Ce rapport a été rédigé par Eoin Carroll, Taylor Dunton, John Fokker, German Lancioni, Lee Munson, Yukihiro Okutomi, Thomas Roccia, Raj Samani, Sekhar Sarukkai, Dan Sommer et Carl Woodward.
Alors que 2018 touche à sa fin, nous devons sans doute nous estimer heureux que cette année n’ait pas été totalement dominée par les ransomwares, même si l’émergence des variantes GandCrab et SamSam nous rappelle que cette menace reste bel et bien présente. Dans nos prévisions 2019, plutôt qu’évoquer les possibilités de montée en puissance ou de déclin d’une menace particulière, nous avons choisi de nous concentrer sur les rumeurs qui circulent actuellement au sein de la communauté cybercriminelle et qui vont probablement évoluer en tendances et en menaces observées en circulation.
Nous avons observé une collaboration plus étroite entre les cybercriminels évoluant sur le marché clandestin, ce qui leur a permis de renforcer l’efficacité de leurs produits. Une telle collaboration n’est certes pas nouvelle, mais 2019 devrait connaître une expansion de cette économie de marché. La lutte constante entre le secteur de la sécurité et les auteurs de ransomwares devrait encore s’intensifier et le secteur devra réagir de façon encore plus rapide et décisive qu’auparavant.
Les réseaux sociaux font partie de notre quotidien depuis plus de dix ans. Il y a peu, certains États n’ont pas hésité à exploiter ces plates-formes pour se livrer à des opérations de désinformation. En 2019, nous devrions voir les pirates utiliser ces tactiques pour leur propre compte. De la même façon, l’essor de l’Internet des objets (IoT) dans les foyers devrait motiver les cybercriminels à cibler ces équipements à des fins lucratives.
Une chose est sûre : notre dépendance vis-à-vis des technologies ne fait qu’augmenter. Il suffit d’observer les multiples compromissions ayant touché les plates-formes de gestion des identités — avec 50 millions d’utilisateurs affectés. La violation de sécurité ne s’arrête plus à ces plates-formes. Dans un monde hyperconnecté, notre sécurité se mesure toujours au maillon le plus faible de la chaîne. À l’avenir, nous serons constamment amenés à nous demander lequel de ces maillons faibles sera compromis.
— Raj Samani, Analyste en chef et Chargé de recherche, McAfee Advanced Threat Research
Twitter @Raj_Samani
Prévisions
L’intelligence artificielle au cœur des futures techniques de contournement
Essor des menaces synergiques, nécessitant des défenses combinées
Attaques d’exfiltration des données dans le cloud
Les assistants numériques à commande vocale, prochain vecteur d’attaque des équipements IoT
Consolidation du marché cybercriminel clandestin, avec des partenariats stimulant le développement de nouvelles menaces
Les forums et salles de chat clandestins deviennent une véritable place de marché pour les cybercriminels qui peuvent y acheter des logiciels malveillants, des exploits, des botnets et d’autres services véreux. Avec ces produits « prêts à l’emploi », il devient facile pour les criminels de tout acabit de lancer des attaques, quel que soit leur expérience ou leur niveau de compétences. Nous pensons que le marché clandestin se consolidera en 2019, avec des familles de services MaaS (Malware-as-a-Service) moins nombreuses mais plus performantes, agissant de concert. Ces produits toujours plus puissants conduiront à un minage de cryptomonnaies plus sophistiqué, à l’exploitation rapide de nouvelles vulnérabilités ainsi qu’à une augmentation des malwares sur mobiles et des vols d’identifiants et de cartes de crédit.
Nous prévoyons que d’autres affiliés se joindront aux plus grandes familles, compte tenu de la facilité d’exploitation et des alliances stratégiques avec d’autres services essentiels de haut niveau, dont les kits d’exploits, les services de chiffrement, les services de mélange (mixer) de bitcoins et les services de contournement des produits antimalwares. Il y a deux ans, nous avons vu de nombreuses grandes familles de ransomwares faire appel à des structures affiliées. De nombreux types de ransomwares continueront d’apparaître, mais peu résisteront à la concurrence des grands noms, qui garantissent des taux d’infection plus élevés ainsi qu’une meilleure sécurité opérationnelle et financière. Pour l’heure, les familles majeures cherchent activement à promouvoir leurs produits et prospèrent, non seulement en raison de leur renommée (cf. GandCrab), mais aussi parce qu’elles s’allient à d’autres services de haut niveau, notamment des services de blanchiment d’argent ou de dissimulation de logiciels malveillants.
