Archives de catégorie : Analyses

Les menaces 2015-2020 selon Intel

Intel Labs, parmi d’autres éditeurs de sécurité, a dressé un panorama des menaces les plus probables pour les années 2015-2020. Il fait aussi l’exercice critique de voir si les prévisions précédentes se sont révélées juste ou non.

Les grandes lignes

Sans grande surprise, Intel prédit l’augmentation des usages et donc de la surface d’attaque. Sachant qu’on laisse désormais un nombre incalculable de traces et d’informations personnelles derrière nous, on comprend bien que cela devient un enjeu pour les pirates ou les attaquants : la donnée a de la valeur. Et plus elle est personnelle, plus elle en a.

Du côté des attaquants, la mafia cybercriminelle est désormais une réalité, mais de plus en plus d’États chercheront à utiliser l’informatique comme une arme (pour nuire ou pour collecter de l’information). Les individus, eux aussi, utiliseront de plus en plus cette arme, à des fins politiques, ou pour tout domaine conflictuel (vie personnelle, voisinage, etc.).

La propagation des modes opératoires est aussi une réalité : des attaques se basant sur des mécanismes très pointus, secrets, finissent par tomber dans une sorte de domaine public, ce qui les rendent accessibles et utilisables par n’importe qui.

Attaques cachées, attaques sans fichier

Sans surprise, Intel prédit des attaques de plus en plus difficiles à détecter avec les moyens actuels. Les attaques sans fichier (donc potentiellement sans trace) sont des attaques d’injection, d’écoute, au niveau des protocoles, du BIOS, des shells, etc. VNC, RDP, WMI et PowerShell seront des cibles, où les identifiants et mots de passe seront particulièrement recherchés. Une bonne mesure pour réduire le risque est d’utiliser un second facteur d’authentification de type OTP (One-Time Password).

On pourrait aussi voir des attaques insidieuses : une première attaque visible, de type troyen ou botnet, et une autre beaucoup mieux dissimulée passant sous les radars des outils ou des professionnels de sécurité examinant l’objet infecté et focalisés sur la première…

Virtualisation

La virtualisation implique souvent la séparation des différentes couches habituellement rassemblées sur un ensemble de machines (ressources) restreint. Cela pose au moins deux problèmes :

  1. La responsabilité de la sécurité est alors diluée entre les différentes couches, souvent confiées à des acteurs distincts (infrastructures, services applicatifs, application, etc.) ;
  2. La virtualisation a amené la virtualisation de la gestion du réseau (NFV, Network Function Virtualization) : gage d’efficacité et de souplesse, cette gestion repose souvent sur des outils open source, n’imposant pas de délai entre la découverte d’une faille et sa divulgation. Par ailleurs, cette technologie n’a pas le niveau de maturité de la gestion physique des réseaux informatiques.

A côté de cela, l’usage de conteneurs explose : la faible maturité ainsi que le concept même de ces conteneurs induit de nouveaux risques de sécurité (un peu de la même façon que la virtualisation).

Les nouveaux terminaux

L’internet des objets n’en est qu’à son début. Pour l’instant, la seule préoccupation des industriels est d’occuper le marché, d’être présent, et de proposer des objets et des usages nouveaux. La très forte hétérogénéité rend la sécurisation complexe, quand elle est prise en compte, ce qui est rarement une priorité. Sans compter que ces objets collectent souvent des données personnelles (ou dont l’agrégation ou la corrélation les rend personnelles) qui, afin de pouvoir être accessible de partout, sont souvent stockées et traitées dans un cloud, lui-même souvent sous-sécurisé.

Tous les composants des réseaux utilisés à des fins domestiques sont susceptibles de devenir les cibles des futurs pirates, qui pourront collecter une quantité énorme de données ou perpétrer des attaques via ces réseaux. Installer un équipement électronique à la maison nécessitera bientôt l’expertise d’un professionnel de la sécurité…

Les menaces latentes

Plusieurs menaces sont déjà présentes aujourd’hui (par exemple dans les smartphones) et ne sont pas prises en compte par la sécurité, pour la raison simple qu’elles n’intéressent pas encore les pirates. Traduction : il n’y a pas encore de rentabilité économique pour utiliser certaines failles et faiblesses présentes sur nos téléphones. Il n’en sera pas forcément de même dans le futur.

La réponse

De façon très intéressante, Intel fournit des pistes sur lesquelles la sécurité informatique doit s’engager pour répondre à ce nouveau paysage.
La liste des tâches du secteur de la sécurité :

  • Analyse comportementale, pour détecter les activités anormales ;
  • Partage de la cyberveille sur les menaces, pour assurer une protection plus performante, plus rapidement ;
  • Sécurité intégrée dans le cloud, pour améliorer la visibilité et le contrôle ;
  • Détection et correction automatisées, pour protéger davantage d’appareils avec un nombre réduit de professionnels

de la sécurité.

Je note pour ma part le très grand intérêt (voire de l’enthousiasme) d’Intel pour l’analyse comportementale :

« L’analyse comportementale est la prochaine arme stratégique de l’arsenal du secteur de la sécurité ».

En résumé

« Comme pour toute entreprise, la motivation finale des opérations cybercriminelles est de générer du profit. […] Tant qu’il y aura des éléments numériques de valeur, il y aura des cybercriminels ».

Source

2017

Quels sont les événements marquants (en sécurité de l’information) en 2017 ?

Pour le NCA (National Crime Agency) britannique1:

  • L’impact des ransomwares ;
  • Le volume des fuites de données, comme celle d’Equifax ;
  • La multiplication des attaques sur les chaines de production industrielles ;
  • Les actions de manipulation d’opinion publique à grande échelle, comme lors des élections américaines.

Pour l’ANSSI, les grandes tendances2 sont  :

  • Déstabilisation des processus démocratiques
  • Déstabilisation de l’ordre économique ;
  • Sophistication des modes opératoires ;
  • Caractère indirect et non discriminant des attaques ;
  • Résurgence d’effets destructeurs (destructions de données, voire d’infrastructures industrielles).

Son rapport d’activité est visible ici.

Côté NTT : https://www.nttsecurity.com/docs/librariesprovider3/resources/gbl-ntt-security-2018-gtir-summary-uea.pdf