Cyber-menaces 2017 : un paysage en mutation

S’il y a bien une constante en cybersécurité, c’est que les menaces IT évoluent en permanence ! De nouvelles menaces apparaissent, mutent, ou sont mises en sommeil un temps pour repartir de plus belle, sous une forme inédite…

Face à la nouvelle complexité des menaces, il est impératif de surveiller continuellement les tendances et techniques utilisées par les cybercriminels et d’adopter une réelle approche préventive en matière de cybersécurité. Tour d’horizon des principales cyber-menaces à l’œuvre depuis le début de l’année et pistes de réflexions pour protéger efficacement son patrimoine, ses données et sa réputation.

L’année 2016 avait été marquée par des attaques massives impliquant les malwares Dridex et Locky. A l’inverse, les menaces à l'œuvre au début de cette année se sont distinguées davantage par leur diversité et leur caractère ciblé que par leur volume. La tendance a ensuite évolué à partir de la fin du mois de mars, avec d'une part, des campagnes Dridex de grande envergure marquant le retour des attaques à fort volume et, d'autre part, des campagnes de faible ampleur mais continues, exposant les utilisateurs à diverses menaces, des malware voleurs d'informations aux ransomware en passant par le phishing par SMS.

Menaces impliquant la messagerie électronique  

La messagerie électronique demeure l'un des principaux vecteurs utilisés par les cybercriminels pour lancer des attaques contre les entreprises et les particuliers. Le mode opératoire consiste à diffuser un large éventail de malwares, que ce soit au travers d'URL insérées dans les emails ou les pièces-jointes. C’est d’ailleurs ce type d’attaque qui avait visé l’équipe de campagne d’Emmanuel Macron à quelques heures du second tour de l’élection présidentielle.

Quel que soit le niveau de sophistication démontré, la motivation des attaquants ou leur pays d’origine, les hackers s’efforcent sans relâche d’exploiter le canal de communication du courrier électronique. L’email est une cible de choix car il représente la porte d’entrée la plus simple à exploiter pour initier une attaque vers une organisation puis par la suite exfiltrer des informations confidentielles, notamment à des fins politiques. Le contenu d’un email permet de s’infiltrer au sein d’une organisation et de bénéficier d’un accès privilégié aux stratégies, motivations et personnalités. L’information numérique est devenue un instrument puissant d’influence de l’opinion publique.

Ransomwares

Les ransomwares demeurent une menace répandue et continuent de proliférer rapidement. Le nombre de nouvelles variantes de ransomwares ayant vu le jour depuis le début de l’année a plus que quadruplé en un an seulement.  Des souches bien établies, telles que Cerber et Jaff, diffusées à l'aide de vastes campagnes par email restent certes prédominantes, mais de nouvelles variantes font désormais leur apparition quotidiennement.

En témoigne la récente attaque au ransomware Wannacry, exploitant une importante vulnérabilité Microsoft, qui s’est rapidement propagée à l’échelle mondiale. Alors que cette nouvelle cyberattaque ne semble pas avoir eu autant de succès que des attaques ciblées de malware que nous observons régulièrement, les réseaux d’organisations mal protégés ont été sévèrement touchés car l’attaque se répercute sur tous les systèmes vulnérables du même réseau.

Piratages de la messagerie en entreprise (BEC)

Depuis le début de l’année, les attaques de la messagerie en entreprise (également appelées attaques BEC, pour Business Email Compromise ou fraude au président) ont encore une fois eu majoritairement recours à l'usurpation d'identité par le biais, soit des noms d'affichage, soit des adresses de réponse. Les attaques BEC se développent de manière exponentielle parce qu’elles ne coûtent pas cher à mettre en œuvre et rapportent beaucoup d’argent aux commanditaires. Selon la plupart des estimations, les attaques BEC ont déjà coûté plus d’argent aux organisations que les ransomwares, le type d’attaque pourtant le plus répandu en termes de volume !

En outre, Le FBI a publié un rapport début mai révélant que les pertes liées aux attaques BEC ont désormais dépassé la barre des 5 milliards de dollars. Cette annonce met un nouveau coup de projecteur sur la forte montée en puissance de ce type d’attaque, se caractérisant principalement par du phishing (Augmentation de 45% entre le troisième et le quatrième trimestre 2016 selon une étude Proofpoint ; 40,000 incidents BEC signalés entre octobre 2013 et décembre 2016 selon le FBI).

Mobile et réseaux sociaux

Au cours du premier trimestre 2017, plus de 16 000 éditeurs distribuant des malwares ont été identifiés au sein de diverses boutiques d'applications mobiles. Bon nombre de ces programmes malveillants avaient pris l'apparence d'applications légitimes. Le phishing par SMS a également connu une progression et a gagné en sophistication. Parallèlement, la fraude et la cybercriminalité poursuivent leur essor sur les réseauxsociaux. C'est notamment le cas des attaques impliquant des comptes d'assistance à la clientèle frauduleux, également appelées « phishing Angler », qui réussissent à duper un public toujours plus dépendant des réseaux sociaux en quête d'interactions avec les marques et entreprises.

Face à un paysage des cyber-menaces si complexe et mouvant, il est impératif que toutes les entreprises, peu importe leur taille, prennent des mesures pour protéger leur réputation de marque et notamment :

  •    Déployer une solution capable d'identifier et de mettre en quarantaine les emails malicieux à destination des employés, ainsi que de signer les messages sortants adressés aux clients ou aux partenaires. Les cybercriminels sont perpétuellement à la recherche de nouvelles techniques pour exploiter le facteur humain, il faut donc partir du principe que les utilisateurs se laisseront piéger !
  •    Mettre en place un dispositif de défense robuste contre les attaques BEC. Extrêmement ciblées et de faible envergure, ces escroqueries ne recourent que très rarement à une charge active et sont par conséquent difficiles à déceler. Une solution dotée de fonctions de classification dynamique permettra de définir des règles de mise en quarantaine et de blocage.
  •     Verrouiller les environnements d'applications mobiles. Les environnements mobiles multiplient les risques de voir des applications non autorisées dérober des informations critiques. Il est intéressant de choisir une solution orientée données capable d'opérer de concert avec un système de gestion des appareils mobiles (MDM) pour mettre au jour le comportement des applications au sein de l’environnement IT, en identifiant notamment les données auxquelles elles accèdent.