Ces organisations clandestines fonctionnent bien car elles reposent sur un système de confiance. Dire que les loups ne se mangent pas entre eux serait peut-être exagéré, mais quoi qu’il en soit, les criminels se sentent en sécurité et sont convaincus d’être intouchables dans le cercle restreint de leurs forums. Ce climat de confiance n’est pas nouveau puisqu’il existait déjà dix ans plus tôt au sein de l’important marché clandestin des cartes de crédit, jusqu’à que des opérations policières de grande envergure y mettent un terme.
Avec l’efficacité croissante des systèmes de défense des terminaux, les cybercriminels se tournent vers le protocole RDP (Remote Desktop Protocol), plus vulnérable. Selon nous, 2019 verra l’utilisation croissante de RDP comme point d’entrée d’infection par les logiciels malveillants, plus particulièrement les ransomwares. À l’heure actuelle, la plupart des places de marché clandestines recommandent l’accès RDP à d’autres fins que le ransomware, et l’utilisent généralement comme porte d’entrée aux comptes Amazon ou comme proxy dans le vol d’informations de cartes de crédit. Les groupes de ransomwares ciblés et les modèles Ransomware-as-a-Service (RaaS) tireront parti de RDP. Nous l’avons d’ailleurs déjà constaté dans certaines attaques furtives. Les pirates chercheront à identifier un système dont l’accès par RDP est vulnérable, lanceront une attaque par ransomware et se propageront dans les réseaux, en utilisant soit les ressources locales, soit des vers (EternalBlue). Il existe des preuves selon lesquelles l’auteur de GandCrab se penche déjà sur une option d’exploitation de RDP.
Nous prévoyons également une sophistication croissante des logiciels malveillants associés au minage de cryptomonnaies. Ceux-ci seront en mesure de sélectionner la monnaie sur l’ordinateur de la victime en se basant sur le matériel de traitement (WebCobra) et sur la valeur d’une monnaie spécifique à un moment donné.
L’année prochaine, nous nous attendons à ce que le délai entre la détection d’une vulnérabilité et sa conversion en vecteur d’attaque raccourcisse encore. On constate en effet une agilité croissante des cybercriminels dans leur processus de développement. Ils collectent des données sur les vulnérabilités dans des forums en ligne ou la base de données CVE (Common Vulnerabilities and Exposures) pour les inclure à leurs logiciels malveillants. Selon nos prévisions, il faudra à peine un jour, voire quelques heures aux cybercriminels pour mettre au point des attaques contre les dernières vulnérabilités identifiées dans les logiciels et le matériel.
Nous nous attendons à une augmentation des forums clandestins consacrés aux logiciels malveillants sur mobiles (essentiellement Android), aux botnets, à la fraude bancaire, aux ransomwares et au contournement de l’authentification à deux facteurs. À l’heure actuelle, la valeur liée à l’exploitation de la plate-forme mobile est sous-estimée. En effet, les téléphones sont une véritable aubaine pour les cybercriminels puisqu’ils donnent accès à quantité d’informations sensibles, dont les comptes bancaires.
La fraude aux cartes de crédit et la demande de données de cartes de crédit volées continueront de progresser, avec un accent tout particulier sur le piratage des plates-formes de paiement tierces sur les grands sites d’e-commerce. Une fois sur ces sites, les criminels peuvent voler discrètement les données de milliers de cartes de crédit en même temps. Qui plus est, les réseaux sociaux sont utilisés pour recruter des utilisateurs qui ignorent souvent qu’ils travaillent pour le compte de criminels lorsqu’ils réexpédient des marchandises ou fournissent des services financiers.
Nous prévoyons un regain d’activité dans le marché des identifiants volés, dû notamment aux graves compromissions de données survenues récemment et aux mauvaises habitudes des utilisateurs en matière de mots de passe. Ces compromissions peuvent conduire, par exemple, à la vente de registres d’électeurs et au piratage de comptes de messagerie. Ces attaques surviennent au quotidien.
