La cybersécurité et le paysage des menaces Internet changent constamment, mais restent immuables. Il existe de nouvelles menaces, de nouvelles versions d'anciennes menaces et des menaces avérées qui ne disparaissent jamais complètement. D'une certaine façon, le paysage de la cybermenace ressemble à une histoire qui se répète. Les menaces d'hier préfigurent toujours les menaces de demain, même si, de prime abord, le lien n'est pas évident.
FortiGuard Labs, équipe interne dédié à la recherche des menaces, a été fondé il y a plus d'une décennie pour surveiller et détecter les dernières menaces, les vulnérabilités « zero day » et les logiciels malveillants émergents. Sa technologie de détection et de prévention automatisées et plus de 200 chercheurs dans le monde surveillent en permanence le paysage des menaces en constante évolution. Nous fournissons des mises à jour, des connaissances détaillées sur la sécurité et une évaluation annuelle de la cybermenace afin d'offrir une protection contre les dernières menaces. Fort de cette expérience, nous prévoyons que, globalement, l'année 2016 verra les tendances de 2015 se poursuivre et restera préoccupante pour les consommateurs, les entreprises et les fournisseurs de sécurité. Nous devons regarder en arrière pour aller de l'avant.
De nouveaux logiciels malveillants plus difficiles à détecter apparaîtront par exemple et déclencheront des attaques exploitant les vulnérabilités du cloud et des dispositifs connectés. Par ailleurs, l'émergence de techniques d'évasion de plus en plus sophistiquées repoussera les limites de la détection et des investigations criminalistiques, les pirates informatiques étant soumis à la pression croissante des autorités chargées de l'application de la loi.
Internet des objets
L'explosion de l'Internet des objets (en anglais, Internet of Things – IoT) signifie que de nouveaux vecteurs d'attaques sont prêts et n'attendent qu'à être utilisés.
Gartner prévoit que d'ici quatre ans, soit en 2020, on comptera plus de 20 milliards de dispositifs IoT, ce qui représente un nombre pléthorique de dispositifs. Des bracelets podomètres aux montres connectées, en passant par les téléviseurs intelligents, les systèmes domotiques, les systèmes médicaux et bien plus encore, tout est maintenant connecté à Internet. Et c'est précisément ce qui rend ces dispositifs attractifs pour les pirates. En 2015, pour la première fois, les attaques de dispositifs IoT sont apparues dans la liste FortiGuard des dix plus grandes menaces — et ce ne sera pas la dernière fois.
Nous estimons que l'IoT deviendra le principal vecteur d’attaques de type « infiltrer et s'étendre ». Ces tactiques ne viseront pas directement le cœur défensif, car les réseaux d'entreprise connaissent la valeur de leurs informations et mettent en place des cyberdéfenses renforcées. Les pirates cibleront plutôt les dispositifs personnels des employés qui leur serviront de passerelle pour accéder aux infrastructures d'entreprise. Les pirates pourront infecter les dispositifs par des logiciels malveillants ou, plus probablement, compromettre un grand nombre de dispositifs IoT pour entrer dans les réseaux d'entreprise auxquels ils ont accès. Et une fois dans ces réseaux, les pirates prendront le contrôle pour semer le chaos.
Vers et virus
Les dispositifs headless (ne pouvant pas être gérés directement lorsqu’il s’agit de la configuration de la sécurité) ne possèdent pas d'interface utilisateur graphique. Ils sont gérés par des smartphones ou par des contrôles distants. Consécutivement à l'augmentation du nombre d'attaques de machine à machine, ces dispositifs headless deviendront également une cible de choix pour des vers et des virus conçus pour se propager automatiquement à d'autres dispositifs, via des protocoles de communication de confiance.
Les vers et les virus ont déjà causé des préjudices financiers et matériels majeurs dans le passé, mais leur potentiel de propagation au sein d’un panel de millions, voire des milliards de dispositifs (des wearables aux appareils médicaux) laisse envisager un degré de nocuité exponentiel. Bien que de très petites quantités de code soient utilisées pour concevoir ces virus, ce code pourrait provoquer une panne systématique des dispositifs et réseaux. Contrairement au ver Morris, qui a affecté en 1989 près de 6 000 dispositifs, les dommages seraient aujourd'hui beaucoup plus importants, car le nombre de dispositifs IoT se compte en milliards. On dénombre actuellement des dizaines de millions de bracelets podomètres, qui contiennent des informations personnelles précieuses pour les pirates.
