Saison des vœux oblige, les éditeurs de sécurité nous souhaitent une année 2020 pleine de malwares et de problèmes de sécurité. Plusieurs sociétés nous font part de leurs prévisions.
Selon CheckPoint
CheckPoint a fait l’exercice (fin 2019) pour envisager ce que pourraient être les attaques de 2020. Difficile et périlleux, mais ils ont une approche intéressante : rapprocher les évolutions technologiques en cours (ou attendues) et les menaces afférentes. Logique, puisque le crime suit l’usage !
C’est la guerre
Déjà largement entamée depuis quelques temps, la cyberguerre va s’amplifier et le théâtre des opérations va de plus en plus se situer sur internet ou dans les systèmes informatiques. Et il en s’agira pas d’une guerre douce mais d’une guerre de destruction logique voire physique : la composante cyber sera utilisée en réponse à d’autres attaques mais aussi pour montrer ses gros bras, pour faire peur…
Outre l’aspect régalien des conflits, les infrastructures seront elles aussi encore plus la cible des attaques « civiles », bien que souvent il est difficile de différencier une attaque provenant de la cybercriminalité ordinaire d’une attaque sponsorisée, voire commanditée, par un état : il est souvent plus judicieux d’agir à couvert afin de pouvoir lever un écran de fumée.
Dans le même esprit, les tentatives d’influence vont continuer, et probablement s’accroître en étendue, en sophistication et en intensité. Le cas des élections américaines de 2016 n’était sans doute qu’un début. Petit rappel : les prochaines élections auront lieu en… 2020.
Très logiquement encore, il en découle que le personnel sensible des hautes administrations, les hautes administrations elles-mêmes ou les entreprises d’importance vitale seront aussi de plus en plus attaqués.
Modèle économique
On a vu également en 2019 les attaques (notamment de ransomwares) se concentrer vers des cibles plus rentables : administrations, hôpitaux, etc. Plutôt que de se disperser et de dépenser des ressources inutilement, les cybercriminels vont aller au plus direct : des organisations mal protégées mais dont la compromission du SI peut être fatale. Au point qu’il sera peut-être plus rentable et plus rapide de payer la rançon que de remettre en marche son système d’information. De quoi faire cogiter le FBI et les assureurs sur la démarche la plus pragmatique, d’autant que 2019 a vu doubler le nombre d’entreprises payant les rançons !
Menaces
On le dit depuis longtemps : l’internet des objets est une catastrophe annoncée pour la sécurité et la vie privée. Les Google Home, Amazon Alexa et consœurs risquent vite de se transformer en espions ! Et je ne parle pas des voitures ou des serrures connectées, des systèmes de surveillance publics ou privés, des drones, etc.
Pour ce qui en est des utilisateurs, il ne suffira plus de surveiller ses mails : tous les réseaux sociaux seront utilisés pour tromper notre vigilance.
Et encore ?
Le rapport mentionne également le cloud, pour les entreprises : son emprise risque de perturber grand nombre d’organisations mal préparée à son adoption, car comme tout choix technologiques ses avantages s’accompagnement nécessairement de contreparties trop souvent négligées.
Pour ce qui est de l’explosion des données, de leur usage dans l’intelligence artificielle et de l’impact de tout cela dans la vie privée, j’ai peur qu’il ne faille être très inquiet et que la vie privée ne soit un concept en voie de disparition.
Source
Selon Avast
Avast prévoit l’émergence des tendances suivantes :
- La sophistication des escroqueries par courriel, ce qui n’est pas très étonnant vu l’écart entre ce qu’il est possible de faire et la qualité globalement encore faible des campagnes actuelles. Or quelqu’un cherchant vraiment à cibler quelqu’un avec un mail peut le faire de façon à être presque indétectable ;
- Des menaces sur les mobiles, avec des fausses publicités, de fausses applications (bien que le niveau de vigilance sur les stores officiels augmente, ce qui n’empêche pas la moindre faille de susciter l’intérêt des pirates, comme la CVE-201-2215) ;
- L’internet des objets sera une cible de choix, mais de ce côté-là, la seule interrogation qu’on peut avoir c’est « quand », car vu le niveau actuel déplorable de la sécurité des objets connectés, leur détournement en masse n’est qu’une question de temps ;
- Enfin puisqu’il faut parler d’intelligence artificielle, Avast parie que ses progrès permettront de mieux protéger les données privées, ce en quoi je ne suis pas convaincu (je pense même le contraire).
Sources
- https://blog.avast.com/fr/avast-releases-2020-threat-landscape-report
- https://cdn2.hubspot.net/hubfs/486579/web-documents/2020_cybersecurity_predictions.pdf
Selon Trend Micro
Chez eux, je ne vois pas grand chose de nouveau, à part que les deep fakes vont s’intensifier. Sinon ils nous disent que les cybercriminels vont s’attaquer… aux services qu’on utilise : MSP, chaîne logistique, stockage cloud. Rien que de très prévisible, mais cela conforte la tendance.
Sources
- https://www.trendmicro.com/vinfo/fr/security/research-and-analysis/predictions/2020
- http://www.perspectivesmed.ma/cybersecurite-trend-micro-prevoit-une-croissance-des-risques-lies-au-cloud-et-a-la-chaine-logistique/
Selon Sophos
Ils voient les ransomwares continuer à être une menace majeure pour 2020. Tout comme d’autres éditeurs, les fuites de données à partir du cloud sont aussi à redouter, surtout en raison d’erreurs de configuration.
Point intéressant : comme l’intelligence artificielle est de plus en plus utilisée dans la détection des menaces, il faut s’attendre à ce que les attaquants cherchent à la contourner ou à la duper. Avis perso : les criminels utiliseront probablement aussi l’IA (d’une façon ou d’une autre) pour mener leurs attaques.
Enfin, sans surprise, la 5G va induire de nouvelles menaces, surtout qu’elle risque d’être le canal de communication privilégié des objets connectés…
Sources
- https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf
- https://www.globalsecuritymag.fr/Sophos-releases-2020-cyber-threat,20191223,94150.html
Selon Kaspersky
Kaspersky mentionne un point que d’autres non pas du tout évoqué : les false flags, ou l’art de brouiller l’écoute les pistes, comme utiliser des mots-clés d’une APT pour détourner l’attention de son attaque, voire la réutilisation de code. Objectif : rendre l’attribution plus difficile, voire masquer (au moins temporairement) l’action réelle de l’attaque.
Sans surprise, ils ont également noté le glissement des attaques de ransomwares vers des cibles plus rentables. Les attaques contre les infrastructures (et non plus seulement les postes utilisateurs) vont augmenter (merci au cloud).
Sinon la sophistication des menaces (par exemple via les mails mais aussi via l’utilisation de 0-day, d’infection d’UEFI, etc.) sera de mise. Les mobiles continueront d’être ciblés puisqu’ils devancent en usage les PC fixes.
Plus original : ils pointent les risques liés aux fuites de données, l’usage grandissant de la biométrie (et des fuites associées, donc) et des deep fakes, désormais à la portée de n’importe qui.
Enfin, Kaspersky est le seul éditeur a s’inquiéter de l’impact de la DSP2, avec l’ouverture obligatoire de leur système d’information à des acteurs tiers dont la fiabilité ne peut pas être maîtrisée par les banques.
Sources
- https://securelist.com/advanced-threat-predictions-for-2020/95055/
- https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2019/11/20151759/KSB2019_APT-predictions-2020_web.pdf
Selon MacAfee
Bizarrement, leur rapport (qui date de décembre 2019) a disparu de leur site (erreur 404 !) : il faut fouiller un peu pour le trouver. Néanmoins, voici les grandes lignes :
- Ils conjecturent des attaques sur la biométrie faciale, qui se développe, grâce à la réalisation de fakes de plus en plus vraisemblables pour tromper les systèmes.
- Côté ransomwares, ils prédisent l’attaque « à deux lames » : la 1ère rançon concerne le déchiffrement des fichiers corrompus, et la 2e lame sera la menace de divulgation des données siphonnées par la même occasion soit pour accélérer le paiement de la rançon, soit directement en exploitant les données. Il y a déjà eu des précédents en 2019 et 2020 commence en fanfare… Exemples : ici et ici.
- Sans trop se fouler, ils prédisent de nouvelles réglementations sur la confidentialité et la vie privée : en effet, la Californie a emboîté le pas au RGPD, et ça ne rigole pas…
- Enfin, point intéressant, ils pointent la sécurité des API qui sera un enjeu majeur des années à venir, leur usage étant en train d’exploser.