— John Fokker
L’intelligence artificielle au cœur des futures techniques de contournement
Pour accroître leurs chances de succès, les pirates utilisent depuis longtemps déjà des techniques de contournement afin de passer outre les mesures de sécurité et éviter la détection et l’analyse. Les outils de compression, de chiffrement et autres font souvent partie de l’arsenal des cybercriminels. En fait, toute une économie souterraine a vu le jour et offre des produits et services dédiés pour faciliter les entreprises criminelles. Selon nous, en 2019, compte tenu de la facilité avec laquelle les criminels peuvent désormais externaliser certains composants clés de leurs attaques, les techniques de contournement gagneront en agilité grâce à l’intégration de l’intelligence artificielle. Vous pensez que les services de neutralisation des antivirus prennent de l’ampleur ? Ce phénomène n’en est qu’à ses débuts.
En 2018, nous avons constaté l’apparition de nouvelles techniques d’injection de processus, notamment le Process Doppelgänging avec le ransomware SynAck qui consiste à injecter un sosie d’un processus légitime, ou encore la technique d’injection PROPagate utilisée par le kit RigExploit. L’intégration de technologies telles que l’intelligence artificielle rendra les techniques de contournement encore plus efficaces.
Des techniques de contournement différentes selon le logiciel malveillant utilisé
2018 a vu l’émergence de nouvelles menaces, dont les mineurs de cryptomonnaies, qui piratent les ressources des ordinateurs infectés. Chaque menace s’accompagne de nouvelles techniques de contournement :
- Minage de cryptomonnaies : Les outils de minage mettent en œuvre une série de techniques de contournement. WaterMiner en est un parfait exemple puisqu’il arrête simplement le minage lorsque la victime exécute le Gestionnaire des tâches ou une analyse antimalware.
- Kits d’exploits : L’injection de processus ou la manipulation de l’espace mémoire et l’ajout de code arbitraire figurent parmi les techniques de contournement les plus courantes. L’injection en mémoire est un vecteur d’infection souvent utilisé pour éviter la détection pendant la distribution.
- Réseaux de robots (botnets) : Les techniques de dissimulation de code ou de blocage du désassemblage sont souvent utilisées par les grands botnets responsables de l’infection de milliers de victimes. En mai 2018, on a découvert AdvisorsBot, un réseau qui utilisait du code parasite, des fausses instructions conditionnelles, le chiffrement XOR et même le hachage d’API. Comme, en général, les robots sont largement distribués, leurs auteurs implémentent de nombreuses techniques de contournement pour ralentir la rétroconception. Ils utilisent aussi des mécanismes de dissimulation pour les communications entre les robots et les serveurs de contrôle. Les criminels utilisent les botnets pour diverses activités comme la location de services DDoS (déni de service distribué), les proxys, le spam et la distribution d’autres logiciels malveillants. L’utilisation de techniques de contournement est essentielle pour les criminels, car elles permettent d’éviter ou de retarder le démantèlement des réseaux de robots.
- Menaces APT : Les certificats volés achetés sur le marché cybercriminel clandestin sont souvent utilisés dans le cadre d’attaques ciblées pour contourner les fonctions de détection antimalware. Les pirates exploitent aussi des logiciels malveillants de bas niveau, comme les rootkits ou les menaces ciblant les micrologiciels. Par exemple, en 2018, ESET a découvert le premier rootkit UEFI, LoJax. Les chercheurs en sécurité ont également identifié des fonctions destructrices destinées à effacer les preuves numériques. Ainsi, le logiciel malveillant OlympicDestroyer s’est attaqué aux journaux d’événements et aux sauvegardes de l’organisation des Jeux olympiques pour éviter les investigations numériques.
L’intelligence artificielle, la nouvelle arme en puissance
Ces dernières années, nous avons observé des logiciels malveillants capables d’utiliser des techniques de contournement pour éviter la détection par des moteurs d’apprentissage automatique. Ainsi, en 2017, le ransomware Cerber a déposé des fichiers légitimes dans les systèmes pour tromper le moteur chargé de la classification des fichiers. En 2018, le ransomware PyLocky s’est servi d’InnoSetup pour empaqueter le logiciel malveillant et éviter la détection par le moteur d’apprentissage automatique.
