Bulletin de Kaspersky sur la sécurité en 2013. Développement des menaces

L’heure est à nouveau venue de nous pencher sur les événements clés qui ont défrayé la chronique en 2013 au niveau des menaces. Revenons d’abord sur les événements, qui selon nous, allaient marquer l’année à venir en fonction des tendances observées en 2012.

  • Attaques ciblées et cyberespionnage
  • Le développement de l’hacktivisme
  • Les cyberattaques organisées avec l’aval des Etats-nations
  • L’utilisation d’outils de surveillance légaux
  • Nuageux avec un risque de programme malveillant
  • Vulnérabilités et codes d’exploitation
  • Cyberchantage
  • A qui faut-il faire confiance ?
  • Programmes malveillants pour Mac OS
  • Programmes malveillants pour appareils nomades
  • Et ma vie privée ?

Si nous revenons maintenant sur les temps forts de 2013, nous constaterons que nos prévisions n’étaient pas si mauvaises que ça.

Principaux événements de 2013

Nous avons dressé une liste de dix événements qui, selon nous, ont défini l’année 2013 en terme de sécurité informatique.

1. Nouvelles campagnes de cyberespionnage "anciennes"

Vous pourriez vous attendre à ce qu’un compte-rendu des principaux événements de 2013 porte sur des incidents survenus pendant l’année en question. Mais les choses ne sont pas aussi simples que cela lorsqu’on traite d’attaques ciblées. Bien souvent, les origines d’une attaque remontent dans le temps à partir du moment où elles deviennent connues, puis analysées et signalées. Tel avait été le cas de Stuxnet comme vous vous en souviendrez : plus nous l’analysions, plus nous devions reculer sa date d’origine. Il en va de même pour certaines autres  grandes opérations de cyberespionnage que nous avons observées cette année.

La campagne Red October est une campagne de cyberespionnage qui a touché des centaines de victimes à travers le monde, y compris des organisations diplomatiques et gouvernementales, des centres de recherche, des entreprises du secteur énergétique et nucléaire et des organisations spécialisées dans le commerce et l’aérospatiale. La sophistication de ce programme malveillant atteint un niveau très élevé : il comprend notamment un "mode de résurrection" qui lui permet d’infecter à nouveau les ordinateurs. Ce code se caractérise par une modularité très poussée qui permet aux auteurs de l’attaque d’adapter le code à chaque cible en particulier. Il est intéressant de constater que la campagne de Red October ne s’est pas limitée aux terminaux traditionnels pour sa récolte de données. Elle a également été puiser des informations sur les appareils nomades connectés aux réseaux des victimes. Ceci démontre clairement que les cybercriminels ont compris que de nos jours, les appareils nomades constituent un élément clé dans les interactions professionnelles et qu’ils renferment des données de valeur. Nous avions publié les résultats de notre analyse en janvier 2013, mais il est clair que les origines de la campagne remontent à 2008.

 
Répartition géographique des victimes de Red October

Au mois de février, nous avions publié notre analyse consacrée à MiniDuke, un code développé pour voler des données auprès d’agences gouvernementales et d’instituts de recherche. Nous avons ainsi identifié parmi les victimes 59 organisations de haut vol réparties entre 23 pays dont l’Ukraine, la Belgique, le Portugal, la Roumanie, la République tchèque, l’Irlande, la Hongrie et les Etats-Unis. A l’instar de nombreuses autres attaques ciblées, MiniDuke combinait des tactiques d’ingénierie sociale à l’ancienne et des techniques de pointe. Ainsi, ce code contenait le premier code d’exploitation capable de contourner le bac à sable d’Adobe Acrobat Reader. Et ce n’est pas tout : les systèmes d’extrémité compromis recevaient des instructions depuis le centre de commande via des comptes Twitter prédéfinis (et utilisaient les recherches Google comme méthode de secours).

Nous avons eu vent d’une vague d’attaques orchestrées au mois de mars contre des hommes politiques d’envergure et des activistes des droits de l’homme dans les pays de la CEI et d’Europe de l’Est. Les auteurs de l’attaque avaient choisi l’outil d’administration à distance TeamViewer afin de prendre les commandes des ordinateurs des victimes. C’est la raison pour laquelle l’opération fut baptisée "TeamSpy". Ces attaques visaient à récolter des informations sur les ordinateurs compromis. Cette campagne fut une réussite, même si elle ne fut pas aussi sophistiquée que Red October, NetTraveler ou d’autres. Ceci montre que toutes les attaques ciblées qui réussissent n’ont pas besoin de programmer un code à partir de zéro.

NetTraveler (connue également sous le nom de "NetFile") dont nous avions divulgué l’existence en juin est une autre menace qui, au moment de sa découverte, comptait de nombreuses années d’activité (dans ce cas-ci, depuis 2004).

 

Cette campagne avait été mise sur pied pour voler des données relatives à l’exploration spatiale, aux nanotechnologies, à la production énergétique, à l’énergie nucléaire, aux lasers, à la médecine et aux télécommunications. NetTraveler réussit à infecter plus de 350 organisations dans 40 pays dont la Mongolie, la Russie, l’Inde, le Kazakhstan, le Kirghizistan, la Chine, le Tadjikistan, la Corée du Sud, l’Espagne et l’Allemagne. Les cibles œuvraient aussi bien dans le secteur public que privé et regroupaient des organisations gouvernementales, des ambassades, des compagnies pétrolières et gazières, des centres de recherche, des sous-traitants militaires et des activistes.