Infrastructures cloud
La popularité du cloud ne cessant de croître, les pirates élaborent des stratégies pour infecter les plus grandes infrastructures. Des logiciels malveillants seront développés pour exploiter les failles des protocoles de virtualisation.
La vulnérabilité Venom, apparue en 2015, donne une indication sur le potentiel d’un logiciel malveillant à « s'évader » d'un
Ghostwares : partout et nulle part
La traque des cybercriminels et les poursuites engagées contre eux s'intensifiant, les pirates développent une nouvelle variante de logiciels malveillants conçue pour remplir leur mission, puis effacer toutes preuves d’incident, généralement détectées par de nombreux systèmes de sécurité. Les ghostwares sont conçus pour voler des données, puis effacer les preuves de compromission que de nombreux systèmes de sécurité sont capables d'identifier, tout en masquant également ses auteurs. De ce fait, il est extrêmement difficile pour les entreprises d’évaluer l'ampleur des pertes de données suite à une attaque, ainsi que de trouver et poursuivre leurs auteurs. Les ghostwares se répandront en 2016.
Blastwares : boum !
Rombertik a suscité beaucoup d'attention en 2015 en tant que l’un des tout premiers blastwares. Les blastwares sont particulièrement dangereux. Ils ont été conçus pour détruire ou neutraliser un système lorsqu'ils sont détectés. FortiGuard avait prédit l'émergence des blastwares l'année dernière et estime qu'ils continueront à perpétrer des attaques ciblées, notamment dans des actes d'hacktivisme ou des cybercrimes soutenus par des États.
Sandbox
Les logiciels malveillants peuvent contourner même les technologies de
De nombreuses entreprises se sont tournées vers les sandbox pour détecter les logiciels malveillants inconnus ou furtifs en analysant le comportement des fichiers suspects lorsqu’ils sont exécutés. Pour faire face à la multiplication des sandbox, les logiciels malveillants n'ont cessé de faire évoluer leurs fonctionnalités pour éviter d'être détectés. Ces logiciels malveillants à deux visages, quant à eux, se comportent normalement lors des contrôles de sécurité, mais peuvent initier une activité malveillante après sa validation par la sandbox. Un tel logiciel malveillant peut s'avérer difficile à détecter et interfère avec les mécanismes de veille sur les menaces qui s’appuient sur les systèmes d'évaluation des risques de la sandbox.
De nombreuses solutions de sandbox utilisent un système d'évaluation basé sur le comportement observé des fichiers qu'ils surveillent. Si les sandbox observent des comportements ordinaires, ils considèrent que les fichiers sont « innocents » et communiquent cette évaluation au système de veille sur les menaces du fournisseur de sécurité. Ce « feu vert » pourrait ensuite permettre aux futures versions de fichiers de contourner la sandbox et d'accéder au réseau. Côté fournisseur de sécurité, ces types de logiciels malveillants nécessiteront des systèmes d'analyse et de vérification plus puissants, qui pourraient avoir un impact considérable sur les performances réseau.
Course aux armements
L'année 2016 sera donc marquée par l'évolution des menaces. Chacune de ces tendances représente un défi nouveau et significatif, tant pour les entreprises qui déploient des solutions de sécurité que pour les éditeurs de ces solutions. Nous avons déjà vu plusieurs de ces attaques, bien que sous des formes moins sophistiquées. La « course aux armements » se poursuivra entre les pirates, qui développent des logiciels malveillants plus sophistiqués et efficaces, et les fournisseurs de sécurité, qui créent des produits plus intelligents. L'IoT passera des preuves de concept démontrant une vulnérabilité à une surface d'attaque viable. Enfin, comme les menaces ne cessent d'évoluer, les entreprises doivent apporter une plus grande attention à leurs déploiements, ainsi qu'aux dispositifs et services sur lesquels reposent leurs activités.