De toute évidence, le contournement des moteurs d’intelligence artificielle fait déjà partie des priorités des cybercriminels. Cela étant, ils peuvent aussi implémenter l’intelligence artificielle dans leurs logiciels malveillants. Selon nous, les techniques de contournement devraient commencer à tirer parti de l’intelligence artificielle pour automatiser la sélection des cibles ou vérifier les environnements infectés avant le déploiement des phases ultérieures afin d’éviter la détection.
Ce type d’implémentation change radicalement le paysage des menaces et devrait bientôt faire son apparition.
— Thomas Roccia
Essor des menaces synergiques, nécessitant des défenses combinées
Au cours de cette année, nous avons vu les cybermenaces s’adapter et muter plus rapidement que jamais. Nous avons observé des ransomwares qui évoluent pour gagner en efficacité ou utilisés pour brouiller les pistes. De même, le cryptopiratage a connu un essor sans précédent, dès lors qu’il offre un retour sur investissement plus élevé et plus sûr que le ransomware. Le phishing reste très présent et continue de trouver de nouvelles vulnérabilités à exploiter. Nous avons également observé des menaces sans fichier et exploitant les ressources internes de l’hôte, plus furtives que jamais et particulièrement difficiles à détecter. Enfin, nous avons assisté à l’incubation de malwares stéganographiques (stegware) lors de la campagne des Jeux olympiques de Pyeongchang. En 2019, nous nous attendons à ce que les pirates combinent plus fréquemment ces tactiques pour créer des menaces synergiques multifacettes.
Quoi de pire ?
Les attaques sont généralement basées sur une seule menace. Les cybercriminels se concentrent sur l’évolution et l’adaptation d’une seule menace à la fois pour la rendre efficace et capable de contourner les défenses. Si l’attaque réussit, elle est classée dans une catégorie spécifique (ransomware, cryptopiratage, exfiltration de données, etc.) et des mécanismes de défense sont mis en place. À ce stade, la probabilité de réussite de l’attaque diminue sensiblement. En revanche, si une attaque sophistiquée fait intervenir non pas une seule, mais cinq menaces évoluées fonctionnant en parfaite synergie, il est difficile d’organiser une défense performante. Tout le défi réside dans l’identification et la neutralisation de l’attaque. En effet, puisque les objectifs ultimes de l’attaque ne sont pas connus, les analystes risquent de se perdre dans les détails de chaque menace sans percevoir l’attaque dans sa globalité.
L’émergence de ces menaces synergiques s’explique notamment par le fait que les cybercriminels améliorent leurs compétences en développant des bases, des kits et des composants malveillants réutilisables. Comme les pirates s’organisent en modèle de marché noir collaboratif, ils peuvent se concentrer sur l’ajout de valeur aux composants précédemment développés. Cette stratégie leur permet d’orchestrer plusieurs menaces au lieu d’une seule pour atteindre leurs objectifs.
Un exemple parfaitement révélateur
Imaginez une attaque qui commence par une menace de phishing — pas une campagne classique utilisant un document Word, mais une technique inédite. Cet e-mail de phishing contient une vidéo en pièce jointe. Lorsque vous ouvrez la vidéo, votre lecteur ne s’exécute pas et vous invite à mettre à jour le codec. Dès que vous exécutez la mise à jour, un fichier polyglotte stéganographique (un simple GIF) est déployé sur votre système. Comme il s’agit d’un fichier polyglotte (valide pour différents formats), le fichier GIF planifie une tâche qui récupère un script sans fichier hébergé sur un système compromis. Ce script exécuté en mémoire évalue votre système et décide de déployer soit un ransomware, soit un outil de minage de cryptomonnaies. C’est là un parfait exemple d’une menace synergique en action.
L’attaque soulève de nombreuses questions : De quoi s’agit-il exactement ? Est-ce une attaque de phishing 2.0 ? Est-ce un stegware ? Est-ce une menace sans fichier, exploitant les ressources locales ? Est-ce du cryptopiratage ? Est-ce un ransomware ? C’est tout cela à la fois.
