rapport annuel 2017 de Verizon sur la sécurité. Les grands groupes comme les PME innovantes sont ainsi exposés au « pillage intellectuel ». Il suffit parfois au hacker de se connecter au réseau WiFi mal sécurisé de l’entreprise pour siphonner ses courriels commerciaux, brevets, etc. Dans ce domaine, les États-Unis ne sont pas les derniers. Des hackers du collectif Shadow Brokers ont ainsi révélé en avril 2017 comment la NSA a infiltré le système interbancaire Swift, afin d’espionner des transactions financières de plusieurs États au Moyen-Orient.

Le ransomware sur mobile

En 2016, le trafic Internet sur mobile a dépassé celui sur PC. Et 88 % du temps passé sur le web depuis un mobile se fait au travers des applications, selon ComScore. Quoi de plus logique que les hackers tentent donc de s’engager sur cette voie. Le Google Play Store, dont l’accès aux développeurs est moins restrictif que celui d’Apple, est ainsi devenu un repère d’applications malveillantes. FalseGuide, se faisant passer pour un guide de jeux populaires comme Pokemon Go ou Fifa, a infecté deux millions d’appareils, permettant au botnet d’effectuer des tâches en arrière-plan et de pénétrer des réseaux privés. Le malware ChargerB, se présentant comme une lampe torche, s’emparait lui des données bancaires de la victime.

« Ces malwares accèdent aux droits administrateur et peuvent alors installer d’autres applications, envoyer automatiquement des textos à des numéros surtaxés ou afficher des publicités intempestives », relate Nicolas Sterckmans, expert en cybersécurité chez Malwarebytes. Ils peuvent également s’emparer de vos identifiants et vos contacts ou espionner votre activité. Cette tendance risque d’atteindre aussi l’entreprise, avec l’essor du « Bring Your Own Device » (BYOD, quand les employés utilisent leurs propres terminaux pour un usage professionnel). Pour faciliter la gestion de ces terminaux, Google a par exemple introduit des outils permettant aux entreprises de bloquer un appareil ou changer un mot de passe à distance. Des outils aussitôt détournés par les hackers à des fins malveillantes.

Nicolas Sterckmans, Malwarebytes

Nicolas Sterckmans

Les attaques à tiroir

Les cybercriminels se dotent de techniques de plus en plus sophistiquées pour déjouer les systèmes de sécurité. L’authentification à deux temps, où un texto est envoyé à l’utilisateur avec un code unique permettant de confirmer une transaction bancaire, a par exemple pu être déjouée par des hackers. Ces derniers ont recours au système SS7 (Signaling System 7), qui sert à relier les appels téléphoniques d’une entreprise. Plusieurs clients de l’opérateur de téléphonie allemand Telefonica ont ainsi vu leur compte en banque vidé après le piratage de leurs communications en mai 2017.

Les ransomwares eux aussi se perfectionnent : un nouveau type de malware Locky se cache dans un script contenu dans un document Word ou Excel, lui-même intégré dans un fichier PDF se faisant passer pour un reçu de paiement. Un mode d’attaque à tiroir qui permet de contourner les antispams. « On voit aussi l’apparition de malwares fonctionnant en duo, par exemple le ransomware Cerber et le virus de fraude publicitaire Kovter, explique Nicolas Sterckmans. Pendant que Cerber détourne l’attention des équipes techniques, le cheval de Troie de Kovter opère en toute quiétude. »

Les réseaux sociaux

26,5 millions de Français se connectent chaque jour à un réseau social, d’après Médiamétrie. Le temps passé sur Facebook, Messenger ou Twitter représente 20 % du temps passé sur Internet. Du coup, les cyberattaques utilisant des plateformes se multiplient. En 2016, le premier malware piloté via Twitter, Twitoor, a été identifié. Le célèbre ransomware Locky, qui chiffre les fichiers de l’ordinateur, a fait son apparition sur Facebook l’an dernier. En cliquant sur une image envoyée par un « ami » sur le chat, l’utilisateur est redirigé vers une page ressemblant à YouTube où il est invité à télécharger un outil pour lire une vidéo, qui s’avère piégée. L’utilisation d’images au format SVG permet aux hackers de contourner le filtre antispam de Facebook.

Proofpoint prévoit ainsi que les escroqueries et opérations de phishing sur les réseaux sociaux vont doubler en 2017 par rapport à 2016, avec par exemple les faux comptes d’assistance à la clientèle. Outre le piratage, les réseaux sociaux sont aussi une nouvelle mine d’informations pour les cybercriminels. En collectant et recoupant des informations sur l’âge, les contacts ou les gouts de leurs victimes, les pirates peuvent déterminer celles au plus haut potentiel de réussite. Infaillible aussi pour deviner le mot de passe ou la question secrète en cas de perte de ce mot de passe.

Les objets connectés

Près de 30 milliards d’objets seront connectés à Internet en 2022, d’après Ericsson. Le hic, c’est que la plupart de ces objets sont très peu sécurisés. Non seulement la sécurité semble être le cadet des préoccupations des fabricants, mais les utilisateurs modifient rarement leurs mots de passe par défaut. « Il est très facile de trouver sur Internet les éléments nécessaires à la prise de contrôle de ces équipements », déplore Nicolas Sterckmans. Des peluches pour enfants aux caméras de surveillance en passant par les thermostats « intelligents », les attaques se multiplient. En 2016, des chercheurs sont même parvenus à pirater des pacemakers et perturber leur fonctionnement.

