Plus 100 attaques informatiques par jour en 2013
Selon l’étude annuelle de FireEye sur les menaces avancées, il y a eu quelque 40 000 attaques informatiques l’an passé. Surtout, une bonne partie des attaques avancées persistantes seraient le fait « direct ou indirect » d’Etats-nations.
Ils ne représentent probablement qu’une partie de la menace informatique. Mais les chiffres avancés par FireEye dans son étude annuelle sur les menaces avancées sont tirés directement des activités malicieuses observées sur les réseaux et systèmes de « milliers de clients à travers le monde » Et ils sont déjà impressionnants, montrant que « les infections par logiciels malveillants surviennent à un rythme alarmant dans les entreprises ». L’équipementier indique ainsi avoir, l’an passé, analysé « près de 40 000 attaques informatiques uniques », associé 5 000 d’entre elles à des acteurs spécialistes des attaques persistantes avancées (APT), et notamment « découvert près de 18 000 infections par logiciels malveillants liées aux activités APT ».
Autre enseignement de l’étude de FireEye : les APT n’affichent pas toutes le même niveau de sophistication. Certaines de ces attaques sont ainsi conduites avec des logiciels malveillants largement accessibles, tels que Dark Comet, LV, GhostRAT, et bien sûr le très célèbre Poison Ivy. Au final, l’équipementier n’a découvert que 11 attaques de type zero-day utilisées dans des APT en 2013. Elles exploitaient principalement Java et Internet Explorer. Pour l’équipementier, l’utilisation d’outils aisément accessibles a deux raisons : ils sont très efficaces, tout d’abord, mais aussi susceptibles de ne pas éveiller les soupçons, les « défenseurs pouvant ne pas réaliser que des APT puissent utiliser des logiciels disponibles publiquement ».
Toutefois, les attaquants « trouvent régulièrement des manières créatives d’échapper aux bacs à sable visant à lutter contre les logiciels malveillants ». Et l’an passé, les pirates ont quelque peu délaissé le courrier électronique comme vecteur d’infection, lui préférant le trafic Web malicieux, les techniques de type watering hole progressant sensiblement. Une tendance déjà relevée plus tôt cette année par CrowsStrike.
Ces opérations APT viseraient notamment - pense FireEye - à « voler de la propriété intellectuelle, espionner des communications gouvernementales sensibles, et/ou affecter la sécurité globale de sites liés à la sécurité nationale » des pays visés - en priorité les Etats-Unis, la Corée du Sud, le Royaume-Uni ou encore le Canada et l’Allemagne. Les cibles des attaquants apparaissent être : les gouvernements, les sociétés de services et de conseil, les entreprises technologiques, celles de services financiers, de télécommunications, le secteur de l’enseignement, ou encore ceux de l’aérospatial et de la défense, de la chimie et de l’énergie. Douze secteurs différents ont été visés en France l’an dernier.
Deux éléments viendraient compliquer la lutte contre les cyber-attaques : leur nature internationale, d’une part, mais également le fait que, selon l’équipementier, de nombreuses APT seraient « probablement directement ou indirectement supportées par des Etats-Nations ». De quoi conforter Art Coviello, notamment. Le président exécutif de RSA appelait en effet récemment les états de la terre entière à abandonner des cyber-armes dont « personne ne tire avantage » et peuvent aisément être retournées contre leurs créateurs.
Ironie du sort, les pays plus visés sont aussi ceux qui abritent le plus d’infrastructures de commande et de contrôle avec, en tête, les Etats-Unis (21 %), l’Allemagne (5,6 %), ou encore la Corée du Sud (5,6 %). La France hébergeait ainsi l’an passé 2,7 % des infrastructures de commande et de contrôle détectées par FireEye.