Cet exemple complexe mais parfaitement réalisable prouve que se concentrer sur une seule menace ne sera sans doute pas suffisant pour détecter ou neutraliser l’attaque. Si vous cherchez à la classer dans une catégorie donnée, vous risquez de ne pas la percevoir dans sa globalité et d’être moins efficace pour la neutraliser. Même si vous bloquez l’attaque en milieu de chaîne, la découverte des étapes initiale et finale est néanmoins importante si vous voulez vous protéger contre toute nouvelle tentative.
Soyez curieux, créatif et intégrez vos défenses
Contrer des attaques sophistiquées, basées sur des menaces synergiques, nécessite de s’interroger sur chaque menace. Et si cette attaque de ransomware faisait partie d’une opération plus vaste ? Et si cet e-mail de phishing faisait appel à une technique que vos employés n’ont pas appris à identifier ? Et si nous passions à côté de l’objectif réel de l’attaque ?
Toutes ces questions doivent permettre non seulement d’avoir une vision globale de l’attaque, mais aussi d’exploiter au mieux les solutions de sécurité. Selon nos prévisions, les pirates devraient adopter une approche synergique dans leurs attaques, mais rien n’empêche les cyberdéfenses de faire de même.
— German Lancioni et Carl Woodward
Les marques, nouvelles cibles de la désinformation sur les réseaux sociaux et de campagnes d’extorsion
Les élections sont truquées, les fausses actualités sont partout et nos abonnés sur les réseaux sociaux sont tous des robots contrôlés par les gouvernements étrangers. C’est en tout cas ce que pensent certains. Dire que les dernières années furent difficiles pour les réseaux sociaux est un euphémisme. Cette période a connu une succession d’attaques et de contre-attaques avec la désactivation des comptes automatisés, les changements de tactiques des pirates et l’émergence de comptes de botnet plus réalistes que jamais. Selon nos prévisions, 2019 devrait connaître une multiplication des campagnes de désinformation et d’extorsion via les réseaux sociaux sauf que, cette fois, elles ne seront plus le fait d’États mais de groupes criminels.
Les États utilisent leurs bataillons de robots pour diffuser leur propagande ou manipuler l’opinion avec une efficacité saisissante. Les robots présentent souvent les deux versions d’une même histoire afin de susciter le débat, et ça marche. En employant un système de nœuds amplificateurs et en testant les messages (y compris les hashtags) pour déterminer les taux de réussite, les opérateurs de botnets démontrent qu’ils maîtrisent parfaitement les tactiques destinées à influencer l’opinion publique sur des questions essentielles.
Dans un cas, un compte créé seulement deux semaines plus tôt avec 279 abonnés, dont la plupart étaient d’autres robots, a lancé une campagne de harcèlement contre une entreprise. Par amplification, le compte a généré 1 500 abonnés supplémentaires en seulement quatre semaines, simplement en envoyant des tweets malveillants à propos de leur cible.
Les médias ont beaucoup parlé des activités destinées à manipuler l’opinion publique ; de même, les robots expressément conçus pour manipuler les discussions dans un but précis sont prêts à être activés. L’année prochaine, nous nous attendons à ce que les cybercriminels recyclent ces campagnes pour harceler les sociétés et leur soutirer de l’argent. Il s’agit d’une sérieuse menace pour les entreprises.
— Raj Samani
Attaques d’exfiltration des données dans le cloud
Au cours des deux dernières années, les entreprises ont largement adopté le modèle SaaS (Software-as-a-Service) comme Office 365, ainsi que les modèles de cloud IaaS (Infrastructure-as-a-Service) et PaaS (Platform-as-a-Service), notamment AWS et Azure. Cette évolution a entraîné une forte augmentation du volume des données d’entreprise résidant dans le cloud. En 2019, nous prévoyons une hausse importante des attaques lancées contre les données dans le cloud.
Avec l’adoption en masse d’Office 365, nous avons constaté une multiplication des attaques contre le service, surtout les tentatives de compromission de la messagerie électronique. Une menace mise au jour par l’équipe cloud McAfee est le botnet KnockKnock qui cible les comptes système, souvent non soumis à l’authentification multifacteur. Nous avons également observé l’émergence d’exploits visant le modèle de délégation d’autorisation de la norme Open Authorization (OAuth). L’un d’eux a été lancé par Fancy Bear, le groupe de cyberespionnage russe. Cet exploit cherche à tromper les utilisateurs à l’aide d’une fausse application de sécurité Google pour accéder à leurs données.
