Se protéger à l’ère du Cy-Phy

Selon Fortinet, la moitié des 12 exploits les plus répandus à l’échelle mondiale sont liés à l’IoT. Une preuve, encore, que nous sommes entrés dans l’ère du «Cy-Phy»…

Alors que l’activité cybercriminelle est en léger repli, le nombre d’exploits par entreprise progresse de 10%, tandis que le nombre d’exploits uniques augmente de 5%, commente Fortinet dans la foulée de son rapport trimestriel de sécurité Global Threat Landscape Report. Parallèlement, les botnets gagnent en complexité et sont plus difficiles à détecter. La durée d’infection par les botnets augmente de 15% et ressort à près de 12 jours d’infection par entreprise.

«Nous sommes dans l’ère du Cy-Phy, à savoir la convergence des dispositifs de sécurité et des espaces physiques, constate Phil Quade, Chief Information Security Officer, Fortinet. C’est-à-dire là où la science-fiction côtoie l’imaginaire. Pour autant, les risques de cybersécurité sont, eux, bien réels. Les cybercriminels scrutent les exploits avec attention et en développent de nouveaux pour cibler cette tendance qu’est cette convergence digitale qui émerge. Les fondamentaux de la cybersécurité, qu’il s’agisse de visibilité, d’automatisation ou de segmentation sont plus critiques que jamais…» 

Alors que les cybercriminels misent sur l’automatisation et le machine learning pour mener leurs attaques, Fortinet invite les professionnels de la cybersécurité à faire de même pour contrer ces méthodes sophistiquées. Et de proposer une série de mesures concrètes.

> Surveiller les dispositifs de surveillance – La convergence des dispositifs de sécurité physique et des réseaux IP crée une surface d’attaque plus large et davantage ciblée par les cybercriminels. La moitié des 12 exploits les plus communs au niveau mondial sont liés à l’Internet des objets (IoT), tandis que 4 des 12 premiers sont associés à des caméras IP. En accédant à de tels dispositifs, les cybercriminels peuvent détourner des communications privées, exécuter des actions malveillantes sur site, voire déployer une passerelle d’entrée vers les cyber-systèmes pour lancer des attaques de type DDoS ou par ransomware. Il est essentiel de s’en rendre compte : les attaques furtives vont jusqu’à cibler les dispositifs que nous utilisons à des fins de surveillance ou de sécurité. 

> Déployer des outils à disposition de tous – Les malwares open source présentent un réel intérêt pour la communauté de la cybersécurité. Ils permettent aux équipes de sécurité de tester leur ligne de défense, aux chercheurs d’analyser les exploits et aux formateurs de présenter des exemples concrets de malwares. Ces outils openware, généralement proposés par des sites de partage tels que GitHub, sont donc à la disposition de tous, et notamment des cybercriminels susceptibles de les utiliser pour leurs exactions. Ils font ainsi évoluer ces outils de malwares et les transforment en nouvelles menaces, en ransomware notamment. Le botnet Mirai est un bon exemple de code source openware transformé en arme. Depuis 2016, date de son apparition, ce malware a donné lieu à de multiples variantes et à une activité soutenue. Pour les cybercriminels, l’innovation reste un levier pour s’ouvrir à de nouvelles opportunités. 

> Exploiter davantage la stéganographie – Les nouveautés en matière de stéganographie permettent de revisiter des attaques déjà existantes. Alors que la stéganographie, art de la dissimulation qui consiste à faire passer inaperçu un message dans un autre message, n’est que rarement utilisée par les menaces les plus courantes, le botnet Vawtrak en fait partie. Ceci démontre une ténacité croissante de ce type d’attaque. De plus, au cours du trimestre, des échantillons de malwares ont utilisé la stéganographie pour rendre leurs activités malveillantes plus furtives, notamment sur les réseaux sociaux. Au cours de l’attaque, après un contact avec un serveur C&C, le malware recherche des images présentes dans un flux Twitter associé, télécharge ces images et tente d’identifier des instructions dissimulées au sein de ces images pour agir en conséquence. Cette approche très furtive démontre que les assaillants sont capables de miser sur l’expérimentation pour faire évoluer leurs malwares et éviter de se faire détecter.

> Tenir compte de la prévalence des adwares – les adwares ne se contentent pas d’être un désagrément. Il s’agit désormais d’une menace omniprésente. À l’échelle mondiale, les adwares sont en tête des infections par malware sur de nombreuses régions, représentant plus du quart des infections sur l’Amérique du Nord et l’Océanie, et près d’un quart en Europe. Les adwares sont désormais intégrés à des applications mobiles présentes sur les app stores légitimes et constituent donc une menace majeure, notamment pour des utilisateurs mobiles peu méfiants. 

> Garder un œil sur les environnements industriels – Avec la convergence des environnements IT (technologies de l’information) e tOT (technologies opérationnelles, liées à l’informatique industrielle), les données sur une année témoignent d’un changement dans la prévalence et la fréquence des attaques ciblant les systèmes de contrôle industriels. Les attaques, dans leur majorité, ont gagné en volume et prévalence. Une cyber-attaque qui arrive à compromettre un système OT peut aboutir à des dommages physiques particulièrement lourds sur ce dispositif, les infrastructures et les services critiques, les environnements et mêmes les vies humaines.