Salutations depuis le Darknet de "Petya", "WannaCry" et autres
Le nombre de tentatives de cyber-attaques telles que "Petya/NotPetya", "WannaCry", les piratages et les attaques DDoS augmente chaque jour - avec des dommages difficilement quantifiables pour les entreprises concernées. Aujourd'hui, les entreprises doivent partir du principe que leurs systèmes sont déjà infiltrés - ou qu'elles seront prochainement victimes d'une attaque. Il est donc crucial de reconnaître les infiltrations, d'y réagir rapidement et d'optimiser le dispositif de sécurité en conséquence.
Texte : Mathias Fuchs, InfoGuard AG, images : InfoGuard AG
L'actualité est remplie de rapports sur les attaques de pirates informatiques. Si l'on considère uniquement le top 15 des cybermenaces de l'ENISA, on trouve des manifestations telles que les attaques de logiciels malveillants, le phishing, les réseaux de bots, le cyberespionnage, le vol d'identité, les attaques d'initiés ainsi que le spam, le vol d'appareils et l'extorsion en ligne (ransomware), par exemple "Petya" ou "NotPetya" et "WannaCry". Mais 2017 est aussi entrée dans les annales de la cybersécurité comme "l'année des attaques DDoS". Et il y a quelques jours, une gigantesque attaque par déni de service a de nouveau fait parler d'elle.
La porte du darknet
La numérisation croissante et l'interconnexion de plus en plus dense grâce à l'Internet des objets offrent en permanence de nouvelles surfaces d'attaque aux pirates. Aujourd'hui, près de 400 000 nouveaux programmes malveillants apparaissent chaque jour, soit près de cinq par seconde ! Cette évolution montre clairement que les pirates ne sont généralement pas des individus isolés. La cybercriminalité est désormais organisée de manière professionnelle. Internet est devenu un champ de bataille numérique. Un champ de bataille sur lequel les données sont volées de manière de plus en plus professionnelle. Le Darknet y contribue également de manière déterminante. Et on y trouve de tout : des drogues et des armes aux faux passeports, en passant par les tueurs à gages, les informations confidentielles ou les pirates informatiques. Ces derniers utilisent le Darknet pour faire le commerce de kits d'exploitation, de ransomware et d'informations volées. Mais les groupes de pirates informatiques étatiques s'attaquent aussi de plus en plus souvent non seulement à d'autres organisations étatiques, mais aussi à des entreprises privées - et tout cela, en utilisant des moyens presque illimités.
Pour accéder au Darknet, il faut un navigateur Tor spécial, mais téléchargeable par tous, qui sert en quelque sorte de bouclier numérique et crypte les chemins. En principe, il permet de surfer exactement de la même manière qu'avec les navigateurs courants. La différence : il permet d'accéder à des sites de commerce illégal ou à des forums spécifiques sans laisser de traces. Pour accéder anonymement aux services du darknet, il faut généralement disposer d'informations d'accès telles que login et mot de passe. En outre, il faut parfois résoudre des tâches ou déchiffrer une énigme. Le pendant de Google sur le darknet s'appelle "Grams". Grâce à ce moteur de recherche et au logiciel correspondant, il est possible de "googler" sur le darknet avec le service caché. Toutefois, il faut absolument utiliser le navigateur Tor afin de préserver la sphère privée.
Vendre des exploits n'est pas illégal, mais lucratif
Dans la plupart des cyberattaques, les criminels exploitent des vulnérabilités de sécurité, par exemple des plug-ins de navigateur obsolètes (Flash, Java, Silverlight) ou d'anciennes versions de navigateur. Les attaques sont très sournoises, perfides et peuvent tromper même les utilisateurs les plus vigilants. Le terme "exploit" désigne l'utilisation d'un bug logiciel pour contourner une ou plusieurs barrières de sécurité existantes. On parle d'exploits du jour zéro lorsque les pirates exploitent une faille encore largement inconnue pour laquelle aucun correctif n'est encore disponible. Pour diffuser des logiciels malveillants, les cybercriminels utilisent ce que l'on appelle des kits d'exploitation. Il s'agit de kits d'outils préemballés contenant des pages Web ou des logiciels malveillants que les criminels peuvent acheter, licencier ou louer afin de faire circuler des logiciels malveillants.
Au lieu de trouver eux-mêmes comment préparer un site web pour infecter les visiteurs, les pirates s'appuient sur un code d'attaque préétabli dans le kit d'exploitation. Celui-ci teste une série de failles de sécurité connues dans l'espoir qu'une fonctionne. Outre les kits d'exploitation qui utilisent Internet comme voie de transmission, il existe également une série de kits d'exploitation similaires pour les campagnes d'e-mail et de phishing. Dans ce cas, l'attaquant envoie une pièce jointe à des utilisateurs qui ne se doutent de rien et qui, dans le meilleur des cas, l'ouvrent et installent ainsi le logiciel malveillant.
Les murs de sécurité (TIC) ne suffisent pas
Il devient donc de plus en plus difficile de protéger les réseaux et les actifs de l'entreprise, en particulier contre les attaques sophistiquées qui ne sont pas détectées par les systèmes de sécurité traditionnels. Les entreprises doivent donc aujourd'hui partir du principe que leurs systèmes sont déjà infiltrés - ou qu'ils seront prochainement victimes d'une attaque. Les entreprises doivent repenser leur cybersécurité et ne pas compter uniquement sur des murs de sécurité TIC (toujours) plus élevés. La tendance est clairement à l'intensification de la surveillance des systèmes de sécurité et à la détection des incidents, comme le recommande le cadre de cybersécurité du NIST. De nouvelles approches de la sécurité sont nécessaires, dans lesquelles la détection est au premier plan et la réaction aux attaques est un élément essentiel des processus informatiques. Pour cela, il faut un centre de cyberdéfense (CDC). Ainsi, la prévention peut être ciblée et
s'améliorer continuellement.
Un CDC est le point de convergence de toutes les activités de détection, d'analyse et de défense contre les cyber-attaques. Il faut pour cela des experts expérimentés disposant d'un savoir-faire étendu, des outils de sécurité et, surtout, une salle d'opération physiquement protégée avec les postes de travail nécessaires.
La détection d'attaques ou d'infiltrations nécessite des outils et des spécialistes informatiques appropriés, mais les analystes en cybermenaces et en renseignements ainsi que les experts en sécurité sont encore plus importants. Mais c'est justement là que se situe le problème suivant : le manque global de professionnels de la cybersécurité bien formés. La cyberdéfense est un travail exigeant - qui va bien au-delà des mesures de sécurité des TIC. Et comme les attaques se produisent 24 heures sur 24, un CDC doit bien sûr aussi fonctionner 7 jours sur 7, 24 heures sur 24.
Cela augmente bien sûr encore les besoins en personnel. Les systèmes d'auto-apprentissage et les solutions basées sur l'intelligence artificielle peuvent y remédier dans une certaine mesure. Il faut en profiter, d'autant plus que l'on peut s'attendre à d'autres progrès dans ce domaine, qui rendront un CDC encore plus efficace.
|
|
