Après des années de léthargie, les malware font de nouveau parler d’eux.
Une soudaine popularité tenant essentiellement au fait que les ransomware inversent les codes de conduite caractéristiques des précédentes générations de malware, tels que ZeuS, SpyEye ou plus récemment Dridex.
Ces derniers visaient en effet la discrétion, contrairement aux ransomware qui, quant à eux, ont pour principe de s’annoncer.
Ainsi tandis qu’un Dridex n’a jamais eu d’impact sur la production d’un système d’information, Jigsaw rend de son côté les données inaccessibles, puis les supprime petit à petit.
Pour les particuliers ou les petites structures ne disposant pas de mécanisme de sauvegarde, la seule issue est donc le paiement de la rançon, sans aucune chance de dédommagement, alors que les malversations des malware bancaires se voyaient au contraire compensées par les assurances.
Autant de critères qui font bénéficier les ransomware d’une presse inédite. Mais il ne s’agit que d’une facette superficielle, voire d’un épiphénomène, qui masque une inquiétante réalité: la sécurité de nos systèmes d’information est obsolète !
En effet l’absence d’impact notable des précédentes générations de malware, tant sur la production des entreprises que sur les finances des particuliers, est responsable d’un désintérêt total concernant les capacités de protection des données.
Le seul critère de choix d’une solution est devenu le prix. Et l’implémentation est réduite à minima, pour limiter l’impact sur les performances des stations de travail et la charge (donc le coût, là encore) des administrateurs.
Car après tout, qui se souciait vraiment du fait que quelques machines du réseau soient membres d’un botnet (si tant est que ces derniers soient une réalité…) ?
Les ransomware ont donc agi comme un cruel révélateur… et avant tout, comme le révélateur d’un flagrant retard dans la compréhension des menaces. Les malware ont aujourd’hui des modes opératoires complexes qui évoluent avec chaque variante et changent complètement de l’un à l’autre.
La source de l’infection peut être un spam, l’exploitation d’une vulnérabilité du navigateur ou encore une application Android… Il est temps de prendre conscience que le temps de la propagation par clé USB est révolu. La simple navigation sur un site Web « légitime », mais néanmoins compromis, peut suffire.
Mais aujourd’hui, qui saurait identifier les différentes étapes de la chaîne d’infection et détailler les opérations effectuées par un malware ?
Il est malheureusement difficile d’obtenir une réponse à cette question, et cela révèle une préoccupante inertie technologique. Car il existe aujourd’hui un arsenal de technologies à même de mettre en échec la très grande majorité des malware, que ces derniers changent de signature, de comportement ou encore de vecteur de propagation.
Encore faut-il comprendre le spectre d’efficacité de ces technologies et leur indispensable complémentarité. En effet, qui saurait préciser le spectre d’efficacité de technologies telles que l’analyse comportementale ou le « sandboxing » ? Qui pourrait dire ce que des techniques de rejet d’URL ou d’identification des domaines éphémères apportent à la lutte contre les malware ?
Ces questions, encore une fois, trouvent peu de réponses et révèlent, in fine, un phénomène plus grave : la naturelle tendance à s’en remettre à la magie !
Comment, après un quart de siècle de travaux sur la sécurité informatique, est-il encore possible de croire qu’une nouvelle solution miracle adresse 100% des menaces ? Un tel désarroi ne peut s’expliquer que par l’incompréhension du phénomène.
Une incompréhension volontaire, tant la menace des malware a été déconsidérée.Faute de temps, faute d’argent et surtout, faute d’accepter de rester dans la technique et dans la sécurité.
Le premier point du crédo des hackers n’est-il pas « keep the hands-on imperative » ? Nul doute qu’il devrait également être appliqué par ceux qui protègent nos systèmes d’information…
Aussi, à défaut d’avoir su éviter la plaie des ransomware, tirons-en la leçon : la sécurité n’est pas une « commodité ». C’est un « must-have » : une défense, qui s’améliore, s’enrichit et se rénove en permanence.
Chronique de Renaud Bidou, directeur technique Europe du Sud chez TrendMicro (plus d’infos sur le blog Simply Security de l’éditeur de solutions de sécurité IT)
DMZ, mix des technos, tableau des failles…Pour retrouver les autres chroniques « Sécurité IT » de Renaud Bidou sur ITespresso.fr : c’est ici
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…