Contenu du billet
Avec le passage en 2020, voici le moment de revenir sur les évènements relatifs à la Cybercriminalité qui ont marqué ces 10 dernières années.
Ces pratiques criminelles n’ont cessé d’évoluer, tant en nombre d’attaques qu’en termes de techniques et subtilités déployées par les hackers.
Ainsi en 2016, une étude de Marsh et Microsoft auprès de 1500 entreprises, montrait que pour les entrepreneurs les cyber-risques culminent au sommet de tous les dangers possibles, loin devant les crises économiques.
Selon Business insider, ce sont environ 4 milliards de données qui ont été volées depuis 2010
Des objectifs de guerre ou mafieux
Il y a encore 10 ans, la plupart des hackers mis en cause dans des intrusions de haut vol le faisaient pour assoir leur notoriété ; désormais ils ont mis leur savoir technique au service d’États ou de groupes criminels, car leurs compétences se monnaient très cher.
Les attaques sont aujourd’hui essentiellement criminelles ou économiques comme Wannacry par exemple – détecté en Mai 2017 – qui est à ce jour le plus important Ransomware de l’histoire d’internet, avec 300 000 ordinateurs infectés, dans plus de 150 pays.
Le second type d’attaques rencontré est souvent financé et soutenu par un État commanditaire, il s’agit alors de Cyberguerre à l’image de l’opération contre l’Iran du nom de Stuxnet en 2010, et la réponse iranienne visant la compagnie saoudienne de pétrole Saudi Aramco en 2012, ou les révélations d’Edward Snowden en 2013 qui ont déstabilisé la NSA, l’attaque contre TV5 Monde en 2015, les fuites d’e-mails du Comité National Démocrate US en 2016, etc.
Ce sont la plupart du temps des attaques de type Advanced Persistent Threat (APT Attack)
Photo by Kaur Kristjan on Unsplash
Personne n’est à l’abri
Tous les secteurs de l’économie sont désormais touchés car l’ensemble des entreprises sont plus que jamais dépendantes de l’informatique et des réseaux : Que ce soient les Banques et la Finance à l’image de Capital One et 1st American Financial en 2019, Equifax en 2017, ou encore le milliard de dollars volé via des attaques sur les transactions via SWIFT, et sans oublier les disparitions subites de cryptomonnaies (Mt. Gox a perdu en 2014 l’équivalent de 6,3 milliards de dollars dans un vol de bitcoin).
Le secteur des Loisirs n’est pas en reste puisque Sony a été victime d’une attaque attribuée à des hackers nord-coréens en 2014 à cause d’un film produit par l’entreprise japonaise qui avait eu le malheur de déplaire à la junte nord-coréenne. Il y a aussi les affaires retentissantes du site de rencontres Ashley Madison (2015), ou encore de Yahoo ou Disney.
Le Commerce ou Retail : le géant US de la grande distribution Target est attaqué via le système informatique de ses boutiques en 2013, résultat : entre 40 et 110 millions de données (cartes bancaires, paiements) s’évanouirent dans la nature. Dans le secteur du Tourisme c’est le groupe Marriott et ses différents hôtels qui vont faire les frais en 2018 d’une intrusion qui mettra à jour les données de 500 millions de clients.
Le secteur Santé est à son tour visé, avec des mutuelles et des hôpitaux qui ont dû cesser de fonctionner pendant plusieurs jours voire plusieurs semaines – y compris en France – comme le montre le cas du CHU de Rouen pris pour cible par un virus en novembre 2019.
En France, 8 entreprises sur 10 sont touchées par des cyber-attaques chaque année, mais seulement 17% des PME seraient spécifiquement assurées contre ces risques.
Les conséquences
Ces failles et attaques ont plusieurs conséquences :
Dans un premier temps, les rançons tendent à enrichir des groupes mafieux qui, en employant les services de hackers, se constituent des trésors de guerre, dont le coût pour l’année 2019 a été estimé à plus de 11,5 milliards de dollars.
En 2016, dans le monde, une entreprise était victime d’une demande de rançon toutes les 40 secondes – Source : Cybercrime Magazine – 17 nov. 2017
Le nombre des données personnelles exposées, qui peut permettre le vol ou l’usurpation d’identité, a lui fortement augmenté depuis 2010 passant de 16 millions à 446 millions de documents.
