En 2017, les pirates vont continuer à exploiter la nature humaine pour inciter les utilisateurs à installer des logiciels malveillants, leur transférer des fonds et se faire dérober des informations. Nous observerons des changements significatifs de technique et de comportement au travers des trois principaux vecteurs visant les personnes : le courrier électronique, les réseaux sociaux et les applis mobiles.
Baisse du volume des menaces avancées
En 2016, de nouvelles campagnes d'e-mails diffusant le ransomware Locky semblaient survenir chaque semaine, d'ampleur toujours supérieure d'une semaine à l'autre. Ces campagnes mondiales ciblaient des centaines de millions de victimes potentielles et étaient certaines de voir quelques milliers de messages au moins atteindre leurs cibles malgré les faibles taux d'exécution. Ce faisant, elles ont toutefois aussi accru les risques de détection par les chercheurs et fournisseurs de solutions de sécurité, alors à même d'étudier leurs nouvelles techniques et charges utiles. Malgré l'incorporation de techniques de filtrage toujours plus élaborées pour masquer ces campagnes, les auteurs des kits d'exploit ont également compris que l'échelle induisait autant de risques que de profits.
Dans nos prévisions pour 2017, notre slogan sera « small will be the new big », ou littéralement en français « le petit sera le nouveau gros », car les pirates diffuseront à nouveau leurs charges utiles malveillantes à travers des campagnes à moins grande échelle mais mieux ciblées. Les campagnes d'e-mail de grande ampleur vont se poursuivre mais seront réservées aux charges utiles ‘commodes’, par exemple aux fichiers exécutables compressés (y compris JavaScript) qui propagent des variantes de ransomware prêtes à l'emploi, tandis que les campagnes de moindre envergure, plus ciblées, gagneront en nombre et en complexité. Les kits d'exploit vont poursuivre leur évolution récente, c'est-à-dire continuer à plus petite échelle et exploiter la géolocalisation pour se concentrer sur les régions dans lesquelles leurs activités ont moins de chance d'être surveillées par les chercheurs et les fournisseurs.
Épuisement des macros malveillantes
L'année dernière, nous avions prévu que les campagnes de macros malveillantes de forte envergure de 2015 disparaîtraient avant mi-2016. Cette prédiction s'est réalisée au sens large : lors des campagnes massives qui ont suivi la panne du botnet Necurs au mois de juin, les campagnes JavaScript et autres pièces jointes compressées exécutables propageant Locky (appuyé par les auteurs de Dridex) ont largement remplacé les documents joints contenant des macros malveillantes. Malgré tout, la propagation de macros malveillantes s'est poursuivie dans des campagnes de moindre ampleur, plus ciblées, propageant des chevaux de Troie bancaires comme Dridex, Ursnif, Vawtrak et, dans la dernière partie de 2016, une multitude de différentes charges utiles, allant des enregistreurs de frappe et des outils d'administration à distance (RAT) aux programmes de téléchargement et de vol d'informations. L'innovation continue déployée pour échapper aux sandbox a redonné vie à ces attaques par macro, mais selon nous, avant le mois d'avril 2017, ces mesures elles-mêmes ne suffiront plus à assurer le retour sur investissement de ces campagnes. Les attaques à base de fichiers JavaScript (js, wsf, hta, vbs) compressés vont se poursuivre, mais resteront au même faible niveau que les fichiers compressés exécutables. En parallèle, les cybercriminels vont continuer à améliorer et à développer à plus grande échelle l'automatisation des campagnes de harponnage ‘personnalisées’, en rendant leurs messages plus crédibles grâce à la multiplication des détails d'identification personnelle. Il est peu probable que les attaques par documents à base d'exploits regagnent en importance (voir la section suivante). Par contre, les pirates vont mettre encore davantage l'accent sur l'ingénierie sociale (ou piratage psychologique) et en faire le pilier de la chaîne d'infection. Ils vont inciter les utilisateurs à cliquer sur des fichiers exécutables intégrés aux documents et les amener insidieusement à installer des charges utiles malveillantes déguisées en applications légitimes transmises sous forme de pièces jointes, sous forme de liens conduisant à des services légitimes d'hébergement et de partage de fichiers, ou encore en imitant certains comportements Windows auxquels les utilisateurs sont habitués.
Les kits d'exploit vont céder la place aux ‘kits humains’
Comme leur nom l'indique, les kits d'exploit découlent de la présence d'exploits efficaces et fiables, capables de cibler les ordinateurs des victimes potentielles. De ce point de vue, la baisse régulière du nombre total de vulnérabilités identifiées ces quelques dernières années et, plus important encore, du nombre d'exploits publiés pour les cibler, met en péril le business model des cybercriminels avec ce type de kits d'outils. Comme les nouvelles vulnérabilités exploitables se font de plus en plus rares, et étant donné que les organisations et les utilisateurs appliquent davantage les correctifs, que la sécurité des navigateurs et des systèmes d'exploitation a été améliorée, et que les pirates doivent combiner plusieurs exploits en chaîne, la disparition des kits d'exploit en 2016 peut être considérée, du moins en partie, comme une reconnaissance par les pirates de cette nouvelle réalité : l'efficacité des exploits est plus limitée dans le temps et, en tant que vecteur de propagation des logiciels malveillants, leur fiabilité a nettement diminué. Une même prise de conscience a déjà eu lieu en 2015 pour la messagerie, lorsque les attaques d'ingénierie sociale, qui prenaient la forme de documents joints avec macros malveillantes, ont largement remplacé les exploits associés à des fichiers PDF et Office.
En 2017, nous prévoyons une évolution similaire pour les kits d'exploit, avec une approche de plus en plus axée sur l'ingénierie sociale : les groupes complexes (et notamment ceux qui utilisent les kits d'exploit et la publicité malveillante) vont peu à peu abandonner les exploits et redoubler d'efforts pour leurrer les individus. Les kits d'exploit vont se transformer en ‘kits humains’ et les nombreuses techniques destinées à piéger les utilisateurs et à contaminer leur machine avec une charge utile malveillante vont se multiplier, appâter les utilisateurs via la publicité malveillante ou les « pièges à clic », ou encore par le biais d'e-mails personnalisés plutôt convaincants, tels que ceux observés dans les campagnes d'e-mails « personnalisées » que nous avons connues en 2016. Les kits d'exploit ne vont pas disparaître pour autant ; ils vont par contre devenir plus ciblés, en visant les clients situés dans les régions qui appliquent généralement moins vite les correctifs et où la surveillance exercée par les chercheurs est moins intensive. Les auteurs de nouveaux kits d'exploit introduiront sur le marché des fonctionnalités qui leur permettront d'exploiter au mieux les vulnérabilités existantes, quelles aient été identifiées ou soient encore inédites (attaques dites Zero Day).
Les attaques BEC vont poursuivre leur évolution et les pertes massives vont continuer !
Depuis mi-2015, le piratage de la messagerie en entreprise (BEC, Business Email Compromise) constitue une menace sérieuse pour les organisations, et a généré plus de 3 milliards de dollars de pertes selon les dernières estimations. De façon générale, les pertes dues aux attaques BEC vont augmenter, et ce malgré le recul des incidents indivuels de pertes BEC massives du fait des améliorations apportées aux processus métiers et aux contrôles financiers dans les plus grandes organisations. Dans les grandes entreprises, en renforçant les contrôles régissant les transferts de fonds, les modifications apportées aux processus vont éliminer presque totalement les pertes individuelles impressionnantes subies en 2015 et 2016. Malheureusement, ces changements ne seront pas universels et, en-dehors des environnements des grandes entreprises d'Amérique du Nord et d'Europe, certaines personnes pourront encore effectuer de tels transferts. Dans les régions où les contrôles ont été renforcés, les petites et moyennes entreprises resteront exposées à ces attaques, et leur part dans les pertes globales va augmenter. Par ailleurs, nous verrons encore quelques variantes saisonnières d'attaques BEC semblables aux campagnes de « Demande de formulaire fiscal » qui ont marqué le début de l'année 2016, mais celles-ci resteront relativement peu fréquentes.
Automatisation complète du phishing Angler
L'année dernière, le phishing dit Angler s'est à la fois étendu, en nombre de cibles, et aggravé, du fait des techniques d'ingénierie sociale adoptées. Ces attaques n'ont toutefois pas encore atteint les niveaux d'automatisation observés dans les kits d'exploit et de phishing : en 2016, les erreurs de copier-coller et les fautes de grammaire et d'orthographe sont toujours présentes dans les messages, de même que les marques mal orthographiées et autres bévues courantes, signes incontestables d'un travail manuel. En 2017, les pirates vont selon nous améliorer leurs techniques d'attaque en implémentant l'automatisation et un certain niveau de traitement du langage naturel (NLP). Parallèlement à cette automatisation accrue, nous devrions observer une augmentation du nombre de marques ciblées et du nombre de victimes potentielles par campagne. Les pirates ont déjà démontré leur capacité à exploiter les lancements de produit, périodes propices à de nombreux échanges sur les réseaux sociaux, pour introduire leurs propres campagnes. Nous pensons que ces stratégies vont se multiplier en 2017 grâce à des ressources plus flexibles.
Rythme plus soutenu et créativité illimitée des attaques via les réseaux sociaux
La croissance massive des réseaux sociaux a ouvert la voie à celle, tout aussi rapide, des attaques observées sur ces plateformes, combinée à l'évolution simultanée des attaques exploitant ces réseaux comme vecteur. Comme le retour sur investissement de ces attaques est bien plus élevé, leur taux de croissance devrait selon nous augmenter en 2017. Pour l'année 2017, nous prévoyons notamment les évolutions suivantes :
- Les escroqueries et opérations de phishing sur les réseaux sociaux vont plus que doubler.
- Le spam via réseaux sociaux va augmenter de plus de 500 %.
- La fraude et la contrefaçon via de faux comptes de réseaux sociaux vont connaître une hausse notable.
- Les techniques d'escroquerie intégrées exploitant les comptes de réseaux sociaux, les fausses applis mobiles, les sites Web frauduleux et les e-mails d'imposteurs vont progresser significativement.
