Tendances IT 2016 : la cybersécurité en périmètre élargi
Les prévisions respectives d’AVG et Bitdefender pour 2016 illustrent l’élargissement du périmètre de la cybersécurité… et des menaces associées.
Quelles tendances surveiller en 2016 dans le monde de la cybersécurité ? Après Fortinet et Symantec, AVG et Bitdefender se livrent à l’exercice des prédictions.
Les deux éditeurs s’accordent sur la position prédominante qu’occupera l’Internet des objets dans le débat sur la protection des données. L’un et l’autre évoquent aussi une menace croissante sur les réseaux publicitaires en ligne.
Sur ce dernier point, AVG déplore une « surface d’attaque » élargie, les scripts de pub et de suivi étant toujours plus nombreux sur les pages Web (ils consomment parfois plus de la moitié de la bande passante sur les versions mobiles des sites, d’après une étude du New York Times).
Bitdefender souligne lui aussi la sécurité défaillante de certains réseaux publicitaires, vers lesquels les cybercriminels sont pressentis pour se tourner en masse plutôt que de développer de nouvelles souches, dans un contexte de multiplication des fermetures de botnets associées à des arrestations.
Selon l’éditeur d’origine roumaine, il faut également s’attendre à une augmentation et à une sophistication des PUA (« Potentially Unwanted Applications »). Certains de ces logiciels potentiellement indésirables – et quelquefois installés sans consentement – affichent des pop-up publicitaires ; d’autres installent des barres d’outils dans les navigateurs ou exécutent des processus en tâche de fond.
Entre IoT et machines virtuelles
Concernant la dimension IoT, AVG se montre direct : des téléviseurs aux systèmes d’éclairage en passant par l’électroménager, chaque appareil connecté au réseau peut être la cible d’un hacker. Bilan : les fabricants, tout comme les utilisateurs finaux, devraient avoir le souci de leur appliquer la même sécurité qu’aux ordinateurs et appareils mobiles.
Même son de cloche chez Bitdefender, qui pointe du doigt les « limites matérielles et logicielles » associées aux cycles de développements courts des objets connectés…
… Tout en faisant part de ses inquiétudes concernant l’avènement d’outils qui permettraient, en phase avec l’adoption du cloud, de compromettre des hyperviseurs à partir d’instances virtuelles, puis de passer d’une VM à l’autre jusqu’à établir des connexions avec des infrastructures physiques.
Fortinet avait lui aussi mis en avant cette capacité des cybercriminels à développer des stratégies leur permettant de « s’évader » des hyperviseurs pour accéder aux systèmes d’exploitation hôtes en environnement virtuel. On en a eu l’exemple cette année avec la faille VENOM, qui permet d’exécuter du code arbitraire dans une VM en s’appuyant sur le contrôleur de disquettes sur Xen, KVM et VirtualBox.
Du barda dans les certificats
Bitdefender étend sa réflexion aux menaces persistantes avancées (APT, pour « Advanced Persistent Threats »). Lesquelles devraient de plus en plus miser sur la collecte rapide d’informations plutôt que sur la longévité : quelques jours, voire quelques heures seulement, et de multiples changements de forme pour mieux se dissimuler.
Du côté d’AVG, on loue le potentiel de l’intelligence artificielle, qui « dépassera largement », en matière de sécurité, le seul secteur de l’automobile connectée, avec des indicateurs visibles sur Internet. Ainsi les éditeurs antivirus utilisent-ils des techniques d’apprentissage neuronal associées à la collecte et au traitement de données dans le cloud pour permettre à leurs produits d’intercepter les logiciels malveillants plus en amont.
L’éditeur d’origine tchèque s’arrête aussi sur l’avenir incertain des autorités de certification, dont le rôle est de confirmer l’identité du propriétaire légitime d’un site Web avant d’émettre un certificat SSL signé.
Déjà fragilisée ces dernières années par des erreurs de gestion et des incidents de sécurité, leur position devrait être un peu plus ébranlée par l’apparition de nouvelles normes ouvertes offrant davantage d’options moins complexes et moins onéreuses pour sécuriser le trafic HTTP. On citera l’initiative Let’s Encrypt et le protocole DANE de l’Internet Society.
La rançon du malware
Toujours selon AVG, le mot de passe n’est pas encore mort, aussi bien dans la vie privée que professionnelle, car les autres solutions « ont un coût, que ce soit sur le plan de la technologie ou de la complexité ». Cela n’empêche pas le développement progressif de solutions complémentaires, voire substitutives, de l’authentification en deux étapes à la sécurisation via des périphériques ou des lieux de confiance comme avec Smart Lock de Google.
Des solutions appelées à devenir indispensables si l’on en croit Bitdefender, qui estime que les attaques de type force brute (pour « casser » des mots de passe) vont se multiplier, notamment contre les CMS, avec le risque qu’Internet soit progressivement chiffré, sur le principe des rançongiciels.
Ces derniers, considérés comme « la menace la plus importante pour les internautes depuis 2014 », devraient rester un vecteur important de cybercriminalité en 2016. Au-delà du chiffrement de fichiers, ils pourraient, toujours en échange d’une rançon, menacer de bloquer des comptes de services en ligne ou d’exposer publiquement des données.
Crédit photo : Jeff Wasserman – Shutterstock.com