Eric Charpentier, cofondateur de BlueBearsIT, accueille Benjamin Mercusot, Responsable Avant-Vente Cybersécurité chez Sophos, pour discuter des principales menaces liées à la cybersécurité en 2022 et celles auxquelles nous ferons face en 2023.
Cet échange, basé sur le rapport annuel publié par Sophos, analyse les tendances actuelles et émergentes en matière de cybersécurité. Nos deux experts reviennent sur les points les plus saillants de ce rapport et les bonnes pratiques à adopter pour se prémunir des attaques des cyberpirates.
2022 : Une année marquée par le conflit Ukraine-Russie
Sophos met en évidence l’impact du conflit entre l’Ukraine et la Russie sur la cybersécurité. Les groupes de cybercriminels, autrefois unis, se scindent et de nouveaux groupes apparaissent. Les attaques initiales étaient basées sur des fraudes d’ingénierie sociale exploitant des failles et des exploits obsolètes. Cette situation a entraîné l’apparition de sites de collecte de dons frauduleux. En outre, le groupe Imotep a exploité la supposée désinformation et la censure des médias pour mener une attaque en envoyant des documents contenant de fausses informations. Ces documents contenaient un arsenal d’exploitation de la faille CVE-2021-44-444, qui permettait d’exécuter du code à distance sur différents systèmes Windows.
Développement de l’économie des malwares
Les attaques menées dans le cadre du conflit ne sont pas les seules à être préoccupantes. En effet, l’économie des malwares a évolué et est devenue un secteur d’activité professionnel établi. Les groupes spécialisés proposent des services connexes et des processus opérationnels similaires à ceux des groupes informatiques « as-a-service ». Grâce à ces derniers, il est possible d’obtenir un arsenal complet d’attaques à la demande, même pour les novices. De plus, ces groupes permettent la vente d’accès à un ensemble de systèmes compromis, d’identifiants et d’autres informations.
Le modèle « Crime-as-a-service »
Comme évoqué précédemment, les groupes se professionnalisent. Ces cybercriminels développent des programmes pour exploiter les vulnérabilités des systèmes, puis les vendent à des tiers qui les utilisent pour compromettre d’autres systèmes. Ensuite, ces tiers revendent les résultats de leurs attaques. Ce modèle est appelé « Crime-as-a-Service ». Cette économie de la cyberattaque permet à des groupes spécialisés de proposer une gamme complète d’attaques à la demande. Dans cette optique, Benjamin Mercusot a identifié trois événements récents qui ont marqué l’actualité :
- L’attaque de Lockbit 3.0 qui a mis à disposition de tous sur des pages publiques, des informations exfiltrées illégalement. Ils proposaient aux victimes d’acquérir leurs informations volées mais parallèlement n’importe quel concurrent payant le montant d’achat fixé pouvait acquérir ces informations.
- L’attaque de Lockbit sur Thales : Le groupe de cybercriminels s’est vanté de la compromission de l’entreprise Thales et de l’exfiltration de données. Cette annonce a eu pour conséquence la chute du cours de l’action de l’entreprise. Or, lorsqu’ils ont publié les données, ces dernières se sont avérées anecdotiques. En effet, les informations exfiltrées ne provenaient pas de Thales mais de l’un de ses sous-traitants.
- Bug Bounty : On assite au développement de campagne de recrutement de type bug bounty. Le bug bounty est un programme lancé par une entreprise ou une organisation pour inciter des personnes extérieures à signaler les vulnérabilités et les failles de sécurité dans leur système informatique ou leurs applications en échange d’une récompense financière.
Le modèle « Crime-as-a-service » inclut l’utilisation d’intelligence artificielle pour corréler les informations collectées, des services de marketing vantant leurs actions, des campagnes de recrutement et même des attaques de type vishing.
Les attaques de type vishing
Le vishing consiste à tromper les gens pour obtenir des informations confidentielles en utilisant la voix. Les attaquants se font passer pour des représentants d’entreprises ou d’organisations de confiance, comme une banque, une compagnie d’assurance ou un fournisseur de services de paiement. Les appelants persuadent souvent les victimes d’effectuer des paiements ou de fournir des informations sensibles en utilisant des techniques telles que la fausse urgence, la menace ou l’offre d’un gain.
Afin de se protéger contre le vishing, il est crucial de vérifier l’identité de l’appelant en demandant son nom et son numéro d’identification. Il est également important de confirmer que l’appel est légitime en appelant l’entreprise ou l’organisation. En aucun cas, il ne faut fournir des informations sensibles telles que des mots de passe ou des numéros de carte de crédit à moins d’être certain que l’appel est légitime.
Comment se protéger et mettre en place une sécurité proactive ?
Pour répondre à cette question, Benjamin Mercusot se base sur un rapport de l’ANSSI. Il met en avant six points principaux :
- Comprendre que tout le monde sera touché un jour ou l’autre par des attaques cybercriminelles.
- Gérer les sauvegardes en respectant la loi 3-2-1.
- Mettre en place un mécanisme de protection multicouche avec une vision corrélée, en mettant en œuvre plusieurs niveaux de protection sur les terminaux, en sensibilisant les utilisateurs à l’infrastructure, en faisant de la ségrégation des flux réseau et en instaurant a minima une DMZ.
- Ne jamais payer la rançon
- Se faire aider en cas d’attaque.
- Elaborer un plan de remédiation et de sensibiliser les équipes.
Quelles perspectives ? Quels défis ?
Malheureusement, la cybercriminalité est devenue une activité lucrative. De plus, les criminels s’adaptent vite et les sanctions sont difficiles à appliquer. Certains États, comme la Russie, ont intégré des phases de cyberguerre dans leurs tactiques d’attaques. Cette situation est préoccupante car les attaques peuvent être menées de manière très sophistiquée, ce qui rend leur détection difficile.
Il existe également de nombreux outils qui permettent la compromission ou le détournement. Prenons l’exemple des messageries électroniques. Habituellement utilisées pour communiquer avec les clients, elles sont détournées pour usurper l’identité d’un tiers et obtenir un paiement frauduleux. De plus, les objets connectés, tels que l’Internet des objets (IoT) peuvent être très difficiles à sécuriser. Ces petits périphériques directement connectés à internet sont alors utilisés comme vecteur d’attaque ou un proxy.
Dans ce contexte, la cybersécurité est plus que jamais une priorité. Il est crucial de mettre en place des mesures de sécurité adéquates, telles que l’utilisation de mots de passe forts et la mise à jour régulière des systèmes. En outre, les entreprises doivent investir dans la formation de leur personnel et sensibiliser les utilisateurs aux risques liés à la cybersécurité.
Découvrez nos autres podcasts ici.