« Cette année, nous avons assisté à une nouvelle tactique botnet qui vise à “recruter” les dispositifs IoT pour lancer des attaques contre le Web », relate Nicolas Sterckmans. Mirai, le plus connu, a ainsi paralysé plusieurs sites web pendant plusieurs heures en octobre 2016 en les « saturant » grâce à une armée de 500 000 appareils piratés. Et des botnets encore plus puissants que Mirai arrivent sur le marché. Hélas, les fabricants comme les consommateurs sont encore trop focalisés sur le prix plutôt que la sécurité.

Le sabotage des systèmes industriels connectés

Les systèmes de contrôle et d’acquisition de données (Scada), utilisés dans de nombreux processus industriels, fonctionnent de plus en plus en réseau, ce qui les rend vulnérables à n’importe quelle attaque informatique. « Les cyberattaques envers les Scada ont augmenté de 82 % en 2016 » confirme Philippe Trouchaud, de PwC.

Philippe Trouchaud, PwC

Philippe Trouchaud

« La grande crainte que nous avons, c’est celle du sabotage », s’alarme Guillaume Poupard, le chef de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Lors d’une conférence sur la cybersécurité en avril 2017, des chercheurs ont montré comment pirater un robot industriel de découpe laser, en modifiant légèrement la fabrication d’un composant. On imagine les dégâts en termes de sécurité chez un fournisseur automobile ou pharmaceutique par exemple.

Guillaume Poupard, Anssi

Guillaume Poupard

L’industrie automobile, justement, est en première ligne avec l’avènement de la voiture connectée. Des chercheurs chinois sont ainsi parvenus récemment à prendre le contrôle à distance d’une Tesla Model S. Ils ont accédé au système reliant tous les équipements informatiques du véhicule après que le conducteur s’est connecté à un réseau WiFi mal sécurisé pour trouver une station de recharge. Et ce n’est que le début : le cabinet d’études Gartner estime que 25 % des attaques visant les entreprises impliqueront des appareils connectés en 2020.

La ville intelligente

En novembre 2016, des pirates se sont introduits dans le système informatique de l’opérateur de transport de la ville de San Francisco, aux États-Unis, rendant inopérantes les bornes de paiement durant près de 48 heures. Le même mois, c’est le système de chauffage d’une ville finlandaise qui a été temporairement mis hors d’état. Le 8 avril 2017, les 156 sirènes d’alerte de Dallas se sont déclenchées simultanément suite à un piratage, provoquant un début de panique chez certains habitants. La smart city, ou ville connectée, préfigure bien des soucis en matière de cybersécurité.

Lampadaires, réseaux électriques, hôpitaux et systèmes de signalisation : 2,3 milliards d’objets connectés seront en service dans les villes cette année, selon Gartner, une hausse de 42 % par rapport à 2016. Autant de cibles de choix pour les hackers. « Les maires et responsables municipaux des technologies semblent s’en remettre totalement aux fournisseurs. Il y a une légèreté incroyable dans la manière de traiter les questions de sécurité », déplore Stéphane Bortzmeyer, ingénieur réseau. L’assureur britannique Lloyds a récemment estimé le coût d’un black-out électrique aux États-Unis entre 21 et 71 milliards de dollars. Le risque de sécurité se couple ici au risque économique.

Stéphane Bortzmeyer

Stéphane Bortzmeyer

Les attaques par déni de service plus puissantes

Le 21 octobre 2016, de nombreux sites (Airbnb, Twitter, Reddit…) ont été inaccessibles durant plusieurs heures suite à une attaque par déni de service (DDoS), qui a saturé le service Dyn servant à associer les noms de domaine aux adresses IP. Une pagaille provoquée par un botnet de dizaines de milliers d’objets connectés, et qui préfigure une tendance inquiétante.

« Le nombre d’attaques DDoS à plus de 100 Gbit/s a explosé de 140 % en un an », constate Akamai dans son rapport sur l’état de la sécurité Internet au quatrième trimestre 2016. Soit 12 attaques de ce type contre 5 un an plus tôt. Les hackers auront bientôt la puissance nécessaire pour faire tomber l’intégralité d’Internet, s’inquiètent les experts. Avec un débit de 10 Tb/s, celle des câbles sous-marins, on peut ainsi tout simplement couper l’accès Internet à un pays entier, comme ce fut le cas du Liberia en octobre dernier. Bruce Schneier, un des meilleurs experts sur la cybersécurité, avertit sur son blog qu’un « acteur étatique » mènerait des tests de résistance sur certaines infrastructures fondamentales de l’Internet, soupçonnant les Chinois ou les Russes. Un petit air de guerre froide 3.0.

Bruce Schneier

Bruce Schneier

Le spear phishing

Historiquement, les tentatives de phishing se traduisaient par un envoi massif de courriels truffés de fautes d’orthographe, provenant d’un expéditeur à l’adresse improbable. Aujourd’hui, place au spear phishing ou « harponnage ». Un mode de phishing bien plus ciblé et perfectionné.

En mai dernier, des millions d’utilisateurs Gmail ont reçu un courriel contenant un document Google Docs contaminé de la part d’une connaissance, donnant accès involontairement à leur tour à leur carnet d’adresses. Grâce aux informations glanées sur les réseaux sociaux, le hacker connait votre nom, la ville où vous habitez, votre banque et votre employeur. Il peut ainsi se faire passer pour un fournisseur, un ami, votre opérateur télécom ou votre cybermarchand préféré. Même des sites semblant fiables peuvent être trafiqués, en troquant le ‘a’ de apple.com par le caractère cyrillique « a » écrit en caractères Unicode. Indétectable à l’œil nu. Du coup, les campagnes de phishing sont bien plus efficaces. D’après Verizon, 30 % des emails malveillants ont ainsi été ouverts en 2016, contre seulement 23 % en 2014.