De même, au cours des deux dernières années, nous avons observé des compromissions de données très médiatisées, attribuées à une mauvaise configuration des compartiments S3 d’Amazon. Ce n’est pas AWS qui est en cause. Sur la base du modèle de responsabilité partagée, c’est au client de configurer correctement l’infrastructure IaaS/PaaS et de protéger de façon adéquate ses données d’entreprise et l’accès utilisateur. Pour compliquer les choses, bon nombre de ces compartiments mal configurés appartiennent à des fournisseurs de sa chaîne logistique et non à l’entreprise cible. Capables d’accéder à des milliers de compartiments ouverts et d’identifiants, les pirates s’intéressent de plus en plus à ces proies faciles.
Dans son Rapport sur l’adoption du cloud et les risques associés, McAfee révèle que 21 % des données dans le cloud sont de nature sensible, notamment la propriété intellectuelle, les informations clients et les données à caractère personnel. Compte tenu de l’augmentation de 33 % du nombre d’utilisateurs de ces données l’année dernière, les cybercriminels savent désormais comment trouver de nouvelles cibles :
- Attaques natives au cloud ciblant des API vulnérables ou des points de terminaison d’API non contrôlés pour accéder aux données des charges de travail SaaS, PaaS et sans serveur
- Reconnaissance étendue et exfiltration des données dans les bases de données cloud (PaaS ou applications personnalisées déployées dans un système IaaS), étendant le vecteur d’exfiltration S3 aux données structurées des bases de données ou des lacs de données (data lakes)
- Utilisation du cloud comme tremplin pour les attaques natives au cloud de type man-in-the-middle pour lancer des attaques par ransomware ou de cryptopiratage dans d’autres variantes de ce type d’attaques (un exemple étant GhostWriter, qui exploite les compartiments S3 publiquement accessibles en écriture à cause d’une mauvaise configuration des clients)
— Sekhar Sarukkai
Les assistants numériques à commande vocale, prochain vecteur d’attaque des équipements IoT
À l’heure où les technophiles s’empressent d’acheter toutes sortes de gadgets intelligents (des prises aux téléviseurs, des machines à café aux réfrigérateurs, des capteurs de mouvement aux éclairages), les points d’accès aux réseaux domestiques se multiplient à un rythme effréné. Cela est d’autant plus délicat que la plupart de ces objets IoT restent peu sécurisés.
Mais celui qui, l’année prochaine, permettra d’ouvrir la porte du réseau sera l’assistant numérique à commande vocale, un dispositif créé en partie pour gérer tous ces appareils IoT présents dans les maisons. Avec la progression des ventes, et l’explosion attendue pendant la période des fêtes, les cybercriminels ne vont pas résister à la tentation d’exploiter ces assistants pour accéder aux équipements réellement intéressants d’un réseau.
Pour le moment, le marché des assistants à commande vocale en est encore à ses débuts. De nombreuses marques cherchent à s’y faire une place et il est encore difficile de savoir si l’un d’entre eux va vraiment dominer le marché. Si c’est le cas, les médias vont bien sûr s’intéresser à ses fonctionnalités de sécurité, mais seulement après avoir examiné à la loupe les problèmes de confidentialité qu’il peut éventuellement poser.
(L’année dernière, nous avions identifié la confidentialité comme la première préoccupation pour les appareils IoT domestiques. Si elle devait rester au cœur des préoccupations, il est probable que les cybercriminels se concentrent davantage sur la création de botnets, les demandes de rançon et les menaces de destruction de biens, tant auprès des particuliers que des entreprises.)
Les cybercriminels ne risquent pas de passer à côté de cette opportunité de contrôler les appareils d’une maison ou d’un bureau. Toutefois, leur prose risque d’être dans un style diamétralement différent de celle des journalistes. Leur objectif sera d’écrire du code malveillant, conçu pour lancer des attaques contre les appareils IoT, mais aussi contre les assistants numériques qui offrent tant de possibilités de communiquer avec ceux-ci.
