Sécurité IT : plugins et zero-day font bon ménage
Symantec constate que les cybercriminels se livrent une « course aux failles zero-day »… qu’ils dénichent souvent dans des plugins.
Qu’ils soient implémentés côté client ou serveur, les plugins* sont de plus en plus impliqués dans les cyberattaques, avec Adobe Flash Player en tête de liste.
C’est l’un des nombreux constats établis par Symantec dans la dernière édition de son Internet Security Threat Report (document PDF, 81 pages).
En s’appuyant sur un réseau mondial de 64 millions de sondes, l’éditeur des antivirus Norton a repéré une nette évolution du comportement des pirates informatiques, dont l’activité se « professionnalise », notamment par le regroupement au sein de collectifs.
Dans ce même esprit, les cybercriminels se livrent une « course au zero-day », du nom de ces failles inconnues du public. Symantec en a découvert 54 l’année dernière, contre 24 en 2014 et 23 en 2013. La technologie Flash reste la plus affectée, avec 4 des 5 zero-day les plus exploitées en 2015.
Autre recrudescence : celle des variantes de malware. Symantec en a répertorié 431 millions en 2015, contre environ 317 millions en 2014.
Les indicateurs augmentent également sur le front du phishing. Pas au global (1 mail sur 1 846 concerné en moyenne, soit près de deux fois moins d’une année sur l’autre), mais pour les campagnes ciblées, dont le nombre augmente de 55 % entre 2014 et 2015. Une entreprise touchée l’est en moyenne trois fois supplémentaires dans l’année.
L’une des tendances de l’année 2015, c’est le ransomware ; pas tant sous sa forme originale verrouillant l’écran des machines infectées, mais plutôt en tant que crypto-ransomware chiffrant les fichiers de la victime et demandant une rançon pour y restaurer l’accès (Symantec a repéré 362 000 attaques de ce type).
Le terrain s’agrandit
Le périmètre d’activité de ces rançongiciels s’est nettement élargi. En tête de gondole, le smartphone, cible d’autant plus intéressante pour un pirate qu’il occupe aujourd’hui une place prépondérante dans notre vie numérique.
Embarqué sur plus de 80 % des smartphones vendus en 2015 (source IDC), Android de Google reste le terrain de jeu favori des pirates. Mais des menaces émergent sur iOS d’Apple ; y compris sur des terminaux non « jailbreakés », par le biais de failles comme YiSpecter, qui exploite les dispositifs de provisionnement applicatif en entreprise.
Les cybercriminels savent aussi mettre à profit les connexions établies avec les PC, par exemple en s’appuyant sur des cookies pour déclencher l’installation d’applications à distance, sans que l’utilisateur le soupçonne.
Pour Symantec, le principal défi réside dans la diffusion des mises à jour de sécurité : Google a la main sur sa lignée Nexus vendue en marque blanche, mais pour le reste, c’est aux constructeurs et aux opérateurs d’assurer le déploiement. Ce qui n’est pas toujours évident, comme on a pu le constater avec l’épisode Stagefright.
Dans le prolongement de la mobilité, l’IoT. L’enjeu devient tangible à l’heure où l’International DOI Foundation compte 25 objets connectés pour 100 habitants aux États-Unis… sachant que Gartner en attend 20 milliards dans le monde en 2020.
Symantec constate que les cyberattaques menées à l’heure actuelle sur l’IoT sont plutôt à caractère expérimental. Mais les vulnérabilités sont globalement « trop faciles » à exploiter, y compris sur des équipements critiques dans le monde de la santé ou de l’énergie.
* En première ligne, les plugins WordPress, dont on a parfois du mal à déceler la valeur ajoutée (illustration avec Logout Roulette : à chaque connexion, un administrateur a une chance sur dix d’être immédiatement déconnecté).
Crédit photo : stockhits – Shutterstock.com