Particuliers et entreprises ont-ils retenus les leçons du passé pour optimiser leur sécurité ? Pas si sûr…
Le 4 mai 2015 a marqué les 15 ans du ver “I love you” qui avait été très médiatisé car il s’agissait de l’une des premières attaques de grande ampleur ayant touché les entreprises, comme les particuliers, sur l’ensemble des continents. De fait, cette attaque reste très présente dans les esprits lorsqu’on évoque les sujets de sécurité. Mais 15 ans après, que peut-on retenir de ce message dont la portée s’est révélée particulièrement efficace ?
I Love You, aussi dénommé LoveLetter ou The LoveBug, a touché et a infecté près de 10 % des ordinateurs connectés à Internet il y a tout juste 15 ans et causé un préjudice estimé à 5 milliards de dollars. Celui-ci s’est propagé au travers des messageries Outlook et Outlook Express et consistait en un email contenant une lettre d’amour en pièce jointe. En moins d’une semaine, il avait touché plus de 3,1 millions de PC dans le monde entier.
L’efficacité de ce virus tient à trois facteurs relativement nouveaux à l’époque. Premièrement, il a tiré parti de la faiblesse des antivirus de l’époque, majoritairement incapables de le détecter et donc de le stopper. Les éditeurs ont d’ailleurs mis plusieurs heures, voire jours pour trouver une solution et la diffuser (pas de services Cloud pour faciliter le partage de connaissance et la diffusion de la mise à jour contenant la signature du ver). Deuxièmement, il s’agissait de l’une des premières attaques exploitant une forme de social engineering. L’approche a été travaillée pour optimiser le taux d’ouverture de l’email et de nombre de clics sur la pièce jointe. Peu de gens se sont méfiés de cette lettre d’amour à première vue anodine. Troisièmement, la faible sensibilisation aux problématiques de sécurité à l’époque a également joué en faveur du virus.
Et aujourd’hui ?
Force est de constater que 15 ans après, la messagerie reste le principal vecteur d’attaque. Ainsi 90 % des attaques (Etude Human Factor de Proofpoint) exploitent ce canal et le comportement des utilisateurs reste le maillon faible de la sécurité. Comme le confirme le DBIR 2015 de Verizon, 23 % des utilisateurs continuent d’ouvrir les mails de phishing, un chiffre en hausse par rapport à l’année précédente… Donc en résumé, peu de choses ont changé.
Heureusement d’un point de vue technique, de nouvelles solutions ont fait leur apparition, que ce soit au niveau de l’infrastructure, du poste, ou plus particulièrement de la messagerie. C’est aussi pour cette raison que les attaquants ont modifié leur technique d’approche. Le social engineering reste l’une des stratégies les plus exploitées pour lancer des attaques qui sont désormais ciblées (sur une catégorie d’employés, exploitant une actualité, etc.). L’actualité récente, et les attaques de médias comme celle du Monde ou de TV5 Monde, ont d’ailleurs montré toute leur efficacité en matière de menace ciblée.
Les techniques d’attaque en elles-mêmes ont donc peu évolué et elles exploitent toujours le comportement des utilisateurs. Seuls les objectifs ont changé : de la simple gloire recherchée par les attaquants, nous sommes passés à des attaques ciblées, dont les finalités sont précises : espionnage industriel ou commercial, impact sur l’activité ou les finances, hacktivisme (transmission de messages de revendication liés à une cause), nuisance sur l’image de l’entreprise. En parallèle, de nouvelles techniques sont apparues comme par exemple l’utilisation de ransomware, ces logiciels qui chiffrent les données de leurs victimes et qui demandent ensuite une rançon contre la clef de déchiffrement. On peut d’ailleurs souligner que cette tendance est due à l’évolution du fonctionnement des antivirus par rapport à l’époque d’ « I Love You » : en effet, les éditeurs réagissent désormais plus rapidement et de manière mondialisée (en général, un nouveau malware est bloqué en quelques jours, voire quelques heures après les plaintes des premières victimes). En conséquence, pour tout de même en tirer des bénéfices, les organisations criminelles tentent d’extorquer de l’argent directement à chaque victime (et force est de constater qu’en terme de « chiffre d’affaire », tout va pour le mieux pour eux…).
Quinze ans après, il y a donc peu de chance de connaître une attaque d’une envergure et d’un impact aussi importants que le ver « I Love You » mais il reste encore beaucoup à faire pour éduquer les utilisateurs et les sensibiliser aux nouvelles menaces et formes d’attaques employées par les cybercriminels.
Par Christophe Kiciak, Responsable de l’offre Audit technique et test d’intrusion de Provadys