Cybercriminalité : une année 2018 toujours dangereuse

Rédaction

Plusieurs études, publiées par des associations représentatives de DSI (le Clusif, le Cesin) ou à l’occasion du FIC (Forum international de la cybersécurité), dressent le panorama des risques. Et le constat n’est pas optimiste.

Le Clusif (Club de la sécurité de l’information français) a, comme chaque année, dressé le panorama de la cybercriminalité pour 2018. Plusieurs problématiques ont été abordées : les fuites à répétition, notamment sur les réseaux sociaux, les attaques au cœur des métiers (banque, transports, santé…) mais aussi sur les systèmes industriels, et plus largement sur la confiance dans notre monde désormais numérique (authentification, Deep Fake, attribution…). Ce panorama est issu d’un groupe de travail qui réunit une trentaine de membres, des experts adhérents du Clusif, mais aussi des invités, dont le travail de compilation a été réalisé sur la base de sources ouvertes.

2018, annus horribilis des réseaux sociaux et fuites à répétition

L’année 2018 n’a pas été avare en annonces retentissantes de fuites de données, confirmant une tendance qui se dessine depuis plusieurs années déjà. L’année 2018 a été compliquée surtout pour les réseaux sociaux et tout particulièrement pour Facebook. Olivier Hérisson, d’ON-X, a rappelé les scandales qui ont visé ce géant de la collecte de données personnelles : violation de données majeures, collecte des données personnelles sans consentement, un PDG contraint de s’expliquer devant le Sénat…

Pour éclaircir le tableau, face aux besoins de sécurité, de Security by Design concernant tant les objets connectés (IOT) que l’IA, le législateur a adopté des réglementations en Europe, avec des initiatives portées par la Commission européenne comme aux états-Unis, avec la première loi adoptée en Californie sur les objets connectés.

Menaces sur les transports et la santé

Le secteur maritime présente de nombreux intérêts pour les hackers : cibles diverses et isolées, impacts forts sur le plan économique, écologique et humain, a rappelé Christophe Thomas, d’Aturys, pour qui « un navire est un système d’information sur mer livré à lui-même. » Ainsi, en 2018, trois ports ont été les cibles de rançongiciels. L’impact opérationnel a été limité en partie du fait de la mise en place de procédures internes permettant de contenir la propagation et un retour rapide à la normale.

Les navires représentent eux aussi de formidables cibles, car ils sont un assemblage de composants du monde industriel, du transport pur et du grand public. Tout ceci interconnecté et relié en permanence à Internet. On a pu observer les suites des analyses des dispositifs de connexion satellitaire (SATCOM), comment les utiliser pour accéder au réseau et, ainsi, rebondir sur des systèmes tels que la cartographie ou le pilote automatique. Une étude a également montré les risques liés à certains systèmes de gestion des moteurs. Ce secteur est donc fortement technologique, mais a vécu trop longtemps selon le postulat de protection par l’isolement au milieu de l’océan.

Les « smartboats », gérés depuis un téléphone, sont déjà une réalité et les bateaux autonomes sont pour demain. L’exemple de l’IACS (organisation dédiée à la sécurité maritime) montre que le secteur a commencé à prendre en compte les recommandations comme celles de l’ANSSI, en publiant douze règles sur la cybersécurité pour le transport maritime.

Le transport aérien est également un écosystème dont tous les acteurs dépendent les uns des autres pour fonctionner. Tous sont susceptibles d’être menacés par des cyberattaques, toujours plus nombreuses, et plus massives. En réponse à ces risques croissants, les différentes parties prenantes s’organisent et se structurent pour améliorer la cyber résilience globale de l’ensemble du secteur comme l’a rappelé Vincent Mignon, manager sécurité du groupe ADP.

En 2018, les établissements de santé n’ont pas non plus été épargnés par les cyberattaques. Les impacts potentiels sont importants et concernent directement les patients. De plus, le vol d’une donnée médicale est irréversible, on ne peut changer une caractéristique physiologique et/ou un élément biologique qui nous caractérise et qui aurait été volé et/ou divulgué. Tous ces éléments en font une cible privilégiée pour les cybercriminels qui, à n’en pas douter, continueront d’en profiter, selon les experts du Clusif. Pour Erwan Brouder, dirigeant de BSSI Conseil et Audit, « trois tendances pourraient se renforcer en 2019 : des attaques ciblées sur les matériels biomédicaux, des attaques liées aux extorsions et un renforcement du cyber terrorisme. »

La banque : des attaques de plus en plus astucieuses

Les banques ont toujours été des cibles de premier plan pour les cybercriminels, le flux d’attaques ne ralentit pas, 2018 le montre encore une fois. Gérôme Billois, associé cybersécurité chez Wavestone, précise : « Au-delà des attaques cyber classiques, qui ne faiblissent pas, 2018 a vu une augmentation du niveau d’expertise et de détermination des attaquants. » Par exemple, la banque Cosmos a été victime d’une attaque au cours de laquelle les cybercriminels ont détourné plus de 10 millions de dollars en dupliquant et en piégeant les systèmes métiers de gestion des distributeurs de billets.

