Des attaques toujours plus ciblées, et visant des intermédiaires
Verizon Enterprise Solutions vient de publier l’édition 2015 de son rapport annuel sur les menaces informatiques, basé sur l’examen de près de 80 000 incidents de sécurité, dont plus de 2000 compromissions de données confirmées.
Une victime intermédiaire, permettant d’attaque la véritable cible. Cela fut le cas de RSA, en 2011. Selon Verizon Enterprise Solutions (ES), c’est le cas des victimes de 70 % des attaques dont la finalité a pu être découverte. Mais, surprise, « la majorité de ces attaques n’étaient pas des campagnes d’espionnage (heureusement) » : il s’agissait simplement de compromettre des serveurs et de les mettre à profit pour lancer des attaques en déni de service, ou encore héberger des logiciels malveillants ou animer des campagnes de hameçonnage.
Cette pratique a bien progressé en 2014, représentant plus de 20 % des attaques étudiées par Verizon ES. Et cela n’ira pas sans poser encore bien des difficultés aux RSSI. Car 23 % des destinataires de ces pourriels piégés ouvrent les messages. Et 11 % cliquent sur la pièce jointe.
RSSI, une position peu enviable
Après, sans surprise, les outils d’extraction de données en mémoire vive – utilisés notamment pour les attaques de systèmes d’encaissement – ont représenté à peu près la même part de ces opérations, derrière les vols d’identifiants – plus de 40 %. Les logiciels espions et autres enregistreurs de frappes au clavier n’ont en revanche plus trop la cote : ils n’ont été observés que dans 5 % des incidents étudiés par l’entreprise l’an passé.
Mais la position des RSSI s’avère plus que jamais inconfortable. Selon Verizon ES, « la part de compromissions découvertes en l’espace de jours continue d’être inférieure à celle de compromissions réalisées en l’espace de jours » et, pire encore, les deux tendances divergents, mettant en évidence « un déficit de détection » croissant : « nous pensons que cela souligne l’un des principaux défis de l’industrie de la sécurité ».
Et justement, pour aller plus loin, les auteurs du rapport se sont penchés sur d’autres données, celles partagées par 15 communautés au sein de plateforme ThreatConnect, et les ont croisées avec celles de RiskAnalytics, fournisseur de services associé à l’assureur AIG. Et certains résultats sont inquiétants.
Une propagation rapide
Ainsi, il apparaît que 75 % des attaques se propagent de la victime initiale à la suivante en moins de 24 heures. Surtout, plus de 40 % de ces opérations atteignent la cible suivante en moins d’une heure. Comme le relève Verizon ES, « cela met un peu de pression sur nous, en tant que communauté, pour collecter, normaliser et distribuer des renseignements basés sur ces indicateurs [de compromission] très rapidement afin de maximiser notre préparation collective ».
D’autres indicateurs plaident en faveur d’une réaction très rapide pour ce qui toujours aux attaques « d’une nature plus opportuniste, de grand volume, et volatile » plutôt que celles plus ciblées, potentiellement plus lentes et plus discrètes. Presqu’une bonne nouvelle…
Mais elle est présentée aux côtés d’une autre, beaucoup moins bonne : il y a peu de temps pour réagir aux campagnes par hameçonnage. De fait, près 50 % des utilisateurs visés ouvrent les e-mails malveillants et cliquent sur les liens qu’ils contiennent durant la première heure après réception. Le temps moyen avant le premier clic est d’une minute 22 secondes. De quoi souligner l’importance des capacités de filtrage du courrier électronique, mais aussi et encore, de « développer et exécuter un programme complet de sensibilisation ». De quoi créer un « réseau de capteurs humains qui sont plus efficaces pour détecter des attaques par hameçonnage que presque toute technologie », selon Lance Spitzner, directeur de la formation pour programme SANS Securing The Human.
Des pratiques à revoir
Mais il y a un domaine qui relève des pratiques non pas des utilisateurs, mais des administrteurs : l’application des mises à jour et la correction des vulnérabilités. Récemment, HP relevait que les menaces bien connues font encore trop de dégâts. Les experts de Verizon ES ne diront pas le contraire. En gros, pour eux, « les pirates sont à la fête comme si nous étions encore en 1999 ». Dès lors, « tout programme de gestion des vulnérabilités devrait inclure une vaste couverture » des anciennes vulnérabilités.
Un point qui apparaît donc considérablement plus important que celui de la protection contre les logiciels malveillants mobiles, pourtant l’objet de communications si fréquentes des éditeurs. Pour Verizon ES, la situation est simple : les terminaux mobiles ne sont pas un vecteur de choix dans les compromissions de données. Ce qui ne signifie pas que les terminaux mobiles ne sont pas cible de cybercriminels… Et en la matière, une plateforme se distingue largement, reportant sans concurrence la palme de la plateforme la plus visée : Android. Au point que « l’essentiel de l’activité suspicieuse enregistrée sur des appareils iOS n’était que des tentatives infructueuses d’atteindre des terminaux iOS ».
Reste que… seulement 0,03 des smartphones seraient infectés chaque semaine par un logiciel malveillant « de haut niveau », en moyenne. Un chiffre que les experts considèrent comme « négligeable ». D’autant plus que les logiciels malveillants mobiles ont une durée limité : moins d’un mois en moyenne. Pas question, donc, d’ignorer la menace. Mais « les acteurs malveillants utilisent tout un éventail d’autres méthodes pour infiltrer nos systèmes et nous devrions définir les priorités pour nos ressources en nous concentrant sur les méthodes qu’ils utilisent aujourd’hui ».
Des coûts impressionnants
Mais si les pratiques et parfois les priorités méritent d’être adaptées, peut-être que les coûts s’avèreront éloquents. Certains incidents récents ont jeté une lumière crue sur le sujet. Verizon ES donne des estimations. Selon les auteurs, il faudrait s’attendre à supporter un coût de près de 180 000 $ pour la perte de 10 000 enregistrements… et jusqu’à près de 9 M$ pour 100 millions d’entre eux.
Mais de quoi est-ce le coût ? En ce concentrant sur les incidents ayant effectivement conduit à une compromission de données, dans près de 30 % des cas, il s’agit d’intrusions sur des systèmes d’encaissement. Les logiciels malveillants sont impliqués dans 18,8 % des cas ; le cyberespionnage, dans 18 % ; l’utilisation inappropriée en interne, dans près de 11 % des cas ; les attaques d’applications Web, 9,4 % ; les erreurs pas si anodines, 8,1 % ; la perte ou le vol d’équipements, 3,3 % ; et les dénis de service 0,1 %.
Mais qui craindre alors ? Les activistes semblent se concentrer sur les applications Web et les dénis de service, quand le crime organisé vise mise sur l’utilisation de logiciels malveillants. Le cyberespionnage apparaît quant à lui comme une affaire d’états.
Mais les logiciels malveillants menacent en fait principalement les organisations du secteur de l’éducation, des services financiers et du secteur public. Les entreprises du secteur hospitalier doivent de leur côté s’inquiéter principalement de la sécurité de terminaux de paiement. Et il en va de même pour les acteurs du monde de la vente de détail, et des loisirs. Les acteurs du secteur des services financiers doivent également faire attention à leurs applications Web. Et ce ne sont que quelques uns des exemples développés par Verizon ES.
Mais les auteurs les utilisent pour produire des recommandations avec notamment une liste de contrôles de sécurité à déployer en priorité en fonction de leur lien avec des incidents de sécurité. Et de souligner que bon nombre d’entre eux s’avèrent être des quick win, des projets apportant des retours concrets rapidement. Et cela commence, sans trop de surprise, par la correction des vulnérabilités sur les applications Web, ou encore le blocage de compte utilisateur après plusieurs échecs d’authentification, et le filtrage des pièces jointes du courrier électronique.