Tribune FireEye : les tendances pour la cybercriminalité en 2014
Un collectif de chercheurs de FireEye (identification précoce des menaces de sécurité IT) donne sa vision de ce que sera le paysage de la sécurité numérique en 2014.
Un collectif de chercheurs de FireEye, l’un des éditeurs américains de solutions de sécurité IT les plus dynamiques du marché, profitent de cette fin d’année pour donner leur point de vue sur les menaces numériques susceptibles d’émerger en 2014.
De manière générale, ils sont d’avis que les attaques « Zero-Day » (catégorie particulière de codes d’exploitation qui cible des vulnérabilités qui ne sont pas encore publiquement annoncées par l’éditeur) cibleront moins Java pour se concentrer d’avantage sur les navigateurs Web qui deviennent plus complexes.
Le phishing ciblé (ou spear phishing) devrait quant à lui être de moins en moins utilisées au contraire des opérations de watering hole (qui consistent en la corruption de sites utilisés par des sociétés ou groupes de personnes pour atteindre ces utilisateurs).
Enfin, l’année 2014 devrait augurer un développement massif des techniques offensives dans le paysage des technologies mobiles.
Les chercheurs de FireEye commentent ces tendances :
Darien Kindlund : Les auteurs de menaces sophistiquées vont continuer à se cacher derrière « les outils logiciels criminels traditionnels » afin de compliquer l’identification et l’attribution de leurs attaques pour les responsables sécurité.
Amanda Steward : Davantage d’attaques vont recourir à des signatures de codes volées ou valides. Celles-ci permettent aux malware d’usurper les caractéristiques d’exécutables légitimes pour contourner les défenses traditionnelles (antivirus notamment).
Yogi Chandiramani et Tim Stahl : Les logiciels malveillants mobiles vont accroître la complexité du paysage des menaces. Nous verrons ainsi des menaces combinées entre le bureau et l’accès mobile pour obtenir l’authentification d’un mobile (à l’image des numéros de SMS de confirmation). Parce que les cybercriminels vont là où sont les clics, on peut s’attendre à voir se développer les attaques visant ces terminaux.
Yichong Chen : L’exploitation des vulnérabilités « Zero Day » de Java devrait être moins fréquentes. Malgré leur relative facilité d’exploitation, nous n’avons pas observé de nouvelles vulnérabilités depuis février 2013. Cela pourrait s’expliquer par les pop-up d’avertissement de sécurité de la version 1.7 ou encore par l’attention accrue des chercheurs en cybercriminalité sur ce point. Il est également possible qu’une trop faible proportion d’internautes utilise des versions vulnérables de Java, et que leur exploitation ne soit pas suffisamment rentable.
Dan Caselden : L’exploitation des vulnérabilités des navigateurs Web devraient être plus fréquentes. Les pirates sont de plus en plus à l’aise pour contourner l’ASLR (Address Space Layout Randomisation) des navigateurs. Et contrairement à Java et aux vulnérabilités classiques, celles impliquant les navigateurs continuent de croître sur le même rythme.
Thoufique Haq : Les auteurs de malware vont adopter des techniques furtives pour manipuler et contrôler (command-and-control ou CnC) les communications. Ils utiliseront les canaux des protocoles légitimes et abuseront les services Internet légitimes pour relayer leur trafic et échapper à la détection. Ce changement reflète l’escalade logique des pirates qui sont de plus en plus gênés par les défenses réseau.
Les attaques de type « Watering-hole » et le ciblage des médias sociaux vont progressivement remplacer le phishing de masse par e-mail. En effet, ils offrent un espace neutre où les cibles baissent leur garde. Le facteur de confiance n’est pas un obstacle insurmontable, et cela ne demande qu’un minimum d’effort pour attirer la cible dans un piège.
Bryce Boland : De plus en plus de malware vont alimenter la chaîne d’approvisionnement. Attendez-vous à davantage de codes malveillants dans les mises à jour des BIOS (Système de gestion élémentaire des « entrées/sorties ») mais également du firmware.
Alex Lanstein : De nouvelles techniques de « corruption mémoire » vont émerger suite à l’implémentation de la fonctionnalité du « click to play » d’Adobe Flash (nécessitant une interaction de l’utilisateur pour exécuter un contenu Flash potentiellement malveillant). En effet, ces derniers mois nous avons vu Flash être utilisé pour exécuter des codes malveillants dans la phase d’infection. Mais depuis qu’Adobe a intégré la fonctionnalité « click-to-play » aux documents Microsoft Word, cette approche ne fonctionne plus. Les dernières exploitations zéro-day de documents « .docx » et « .tiff », par exemple, n’utilisaient pas Flash pour cette raison.
Les hackers vont trouver d’autres moyens pour déjouer les systèmes d’analyse automatisés (sandbox), comme le déclenchement des redémarrages, les clics de souris, la fermeture des applications, etc. Un exemple: le déclenchement du malware à un moment précis, à l’image de ce qui a été observé récemment au Japon et en Corée. Les pirates se concentrent désormais à contourner les systèmes de sandbox, on peut parier que cette approche donnera à leurs malware beaucoup plus de puissance.
Jason Steer : Les logiciels criminels auront davantage vocation à détruire les systèmes d’exploitation. Dernièrement, les autorités européennes sont parvenus a arrêter les cyber-gangs. Une nouvelle fonctionnalité de Zeus qui efface le système d’exploitation, aide les cybercriminels à nettoyer toutes les preuves d’un attaque et ainsi éviter l’arrestation.
Darien Kindlund et Bryce Bola
Greg Day : La collaboration croissante entreles victimes d’attaques à travers le monde, va permettre d’identifier et arrêter les gangs de cybercriminels, grâce au croisement des indices d’attaques distinctes avec ceux des campagnes communes.Le cybercrime se personnalise. Pour les hackers,les données personnelles ont plus de valeur que les données génériques. Ils devraient logiquement réorienter leur attention sur des données à forte valeur.
Rudolph Araujo : Le temps de détection de malwares de pointe. Selon la société à laquelle on se fie (Verizon DBIR, Ponemon etc.), le temps de détection peut osciller entre 80 et 100 jours et de 120 à 150 pour la suppression totale des malware. Généralement, le temps de détection peut augmenter mais le temps de traitement va encore plus s’allonger à force que les attaquants deviennent de plus en plus sophistiqués avec leur capacité à s’immiscer dans le système des entreprises pour une plus longue durée.
(Credit photo : Shutterstock.com – Copyright: ra2studi)