Les smartphones ont déjà été utilisés pour distribuer des menaces. En 2019, il est fort possible qu’ils deviennent le sésame d’une véritable caverne d’Ali-Baba. Nous avons déjà pu observer deux menaces parfaitement capables d’infecter les appareils non protégés : le botnet Mirai, qui a frappé pour la première fois en 2016, et IoT Reaper en 2017. Ces malwares IoT sont apparus sous la forme de nombreuses variantes pour attaquer des appareils connectés tels que les routeurs, les enregistreurs vidéo sur réseau et les caméras IP. Ils ont étendu leur champ d’action en craquant les mots de passe et en exploitant les vulnérabilités pour constituer des réseaux mondiaux de robots.
L’année prochaine, tout laisse penser que les attaques contre les appareils IoT domestiques utiliseront principalement deux vecteurs : les routeurs et les smartphones/tablettes. Le botnet Mirai a mis en évidence le manque de sécurité des routeurs. Les smartphones infectés, qui peuvent déjà surveiller et contrôler les appareils domestiques, deviendront l’une des cibles majeures des cybercriminels qui utiliseront des techniques connues ou inédites pour en prendre le contrôle.
Les auteurs de logiciels malveillants vont exploiter les téléphones et les tablettes, qui sont des contrôleurs déjà approuvés par une relation de confiance, pour tenter de prendre le contrôle des appareils IoT en craquant leurs mots de passe et en exploitant leurs vulnérabilités. Comme le trafic réseau proviendra un appareil de confiance, ces attaques ne déclencheront pas de signal d’alarme. Leur taux de réussite augmentera et les vecteurs d’attaque seront difficiles à identifier. Un smartphone infecté pourra être à l’origine du prochain piratage des paramètres DNS d’un routeur. Les vulnérabilités présentes dans les applications cloud et mobiles seront également des cibles de choix, avec les smartphones au cœur de la stratégie des cybercriminels.
Les appareils IoT infectés viendront grossir les rangs des botnets qui pourront lancer des attaques DDoS et voler des données à caractère personnel. Les logiciels malveillants IoT les plus sophistiqués exploiteront les assistants numériques à commande vocale pour cacher leurs activités suspectes aux utilisateurs et aux logiciels de sécurité du réseau domestique. Des activités malveillantes comme l’ouverture de portes et la connexion à des serveurs de contrôle pourraient être déclenchées par des commandes vocales de l’utilisateur (« Lire ma musique » et « Quelle sera la météo aujourd’hui ? »). Il est fort possible que nous entendions bientôt les appareils IoT commander à l’assistant d’ouvrir la porte de service.
— Lee Munson et Yukihiro Okutomi
Multiplication des attaques contre les plates-formes de gestion des identités et les périphériques de périmètre
En 2018, on a beaucoup parlé des compromissions de données à grande échelle des plates-formes de gestion des identités. Celles-ci assurent des fonctions sécurisées d’authentification et d’autorisation des utilisateurs, des équipements et des services dans les environnements informatiques. Les données capturées lors de ces attaques sont réutilisées pour gâcher encore un peu plus la vie des victimes. En 2019, nous nous attendons à ce que les plates-formes des réseaux sociaux implémentent des mesures supplémentaires pour protéger les informations de leurs clients. Toutefois, à mesure qu’elles se multiplieront, il est probable que les criminels mobilisent davantage de ressources pour s’introduire dans ces environnements tellement intéressants en termes de données. L’affrontement entre les criminels et ces grandes plates-formes sera le prochain champ de bataille.
Triton, un malware qui attaque les systèmes de contrôle industriels, a démontré que les pirates possédaient les capacités pour cibler à distance les environnements de fabrication via leur infrastructure informatique adjacente. Les compromissions des plates-formes de gestion des identités et les périphériques de périmètre offriront aux pirates les armes nécessaires pour lancer à distance les futures attaques contre les systèmes de contrôle industriels. Ces attaques exploiteront les mots de passe statiques utilisés dans ces environnements ainsi que les périphériques de périmètre dont les limitations de conception empêchent la mise en place d’un système sécurisé. (Par périphérique de périmètre, on entend un protocole ou matériel permettant la mise en réseau embarqué dans un produit IoT.) Selon nous, l’authentification multifacteur et la cyberveille sur les identités deviendront les meilleures méthodes pour garantir la sécurité dans cette lutte sans merci. Selon nos prévisions, la cyberveille sur les identités viendra compléter l’authentification multifacteur pour renforcer les fonctionnalités de plates-formes de gestion des identités.