Les cyberattaques ont toujours un temps d’avance
Comme pour les virus informatiques qui autrefois prenaient au dépourvu les éditeurs d’antivirus eux-mêmes, les techniques employées par les hackers évoluent sans cesse : Des plus basiques aux plus sophistiquées comme celles qui visent les vulnérabilités (zero-day), les attaques de force brute (DoS & DDoS), les intrusions et saccages, le vol de données, le Ransomware (dont les coûts des dommages sont estimés à 11,5 millions de dollars en 2019), et désormais des phénomènes nouveaux, tels les deepfake, ou encore le cryptojacking qui prend en main des PCs distants pour leur faire créer (mining) des crypto monnaies.
Qui sont les cibles et vecteurs de cyberattaques ? Le Phishing ou les Malware ciblant les e-mails, ainsi que les sites web détournés sont toujours des cibles de choix quand il s’agit de s’attaquer à l’utilisateur final. La grande nouveauté technologique grand public de ces 10 dernières années, le smartphone, a aussi permis des vols de données personnelles à travers des applications contenant des backdoors, ou bien encore par l’intermédiaire de la carte SIM.
Un autre point d’entrée en vogue consiste à créer une brèche en profitant des faiblesses de la domotique et des objets connectés en général (de l’imprimante à la machine à voter en passant par les drones) car souvent mal – ou pas – protégés.
Enfin, sont visés les systèmes informatiques, bases de données et même les services cloud, comme ce fut le cas pour 6500 boutiques e-commerce touchées via un prestataire de services managés (MSP) Volusion en 2019.
Selon une étude du World Economic Forum de 2019 : Les Cyber attaques sont désormais les risques les plus importants pour les entreprises en Europe et aux USA
Les avocats comme les assureurs vont avoir leur rôle à jouer
Ce nouveau créneau pour les assureurs spécialisés dans ce domaine promet d’être un succès pour la prochaine décennie, car les entreprises ont pris enfin conscience des risques de ne pas être protégées, même si aujourd’hui seulement 17 % des PME françaises seraient assurées pour des risques spécifiques d’attaques informatiques.
Autre conséquence également : Les procès se multiplient contre les entreprises qui ont laissé les données clients disparaître. Yahoo, par exemple, va devoir payer 117,5 millions de dollars aux utilisateurs dont les données ont été dérobées entre 2012 et 2016. Cela représente le nombre record de 3 milliards de comptes utilisateurs compromis. De plus l’entreprise a mis 3 ans avant de reconnaître cette brèche dans son système d’information : Résultat : des comptes clients contenant Noms, e-mail, mots de passe, date de naissance, numéros de téléphone et questions de sécurité ont été revendus sur le Dark Web.
Quelles solutions d’avenir pour lutter contre le cybercrime ?
Au niveau du droit les réponses supra étatiques, ou étatiques paraissent bien timides :
Même si l’Appel de Paris pour la confiance et la sécurité dans le cyberespace de 2018 a reçu un soutien d’estime de plusieurs pays, les plus importants d’entre eux, comme les États-Unis, la Chine et la Russie n’y ont pas adhéré. Ce qui relativise le succès.
L’UNESCO, l’OCDE, l’ONU, l’OTAN et l’Union Européenne y vont également de leurs déclarations, mais il faut avouer qu’il n’y a pas grand-chose à attendre de ces instances pour le moment si ce n’est des prises de positions pour le moins consensuelles et sans débouchés concrets.
Par contre aux États Unis, pays cible de 57% des attaques en 2017, plusieurs organismes comme le Department of Homeland Security, le FBI ou encore la NSA sont désormais sur le pied de guerre pour répondre aux différentes menaces et travaillent main dans la main avec les entreprises américaines.
Avec l’émergence des objets connectés, des Smart Cities, des véhicules autonomes, et avec le déploiement de la 5G d’ici à 2025, 75 milliards de nouveaux appareils vont se connecter à Internet …
Au niveau français, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), par la voix de son Directeur Général, Guillaume Poupard semble optimiste en ce qui concerne la situation du pays, avec beaucoup d’avancées et la mise en œuvre d’une sécurité s’appuyant sur « Une analyse de risques digne de ce nom ». Le DG de l’ANSSI déclarait récemment à Libération du 02 janvier 2020, que l’accent devait désormais être mis sur l’Europe en 2020 : « C’est là où nous allons mettre énormément d’efforts, et où nous pourrons avoir un effet de démultiplication par rapport à ce que nous pouvons faire au plan national. »
Prévenir plutôt que guérir
Microsoft ayant mis fin en 2014 au support de Windows XP au bout de 12 ans d’exploitation, la société à du publier un correctif en urgence en Juin 2017 pour patcher de nombreux PC victimes de WannaCry comme ceux du NHS (secteur public de santé britannique).
