Sécurité IT : la discrétion des cyber-attaques
Symantec estime que la difficulté croissante à détecter et à contrer les cyber-attaques entraîne une inflexion dans la stratégie des entreprises.
La multiplicité des moyens à disposition des pirates informatiques rend les cyber-attaques de plus en plus difficiles à cerner… et à éliminer.
C’est l’un des nombreux constats établis par Symantec dans la 20e édition – document PDF, 119 pages – de son rapport Internet Security Threat, destiné à établir un panorama sur la sécurité informatique dans le monde.
Des 312 failles recensées par l’éditeur en 2014 (+ 23 % par rapport à 2013), plus d’un tiers (37 %) ont touché le monde de la santé ; 11 %, la vente au détail ; 10 %, le secteur éducatif. Elles ont exposé près de 350 millions d’identités numériques, essentiellement des noms et des adresses e-mail.
Alors qu’en 2013, les organisations visées cherchaient d’abord à déterminer quelles informations leur avaient été dérobées, elles se sont progressivement intéressées aux techniques utilisées par les auteurs de l’attaque. Leur réflexion a évolué, en parallèle, d’une logique binaire (« Telle menace exploite telle vulnérabilité ») à un raisonnement global (« Comment telle vulnérabilité exploite-t-elle telle menace ?»).
Phishing, mais pas que
Les vulnérabilités 0-day (non connues du public) restent un vecteur d’offensive privilégié. Sur les 24 découvertes en janvier 2014, la plupart (81 %) exploitaient des contrôles ActiveX. Il a fallu 204 jours pour corriger la plus importante d’entre elles.
Autre phénomène majeur dans le cyberespace : le phishing. Les efforts de ciblage effectués par les pirates se traduisent par une chute de nombre d’e-mails envoyés (- 14 %) et d’individus ciblés (- 20 %).
Les postes les plus visés sont ceux des dirigeants et des stagiaires, tout particulièrement dans les ventes et la finance. Dans 12 % des cas, une URL malveillante est insérée dans le message. Le reste du temps, le déclencheur est une pièce jointe, souvent en .doc ou en .exe.
Selon Symantec, plus de cinq entreprises sur six parmi celles employant plus de 2500 collaborateurs ont été touchées par une campagne de phishing en 2014. Sachant que le principe du ciblage peut s’appliquer à de nombreux autres types d’attaques, notamment l’infection de sites Web (moins de 0,1 % des domaines analysés en 2014 étaient contaminés, contre environ 0,2 % en 2013).
Au total, plus de 317 millions de logiciels malveillants auraient été créés en 2014. Une catégorie se distingue : celle des rançongiciels, avec un nombre d’attaques plus que doublé (+ 113 %). Les pirates se font parfois passer pour des autorités afin de récupérer des données. Mais la plupart du temps, ils chiffrent les fichiers sur la machine de la victime et n’y restaurent l’accès qu’en échange d’une rançon, souvent payée en monnaie virtuelle.
Menace sur les objets connectés
Les ransomware ne sont encore impliqués que dans 0,2 % des attaques. C’est néanmoins 45 fois plus qu’en 2014… et la menace commence à se porter sur mobile, où 46 nouvelles familles de malware ont été repérées en 2014 – avec une moyenne de 48 variantes par famille.
Rappelant que 2014 a marqué les 10 ans de la découverte de SymbOS.Cabir (considéré comme le premier malware sur mobile), Symantec précise que sur les 168 vulnérabilités révélées en 2014, 84 % concernent l’environnement iOS et 11 %, Android.
La connexion entre un appareil et un ordinateur est de plus en plus exploitée pour diffuser des logiciels malveillants. Lesquels tendent désormais à pister l’utilisateur sur le long terme… et à reconfigurer son smartphone ou sa tablette pour éviter d’être détectés.
Cette invisibilité aux yeux des utilisateurs et des programmes antivirus est également liée à la capacité qu’ont les pirates à prendre le contrôle de certains éléments d’infrastructure critiques comme les outils d’administration et les serveurs d’authentification.
Pour ces cybercriminels, une jonction naturelle s’établit vis-à-vis des objets connectés. Ce ne sont pas tant les produits en eux-mêmes qui sont ciblés, mais faiblesse des applications associées : 20 % d’entre elles transmettent des données en clair, d’après Symantec (étude réalisée sur des applications de santé-fitness).
La fragmentation du marché (multiplication des plates-formes, manque de standards) et la relative négligence des constructeurs sur le volet sécurité facilite la tâche des hackers. Pour l’utilisateur final naissent de véritables menaces vitales, du secteur automobile aux équipements médicaux.
Mais que valent réellement toutes ces données volées ? Un millier d’adresses e-mail pourrait se monnayer jusqu’à 10 dollars ; on peut atteindre 20 dollars pour le même nombre de cartes de crédit. Une pièce d’identité peut valoir jusqu’à 2 dollars sur le marché noir ; un compte utilisateur sur un service cloud, 7 à 8 dollars.
Crédit photo : bluebay – Shutterstock.com