La plateforme Snapchat va notamment se retrouver en ligne de mire en 2017. Snapchat est devenue l'une des plateformes sociales et de communication les plus à la mode mais, jusqu'à présent, elle n'a pas encore été la cible unique d'attaques majeures. Pour 2017, nous prévoyons soit le lancement réussi d'un certain nombre de campagnes majeures, soit l'identification d'une faille de sécurité majeure dans la plateforme elle-même, avec mise à disposition du code de la démonstration de faisabilité (POC).
Il est par ailleurs plus que probable que les plateformes de paiement fassent également l'objet d'attaques plus soutenues en 2017. Les plateformes de réseaux sociaux actuelles deviennent de plus en plus sophistiquées, et la plupart (comme Facebook, Wechat, Line, etc.) ont lancé leur propre service de paiement. Avec ces services, le volume de transactions augmente à mesure que l'écosystème gagne en fonctionnalités sur chaque plateforme. En 2017, cet écosystème favorable et le volume de transactions vont attirer l'attention des pirates, et du point de vue des vulnérabilités et de l'ingénierie sociale, les plateformes de paiement sont arrivées à maturité et sont prêtes pour les attaques ciblées.
Menaces visant les mobiles : le génie est sorti de la lampe !
En ce qui concerne les menaces qui pèsent sur les appareils mobiles, 2016 a été une année marquante. En effet, les risques inhérents aux clones malveillants d'applis populaires, à l'utilisation accrue du chargement latéral (sideloading) pour propager des applis non autorisées et à la mise à disposition d'outils pour cibler les appareils mobiles ont clairement montré que ces derniers (et leurs utilisateurs) sont tout aussi vulnérables aux attaques que les PC, voire davantage puisque ces risques ne sont pas encore bien évalués. En 2017, les attaques inédites (Zero-Day), comme le kit d'attaque des appareils mobiles Pegasus et les vulnérabilités « Trident » associées, ne seront plus réservées aux pirates commandités par certains États pour viser des dissidents et vont commencer à cibler les entreprises et les particuliers. Via ces attaques et d'autres outils, les cybercriminels vont de plus en plus exploiter les SMS et les systèmes iMessage pour diffuser des URL malveillantes, voire des attaques Zero Day. Ces attaques seront à la fois de grande ampleur, par exemple le phishing des mots de passe des comptes et des cartes bancaires, et ciblées, notamment celles visant les employés et les cadres supérieurs. En parallèle, la famille des applis malveillantes et risquées va s'agrandir et accueillir des applis frauduleuses, c'est-à-dire celles que les utilisateurs installent, poussés par ingénierie sociale, mais qui ne proviennent pas de la société prétendument annoncée. Ces applis sont conçues pour contaminer les appareils mobiles ou plus simplement pour rapporter de l'argent en exploitant une marque légitime pour piéger les utilisateurs et les inciter à sortir leur carte bancaire pour des achats frauduleux ou à cliquer sur des publicités malhonnêtes.
Les attaques commanditées par des États voyous vont gagner en nombre et dépasser le cadre du piratage et des violations de données !
Le nouveau gouvernement américain laisse bien des incertitudes quant à la politique qui sera décidée en matière de commerce ou de défense. Les élections qui doivent encore avoir lieu en France et dans d'autres pays européens sont également une source d'incertitude comparable. En conséquence, nous prévoyons pour 2017 une résurgence du piratage informatique commandité par des États, et en particulier des intrusions furtives élaborées (ou encore menaces persistantes avancées (APT)) visant toutes les branches de l'administration américaine depuis un large éventail de pays, et notamment de nouvelles actions commanditées par l'État chinois jusque-là relativement calme. Comme l'a montré la campagne du 9 novembre dernier, le courrier électronique reste le principal vecteur d'attaque des particuliers et des organisations susceptibles d'avoir accès à des renseignements permettant aux pays étrangers de mieux comprendre et d'anticiper les politiques et les programmes des nouvelles administrations américaines et européennes pour les négociations diplomatiques et commerciales. De plus, la nature même des attaques informatiques commanditées par des États va radicalement changer pour s'étendre bien au-delà du vol d'informations classées "Secret défense" et de l'espionnage industriel. Face à l'efficacité du doxing (fait de révéler des informations confidentielles sur une personne), du vol de données, des révélations gênantes et de la désinformation déjà tangible dans certains pays, un plus grand nombre de gouvernements vont s'efforcer d'utiliser les attaques informatiques pour voler des informations et exploiter les réseaux sociaux et les médias pour semer la discorde et perturber les États susceptibles de nuire à leurs intérêts. Dans le royaume des réseaux sociaux, certains États-voyous ont commandité des trolls pour cibler leurs dissidents et opposants, une pratique déjà bien connue en Europe centrale et de l'Est, et qui s'est également manifestée aux États-Unis pendant la campagne électorale. En 2017, ces pratiques vont être employées à plus grande échelle et de manière plus agressive par divers acteurs institutionnels afin d'influencer le débat et les politiques publiques.