Si votre organisation n’a jamais été victime d’une attaque, il est aisé de se dire que "cela n’arrive qu’aux autres" ou de penser que tout ce qu’on entend au sujet des programmes malveillants n’est qu’exagération. A lire les titres dans les journaux, on pourrait facilement se dire que les attaques ciblées ne concernent que les grandes organisations. Le fait est que toutes les attaques ne touchent pas exclusivement des cibles de haut vol ou des organisations impliquées dans des projets sur des "infrastructures critiques". Dans la réalité, n’importe quelle organisation peut être victime d’une telle attaque. Toute organisation détient des données qui pourraient avoir de la valeur pour des cybercriminels ou qui pourraient leur permettre d’atteindre d’autres sociétés. Ce point a été largement confirmé par les attaques Winnti et Icefog.

Nous avons publié en avril un rapport sur le groupe de cybercriminels baptisé "Winnti". Ce groupe, actif depuis 2009, se spécialise dans le vol des certificats numériques signés par des éditeurs de logiciels légitimes ainsi que dans le vol de propriété intellectuelle (dont le vol du code source de projets de jeux en ligne). Le cheval de Troie utilisé par ce groupe est une bibliothèque DLL compilée pour les environnements Windows 64 bits. Il utilise un pilote doté de la signature adéquate et fonctionne comme un outil d’administration à distance, parfaitement opérationnel, ce qui permet aux auteurs de l’attaque de maîtriser complètement l’ordinateur compromis. D’après notre enquête, plus de 30 sociétés actives dans le secteur des jeux en ligne ont été victimes de ce groupe. Elles se trouvaient principalement en Asie du Sud-Est, mais des sociétés établies en Allemagne, aux Etats-Unis, au Japon, en Chine, en Russie, au Brésil, au Pérou, en Biélorussie et au Royaume-Uni ont également été touchées. Ce groupe est toujours actif.

Les attaques Icefog, que nous avions dévoilées au mois de septembre (abordées dans la section suivante du présent compte-rendu) portaient principalement sur la chaîne logistique et outre les données sensibles présentes dans les réseaux cibles, elles recherchaient les informations d’identification pour les messagerie et les réseaux de ressources situées en dehors des réseaux pris pour cible.

2. L’émergence des cybermercenaires

A première vue, Icefog ressemble à une attaque ciblée comme toutes les autres. Il s’agit d’une campagne de cyberespionnage active depuis 2011 qui vise principalement la Corée du Sud, Taïwan et le Japon, mais également les Etats-Unis, l’Europe et la Chine. Les auteurs de l’attaque envoient des messages d’harponnage (avec des pièces jointes ou des liens vers des sites malveillants) afin de propager le programme malveillant parmi les victimes. Comme c’est le cas pour toutes ces attaques, il est difficile d’annoncer avec certitude le nombre de victimes, mais nous avons recensé plusieurs dizaines de victimes sous Windows et plus de 350 sous Mac OS X (principalement en Chine).

 

Ceci étant dit, cette attaque présente quelques caractéristiques qui la distinguent des attaques que nous avons déjà évoquées ci-dessus. Tout d’abord, Icefog s’inscrit dans le cadre d’une nouvelle tendance impliquant des attaques de style guérilla organisées par de petits groupes de cybermercenaires. Ensuite, ces attaques visent spécifiquement la chaîne logistique : les victimes potentielles reprennent des institutions gouvernementales, des sous-traitants de la Défense, des groupes maritimes et de construction navale, des opérateurs de télécommunication, des opérateurs de satellites, des sociétés de l’industrie et high-tech et des mass média. Troisièmement, ces campagnes reposent sur des outils de cyberespionnage spécialisés pour Windows et Mac OSX qui commandent directement les ordinateurs compromis. Outre Icefog, nous avons remarqué l’utilisation de portes dérobées et d’autres outils malveillants pour le mouvement latéral au sein de l’organisation ciblées et pour l’extraction des données.

Le groupe chinois baptisé "Hidden Lynx", dont les activités furent signalées par des chercheurs de chez Symantec au mois de septembre appartiennent à cette catégorie de mercenaires qui orchestrent des attaques sur commande à l’aide d’outils personnalisés à la pointe des technologies. C’est ce groupe qui avait été à l’origine d’une attaque contre Bit9, entre autre, au début de l’année.

A l’avenir, nous prévoyons une augmentation du nombre de ces groupes alors qu’un marché clandestin pour les services "APT" va se former.

3. Hacktivisme et fuites

Le vol d’argent, soit en accédant directement à des comptes en banque ou en volant des données confidentielles, n’est pas l’unique motif de ces attaques. Elles sont parfois organisées dans le cadre plus large d’une protestation politique ou sociale ou dans l’unique but de ternir la réputation de la victime. Le fait est qu’Internet est présent dans presque tous les aspects de la vie d’aujourd’hui. Si vous possédez les connaissances adéquates, il peut être plus aisé d’organiser une attaque contre le site Internet d’un gouvernement ou d’une entreprise plutôt que d’organiser et de convoquer une manifestation dans le monde réel.

