Facteur Humain : le rapport 2023 de Proofpoint démontre l’ingéniosité des nouvelles techniques déployées par les cybercriminels pour tromper leurs victimes

Human-Factor2023-Press-Release-Image

PARIS, France, le 14 juin 2023 — Proofpoint, Inc, société leader en matière de cybersécurité et de conformité, publie aujourd’hui son rapport annuel « Human Factor », révélant un retour à la normale pour les cybercriminels du monde entier après les deux ans de pandémie. Alors que celle-ci ralentit, les attaquants ont dû trouver de nouveaux moyens pour subsister. Pour ce faire, ils perfectionnent leurs compétences en ingénierie sociale, banalisent des techniques d’attaque autrefois sophistiquées et recherchent de manière créative de nouvelles opportunités par des moyens inattendus.

De l’intensification des attaques dîtes « par force brute » et de celles ciblées dans le cloud, à la montée en puissance des attaques par smishing conversationnel qui engendrent une prolifération des contournements de l’authentification multifactorielle (MFA), en 2022 le paysage des cyberattaques a connu des évolutions significatives sur plusieurs fronts.

Pour Ryan Kalember, vice-président exécutif de la stratégie de cybersécurité de Proofpoint, « Microsoft 365 constituant un pourcentage important de la surface d’attaque de l’organisation type, l’utilisation abusive de cette plateforme, des macros Office aux documents OneNote, continue de façonner les grandes lignes du paysage de la menace cyber. » Il ajoute que « alors que les contrôles de sécurité se sont lentement améliorés, les acteurs de la menace ont innové et étendu leurs méthodes de contournement ; autrefois du seul ressort des plus chevronnés, des techniques telles que le contournement du MFA et les attaques par téléphone, par exemple, sont aujourd’hui monnaie courante. Si de nombreux acteurs de la menace continuent d’expérimenter, il n’en reste pas moins que les attaquants exploitent les personnes et que celles-ci constituent la variable la plus critique tout au long de la chaîne d’attaque d’aujourd’hui ».

À propos de l’étude

The Human Factor est le rapport le plus complet du secteur émanant d’un seul fournisseur. Il examine depuis sa première édition en 2014, les nouveaux développements dans le paysage de la menace cyber, en se concentrant sur la combinaison de la technologie et de la psychologie qui rend les cyberattaques modernes si dangereuses ; la vulnérabilité, les attaques et les privilèges d’accès étant les trois principales facettes du risque utilisateur.

Le rapport s’appuie sur l’un des ensembles de données de cybersécurité les plus importants et les plus diversifiés de l’industrie, couvrant la messagerie électronique, l’informatique en cloud et l’informatique mobile ; l’analyse se fonde sur plus de 2,6 milliards de messages électroniques échangés, 49 milliards d’URL, 1,9 milliard de pièces jointes, 28 millions de comptes cloud, 1,7 milliard de messages SMS suspects, etc.

Conclusions principales

Avec des techniques complexes telles que le contournement de l’authentification multifactorielle, les attaques par téléphone, ou encore les menaces conversationnelles qui reposent uniquement sur le charme déployé par l’attaquant, l’année 2022 a été celle d’une créativité sans précédent déployée par les acteurs de la menace, qui ont varié méthodes et chaînes d’attaque, et ont rapidement testé et écarté les mécanismes de diffusion. Les principales conclusions du rapport 2023 de Proofpoint sur le facteur humain sont les suivantes :

 

  • L’utilisation des macros Office s’est effondrée après que Microsoft ait déployé des contrôles pour les bloquer : méthode populaire de distribution de logiciels malveillants pendant près de trois décennies, l’utilisation des macros Office a finalement commencé à se tarir depuis que Microsoft a mis à jour la façon dont son logiciel traite les fichiers téléchargés à partir du Web. Ces changements ont déclenché une vague d’expérimentation de la part des acteurs de la menace, qui ont cherché d’autres techniques pour compromettre leurs cibles.

 

  • Les acteurs de la menace ont commencé à associer à leur ingéniosité une précision et une patience nouvelles : les menaces de smishing conversationnel et de « pig butchering » — qui commencent par l’envoi de messages apparemment inoffensifs par les attaquants — ont explosé l’année dernière. Dans l’espace mobile, il s’agit de la menace qui a connu la croissance la plus rapide de l’année, avec un volume multiplié par douze. Les attaques par téléphone (TOAD) ont culminé à 13 millions de messages par mois. Plusieurs acteurs APT alliés à certains régimes, ont été observé passer beaucoup de temps à échanger des messages anodins avec leurs cibles, et ce afin d’établir une relation proche au fil des semaines et des mois.

 

  • Les kits d’hameçonnage de contournement de la MFA sont devenus omniprésents, permettant même à des cybercriminels débutants de lancer une campagne d’hameçonnage de grande ampleur : les cadres de contournement de MFA tels que EvilProxy, Evilginx2 et NakedPages ont représenté plus d’un million de messages d’hameçonnage par mois.

 

  • L’infrastructure de confiance joue un rôle clé dans l’exécution de nombreuses attaques basées sur le cloud, et montre les limites des protections basées sur l’attribution de règles : la plupart des organisations ont été confrontées à des menaces provenant des géants de l’informatique cloud tels que Microsoft et Amazon, dont l’infrastructure héberge de nombreux services desquels dépendent beaucoup d’organisations.

 

  • De nouvelles méthodes de distribution ont propulsé SocGholish dans le top 5 des logiciels malveillants en termes de volume de messages : grâce à une nouvelle méthode de distribution impliquant des téléchargements « drive-by » et de fausses mises à jour de navigateur, l’acteur de la menace derrière SocGholish — TA569 — a été de plus en plus en mesure d’infecter des sites web pour diffuser des logiciels malveillants exclusivement par le biais de téléchargements « drive-by », en incitant les victimes à les télécharger par le biais de fausses mises à jour de navigateur. De nombreux sites hébergeant le logiciel malveillant SocGholish ne savent pas qu’ils l’hébergent, ce qui favorise sa diffusion.

 

  • Les menaces liées au cloud sont devenues omniprésentes : chaque mois, 94 % des utilisateurs cloud analysés ont été la cible d’attaques de précision ou par force brute, ce qui indique une fréquence équivalente à celle des attaques par d’autres vecteurs, messagerie et téléphonie mobile. Le nombre d’attaques par force brute — notamment celles par la « pulvérisation de mots de passe » (password spraying) — est passé d’une moyenne mensuelle de 40 millions en 2022 à près de 200 millions début 2023.

 

  • Abuser de la familiarité et de la confiance envers de grandes marques reconnues est l’une des formes les plus répandues d’ingénierie sociale : les produits et services Microsoft occupent quatre des cinq premières places dans le classement des marques exploitées, Amazon étant la marque la plus exploitée.

 

  • Un accès initial réussi peut rapidement conduire à des attaques à l’échelle du domaine, tel que l’infection par un ransomware ou le vol de données : jusqu’à 40 % des identités d’administrateurs mal configurées ou « fantômes » peuvent être exploitées en une seule étape, par exemple en réinitialisant le mot de passe d’un domaine pour élever les privilèges. En outre, 13 % des administrateurs fictifs disposent déjà de privilèges d’administrateur de domaine, ce qui permet aux attaquants de récupérer des informations d’identification et d’accéder aux systèmes de l’entreprise. Environ 10 % des terminaux ont un mot de passe de compte privilégié non protégé, 26 % de ces comptes exposés étant des administrateurs de domaine.

 

  • Le groupe Emotet est redevenu l’acteur de menace le plus important au monde, un an après que les forces de l’ordre aient mis le botnet hors ligne en janvier 2021 : malgré l’envoi de plus de 25 millions de messages en 2022, soit plus du double du volume envoyé par le deuxième acteur le plus important, la présence d’Emotet a été intermittente, le groupe montrant également des signes de ralentissement dans son adaptation au paysage des menaces post-macro.

 

  • Si la criminalité financière domine largement le paysage des menaces, une seule attaque menée par un acteur de la menace persistante avancée (APT) peut avoir un impact considérable : une vaste campagne menée par TA471, un groupe APT d’obédience russe qui se livre à l’espionnage d’entreprises et de gouvernements, a propulsé cet acteur au sommet du classement des volumes de messages APT. TA416, un acteur APT aligné sur l’État chinois, a été l’un des plus actifs. En particulier, de nouvelles campagnes importantes menées par TA416 ont coïncidé avec le début de la guerre entre la Russie et l’Ukraine, ciblant des entités diplomatiques européennes impliquées dans les services d’aide aux réfugiés et aux migrants.

 

Télécharger le rapport Human Factor 2023 : https://www.proofpoint.com/fr/resources/threat-reports/human-factor

 

###

 

À propos de Proofpoint, Inc.

 

Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risques des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris plus de la moitié des entreprises de l’index Fortune 1000, font confiance à Proofpoint pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les emails, le cloud, les réseaux sociaux et le Web. Pour plus d’informations, rendez-vous sur www.proofpoint.com/fr.   

Restez en contact avec Proofpoint : Twitter |  LinkedIn |  Facebook |  YouTube   

Proofpoint est une marque déposée ou un nom commercial de Proofpoint, Inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques commerciales contenues dans ce document sont la propriété de leurs détenteurs respectifs