Plus dangereux, la Bank of Chile a été ciblée par un groupe qui, pour ne pas être détecté pendant la réalisation de virements frauduleux, a lancé en parallèle une attaque entraînant la destruction de 9 000 PC dans la banque. Ces attaques vont nécessiter de refondre les processus de gestion de crise et de sécurité pour intégrer ces nouvelles méthodes. On peut aussi observer des attaques « cyber-physiques », comme la Darkvihnya Attack, qui s’est déroulée en quatre temps :

  1. Une intrusion dans les locaux en se faisant passer pour un candidat.
  2. Une connexion d’un équipement malveillant au réseau de la banque (ordinateur portable, Raspberry Pi, clé USB, etc.).
  3. Une exploration à distance de l’infrastructure IT de la banque, une interception des mots de passe, des accès à des dossiers, etc.
  4. L’installation de malwares permettant d’orchestrer des braquages et de voler des fonds sur les comptes des banques.

SI industriels : un cap franchi vers la destruction ?

En 2017, les pandémies WannaCry et NotPetya avaient démontré que les systèmes industriels étaient vulnérables aux risques liés à la cybercriminalité portant sur l’IT classique. Avec la digitalisation des entreprises et l’essor du cloud, l’exposition de ces équipements s’est encore accrue en 2018, alors même que les attaques sont toujours plus ciblées et sophistiquées, avec l’ambition de maximiser leur impact sur le monde réel. « Une des évolutions majeures des dernières années est la volonté des attaquants de se rapprocher des niveaux bas de l’architecture », souligne Vincent Mignon, manager sécurité du groupe ADP.

Une difficulté à attribuer les attaques

Loïc Guézo, stratégiste cybersécurité Europe du Sud de Trend Micro, met en exergue que la perte de repères progressive contribue à la difficulté de l’attribution d’une attaque : « Ce qu’on craignait, notamment après les révélations #VAULT7 de Wikileaks, l’année dernière, est là : tout le monde attaque tout le monde et l’attribution technique devient quasi impossible, sauf erreur de l’attaquant. »

Par ailleurs, « la particularité des prochaines menaces est qu’elles sont de plus en plus liées au facteur humain : manipulation d’images, amplification par les réseaux sociaux ou la presse … et en ligne de mire, les nouvelles possibilités de l’IA pour du morphing temps-réel désormais indétectable », souligne Loïc Guézo. En conclusion, il prévoit que « l’émergence d’officines privées, en contrat avec des états pour des opérations offensives, nous annonce un vrai Far-West ! » Et à ce jeu, le gagnant 2018 est… la Russie.

Authentification, la fin d’une ère ?

En 2018, les cybercriminels se sont encore « intéressés » à nos mots de passe. La tâche était facile : « 123456 » et « password » sont encore largement (trop) utilisés (voir encadré ci-dessous) ! La maîtrise de son identité sur Internet est, plus que jamais, un sujet majeur, mais le mot de passe « simple » est maintenant en fin de vie (trop facilement copiable et réutilisable). Les nouveaux services proposent désormais des modes d’authentification multi-facteurs (MFA), nécessitant par exemple la saisie additionnelle d’un code reçu par SMS.

Selon le Clusif, la diversité des méthodes d’attaques ne connaît pas de limites, de nombreux cas ont également animé l’année 2018. On peut citer, entre autres, les arnaques sur les cryptomonnaies, de la simple fraude au « cryptojacking », volant la puissance informatique d’ordinateurs piégés pour générer de la monnaie électronique, les attaques sur les objets connectés de notre quotidien, comme les montres sportives qui révèlent des secrets d’état ou encore des voitures comme la Tesla, dont il est possible de dupliquer les clés en quelques secondes. Gérôme Billois, du cabinet Wavestone, observe, qu’au-delà de cette diversité d’attaques, « une tendance forte à la fuite des données, via les services cloud et les API, qui permettent l’échange de données. Même les plus grands acteurs du numérique comme Google ou Salesforce ont été touchés, cela sera une tendance à suivre en 2020. »

Le Top 15 des pires mots de passe des utilisateurs

  • 123456
  • password
  • 12345678
  • qwerty
  • 12345
  • 123456789
  • letmein
  • 1234567
  • football
  • iloveyou
  • admin
  • welcome
  • monkey
  • login
  • abc123

Source : Avira.