L’identité est un élément fondamental de la sécurité de l’Internet des objets (IoT). Dans ces écosystèmes, les équipements et les services doivent être en mesure d’identifier les appareils approuvés afin d’ignorer le reste. Le modèle d’identité, au départ centré sur les utilisateurs dans les systèmes informatiques traditionnels, est désormais axé sur les machines pour les systèmes IoT. Malheureusement, en raison de l’intégration des technologies opérationnelles et de la conception non sécurisée des périphériques de périmètre, le modèle d’approbation de l’IoT repose sur une confiance présumée et une sécurité basée sur le périmètre.
Lors des conférences Black Hat USA et DEFCON en 2018, 30 présentations portaient sur le thème de l’exploitation des périphériques de périmètre IoT. Cela représente près du double des présentations consacrées à ce thème en 2017. Cet intérêt accru concerne essentiellement les secteurs des systèmes de contrôle industriels, de la grande consommation, des équipements médicaux et des « villes intelligentes ». (Voir la figure 1.) Les périphériques de périmètre intelligents, alliés à la connectivité haute vitesse, contribuent au développement des écosystèmes IoT. Cependant, le rythme de leur adoption nuit à la sécurité de ces systèmes.
Figure 1. Le nombre d’exposés sur la sécurité des appareils IoT a augmenté, en parallèle avec la menace grandissante posée par des équipements peu sécurisés.
Comme la plupart des périphériques de périmètre IoT n’ont aucun système de défense intégré (isolement des fonctions critiques, protection de la mémoire, protection du micrologiciel, limitation des privilèges ou sécurité par défaut), un exploit qui aboutit prend le contrôle total de l’équipement. Les périphériques de périmètre sont également très sensibles aux attaques BORE, ou « break once, run everywhere » (une seule compromission pour tout contrôler) en raison des composants non sécurisés utilisés dans de nombreux types d’appareils et de secteurs d’activité. (Lisez les articles sur WingOS et la rétroconception.)
L’équipe McAfee Advanced Threat Research a démontré qu’il était possible d’exploiter des protocoles d’équipements médicaux pour mettre en danger la vie des patients et compromettre la confidentialité de leurs dossiers médicaux en raison de cette confiance présumée. Ce ne sont là que quelques-uns des nombreux scénarios possibles qui nous laissent penser que les cybercriminels s’intéresseront de près aux périphériques de périmètre IoT car ils représentent des cibles faciles pour atteindre leurs objectifs. Ces dix dernières années, la sécurité des serveurs a été considérablement renforcée, mais le matériel IoT reste à la traîne. En comprenant les motivations d’un pirate et les opportunités d’attaque (surface et facilité d’accès), nous pouvons définir une série d’exigences de sécurité indépendantes du vecteur d’attaque.
Le graphique de la figure 2 montre la distribution des types de vulnérabilités présentes dans les périphériques de périmètre IoT. Il met en évidence les failles à combler par le développement de fonctions de contrôle de l’intégrité et de gestion des identités dans les équipements de périmètre afin que ceux-ci puissent bloquer les attaques.
Figure 2. Les protocoles non sécurisés représentent la principale surface d’attaque des périphériques de périmètre IoT.
La sécurité de l’Internet des objets doit commencer au périmètre avec un modèle restrictif et offrir une racine d’approbation du matériel comme composant essentiel de la protection contre les attaques par piratage du logiciel et du matériel et d’autres menaces. McAfee prédit une augmentation des compromissions des plates-formes de gestion des identités et des périphériques de périmètre IoT en 2019 en raison de l’adoption des villes intelligences et du développement des systèmes de contrôle industriels.
— Eoin Carroll
Restez informé
Suivez-nous pour rester au courant des actualités de McAfee et des dernières menaces pour la sécurité mobile et grand public.