En 2018, deux autres failles majeures ont vu le jour, intitulées Spectre et Meltdown, et touchant la plupart des systèmes informatiques via les défaillances des processeurs Intel, AMD et ARM ; ces portes d’entrées ont dû être comblées en urgence par les fondeurs de puces.
Ces cas illustrent bien la dépendance des utilisateurs vis-à-vis des éditeurs ou fabricants de matériel informatique. Les montées de version des logiciels et le dé-commissionnement d’outils jugés trop faillibles devient donc une priorité pour les entreprises.
Renforcer sa sécurité informatique est une affaire de spécialistes, il est donc nécessaire de faire appel à des consultants en cybersécurité ponctuels ou permanents ; ceux-ci pourront tester les systèmes informatiques de l’entreprise (tests d’intrusion notamment…), mettre en place des politiques de protection (gestion des accès, cryptographie…) et enfin gérer les incidents en temps réel.
Récemment, l’évolution des technologies dans le domaine de l’hébergement et du traitement des données en réseau (Cloud, kubernetes…) a eu pour conséquence de faire désormais exploser les dictionnaires de vulnérabilités (CVE).
Les innovations technologiques récentes à disposition
Les internautes sont plus nombreux et souvent plus vulnérables que les entreprises, et il revient donc aux fournisseurs de systèmes d’exploitation (Apple, Microsoft…) de matériels, (routeurs, serveurs…) ou de logiciels (Firefox, Chrome…) de leur fournir une protection sur les réseaux et par conséquent de sécuriser les outils, notamment les OS et les navigateurs.
De même le remplacement du traditionnel mot de passe est probablement une voie qui renforcera la sécurité.
La biométrie, par exemple, est une technologie prometteuse mais si cette sécurité encore balbutiante, centralisant l’ensemble des données d’un individu à travers son empreinte ou reconnaissance faciale, utilisée comme SSO, est compromise, bien plus de données que dans le cas d’un mot de passe seront volées car elles concerneront tout le patrimoine individuel.
Par ailleurs, l’analyse prédictive – ou Cyber Threat Intelligence (CTI) – basée sur une somme considérable et centralisée de données de l’entreprise, via un datalake sécurisé par exemple, et l’utilisation de machine learning est une piste à envisager, car elle pourrait permettre d’identifier des modèles connus d’attaques, de détecter en temps réel des anomalies dans son système d’information et de déployer des contre-mesures.
Renforcer tout simplement les contrôles à tous les niveaux de l’entreprise
Les meilleures parades restent encore celles mises en place au sein des entreprises, celles-ci devant confirmer l’investissement dans une bonne gouvernance de sécurité :
En améliorant par exemple les cycles de développement et en exigeant des processus exhaustifs d’audit de code réguliers.
En renforçant également l’infrastructure système en se basant sur les références connues du marché : Security Technical Implementation Guides (STIG) et les recommandations du Center for Internet Security (CIS).
Enfin, en intégrant la sécurité informatique au cycle de vie complet des applications, c’est le crédo de DevSecOps , amené à se substituer au classique modèle DevOps.
Comment les experts envisagent-ils le futur de la cybercriminalité ?
Selon Sarah Nessel, éditrice de la newsletter Smartbrief on Security 5, le phénomène du Ransomware a encore de beaux jours devant lui, car en plus de s’attaquer aux entreprises qui disposent généralement des moyens de paiement d’une rançon, les hackers s’en prennent aussi aux particuliers afin de pouvoir à terme usurper par exemple un compte bancaire.
2020 a commencé comme l’année du Ransomware, il y a presque un nouveau type de rançon découvert chaque jour de Janvier…
Toujours selon elle, ce sont les petites et moyennes entreprises qui ont de plus grandes chances de subir des attaques, car elles dédient généralement moins de moyens à leur protection que les grands comptes.
Enfin, l’arrivée de réglementations comme le CCPA en Californie (l’équivalent du RGPD européen) va obliger les entreprises à mieux sécuriser les données de leurs clients sous faute de lourdes amendes.