Parmi les armes de prédilection de ceux qui veulent en découdre de la sorte, nous retrouvons l’attaque par déni de service distribué (DDoS). Une des plus grosses attaques de genre jamais lancée (certains parlent même de LA plus grosse) avait visé Spamhaus en mars. Selon les estimations, cette attaque avait atteint un pic de 300 Gbits/s. Une des organisations soupçonnées de l’avoir lancée s’appelait Cyberbunker. Le conflit entre cette dernière et Spamhaus remonte à 2011 et il a atteint son paroxysme après que Spamhaus avait décidé de placer Cyberbunker sur une liste noire quelques semaines avant l’incident. Le propriétaire de Cyberbunker a rejeté toute responsabilité mais il a toutefois reconnu qu’il agissait en tant que porte-parole des auteurs. Il ne fait aucun doute que cette attaque a été lancée par une personne capable de générer un imposant volume de trafic. Pour faire face à la situation, Spamhaus fut obligé de migrer vers CloudFlare, un fournisseur de service et d’hébergement connu pour sa capacité à désamorcer les grosses attaques de type DDoS. S’il est vrai que le côté dramatique de certains des titres a peut-être exagéré les effets de cet événement, ce dernier a toutefois mis en évidence l’impact que pouvait avoir un individu déterminé.

Alors que l’attaque contre Spamhaus semble n’avoir été qu’un incident isolé, l’hacktivisme de certains groupes actifs depuis un certain temps déjà s’est maintenu. Il s’agit notamment du groupe "Anonymous". Cette année, il a revendiqué les attaques menées contre le ministère de la Justice des Etats-Unis, le Massachusetts Institute of Technology (MIT) et les sites Internet de plusieurs gouvernements dont en Pologne, en Grèce, à Singapour, en Indonésie et en Australie (les deux derniers incidents ont impliqué un échange entre les groupes Anonymous dans leurs pays respectifs). Le groupe affirme également qu’il avait piraté le réseau wi-fi du parlement britannique lors de manifestations organisées sur le Parliament Square au cours de la première semaine du mois de novembre.

Les membres de l’Armée électronique syrienne (partisans du président syrien Bashar-al-Assad) ont également été actifs tout au long de l’année. Ainsi, ils ont revendiqué le piratage du compte Twitter d’Associated Press au mois d’avril  qui s’était soldé par la publication d’un faux tweet annonçant des explosions à la Maison Blanche. Suite à ces informations, le DOW avait perdu 136 milliards de dollars. En juillet, ce groupe compromettait les comptes Gmail de trois employés de la Maison blanche et le compte Twitter de Thomson Reuters.

Il va de soi que notre dépendance des technologies et la puissance phénoménale des ordinateurs d’aujourd’hui nous exposent à des attaques organisées pour les motifs les plus divers. Il est par conséquent improbable que l’hacktivisme ou les attaques contre n’importe quel type d’organisation disparaissent.

4. Ransomware

Les cybercriminels ne font pas toujours dans la dentelle au moment de gagner de l’argent sur le dos de leurs victimes. Les programmes malveillants de la catégorie "ransomware" fonctionnent comme une attaque par déni de service, mais au niveau d’un ordinateur : ils bloquent l’accès au système de fichiers d’un ordinateur ou chiffrent les données stockées sur celui-ci. Le modus operandi varie. Dans les régions où l’utilisation de logiciels piratés est endémique, les chevaux de Troie de la catégorie ransomware peuvent prétendre avoir identifié un logiciel sans licence sur l’ordinateur de la victime et exigent le versement d’une somme déterminée pour débloquer l’ordinateur. Ailleurs, ils affichent une fenêtre contextuelle envoyée par la police qui signale la détection de contenu pédopornographique ou d’autre contenu illégal sur l’ordinateur et qui impose le paiement d’une amende. Dans d’autres cas, aucun subterfuge n’est employé : ces programmes se contentent de chiffrer les données et de signaler à la victime qu’elle doit payer pour pouvoir les récupérer. Tel était le cas du cheval de Troie Cryptolocker que nous avions analysé en octobre.

Cryptolocker télécharge une clé publique RSA depuis son serveur de commande. Une clé unique est créée pour chaque nouvelle victime et seuls les auteurs ont accès aux clés de déchiffrement. Pour établir la connexion au serveur de commande, Cryptolocker utilise un algorithme de génération de noms de domaine capable de produire 1 000 noms de domaine candidat chaque jour. Les cybercriminels octroient un délai de trois jours aux victimes pour réaliser le paiement. Ils renforcent la pression en affichant des messages qui préviennent que le non paiement se traduira par la perte irrémédiable des données. Ils acceptent différents modes de paiement, dont les Bitcoins. Les pays les plus touchés sont le Royaume-Uni et les Etats-Unis suivis de loin par l’Inde, le Canada et l’Australie.

 

Dans ce cas précis, l’élimination du programme malveillant est facile, tout comme la reconstruction de l’ordinateur infecté. Toutefois, le risque existe de perdre les données à tout jamais. Il est déjà arrivé que nous parvenions à déchiffrer les données prises en otage. Mais ce n’est pas toujours possible quand le chiffrement est très robuste, comme c’est le cas pour certaines variantes de Gpcode. Il en va de même pour Cryptolocker. C’est la raison pour laquelle il est primordial de réaliser des sauvegardes régulières. Ce conseil s’applique aussi bien aux particuliers qu’aux entreprises. En cas de perte de données pour une raison quelconque, l’incident se limitera à un inconvénient et ne deviendra pas un désastre.

Cryptolocker n’est pas le seul programme de chantage qui a fait parler de lui cette année. Nous avons repéré en juin une application gratuite pour Android appelée "Free Calls Update". Il s’agit d’un faux logiciel antivirus qui pousse les victimes à payer de l’argent pour supprimer un programme malveillant inexistant sur l’appareil. Une fois installée, l’application tente d’obtenir les privilèges d’administrateur :  elle peut ainsi activer et désactiver les connexions wi-fi et 3G et empêcher l’utilisateur de supprimer tout simplement l’application. Le fichier d’installation est supprimé par la suite afin de prévenir toute détection par n’importe quel logiciel antivirus légitime qui serait installé. L’application fait semblant d’identifier un programme malveillant et invite la victime à acheter une licence afin d’obtenir la version complète du logiciel qui sera capable de supprimer le programme malveillant. Pendant l’analyse, l’application affiche un avertissement sur la tentative de vol de contenu pornographique par un programme malveillant sur le téléphone.

5. Programmes malveillants pour appareils nomades et (in)sécurité des magasins d’applications

La croissance explosive du nombre de programmes malveillants pour appareil nomade amorcée en 2011 s’est poursuivie cette année. On recense actuellement plus de 148 427 modifications de programmes pour appareils nomades réparties entre 777 familles. La majorité d’entre elles, comme c’est le cas ces dernières années, vise Android : 98,05 % des programmes malveillants pour appareils nomades détectés cette année visent cette plateforme. Il n’y a rien d’étonnant à cela. Cette plateforme a tout pour plaire aux cybercriminels :  elle est largement utilisée, le développement d’applications pour Android est aisé et les utilisateurs d’appareils Android peuvent télécharger des applications (y compris des programmes malveillants) depuis n’importe où. Ce dernier élément est important :  les cybercriminels peuvent exploiter le fait que les utilisateurs peuvent télécharger des applications sur Google Play, sur un autre magasin ou sur d’autres sites Internet. Les cybercriminels qui le souhaitent peuvent également créer leur propre site qui imite un magasin légitime. Pour cette raison, il est fort peu probable que le développement de programmes malveillants pour Android ralentisse.

Les programmes malveillants qui ciblent les appareils nomades ressemblent aux programmes malveillants qui touchent les ordinateurs de bureau et les ordinateurs portables : portes dérobées, chevaux de Troie et chevaux de Troie espion. La seule exception est la famille des chevaux de Troie par SMS qui est propre aux smartphones.

La menace ne se développe pas uniquement au niveau du volume. On observe également un approfondissement de la complexité. Au mois de juin, nous avons analysé le cheval de Troie pour appareil nomade le plus sophistiqué que nous ayons jamais rencontré à ce jour. Il s’agissait du cheval de Troie Obad. Cette menace remplit plusieurs fonctions :  elle envoie des messages à des numéros surtaxés, elle télécharge et installe d’autres programmes malveillants, elle se propage à d’autres appareils via Bluetooth et elle exécute des commandes à distance au niveau de la console. Ce cheval de Troie est également très complexe. Ce code est fortement obfusqué et il exploite trois vulnérabilités jamais signalées jusque là. L’une d’entre elles, et non des moindres, permet au cheval de Troie d’obtenir des privilèges étendus d’administrateur de périphérique, mais sans que son nom ne figure dans la liste des programmes qui bénéficient de ces droits. La victime est alors dans l’impossibilité de supprimer simplement le programme malveillant de l’appareil. Elle permet également au cheval de Troie de bloquer l’écran. Cet état ne dure pas plus de 10 secondes, mais cela suffit pour que le cheval de Troie se propage (ainsi que d’autres programmes malveillants) aux appareils proches. Cette astuce vise à empêcher que la victime puisse voir les activités du cheval de Troie.

Obad possède également un large éventail de méthodes de propagation. Nous avons déjà évoqué ci-dessous l’utilisation du protocole Bluetooth. Mais il peut également se propager via un faux magasin Google Play, par SMS non sollicité et à l’aide de redirections depuis des sites compromis. Et comme si cela ne suffisait pas, il peut également être déposé par un autre cheval de Troie pour appareil nomade : Opfake.

Les cybercriminels à l’origine d’Obad peuvent commander le cheval de Troie à l’aide de chaînes prédéfinies contenues dans des SMS. Le cheval de Troie peut réaliser plusieurs actions dont l’envoi d’un SMS, l’exécution d’une commande ping vers une ressource définie, le fonctionnement en tant que serveur proxy, l’ouverture d’une connexion avec une adresse définie, le téléchargement et l’installation d’un fichier défini, l’envoi d’une liste d’applications installées sur l’appareil, l’envoi d’informations sur une application particulière, l’envoi des contacts de la victime au serveur ou l’exécution de commandes indiquées par le serveur.

Le cheval de Troie récolte les données sur l’appareil et les envoie au serveur de commande. Parmi ces données, il y a l’adresse MAC de l’appareil, le nom d’exploitation, l’IMEI, le solde du compte, l’heure locale et l’obtention ou nom des privilèges d’administrateur du périphérique par le cheval de Troie. Toutes ces données sont chargées sur le serveur de commande d’Obad :  le cheval de Troie essaie d’abord la connexion Internet active et si aucune connexion n’est disponible, il recherche une connexion wi-fi à proximité qui n’est pas protégée par un mot de passe.

6. Attaque de type "watering hole" (trou d’eau)

Vous connaissez peut-être les attaques par téléchargement à la dérobée ou le harponnage. Dans le cadre du téléchargement à la dérobée, les cybercriminels recherchent des sites Internet dont la protection est faible et insèrent un script malveillant dans le code HTTP ou PHP d’une de leurs pages. Ce script peut soit installer directement le programme malveillant sur l’ordinateur d’un visiteur du site, soit il peut exploiter un iFRAME pour rediriger la victime vers un site malveillant aux mains des cybercriminels. Le harponnage est quant à lui une forme de phishing qui constitue souvent le point de départ d’une attaque ciblée. Un message électronique est envoyé à un individu précis au sein de l’organisation ciblée dans l’espoir que celui-ci cliquera sur un lien ou ouvrira la pièce jointe qui exécutera le code de l’attaquant et qui permettra à ce dernier de s’implanter dans la société.

Quand le téléchargement à la dérobée et l’harponnage sont combinés, vous obtenez ce qu’on appelle une attaque de type "watering hole" (trou d’eau). Les attaquants étudient le comportement des employés de l’organisation ciblée afin d’en savoir un peu plus sur les sites Internet qu’ils visitent. Ils compromettent ensuite un site que ces employés visitent fréquemment, de préférence un site géré par une organisation de confiance considéré comme une source d’informations fiables. Dans le meilleur des cas, ils utiliseront un exploit 0jour. Dès lors, quand un employé visite une page sur le site, son ordinateur est infecté. En général, l’infection se traduit par l’installation d’un cheval de Troie porte dérobée, qui permettra aux attaquants d’accéder au réseau interne de la société. Au lieu de chasser la victime, le cybercriminel est à l’affût dans un endroit que la victime va plus que probablement visiter, d’où l’analogie avec le trou d’eau.

Cette méthode d’attaque a été particulièrement efficace cette année. Très peu de temps après notre rapport sur les attaques Winnti, nous avons découvert un code d’exploitation pour Flash Player sur un site de soutien aux enfants tibétains réfugiés (la Tibetan Homes Foundation). Ce site avait été compromis afin de diffuser des portes dérobées signées à l’aide de certificats dérobés dans le cadre de l’affaire Winnti. Il s’agissait d’un cas d’école d’attaque de type watering hole : les cybercriminels avaient étudié les sites préférés de leurs victimes et les avaient compromis afin de pouvoir infecter les ordinateurs. Nous avons rencontré à nouveau cette technique en août quand le code du site de l’Administration centrale tibétaine a commencé à rediriger les visiteurs sinophones vers un code d’exploitation java qui déposait une porte dérobée utilisée dans le cadre d’une attaque ciblée.

 

Ensuite, nous avons observé en septembre d’autres attaques de type watering hole menées contre ces groupes dans le cadre de la campagne NetTraveler.

Il est important d’indiquer que les attaques de type "watering hole" ne sont qu’une méthode utilisée parmi d’autres par les cybercriminels et non pas un remplacement du harponnage ou d’autres méthodes. Et les incidents décrits plus haut s’inscrivent dans le cadre d’une vague d’attaques menées contre des sites tibétains et ouïghours depuis au moins deux ans.

Finalement, ces attaques confirment une fois de plus qu’il n’est pas nécessaire d’être une grande entreprise ou une organisation de haut niveau pour devenir la victime d’une attaque ciblée.

7. Nécessité de renforcer le maillon le plus faible de la chaîne de sécurité

La sophistication poussée est une des caractéristiques de nombreuses attaques d’aujourd’hui. Ceci est particulièrement vrai pour les attaques ciblées dans le cadre desquelles les cybercriminels développent des codes d’exploitation qui tireront parti des vulnérabilités dans les applications qui n’ont pas encore été éliminées ou créent des modules personnalisés qui les aident à voler les données des victimes. Ceci étant dit, la première vulnérabilité qui est souvent exploitée par les attaquants est la vulnérabilité humaine. Ils ont recours à l’ingénierie sociale afin d’amener l’employé d’une organisation à réaliser une action qui va mettre la sécurité de l’entreprise en danger. Plusieurs raisons peuvent expliquer pourquoi les victimes tombent dans le piège. Parfois, ils ne se rendent tout simplement pas compte du danger. Parfois, ils sont séduits par la promesse de "recevoir quelque chose pour rien". Parfois, ils prennent des libertés pour se simplifier la vie, par exemple en utilisant le même mot de passe pour tout.

Les nombreuses attaques ciblées d’envergure que nous avons analysées cette année ont ceci en commun : elles ont toutes débuté par une attaque contre le maillon humain. Red October, les attaques contre les activistes tibétains et ouïghours, MiniDuke, NetTraveler et Icefog ont toutes utilisé la technique du harponnage pour mettre un pied dans la porte de l’organisation ciblée. Ils élaborent la prise de contact avec les employés sur la base de données récoltées sur le site d’une société, dans les forums publics et en épluchant les divers éléments d’information que tout le monde laisse sur les réseaux sociaux. Ils peuvent ainsi rédiger des messages électroniques qui semblent légitimes et qui endorment la méfiance des destinataires.

Bien entendu, les individus malintentionnés à l’origine des nombreuses attaques aléatoires et spéculatives qui constituent la grande majorité des activités cybercriminelles (les messages de phishing envoyés à de nombreux consommateurs) adoptent la même démarche.

L’ingénierie sociale peut également être appliquée au niveau physique et cet aspect de la sécurité est parfois ignoré. Nous en voulons pour preuve les tentatives d’installation de commutateurs écran-clavier-souris réalisées cette année dans les succursales de deux banques anglaises. Dans les deux cas, les attaquants se sont fait passer pour des ingénieurs afin de pouvoir pénétrer dans les locaux de la banque et d’installer les éléments nécessaires à la surveillance de l’activité réseau. Nous avons évoqué ces incidents dans cet article et dans celui-ci.

La problématique a également été mise en évidence au mois de septembre par notre collègue David Jacoby :  il a réalisé une petite expérience à Stockholm afin de voir à quel point il serait facile d’accéder aux systèmes d’une entreprise en exploitant la volonté du personnel à venir en aide à un inconnu dans le besoin. Vous pouvez consulter le rapport de David ici.

Malheureusement, les sociétés ignorent souvent la dimension humaine de la sécurité. Même si tout le monde admet qu’il faut sensibiliser le personnel, les méthodes employées à cette fin ne sont pas toujours efficaces. Nous ignorons le facteur humain à nos risques et périls car il ne fait aucun doute que la technologie ne peut pas garantir la sécurité à elle seule. Il est par conséquent important que chaque société intègre la sensibilisation à la sécurité au cœur de sa stratégie de sécurité.

8. Effritement de la vie privée : Lavabit, Silent Circle, NSA et la perte de confiance

Il serait impossible de faire le bilan de la sécurité informatique en 2013 sans évoquer Edward Snowden et les répercussions sur la vie privée qui ont découlé de la publication d’articles sur Prism, XKeyscore et Tempora ainsi que sur d’autres programmes de surveillance.

Un des premiers effets visibles aura peut-être été l’arrêt du service de messagerie chiffré Lavabit. Nous avions écrit un article à ce sujet. Silent Circle, autre fournisseur de messagerie électronique chiffrée, a également pris la décision d’arrêter ses services, ce qui laisse très peu d’options pour des échanges de messages électroniques privés et sûrs. Si ces deux services ont décidé de débrancher leurs serveurs, c’est parce qu’ils étaient dans l’impossibilité de fournir ces services étant donné la pression exercée par les autorités judiciaires et autres organisations gouvernementales.

Un autre incident, qui a des répercussions sur la vie privée, est le sabotage par la NSA des algorithmes de chiffrement à courbe elliptique fournis via NIST. Il semblerait que la NSA ait intégré une sorte de porte dérobée dans l’algorithme générateur de bits aléatoires déterministe à double courbe elliptique (ou Dual EC DRGB). Cette "porte dérobée" pourrait permettre à certaines parties de monter facilement des attaques contre un protocole de chiffrement en particulier et d’intercepter des communications prétendument sécurisées. RSA, un des principaux fournisseurs de chiffrement au monde, avait remarqué que cet algorithme était l’algorithme par défaut dans sa boîte à outils de chiffrement et avait recommandé à ses clients de l’abandonner. L’algorithme en question avait été adopté par le NIST en 2006. Il était disponible et largement utilisé au moins depuis 2004.

Curieusement, un des incidents qui a fait le plus de bruit aujourd’hui des implications directes pour les éditeurs de solutions antivirus. L’opérateur de télécommunications belge Belgacom annonçait en septembre qu’il avait été piraté. Lors d’une enquête de routine, le personnel de Belgacom a identifié un virus inconnu dans plusieurs serveurs et sur les ordinateurs de certains employés. Un peu plus tard, des hypothèses ont été formulées sur l’origine du virus et de l’attaque et tout indiquait une implication du GCHQ et de la NSA. Bien que les représentants du secteur de la sécurité informatique n’ont pas eu accès à des échantillons de ce programme malveillant, des détails ont indiqué que l’attaque avait été organisée via des pages LinkedIn "empoisonnées". Elles avaient été piégées à l’aide de techniques de l’homme du milieu et contenaient des liens vers des serveurs CNE (computer network exploitation).

Toutes ces histoires en rapport avec la surveillance ont également soulevé des questions sur le degré de coopération entre les sociétés spécialisées dans la sécurité et les gouvernements. L’EFF, conjointement avec d’autres groupes, a publié une lettre le 25 octobre dans laquelle plusieurs questions relatives à la détection et au blocage des programmes malveillants développés avec l’aval des Etats ont été posées aux éditeurs de solution de sécurité.

La stratégie adoptée par Kaspersky Lab, en ce qui concerne la détection des programmes malveillants, est très simple et directe : n’importe quelle attaque malveillante, quelle que soit son origine ou sa fonction, sera bloquée et neutralisée. En ce qui nous concerne, il n’existe ni "bon" ni "mauvais" programme malveillant. Notre équipe de chercheurs a joué un rôle actif dans la détection et la divulgation de plusieurs attaques malveillantes orchestrées par des gouvernements et des Etats-nations. En 2012, nous avons publié les résultats d’une recherche approfondie sur Flame et Gauss, deux des plus grandes opérations de surveillance de masse au niveau des Etats-nations connues à ce jour. Nous avons également lancé des avertissements au public sur le risque posé par les outils de surveillance "légitime" tels que DaVinci de HackingTeam et FinFisher de Gamma. Il est primordial que ces outils de surveillance ne tombent pas entre de mauvaises mains et c’est la raison pour laquelle le secteur de la sécurité informatique ne peut faire aucune exception en matière de détection des programmes malveillants. Dans la réalité, il est fort peu probable qu’une organisation gouvernementale compétente demande à un développeur ou un groupe de développeurs de solutions antivirus d’ignorer un programme malveillant inconnu qui possède l’aval d’un Etat-nation. Ce programme malveillant "non détecté" peut facilement se retrouver entre de mauvaises mains et être utilisé contre ses auteurs.

9. Vulnérabilités et codes d’exploitation 0jour

Les cybercriminels n’ont pas relâché leur exploitation massive de vulnérabilités dans des logiciels légitimes afin de lancer des attaques. Ils utilisent pour ce faire des codes d’exploitation. Il s’agit de fragments de code créés pour exploiter une vulnérabilité dans un programme en vue d’installer un programme malveillant sur l’ordinateur d’une victime sans devoir interagir avec celle-ci. Ce code d’exploitation peut se trouver dans une pièce jointe spécialement créée à cet effet ou il peut cibler une vulnérabilité dans un navigateur. Le code d’exploitation permet de charger le programme malveillant que le cybercriminel souhaite installer.

Bien entendu, l’attaquant va exploiter une vulnérabilité connue de lui seul. C’est ce qu’on appelle une vulnérabilité 0jour. Tous les utilisateurs de cette application seront exposés au risque d’infection tant que l’éditeur de l’application en question n’aura pas développé le correctif qui éliminera la faille. Mais dans de nombreux cas, les cybercriminels parviennent à exploiter des vulnérabilités bien connues pour lesquelles un correctif a déjà été diffusé. Il en est ainsi pour plusieurs des grandes attaques ciblées de 2013, dont Red October, MiniDuke, TeamSpy et NetTraveler. C’est également le cas pour un bon nombre des attaques aléatoires qui représentent la majorité de la cybercriminalité.

Les cybercriminels se concentrent sur des applications très répandues et qui sont susceptibles de rester le plus longtemps sans correctif, ce qui leurs laissent une grande plage de temps pendant laquelle ils peuvent atteindre leurs objectifs. En 2013, les vulnérabilités Java représentaient 90,52 % des attaques, tandis que celles pour Adobe Acrobat Reader représentaient 2,01 %. Il s’agit d’une tendance établie qui n’a rien de surprenant. Non seulement Java est installé sur un nombre considérable d’ordinateurs (3 milliards selon Oracle), mais ses mises à jour ne sont pas installées automatiquement. Adobe Reader est toujours exploité par les cybercriminels, même si le volume de codes d’exploitation pour cette application a fortement diminué au cours des 12 derniers mois suite à la diffusion plus fréquente des correctifs d’Adobe (la diffusion est même devenue automatique).

 

Pour réduire leur exposition aux attaques, les entreprises doivent veiller à utiliser les versions les plus récentes de tous les logiciels installés dans l’entreprise, installer les mises à jour de sécurité dès qu’elles sont disponibles et supprimer les logiciels qui ne représentent plus aucune utilité pour l’organisation. Elles peuvent également réduire les risques en utilisant un scanner de vulnérabilités qui va identifier les applications dépourvues de correctif et en adoptant une solution de protection contre les logiciels malveillants qui va empêcher l’exécution des codes d’exploitation dans les applications sans correctif.

10. Les hauts et les bas des crypto-devises. Comment les bitcoins dirigent le monde

En 2009, un homme appelé Satoshi Nakamoto a publié un article qui allait révolutionner le monde des devises électroniques. Cet article intitulé "Bitcoin: A Peer-to-Peer Electronic Cash System” définissait les bases d’un système de paiement financier distribué et décentralisé sans frais de transactions. Le système Bitcoin fut mis en œuvre et les gens ont commencé à l’utiliser. Qui ? Au début, il s’agissait principalement de passionnés et de mathématiciens. Ils furent rejoints ensuite par d’autres profils, principalement des individus ordinaires, mais également des cybercriminels et des terroristes.

