Revenir aux actualités
Illustration de l'actualité

Bilan de la CyberSécurité 2015 et prévisions 2016

5/04/2016
ON-X dresse son panorama de la CyberSécurité en 2015 et propose ses prévisions pour 2016.
 
L'état de la cybercriminalité en 2015
L’année 2015 a démontré que la cybercriminalité fut plus présente que jamais. Des PME aux gouvernements, de nombreux organismes ont été attaqués et des chiffres record en termes de perte de données personnelles ont été atteints. Si nous devions retenir une double leçon de l’année 2015, ce serait que la donnée personnelle a une valeur extrêmement importante et qu’aucune organisation n’est immunisée face à une menace orchestrée par des professionnels organisés.
Sur la scène internationale, on pourra notamment citer l’entreprise italienne Hacking Team et ses 400 Go[1] de données volées puis dévoilées sur Internet. Par ailleurs, les compromissions du site Internet Ashley Madison[2] (37 millions de données personnelles volées) et de l’entreprise américaine dans le domaine médical Anthem[3] (80 millions de données personnelles) ont été très médiatisées.
En France, nous retiendrons principalement l’attaque de TV5Monde[4] qui aura, entre autre, empêché la chaîne de se produire pendant une semaine ainsi que l’#OpFrance[5] faisant suite aux évènements marquants de Charlie Hebdo et qui avait pour but de compromettre de nombreux sites français (25 000 ciblés).
Les modes opératoires commencent très généralement par une campagne de spear fishing (l’utilisation de documents Office contenant des macros malveillantes reste l’option de choix pour compromettre les cibles) accompagnée de social engineering afin de s’infiltrer dans le réseau de l’organisation ciblée. Dridex[6] en particulier, la suite du code malveillant tristement célèbre Cridex (basé sur ZeuS), fut largement utilisé à ces fins. Plusieurs campagnes de SPAM ont été observées pendant plusieurs semaines. A l’ouverture des pièces-jointes le code malveillant se met en action, par l’activation des macros présentes dans le document, et vole les données bancaires présentes sur l’ordinateur de la victime. On note aussi, qu’en plus du ransomware (cryptolocker notamment), des groupes cyber criminels tels que DD4B ont menacé d’utiliser des attaques de types DDoS contre des entreprises si celles-ci ne payaient pas la somme demandée. Ces attaquent sont une menace sérieuse pour de nombreuses entreprises conduisant à d’importantes pertes de chiffre d’affaire (100 000 euros par heure pour certaines). D’autre part, la menace interne reste toujours aussi sérieuse et compliquée à détecter.
Du point de vue médiatique, la cybercriminalité a aussi beaucoup évolué. Les conférences importantes, telles que RSA et la Black Hat ou encore le SSTIC et les Assises de la sécurité en France, ont été plus populaires que les années précédentes. Les grands scandales de 2015 ont été très médiatisés sur la toile, ce qui montre que l’auditoire est lui aussi plus important.

Les attaques et démonstrations d’exploitation de failles de sécurité les plus marquantes cette année.
L’année 2015, aura surtout été marquée par les attaques citées précédemment contrairement à 2014 où des failles de sécurité d’envergure avaient été découvertes (Shellshock par exemple). Mais l’année 2015 aura également connu de nouvelles vulnérabilités dans l’implémentation du protocole SSL/TLS, après Poodle et Heartbleed, les vulnérabilités FREAK (CVE-2015-0204) et LogJam[7] (CVE-2015-4000) exploitables via une attaque de type Man-In-the-Middle permettent à l’attaquant de décrypter les communications entre le client et le serveur. Outre les vulnérabilités récurrentes affectant Microsoft et Adobe, une nouvelle vulnérabilité étonnante affectant les barrettes de RAM a été découverte : Rowhammer[8]. Celle-ci permettrait à un attaquant d’élever ses privilèges via une modification de bits mémoire.
Côté mobile, deux codes malveillants ont été particulièrement marquants. Le premier, Stagefright[9], affectait Android et permettait à un attaquant de récupérer des informations personnelles, d’écouter le microphone ou encore de lire les e-mails. L’attaquant avait seulement besoin d’envoyer un MMS piégé activable sans que celui-ci n’ait besoin d’être lu par l’utilisateur. Du côté d’iOS, XcodeGhost[10] fut le code malveillant marquant en 2015. Celui-ci infectait les applications de l’App Store puis collectait les données personnelles des appareils infectés.

Et l'avenir alors ?
Avec l’augmentation constante des appareils connectés, nous pouvons nous attendre à de nouvelles menaces touchant ce secteur en particulier. Dans la continuité de 2015, les smartphones en particulier seront sûrement une cible de choix pour 2016 avec de nouvelles menaces du type Stagefright où le but serait de récupérer des données personnelles. En particulier, l’obtention de certaines données (emails, logs whatsapp, facebook…) pourrait être utilisée à des fins d’extorsions à l’image d’un cryptolocker.
Une sérieuse question se pose quant à la possibilité pour de nombreux pays de se protéger des cyber-attaques, en particulier celles qui visent les OIV. A l’image de Stuxnet (code malveillant conçu par les Etats-Unis et Israël) en 2010 qui avait permis de retarder le programme nucléaire Iranien et étant donné l’augmentation du nombre de pays développant l’énergie nucléaire, ces menaces ont de grandes chances de faire l’actualité en 2016. D’autant plus que plusieurs rapports[11] indiquent la fragilité des centrales nucléaires et semblent montrer qu’après tout, les installations nucléaires ne sont pas mieux protégées que les autres infrastructures.
De nouvelles vulnérabilités visant les navigateurs Internet est aussi à prévoir. Etant donné le temps moyen passé par semaine par personne sur ceux-ci, il ne serait pas étonnant de voir de nouveaux exploits apparaître. Le dernier navigateur de Microsoft (Edge) a déjà démontré une certaine fragilité et la réputation d’Adobe en termes de sécurité n’est plus à faire. En ajoutant le fait que plusieurs versions d’Internet Explorer ne sont plus supportées et continueront pourtant d’être utilisées dans de nombreuses entreprises, on peut craindre que Microsoft sera encore une cible privilégiée pour 2016.
Le troisième secteur ciblé concerne le cloud et autres infrastructures virtualisées. Etant donné les vulnérabilités récurrentes découvertes en 2015 (comme VENOM[12]), il est aussi cohérent de s’attendre à de nouvelles vulnérabilités et exploitations en 2016, allant encore plus loin, avec comme objectif final la sortie de l’environnement virtualisé (VM escape).
Le développement des automobiles connectées et les vulnérabilités découvertes l’année dernière (Chrysler[13]) laissent penser que de nouvelles attaques pourraient voir le jour cette année. La surface d’attaque y est en effet de plus en plus importante (Wifi, Bluetooth, GPS, Internet) avec des enjeux majeurs étant donné les répercussions possibles.
Pour finir, il n’est pas à exclure la découverte de nouvelles vulnérabilités dans le protocole SSL/TLS et ses nombreuses implémentations au cœur de la sécurité de nos réseaux.