Soyons clairs d’emblée : il n’y a pas de réponse unique à la question de savoir si les mesures de confinement imposées dans le cadre de l’épidémie COVID-19 ont eu un impact sur la cybersécurité des entreprises. D’une part parce que cet évènement est encore trop récent, et ensuite parce que la situation – et donc l’exposition au risque – de chaque entreprise est unique.
En revanche, une chose est sûre : cela a permis de confirmer toute l’inventivité et toute l’agilité dont les attaquants savent faire preuve lorsqu’il s’agit de trouver de nouveaux moyens d’arriver à leurs fins !
COVID-19 : des cybercriminels innovants
Le point essentiel, ici, est l’augmentation incroyable du volume des transactions en ligne. Selon Shape Security, le trafic vers les fournisseurs de services de livraison d’épicerie en ligne a augmenté de 400 %, et les connexions aux sites de placements financiers en ligne ont augmenté de 53 %. À l’inverse, les réservations de voyages en ligne ont diminué de 75 % et l’ajout de nouveaux utilisateurs aux outils RH en ligne ont été réduites de moitié. En outre, le volume des transferts d’argent à l’international a chuté de 35 %.
Ces tendances ne sont pas surprenantes, car certains secteurs connaissent une demande sans précédent tandis que d’autres sont très dépendants du « régime de croisière » de l’activité économique. Il est en revanche moins évident de déterminer si le volume des cyberattaques a augmenté à la suite de COVID-19, et même s’il existe un lien direct entre les deux. Les données ne sont pas encore définitives et, d’après notre expérience, il y a trop de variables dans chaque cas pour en tirer des conclusions hâtives.
Mais ce qui est certain, c’est que les criminels ont poursuivi leurs activités malveillantes sans faiblir, et qu’ils ont adapté leurs pièges à la thématique COVID-19, afin d’inciter par exemple toujours plus de victimes à ouvrir leurs courriers piégés ou visiter leurs faux sites !
Nous constatons ainsi une surtout une nette capacité d’évolution et d’adaptation aux circonstances dans le comportement des cybercriminels, et pas uniquement à travers de faux emails. Les criminels ont su notamment aussi rapidement tirer profit des applications en ligne destinées à apporter de l’aide ou de l’information lors de la pandémie.
Par exemple, aux États-Unis, les attaquants ont ciblé des portails web qui permettent d’accéder à des programmes de financement et d’assistance du gouvernement dans le cadre de la loi américaine CARES (Coronavirus Aid, Relief, and Economic Security). Ici, chaque demandeur doit entrer un numéro d’identification de contribuable (NIC) pour pouvoir poursuivre le processus. En conséquence, les attaquants ont exploité la situation pour exécuter des programmes automatisés qui leur permettent découvrir puis de valider de véritables NIC, afin de les revendre ou les utiliser à des fins malveillantes ailleurs.
Une autre fraude répandue a lieu dans le domaine de la livraison de plats à domicile, qui a connu une très forte croissance durant le confinement. L’arnaque consiste pour les attaquants à se faire passer pour des sites de promotions, notamment en faisant de la publicité sur les médias sociaux, et de passer de vraies commandes en utilisant des cartes de crédit volées. La transaction se déroule normalement pour le prestataire de services, et ce n’est que lorsque la banque détecte la fraude quelques semaines plus tard que la transaction est annulée. Mais il est alors trop tard pour faire quoi que ce soit. Le coût de cette escroquerie s’élève à plusieurs centaines de milliers de dollars par mois pour certaines entreprises du secteur.
Ces exemples pourraient être multipliés à l’infini, mais ils démontrent surtout l’adaptabilité implacable des cyber-attaquants. Lorsqu’il y a des changements majeurs dans le comportement des consommateurs, comme la récente flambée des commandes alimentaires en ligne, ils changent rapidement de tactique pour en tirer profit.
Les entreprises aussi peuvent être agiles
La première étape consiste à reconnaître l’ampleur du problème. Une entreprise classée au Fortune 100, estimait qu’environ 20 à 30 % de son trafic était malveillant. L’analyse a montré que le chiffre réel était de 98 %.
Une telle différence, bien qu’étonnante, est néanmoins courante : un centre d’opérations de sécurité (SOC) se concentre souvent sur les IP et les actions les plus bruyantes, et passe à côté de la « longue traîne », le trafic plus réduit – mais important en volume cumulé – de tous ceux qui contribuent à de petits volumes de trafic malveillant.
Le deuxième point consiste à collecter les signaux du réseau, des utilisateurs et de l’environnement afin d’identifier le trafic automatisé et potentiellement malveillant. Par exemple, en observant la manière dont les utilisateurs naviguent, il est possible de faire la distinction entre les frappes et les mouvements de la souris d’un utilisateur humain et le comportement trop précis d’un robot. Il est même parfois possible de faire la différence entre un utilisateur légitime et un fraudeur manuel : ce dernier, qui cherche à optimiser son temps et connaît parfaitement la série d’opérations à réaliser, y naviguera généralement beaucoup plus rapidement qu’un utilisateur légitime.
Mais au-delà de ces quelques exemples, les organisations doivent surtout se rappeler que les attaquants sont des cibles mouvantes. Ils changent généralement d’outils dès les premières contre-mesures et passent d’une interface web, mobile et API à l’autre pour rechercher de nouvelles vulnérabilités.
Les équipes de sécurité doivent donc surveiller de près la manière dont les attaquants réagissent aux contre-mesures pour déterminer leurs prochaines actions. Certains ne se rendent même pas compte qu’ils sont bloqués, alors que d’autres s’adaptent rapidement…
La flexibilité des attaquants met également en évidence les dangers d’une trop grande dépendance à l’intelligence artificielle (IA) et à l’apprentissage machine (ML). Bien que ces approches soient essentielles à toute boîte à outils de sécurité, il est également important d’en reconnaître les limites. Les signaux bruts détectés par les systèmes d’IA et de ML seront pleins de faux positifs et de faux négatifs. Il est indispensable de disposer de personnes formées pour examiner ces données, qui constituent une deuxième ligne de défense cruciale, afin d’en surveiller les anomalies et observer comment les attaquants se réorganisent.
___________________
Par Arnaud Lemaire, Manager Ingénieur Systèmes chez F5 networks