Sécurité informatique: les menaces grandissantes

| mise à jour
par Rodolphe Koller

Affaire NSA, millions de données clients volées, la sécurité informatique a fait parler d'elle en 2013. En 2014, les experts prédisent une augmentation des menaces sur les terminaux mobiles et les premières attaques visant des objets connectés. Tous reconnaissent que l'humain est au centre des dangers et des solutions.

Prédire l’avenir sans trop de risque consiste le plus souvent se baser sur le passé et à faire le pari que les tendances vont s’exacerber et les évènements se répéter. En matière de prévisions de menaces informatiques pour 2014, les spécialistes de sécurité n’ont pas trop eu à se creuser la tête, tant l’année 2013 a été riche en événements.

Les révélations d’Edward Snowden sur les pratiques de la NSA ont montré que l’espionnage systématique par les nations via les services numériques ne tient pas de la théorie du complot. Même si l’affaire n’a pas vraiment surpris les experts. «Il y a toujours eu des incidents sécuritaires où il était clair qu’un concurrent ou un service de renseignement était à l’œuvre. L’affaire Prism a montré clairement qu’il en était ainsi, qu’il en est ainsi et qu’il en sera toujours ainsi», explique Marc Ruef de la société zurichoise Scip, spécialisée dans les audits sécuritaires et les tests d’intrusion. Pour Patrick Zwahlen, expert chez le spécialiste romand Navixia, l’affaire a eu le mérite de sensibiliser davantage les entreprises et de les amener à prendre les bonnes décisions. Conséquence directe de cette affaire, l’espionnage étatique et les menaces sur les infrastructures critiques figurent dans les prévisions 2014 de nombreux fournisseurs spécialisés. «Les attaques pour des motifs politiques vont augmenter. Cela vaut en particulier pour les JO d’hiver de Sotchi en février et la Coupe du monde de football cet été au Brésil» prédit notamment McAfee.

L’année dernière a été aussi marquée par plusieurs affaires de données client volées à de grandes sociétés, comme la chaîne de commerces américaine Target (70 millions de clients touchés), les éditeurs de logiciel Evernote et Adobe, et même le spécialiste de la sécurité RSA. Selon plusieurs rapports, ce type de vol devrait encore augmenter, les pirates profitant notamment des informations d’identité subtilisées pour élaborer d’autres attaques.

Plus généralement, les experts notent par ailleurs une professionnalisation accrue des hackers. «Les pirates sont de plus en plus spécialisés et collaborent au développement d’attaques sophistiquées qui combinent par exemple ingénierie sociale et failles technologiques», constate Thierry Karsenti, Directeur technique pour la zone Europe chez Check Point. Plusieurs rapports prédisent d’autre part une augmentation de l’emploi de ransomware à la CryptoLocker, c’est-à-dire d’attaques qui chiffrent les données d’un particulier ou d’une entreprise et exigent une rançon contre la clé de décryptage.

Technologies, usages, menaces

Du côté des entreprises, les menaces en augmentation sont directement liées à l’évolution des usages. L’emploi du cloud, des médias sociaux et du mobile continue de progresser, offrant des cibles de choix pour les cybercriminels de par leur popularité. En même temps, ces technologies contribuant à estomper la frontière entre usages privés et professionnels, elles rendent les entreprises vulnérables à des attaques générales visant plutôt les particuliers. «Nous sommes face à une tempête parfaite – la convergence du social, de la consumérisation, de la virtualisation et du cloud – qui va exiger des changements radicaux de l’infrastructure de sécurité de l’information durant la prochaine décennie», juge ainsi Tom Scholtz, analyste chez Gartner. Les brèches de sécurité évoquées plus haut et l’évolution de l’environnement IT qui met à mal la notion de périmètre de confiance, expliquent sans doute la crainte croissante des entreprises en matière de risques technologiques. Selon le baromètre des risques établi par Allianz, la cybercriminalité et le risque à la réputation (notamment via les réseaux sociaux) figurent dans le palmarès des risques identifiés par les entreprises.

Pour y voir plus clair, notre rédaction a analysé une quinzaine de rapports de sociétés de sécurité concernant l’évolution des menaces en 2014. A quelques exceptions près, les experts concordent sur les principales tendances sécuritaires que nous avons regroupées ci-après.

1. Clouds publics

La menace liée à l’emploi de services cloud publics est la résultante de deux phénomènes. Premièrement, l’échelle de ces services et leur adoption par beaucoup de sociétés en font des cibles de choix pour les hackers. Dans son rapport, McAfee compare ainsi le cloud aux banques du début du 20ème siècle qui étaient attaquées par ce que «c’est là qu’est l’argent». Deuxièmement, la sécurité du cloud diffère selon les fournisseurs et échappe au contrôle de l’entreprise. C’est d’autant plus vrai lorsque des solutions SaaS sont utilisées à l’insu du département informatique. Selon RSA, cette situation pousse beaucoup d’entreprises à réviser leur stratégie. La sécurité, ainsi que les pays d’hébergement, devraient devenir des facteurs de concurrence majeurs entre prestataires.

2. Médias sociaux et social engineering

Outre leur popularité, les médias sociaux se distinguent par leur formidable appétit de données personnelles. «Après les vulnérabilités, la deuxième cause d’infections de virus la plus fréquente est l’utilisateur lui-même, qui tombe involontairement dans les nombreux pièges concoctés par les cybercriminels», avertit PandaLabs .Selon McAfee les hackers vont davantage tirer parti des fonctions spécifiques de ces plateformes ou créer des comptes dupliqués pour accéder aux données des utilisateurs et de leurs contacts. WebSense prédit que les réseaux sociaux professionnels, comme LinkedIn, seront particulièrement visés, notamment pour conduire dans un second temps des attaques de phishing ciblées et compromettre les réseaux des entreprises. 

3. Mobile

Sans exception, tous les rapports avertissent des risques liés aux terminaux mobiles. «Les entreprises offrant davantage d’accès mobile à des applications et des données critiques, et les particuliers adoptant de plus en plus l’e-banking mobile, il, est facile de prévoir que les malware mobiles vont augmenter en sophistication et en nombre en 2014», signale RSA. Les experts craignent notamment l’apparition de nouveaux malwares (ransomware, APT) disséminés via les apps, les sites mobiles et autres SMS. Les pirates tenteront aussi de profiter des modes d’authentification simplifiés pour les usagers mobiles, ce qui pourrait favoriser en retour l’emploi de solutions biométriques.

Les spécialistes de sécurité mettent particulièrement en garde contre les logiciels malveillants sur Android. «L’année à venir devrait connaître un nombre record de menaces visant ces appareils» prédit PandaLabs. De son côté, Trend Micro estime que jusqu’à 3 millions d’applications Android malveillantes pourraient être sur le marché fin 2014. Plus que le système lui-même, les spécialistes pointent du doigt la grande diversité de versions d’Android employées sur le marché. Une fragmentation d’autant plus élevée que de nouveaux OS mobiles, comme Tizen ou Firefox OS, mettent en avant leur compatibilité avec les apps Android. «Il est étonnant que le système le plus sûr, Linux, ait donné naissance au système le moins sûr, Android», ironise Patrick Zwahlen de Navixia.

La tendance forte au Bring Your Own Device expose naturellement les entreprises aux menaces mobiles évoquées précédemment. «Nous n’avons pas constaté jusqu’à présent d’attaque ciblée d’une entreprise via les terminaux mobiles, mais nous avons vu des malwares mobiles diffusés à large échelle toucher aussi les entreprises», constate Marc Ruef de Scip. Selon la plupart des rapports, les solutions de sécurisation des terminaux manquent encore de maturité et les entreprises n’ont pas encore mis en œuvre des directives appropriées.  

4. Windows XP et Java

Les cybercriminels sont toujours à l’affût de vulnérabilités et les systèmes qui ne sont plus patchés constituent des cibles privilégiées, rappellent les experts. Plusieurs rapports (Kaspersky, Trend Micro, Fortinet) pointent notamment du doigt la fin du support de Windows XP en avril, alors que l’OS est encore présent sur certaines machines, y compris dans les entreprises suisses. Selon Fortinet, les pirates déjà en possession d’exploits zero day attendront avril pour lancer leurs attaques. Depuis la publication de ces rapports, l’urgence a cependant diminué, Microsoft promettant de prolonger les mises à jour des systèmes de sécurité de XP jusqu’à courant 2015. 

Autre système visé, Java, en raison de sa large diffusion. «Aujourd’hui, il n’existe sur le marché noir aucun kit d’exploit qui ne contienne pas un ensemble de vulnérabilités Java à exploiter» signale PandaLabs. Java souffre aussi de la présence de versions anciennes qui ne sont plus patchées. «Pour de nombreuses entreprises, le patching n’est pas une option envisageable, en particulier pour les applications critiques qui n’ont pas été mises à jour pour supporter des versions récentes de la plateforme», explique WebSense.

5. Internet des objets

Les objets connectés et autres wearables ont le vent en poupe. Presque tous les rapports prédisent que les premiers cas d’attaques contre ce type d’appareils vont survenir courant 2014. «Un terrain de jeu pour les hackers», justifie Thierry Karsenti de Check Point. «Caméras IP, TV et lecteurs multimédia, entre autres, sont désormais monnaie courante sur internet et ces appareils partagent souvent une caractéristique qui les distingue des ordinateurs portables, smartphones et tablettes : ils sont rarement mis à jour par les utilisateurs», explique PandaLabs. L’emploi d’Android est ici aussi pointé du doigt. Pour Symantec, l’internet des objets est ainsi en passe de devenir l’internet des failles. Des incidents qui peuvent paraître dérisoire s’ils affectent des appareils électroménagers, mais aux conséquences graves si l’on pense à des systèmes automobiles ou à des pacemakers. La réalisation de cette prédiction n’a d’ailleurs pas tardé puisque le spécialiste de la sécurité Proofpoint vient de mettre au jour une série de spams envoyés depuis un frigo connecté.

L’humain

Le risque humain mérite un traitement spécial. Les rapports que nous avons analysés, mais aussi les experts que nous avons rencontrés, ont tous insisté sur la menace humaine, qu’elle soit le fait de négligences ou clairement malveillante, qu’elle provienne de collaborateurs, de clients ou de partenaires. Un risque lié à d’autres tendances comme le BYOD ou l’ingénierie sociale et contre lequel les mesures organisationnelles (formation, sensibilisation, bonnes pratiques) sont plus opérantes que les solutions techniques. «Qu’un employé partage son mot de passe par accident ou soit la proie d’une attaque d’ingénierie sociale, les défis actuels ne peuvent plus être sous la seule responsabilité de l’IT», explique la société spécialisée Booz. Pour adresser ce risque, l’Union Bancaire Privée a notamment créé la fonction de Human Risk Manager. Pour se protéger de cette menace, Gartner estime que l’approche sécuritaire doit changer profondément pour se centrer sur l’utilisateur: «Il faut veiller à minimiser les contrôles et à maximiser le potentiel humain en favorisant la confiance et la prise de décision indépendante.» Un programme ambitieux qui rejoint les propositions du professeur Jean-Henry Morin de l’Université de Genève et qui exige un nouveau pacte de confiance entre l’entreprise et ses collaborateurs.

Kommentare

« Plus