En janvier 2013, un bitcoin valait 13 dollars américains. Alors que le nombre de services qui adoptaient les bitcoins en tant que mode de paiement augmentait, le cours du bitcoin a décollé. Le 9 avril 2013, le bitcoin a atteint 260 dollars américains (son cours moyen se situait à 214 dollars américains) avant de s’effondrer le lendemain dans la mesure où les entités riches en bitcoins avaient commencé à les échanger pour des vrais devises.

 
Cours Bitcoin/USD sur Mt.Gox, 2013

En novembre 2013, le bitcoin a à nouveau commencé à se renforcer et a dépasser la barre des 400 dollars américains. Il est en route vers les 450 dollars, voire plus.

Qu’est-ce qui explique la popularité des Bitcoins ? Tout d’abord, ils constituent un mode de paiement sûr et presque anonyme. Suite aux différents scandales de surveillances de 2013, il n’est pas très étonnant que le public recherche des modes de paiement alternatif. Ensuite, il est clair que cette devise est également appréciée des cybercriminels toujours à la recherche de méthodes pour échapper à la justice.

En mai, nous évoquions dans un article que des cybercriminels brésiliens essayaient de se présenter comme des maisons de change de Bitcoin. Des réseaux de zombies d’extraction de bitcoins ont également vu le jour, ainsi que des programmes malveillants conçus pour voler le contenu des portefeuilles de bitcoins.

Le vendredi 25 octobre, une opération menée conjointement par le FBI et la DEA entraînait la fermeture du tristement célèbre site Silk Road. Comme on peut le lire dans le communiqué de presse du bureau du Procureur général, "Silk Road était un site caché développé pour permettre à ses utilisateurs d’acheter et de vendre anonymement et hors de portée des autorités judiciaires et policières des substances illicites et autres biens et services interdits." Les paiements étaient réalisés en bitcoins, ce qui permettait aux vendeurs et aux acheteurs de préserver leur anonymat. Le FBI et la DEA ont saisi près de 140 000 bitcoins (équivalent environ à 56 000 dollars américains au cours d’aujourd’hui) chez "Dread Pirate Roberts", l’exploitant de Silk Road. Fondé en 2011, Silk Road fonctionnait via le réseau TOR Onion et avait accumulé près de 9,5 millions de bitcoins en ventes.

S’il ne fait aucun doute que les cybercriminels adorent les bitcoins, il existe un nombre important d’autres utilisateurs qui n’ont aucune intention malveillante. Alors que les bitcoins deviennent de plus en plus populaires, il sera intéressant de voir si les gouvernements vont sévir sur les échanges afin de mettre un terme à leur utilisation illicite.

Si vous détenez des bitcoins, le problème le plus pressant est peut-être de savoir comment les protéger. Vous trouverez quelques conseils dans ce billet de nos collègues Stefan Tanase et Serge Lozhkin.

Conclusions et prévisions : 2014, année de la confiance

Nous avions qualifié l’année 2011 d’explosive ! Nous avions également prédit que l’année 2012 serait révélatrice et que 2013 allait nous ouvrir les yeux.

En effet, certaines des révélations de 2013 ont débouché sur une prise de conscience et ont soulevé des questions sur notre rapport à Internet à l’heure actuelle ainsi que sur les types de risque auxquels nous sommes exposés. En 2013, les acteurs à l’origine des menaces avancées ont poursuivi leurs opérations de grande envergure telles que RedOctober et NetTraveler. De nouvelles techniques, comme le watering hole, ont fait leur apparition tandis que les codes d’exploitation 0jour sont toujours aussi populaires auprès de ces acteurs. Nous avons également remarqué l’émergence de cybermercenaires, à savoir des groupes spécialisés dans les menaces persistantes avancées qui se consacrent à des opérations de guérilla. Les hacktivistes ont fait parler d’eux tout au long de l’année et le terme "fuite" a été utilisé à de nombreuses reprises, ce qui va certainement susciter la crainte des administrateurs système. Les cybercriminels ont poursuivi quant à eux le développement de nouvelles méthodes pour voler votre argent ou vos bitcoins ; le ransomware est présent partout. Et enfin, les programmes malveillants pour appareils nomades constituent toujours un sérieux casse-tête pour lequel il n’existe pas de solution simple.

Bien entendu, tout le monde voudrait bien savoir quel va être l’impact de ces histoires sur 2014. Nous estimons qu’en 2014, tout va tourner autour du rétablissement de la confiance.

Le respect de la vie privée sera le sujet numéro 1, avec des hauts et des bas. Le chiffrement va revenir à la mode et nous pensons qu’un nombre incalculable de services proposant de vous mettre à l’abri des regards indiscrets va voir le jour. Le Cloud, l’enfant prodige de ces dernières années, est passé aux oubliettes dans la mesure où le public n’a plus confiance et où les pays réfléchissent plus sérieusement aux conséquences sur la vie privée. En 2014, les marchés financiers vont certainement ressentir les effets des bitcoins alors que des sommes astronomiques vont être injectées dans le système depuis la Chine et le reste du monde. Le cours du bitcoin va peut-être atteindre les 10 000 dollars américains ou il va peut-être s’effondrer et les individus se lanceront dans la recherche d’alternatives dignes d’une plus grande confiance.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *