Bulletin Kaspersky Lab – prévisions 2014

Menaces sur les appareils mobiles

Depuis leur apparition il y a de nombreuses années avec le cheval de Troie Gpcode, les programmes malveillants ont évolué selon deux branches principales : les chevaux de Troie qui bloquent le fonctionnement de l’ordinateur et qui exigent le versement d’une somme d’argent pour le déblocage et les chevaux de Troie qui chiffrent les données sur l’ordinateur et qui exigent des sommes bien plus importantes pour le déchiffrement.

En 2014, la cybercriminalité va franchir l’étape logique dans le développement de ces types de chevaux de Troie et s’intéresser aux appareils nomades. Tout d’abord, sur les appareils équipés du système d’exploitation Android. Le chiffrement des données de l’utilisateur sur le smartphone (photos, contacts, correspondances) lorsque le cheval de Troie possède des autorisations d’administrateur est assez simple à réaliser et la diffusion de ces chevaux de Troie, notamment via le service Google Play ne représente pas de difficulté.

Il ne fait aucun doute que la tendance à la complexification des programmes malveillants observée en 2013 va se poursuivre en 2014. Comme toujours, les individus malintentionnés vont tenter d’atteindre l’argent des utilisateurs à l’aide de chevaux de Troie mobiles. Le développement d’outils permettant d’accéder aux comptes en banque des détenteurs d’appareils nomades (phishing sur appareil nomade, chevaux de Troie bancaires) va se poursuivre. La commercialisation des réseaux de zombies composés d’appareils nomades va commencer. Ces réseaux seront largement utilisés dans la diffusion de programmes malveillants tiers. Les vulnérabilités dans Android seront toujours exploitées dans le cadre de l’infection d’appareils nomades et il n’est pas exclu que des attaques par téléchargement à la dérobée soient organisées sur les smartphones.

Toujours et encore des attaques contre les bitcoins

Les attaques ciblant la monnaie virtuelle bitcoin et ses utilisateurs vont devenir un des principaux sujets de cette année.

Ce sont les attaques contre les bourses qui seront privilégiées par les cybercriminels car elles offrent le meilleur rapport entre dépenses et revenus.

S’agissant des utilisateurs de bitcoins, le risque d’attaques visant à voler leur porte-monnaie  bitcoins va sensiblement augmenter en 2014. Pour rappel, les individus malintentionnés avaient l’habitude d’infecter les ordinateurs des utilisateurs et de les utiliser pour l’extraction de bitcoins. Toutefois, l’efficacité de cette méthode a été divisée par 1 000 alors que le vol de bitcoins garantit un revenu important aux attaquants en toute anonymat.

Protection de la vie privée 

Les gens souhaitent maintenir leur vie privée à l’abri des regards « indiscrets ». Il est impossible de garantir la protection des données des utilisateurs si les services Internet, tels que les réseaux sociaux, les services de messagerie ou le stockage dans le cloud, n’adoptent pas certaines mesures. Toutefois, les mesures de protection actuellement en place ne suffisent pas. De nombreux services ont déjà annoncé la mise en œuvre de nouvelles mesures de protection des données des utilisateurs comme le chiffrement des données transmises entre leurs propres serveurs. L’introduction de ces nouvelles méthodes va se poursuivre car les utilisateurs vont les réclamer et l’existence de celles-ci pourrait être un élément déterminant au moment de choisir un service Internet.

Il existe également des problèmes du côté de l’utilisateur final. Il doit protéger les informations qu’il conserve sur son ordinateur et sur ses appareils nomades et il doit prendre en charge lui-même la protection de la confidentialité de ses actions sur Internet. Cela va entraîner une hausse de popularité des services VPN et des réseaux TOR permettant de surfer de façon anonyme. La demande pour le chiffrement local va également augmenter.

Attaques contre les stockages dans le cloud

Il faut s’attendre à de l’orage dans le cloud. D’un côté, la confiance envers les services de stockage a souffert des révélations de Snowden et de la mise en lumière des pratiques liées à la  collecte de données par les services secrets de plusieurs pays. De plus, les données conservées dans le cloud, leur volume et, point le plus important, leur contenu vont devenir une cible de plus en plus attrayante pour les pirates. Il y a trois ans, nous avions prédit que le moment viendrait moment où il serait plus simple pour un pirate de compromettre un service de stockage dans le cloud  pour  voler les données d’une société plutôt que d’essayer de compromettre directement la société. Il semblerait que ce moment soit arrivé. Les pirates vont viser le maillon le plus faible, à savoir l’employé du fournisseur de services cloud, permettant d’obtenir les clés d’accès à un gigantesque volume de données. Outre le vol d’informations, les auteurs de l’attaque peuvent s’intéresser aux possibilités de suppression ou de modification à distance, ce qui dans certains cas pourrait être bien plus intéressant pour le commanditaire des attaques.

Attaques contre les éditeurs de logiciels

L’augmentation des attaques contre les éditeurs de logiciels est associée au problème cité ci-dessus. En 2013, nous avons identifié une série d’attaques menées par le groupe de cybercriminels Winnti. Ces attaques ont visé des éditeurs de jeux et ont permis le vol du code source des serveurs de jeux en ligne. Adobe fut également victime d’une attaque dans le cadre de laquelle les codes sources d’Adobe Acrobat et de ColdFusion ont été volés. Parmi des cas d’incidents similaires, il faut citer la campagne contre RSA en 2011 où les attaquants avaient obtenu les codes sources de SecureID. Ils les avaient ensuite utilisés dans le cadre d’une opération contre Lockheed Martin.

Le vol des codes sources d’un logiciel largement utilisé offre aux attaquants une excellente opportunité pour y rechercher des vulnérabilités qu’ils pourront exploiter. De plus, si les attaquants ont accès aux référentiels de la victime, ils peuvent modifier le code source afin d’y ajouter des "backdoors".

Ici aussi, les éditeurs d’applications pour mobiles, qui  produisent des milliers d’applications elles-mêmes installées sur des millions d’appareils, sont particulièrement exposés.

Cybermercenaires

Les révélations de Snowden ont démontré que les Etats pratiquent le cyberespionnage notamment dans le but d’aider économiquement "leurs" sociétés. Cet élément a levé une sorte de barrière qui, jusque-là, avait empêché les entreprises d’appliquer des mesures aussi radicales dans leur lutte contre la concurrence. Dans ce nouveau contexte, les entreprises peuvent se livrer à de telles activités.

Dans de nombreux cas, pour des raisons de compétitivité, certaines entreprises feront le choix du cyberespionnage économique, car d’autres concurrents les espionnent déjà pour gagner un avantage concurrentiel. Il est même possible que les entreprises, dans certains pays, pratiquent un cyberespionnage contre les structures de l’Etat.  Voire contre leurs employés, leurs partenaires et leurs fournisseurs.

Une entreprise peut mener de telles actions uniquement à l’aide de cybermercenaires, ces groupes organisés de pirates qualifiés qui offriront leurs services de cyberspionnage aux entreprises. Mais ces pirates seront certainement appelés "cyberdétectives".

Parmi les exemples de coopération entre des sociétés privées et des pirates dans le but de monter une opération de cyberespionnage commercial, il convient de citer l’attaque Icefog que nous avions identifiée à l’été 2013.

Fragmentation d’Internet

Internet a connu des événements surprenants. De nombreux experts, dont Eugène Kaspersky, ont évoqué la nécessité de créer une sorte d’"Internet sécurisé" parallèle où il serait impossible de réaliser des actions criminelles anonymes. Les cybercriminels ont créé quant à eux leur propre réseau distinct baptisé Darknet, élaboré sur les technologies Tor et I2P, qui leur permet de réaliser des opérations commerciales, de communiquer et de réaliser des activités criminelles en tout anonymat.

Parallèlement à cela, la fragmentation d’Internet en tronçons nationaux s’est amorcée. Il y a peu, seule la Chine se distinguait dans ce domaine avec le Grand pare-feu de Chine. Toutefois, d’autres pays ont rejoint la Chine dans ce souhait de délimiter une partie importante de ses ressources et de les contrôler. Plusieurs pays, dont la Russie, ont déjà adopté ou sont sur le point d’adopter des lois qui vont interdire l’utilisation de services étrangers. Ces tendances se sont particulièrement renforcées après les révélations de Snowden. Ainsi, en novembre, l’Allemagne a annoncé qu’elle avait l’intention de verrouiller complètement toutes les communications entre les institutions allemandes à l’intérieur du pays. Le Brésil a manifesté son intention d’installer un réseau Internet alternatif afin de ne pas avoir à utiliser celui qui traverse la Floride.

La Toile a commencé à se désagréger. Les pays ne souhaitent plus diffuser le moindre octet d’informations au-delà de leurs réseaux. Ces efforts vont aller en grandissant et il est fort probable que les limitations imposées par la loi se traduiront en interdictions techniques. Ensuite, l’étape logique sera la tentative de restriction de l’accès aux ressources à l’intérieur du pays depuis l’étranger.

Au fur et à mesure que ces tendances se développeront, nous pourrions très vite nous retrouver sans un Internet unique, mais bien avec des dizaines de réseaux nationaux. Il n’est pas exclu que certains d’entre eux ne seront même pas en mesure d’interagir avec les autres. Dans ce contexte, le réseau Darknet clandestin sera le seul réseau «  inter-national ».

Pyramide des cybermenaces

Un dessin vaut mieux qu’un long discours et il est donc plus simple d’illustrer les événements et les tendances que nous prévoyons pour 2014 en prenant comme point de départ la pyramide des cybermenaces que nous avions présentée il y a un an.

Cette pyramide est composée de trois éléments. A sa base, nous trouvons les menaces utilisées dans les attaques contre les utilisateurs lambda par les cybercriminels traditionnels qui recherchent uniquement l’enrichissement personnel. L’étage central de cette pyramide est occupé par les menaces utilisées dans les attaques ciblées du cyberespionnage industriel et par les logiciels espions policier utilisés par les gouvernements pour surveiller leurs citoyens et les entreprises. Le sommet de la pyramide est occupé par les cybermenaces créées par les Etats afin de mener des cyberattaques contre d’autres Etats.

La majorité des scénarios de développement des cybermenaces décrits ci-dessus concerne l’étage central. Pour cette raison, nous nous attendons à une forte augmentation du nombre de menaces liées au cyberespionnage économique ou à l’espionnage au sein des Etats.

L’augmentation du nombre de ces attaques sera garantit par la reconversion d’une partie des cybercriminels qui attaquaient jusqu’alors les utilisateurs lambda en cybermercenaires-cyberdétectives. De plus, il est tout à fait possible que les services de cybermercenaires seront proposés par des spécialistes en informatique qui jusque là n’avait jamais réalisé d’activités criminelles. Cela sera favorisé par l’aura de légitimité tirée du fait que le travail de ces cyberdétectives a été commandité par des entreprises de bonne réputation.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *