Trend Micro - Securing Your Journey to the Cloud

one site fits all

Face aux risques de pertes colossales, il est impératif de se préparer aux cyberattaques

X
  • Rapport de sécurité de TrendLabs pour l'année 2014
  • TÉLÉCHARGER LE PDF (angl.)

2014, ANNUS HORRIBILIS

L'année 2014 a été marquée par des fuites de données record, des failles difficiles à corriger et un véritable boom de l'économie cybercriminelle. Des menaces aux proportions considérables ont coûté des milliards de dollars aux entreprises et aux particuliers en raison de pertes et de vols de des données personnelles.

C'est aussi en 2014 qu'a eu lieu le piratage de Sony Pictures Entertainment Inc. (SPE). Cette attaque, la plus importante jamais subie, s'est soldée par la perte d'environ 100 téraoctets de données. Le manque à gagner pourrait être de 100 millions de dollars. « Sans précédent », « une attaque inédite savamment orchestrée » : c'est dans ces termes que la société Sony Pictures décrit elle-même à ses employés le piratage dont elle a été victime. Cet incident a donné lieu à un véritable battage médiatique et ses conséquences ont été multiples. Le récit fait par la presse de cette attaque semblait digne d'un scénario de Hollywood : la sortie du film « L'Interview qui tue ! » (The Interview) a été annulée par Sony tandis que les employés engageaient des poursuites en recours collectif contre leur société. Autant de détails à ajouter à la longue liste des pertes financières et autres revers économiques dus à une faille de sécurité.

Le piratage de Sony Pictures est un cas d'étude non seulement pour les entreprises mais aussi pour les professionnels de l'informatique. Il révèle l'importance de la détection des intrus sur les réseaux. WIPALL, le programme malveillant utilisé par les pirates, n'est pas particulièrement sophistiqué et une connaissance solide du réseau et de ses anomalies aurait été suffisante pour détecter l'attaque. Les professionnels de l'informatique y verront une preuve supplémentaire du rôle essentiel que joue la défense multicouche personnalisée dans les réseaux de très grande envergure.

Et n'oublions pas que, début 2014, le groupe Target était encore en pleine tourmente après l'attaque dont il avait été victime fin 2013 et qui avait affecté plus de 100 millions de clients. Le piratage de Target marque le début d'un schéma inquiétant d'utilisation des programmes malveillants dans le cadre d'attaques visant les terminaux points de ventes.

Les attaques de PoS (pour Point of Sale, terminaux points de ventes) sont en train de se généraliser : des incidents de sécurité sont rapportés au moins une fois par mois. Ces attaques sont en plein essor car il existe une forte demande pour les données de cartes de crédit volées sur le marché cybercriminel. Les nouvelles variantes des programmes malveillants visant les PoS, telles qu'Alina, s'appuient sur des programmes plus anciens, tels que ceux de la gamme Backoff, qui attaquent la RAM des PoS. Ces nouvelles variantes ont été utilisées dans des attaques perpétrées dans le secteur de la vente au détail, de l'expédition, des voyages et du transport.

 Chronologie des attaques de RAM de PoS et de leurs dommages en 2014

Les attaques de PoS peuvent avoir de lourdes conséquences pour les entreprises ciblées. Mi-2014, avant même le piratage de Sony Pictures, le Ponemon Institute estimait déjà que le coût des fuites de données était en hausse. Le coût moyen de chaque fichier perdu ou volé contenant des informations sensibles ou confidentielles a augmenté de plus de 9 %, passant ainsi de 136 $ en 2013 à 145 $ en 2014.

Toutefois, c'est un problème qui ne concerne pas que le secteur de la distribution. Dans un certain nombre d'incidents impliquant les PoS en 2014, on constate que les cybercriminels se sont détournés de leurs cibles traditionnelles (centres commerciaux et boutiques) pour viser des aéroports, des stations de métro et même des parkings.

Please enable or install Adobe Flash Player.

En outre, de nombreuses attaques de haut vol s'appuient sur l'injection SQL, le cross site scripting (XSS), les interruptions d'authentification et d'autres failles prédominantes des applications Web. Une majorité des utilisateurs numériques restent vulnérables face aux attaques cybercriminelles exploitant les failles de logiciels populaires. Dix-neuf failles critiques ont été détectées en 2014 sur des logiciels largement utilisés (Internet Explorer, Adobe Acrobat/Reader, Adobe Flash et Java).

Il faut également noter qu'un certain nombre de failles difficiles à corriger sont apparues en 2014. Des failles médiatisées, telles que Heartbleed, Shellshock et Poodle, exposent les utilisateurs de logiciels et plateformes open source, jusqu'ici réputés sûrs, à des risques d'attaques de grande envergure.

« On considère généralement qu'un logiciel open source est intrinsèquement plus sûr : comme les réviseurs sont plus nombreux, les failles passent plus difficilement inaperçues. Toutefois, ce n'est pas toujours le cas, comme le prouvent OpenSSL et Bash », explique Pawan Kinger, directeur des laboratoires Trend Micro Deep Security.

Fenêtres d'exposition aux faillesComparaison des fenêtres d'exposition pour des failles de grande envergure rendues publiques en 2014

Les failles des plateformes mobiles sont également un sujet d'inquiétude. L'année dernière, des chercheurs ont découvert la faille FakeID, qui permettait aux applications malveillantes d'imiter des applications légitimes. Cette faille affectait alors environ 82 % des utilisateurs d'Android. De même, tous les systèmes d'exploitation d'Android, à part la version 4.4 (KitKat), présentaient une faille de grande ampleur permettant aux cybercriminels de contourner la Same Origin policy (SOP) d'Android. Cette politique protège les utilisateurs d'Android des attaques de type cross-site scripting (UXSS) capables de voler les données et cookies entrés par des utilisateurs dans des sites légitimes. La faille SOP a depuis été exploitée dans le cadre d'attaques visant des utilisateurs de Facebook.

Si les failles affectant les systèmes Android se sont multipliées, les plateformes iOS ne sont pas en reste. La faille Goto Fail affectant la version 7 d'iOS permettait aux cybercriminels d'espionner des sessions de dispositifs mobiles sur des réseaux partagés.

D'autres faiblesses de systèmes mobiles mettant en danger les transactions bancaires sur dispositifs mobiles ont également été mises au jour. Des attaques comme l'Opération Emmental ont prouvé que l'authentification à deux facteurs par SMS n'était pas suffisante pour se protéger des fraudes. Cette opération spécifique a visé des utilisateurs en Autriche, en Suède, en Suisse et dans d'autres pays européens ainsi qu'au Japon.

Nombre de programmes malveillants ciblant les services bancaires/financiers sur les dispositifs mobiles

Toutes ces failles, associées aux nombreux programmes malveillants, anciens ou nouveaux, aux spams, aux URL malveillants, etc. ont permis aux cybercriminels de s'infiltrer plus facilement dans la vie numérique des internautes. Les pirates s'adaptent en permanence aux comportements des utilisateurs en fonction du contexte social. On a assisté, à l'occasion du pic d'activité des fêtes de fin d'année, à l'apparition de leurres intéressants, utilisés en ingénierie sociale. Le constat est inquiétant : les souches des crypto-ransomwares sont toujours présentes. Elles se répandent dans de nouvelles régions et nombre d'entre elles ne se contentent pas de menaces vaines mais chiffrent véritablement les fichiers. Par exemple, lors d'attaques de ransomware de la zone EMEA (Europe-Moyen-Orient-Afrique), la livraison de paquets a été utilisée en tant que leurre d'ingénierie sociale lors de fêtes de fin d'année pour propager un fichier ZIP contenant un ransomware. Le ransomware CoinVault proposait même de déchiffrer gratuitement un fichier afin de monter aux victimes que les fichiers tenus « en otage » pouvaient bel et bien être déchiffrés contre paiement.

Please enable or install Adobe Flash Player.

Ransomwares, programmes malveillants visant les transactions bancaires, fausses applications : autant de menaces indiquant l'existence d'une véritable économie cybercriminelle, avide de données de particuliers et d'entreprises. Les marchés clandestins, florissant aux quatre coins du monde, sont un lieu où pirates et cybercriminels tirent profit de leurs campagnes et de leurs activités malveillantes en ligne. L'endroit virtuel où ils se réunissent pour acheter et vendre différents produits et services.

On a assisté en 2014 à une évolution, sur les marchés mondiaux, du prix des données personnelles volées. On a pu également constater une grande disparité de ces prix en fonction du marché. Par exemple, au Brésil, les informations de connexion d'un compte en ligne peuvent se monnayer pour seulement 50 $ tandis que leur prix peut atteindre 1 627 $ en Chine.

Please enable or install Adobe Flash Player.

Chaque marché noir présente aussi une spécialité et des services particuliers qui lui sont propres. Le marché noir brésilien est ainsi bien connu pour offrir les meilleurs outils de fraude bancaire, pages de phishing et autres produits et services liés à la fraude. Il propose même des services de formation pour les cybercriminels en herbe. Le marché russe, pour sa part, est célèbre pour les services de paiement à l'installation qui dirigent le trafic vers des sites malveillants. Enfin, le marché chinois vend des attaques de déni de service, des hôtes/botnets compromis et d'autres produits et services, ainsi que des outils d'attaque de dispositifs mobiles (logiciel de spams par SMS, serveurs de SMS et autres).


DES MENACES OMNIPRÉSENTES

Nous sommes les témoins des conséquences désastreuses de l'échec de la sécurisation de nos informations numériques. Un échec qui, en plus de nous coûter du temps et de l'argent, présente de nombreux autres inconvénients. Familiarisez-vous avec les menaces que nous côtoyons aujourd'hui. La sensibilisation est le premier pas vers la protection.

Trend Micro Smart Protection Network™ a bloqué un total de 65 058 972 693, soit plus de 65 milliards de menaces en 2014.


Parmi toutes ces menaces, les trois principales gammes de programmes malveillants étaient SALITY (96 K), DOWNAD (80 K) et GAMARUE (67 K). SALITY est une gamme connue d'infecteurs de fichiers, DOWNAD une gamme de vers pouvant exploiter des failles et modifier des entrées de registre et GAMARUE une gamme de vers dont les variantes sont généralement déposées par d'autres programmes malveillants.

Trois gammes de programmes malveillants aux 3ème et 4ème trimestres 2014

Le nombre total de programmes malveillants Android s'élève aujourd'hui à 4 258 825 (environ 4,3 millions), soit environ le triple de ce qu'il était en 2013 (1,3 million).

Cumul des programmes malveillants Android par trimestre

 Le nombre de programmes malveillants iOS a augmenté de 80 % par rapport à 2013.

Nombre d'échantillons de programmes malveillants iOS

LE COÛT DE LA NÉGLIGENCE

En 2014, les scénarios les plus pessimistes se sont réalisés en raison d'échecs de la sécurisation des informations numériques. Il s'est avéré que certains systèmes globaux reposent sur des fondations précaires : logiciels vulnérables, habitudes informatiques dangereuses, manque d'initiatives anti-cybercrime.

Les particuliers restent pourtant imperturbables. Malgré les incidents de fuites de données qui ont touché le secteur de la distribution et fait les gros titres, l'attitude des particuliers en matière de sécurité n'a pratiquement pas changé. Selon un sondage de la société RSA concernant l'attitude des particuliers vis-à-vis de la sécurité des achats en ligne et des dispositifs mobiles, près de la moitié d'entre eux (45 %) déclarent n'avoir pas changé leur comportement lorsqu'ils utilisent des cartes de crédit ou de débit bien qu'ils soient conscients des incidents ayant touché le secteur de la distribution. Environ 7 participants sur 10 reconnaissent utiliser le même mot de passe pour plusieurs dispositifs ou sites Web.

« Les gens ont tendance à penser que les informations financières sont les informations les plus importantes qu'ils puissent perdre, mais ce n'est pas toujours le cas, déclare Raimund Genes, directeur des technologies chez Trend Micro (CTO). En réalité, la perte de vos informations personnelles pourrait s'avérer plus dangereuse. Je peux changer facilement de carte de crédit, mais, à moins de déménager, je ne peux pas changer d'adresse. Je ne peux pas non plus changer la date de mon anniversaire. Non seulement les données personnelles permettent d'identifier un utilisateur, mais elles sont souvent difficiles, voire impossibles, à modifier. »

Désormais, les grandes entreprises, les établissements publics et autres organismes gérant de grandes quantités de données sont des cibles privilégiées pour les cybercriminels. Face à l'augmentation du coût des fuites de données, les entreprises devraient prendre des mesures pour améliorer grandement leur sécurité numérique.

En milieu d'année, une société multinationale de services professionnels s'est adressée à 500 cadres, experts de sécurité et autres acteurs des secteurs public et privé américains pour connaître leurs « pratiques en matière de sécurité informatique, le paysage actuel des risques et leur stratégie de lutte contre les cybermenaces et agents de menaces en pleine évolution. »

L'étude a confirmé une vérité dérangeante que de nombreux dirigeants préfèrent ignorer : « alors que les incidents de cybersécurité se multiplient et que leurs coûts sont en hausse, les programmes de sécurité mis en place par les entreprises et les autorités américaines ne sont pas à la hauteur des prouesses technologiques dont les cybercriminels sont capables. »

Quelles mesures les entreprises doivent-elles prendre ?

« Il n'existe pas de solution unique pour faire face aux attaques ciblées. Les entreprises doivent s'armer de dispositifs de protection, notamment de détecteurs si nécessaire, et leur personnel informatique doit être suffisamment équipé pour déceler les anomalies sur le réseau et pour réagir en conséquence » déclare Ziv Chang, directeur de la cybersécurité chez Trend Micro.

[Lire : 7 points à inspecter pour découvrir les attaques ciblées sur votre réseau (angl.)]

Les forces du marché sont en pleine évolution en raison des événements de grande envergure de l'année dernière. Aux États-Unis, les coûts en cas de cyberattaque ne devraient plus être supportés par les institutions financières mais par les commerçants. Des réformes en ce sens sont déjà en cours. De nouvelles mesures, telles que les nouvelles normes Europay Mastercard Visa (EMV) et PCI DSS v3.0 doivent également améliorer la protection des systèmes et environnements de paiement en ligne face aux attaques de PoS.

En outre, les répercussions de ces incidents de sécurité influencent directement le comportement des législateurs et des clients vis-à-vis des entreprises. En raison des cyberattaques, les clients de banques et autres institutions financières seraient devenus moins fidèles. Maintenant que l'authentification à deux facteurs est exposée aux risques, les clients exigent des banques qu'elles prennent des mesures de sécurité supplémentaires.

« Avec l'évolution du paysage des menaces, les banques doivent renforcer leurs processus de vérification pour les utilisateurs de services mobiles ou en ligne, et se conformer à la spécification DMARC » (Domain-Based Message Authentication, Reporting and Conformance ; en français : authentification, rapport et conformité des messages à partir du domaine) affirme Tom Kellerman, vice-président chargé de la cybersécurité chez Trend Micro.

En outre, le problème de la fragmentation des systèmes d'exploitation Android continue à provoquer des retards d'application de patchs sur les dispositifs mobiles et allonge ainsi la fenêtre d'exposition pour une majorité d'utilisateurs d'Android.

La sécurité numérique a été au centre de nombreuses discussions en 2014. Les attaques de Sony Pictures ou de plus petits commerçants illustrent à quel point la situation est grave. Peu importe le volume des données que vous détenez, tant qu'elles sont sans protection, elles peuvent faire l'objet d'une attaque cybercriminelle. Le danger est réel et il est temps que les entreprises réagissent.

Étant donné que les systèmes globaux impliquent de nombreux acteurs dangereusement négligents, on peut craindre une sophistication accrue des attaques. Les cybercriminels ne renonceront pas pour autant aux anciennes méthodes. On l'a vu avec l'attaque de Sony qui reposait sur WIPALL, un programme malveillant relativement simple. De nos jours, la sécurité est devenue bien trop importante pour que les particuliers et les entreprises puissent se permettre d'être négligents. Étant donné le coût d'une attaque, la complaisance équivaut à de l'imprudence.

Le gouvernement et le secteur privé sont déjà en train de réagir. Il faut cependant noter qu'il n'existe pas de remède miracle pour neutraliser les menaces. Les particuliers et les entreprises doivent continuer à miser sur un système de défense multicouche personnalisé capable de traiter proactivement les menaces qui pèsent sur des cibles spécifiques.

Rapport de sécurité de TrendLabs pour l'année 2014 : l'année 2014 a vu une recrudescence des vols de données confidentielles aux conséquences désastreuses en termes financiers mais aussi d'image. La gravité des attaques et leurs effets ont révélé une chose : le risque d'être la cible de la prochaine cyberattaque s'est accru.

Il semblerait que le paysage des menaces en 2014 ait été l'un des plus sombres en matière de gravité et d'impact. Les particuliers et les entreprises doivent continuer à miser sur un système de défense multicouche personnalisé capable de traiter proactivement les menaces qui pèsent sur des cibles spécifiques.

2014, ANNUS HORRIBILIS
En savoir plus
2014, ANNUS HORRIBILIS
En savoir plus
L'année 2014 a été marquée par des fuites de données record, des failles difficiles à corriger et un véritable boom de l'économie cybercriminelle.
DES MENACES OMNIPRÉSENTES
En savoir plus
DES MENACES OMNIPRÉSENTES
En savoir plus
Nous sommes les témoins des conséquences désastreuses de l'échec de la sécurisation de nos informations numériques.
LE COÛT DE LA NÉGLIGENCE
En savoir plus
LE COÛT DE LA NÉGLIGENCE
En savoir plus
En 2014, les scénarios les plus pessimistes se sont réalisés en raison d'échecs de la sécurisation des informations numériques.