Virus, malwares, phishing, ransomware…: la boite à outils du parfait cybercriminel
La cybercriminalité fut l’un des thèmes majeurs de cette année 2015. De nombreuses attaques informatiques introduites par les emails via des virus, des malwares, des spam, du phishing et spear-phishing ou encore des ransomwares ont marqué les esprits. La cybercriminalité a également fait l’objet en Europe ou aux Etats-Unis de projets de lois et réglementations visant à définir un meilleur cadre de protection, que cela soit pour les particuliers, les entreprises, les administrations ou en France pour les opérateurs d’importance vitale.
Cette fin d’année est l’occasion de revenir sur ces tendances fortes, de dresser un bilan des techniques utilisées et des initiatives privées ou publiques mises en place en 2015 qui ont marqué la résistance, et de présenter quelles seront les grandes tendances en 2016.
Virus, malwares, phishing et spear phishing, ransomware : la boite à outils du parfait hacker
Avec ce panel d’attaques, les cybercriminels peuvent cibler à leur guise les particuliers, les PME, les grands comptes, les administrations, avec des degrés de technicités différents. A ce titre, rappelons que les cyberattaques ne ciblent pas uniquement les grands comptes : aujourd’hui 100% des réseaux sont des cibles potentielles et selon un rapport de l’ANSSI, 77% des cyber-attaques ciblent des petites entreprises.
L’un des enseignements forts à tirer de cette année est que les emails sont la principale porte d’entrée utilisée par les hackers pour pénétrer les réseaux d’entreprise et pour escroquer les particuliers. Le Gartner établissait déjà en 2014 que 65% des incidents de cyberespionnage avaient fait appel à du phishing. L’année 2015 devrait mettre en lumière une évolution encore plus importante de ce type d’attaques.
En effet, les cyberattaques utilisent désormais majoritairement l’email pour véhiculer des liens vers des sites web malveillants ou des pièces jointes permettant de télécharger des virus et malwares. La principale motivation reste évidemment de dérober des données et de l’argent – citons par exemple les malwares bancaires ou les ransomwares – mais les cybercriminels cherchent également à pénétrer les réseaux d’entreprise pour mener des attaques de plus grande envergure, dérober des secrets industriels, commerciaux, etc.
Microsoft Office, nid à macro-virus/macro-malwares
Les virus et malwares sont dissimulés dans des pièces jointes vérolées attachées à des emails de phishing (ou de plus en plus de spear phishing), le plus fréquemment dans des fichiers archive .zip mais surtout dans des documents Microsoft Office, Word, Excel, Powerpoint par exemple. Ces macro-virus et macro-malwares s’adaptent de plus en plus facilement aux environnements qu’ils ciblent. Les directions financières au sein des entreprises reçoivent par exemple des emails de phishing accompagnés de factures à payer en guise de pièce jointe, les services RH sont ciblés par de fausses candidatures avec un CV vérolé, etc. Le fait d’ouvrir la pièce jointe permet de télécharger, via différents procédés, le virus ou malware sur le terminal de l’utilisateur.
L’illustration la plus marquante en 2015 est celle du malware bancaire Dridex. Ce logiciel malveillant – annoncé comme démantelé en octobre 2015 mais qui a généré des vocations (Shifu par exemple) – a causé des pertes financières gigantesques dans de nombreuses entreprises. Dridex était caché dans un document Microsoft Office, envoyé dans un email de phishing particulièrement crédible (sans fautes de français, bien ciblé, etc.).
Les ransomwares font toujours recette
Les ransomwares sont un incontournable de la boîte à outils des cybercriminels. Le procédé initial est le même : un email infecté envoyé à un employé, qui libère un malware d’encryptage. Celui-ci chiffre les données de l’entreprise pour les rendre inaccessibles et l’entreprise n’a pas d’autre choix que de payer une rançon pour récupérer ses données et ne pas les voir définitivement supprimées par les attaquants. Les malwares d’encryptage célèbres utilisés en 2015 se nomme Cryptolocker (depuis 2013) ou plus récemment Cryptowall. Selon une étude de Norton/Symantec parue en novembre 2015, 12% des français auraient déjà fait l’objet d’un ransomware. Du côté des entreprises, elles sont encore peu nombreuses à rendre public ces attaques de peur de voir les cybercriminels passer à l’action et définitivement supprimer leurs données, mais les études sur le sujet démontrent que les entreprises ont plutôt tendance à payer plutôt que de prendre des risques.
Ingénierie sociale et spear-phishing, le nouveau cocktail détonnant
Pour optimiser les chances de réussite de leurs attaques et d’ouvertures des pièces jointes infectées, les cybercriminels s’appuient de plus en plus sur l’ingénierie sociale. Ce procédé a pour objectif de mieux identifier les victimes en étudiant leur contexte social via les informations disponibles sur les réseaux sociaux et ainsi créer de faux emails toujours plus crédibles. Plus que du phishing, on parle désormais de spear-phishing, soit des emails infectés envoyés à un nombre restreint d’utilisateurs, usurpant parfois l’identité d’un proche ou d’un supérieur hiérarchique. Le spear-phishing s’apparente donc à une attaque chirurgicale, qui demande donc plus de travail de préparation mais qui se veut beaucoup plus efficace.
Légère baisse du spam et démantèlement de botnets
Le spam représente plus de 80% des emails envoyés vers les boîtes emails dans le cadre professionnel. Mais le spam est plus un désagrément qu’un danger, sauf quand il se transforme en pourvoyeur de virus et malwares (il devient alors un phishing). Le phénomène reste tout de même un vrai problème pour les entreprises puisqu’il pollue les boîtes emails et impacte considérablement la productivité des salariés (jusqu’à 25% de perte de productivité selon une étude de l’Institut McKinsey).
Ces spam sont envoyés massivement, via des réseaux de PC zombies ou botnets (PC détournés par des hackers pour bénéficier d’une puissance gigantesque d’envoi d’emails) et cette année, les autorités numériques de nombreux pays, soit de manière autonome ou en collaboration, ont réussi à démanteler plusieurs importants réseaux de botnets. Preuve que les autorités telles que le FBI par exemple, s’inquiètent du phénomène de botnets et qu’elles ont décidé de se donner les moyens pour lutter contre ces réseaux devenant trop puissants.
La résistance s’organise autour d’initiatives de plus en plus nombreuses
C’est le point positif de l’année : face à des attaques de plus en plus nombreuses et médiatisées, la résistance s’organise de mieux en mieux.
Citons par exemple du côté public, le partenariat lancer par la Police Nationale avec l’association privée Phishing Initiative qui permet aux particuliers de remonter à la Police les arnaques pour une action de blocage plus rapide – la création de plus en plus d’associations proposant gratuitement des outils de détection de liens frauduleux tels que isitphishing.org, signal-spam.fr, apwg.org ou encore phishtank.com – les initiatives de sensibilisation plus ludiques comme la Hack Academy lancée par le CIGREF. Les entreprises renforcent également la sensibilisation de leurs employés, citons par exemple l’initiative du PMU qui a mené un test grandeur nature en envoyant une campagne de phishing à ses employés. Bien que très négatifs, les résultats ont eu pour bénéfice de fortement sensibiliser en interne sur les dangers du phishing.
Quelles tendances pour 2016 ?
Les attaques de type phishing et spear phishing seront encore plus à craindre en 2016. La raison est simple, la technique ne nécessite pas de compétences très poussées en informatique et elle reste très rentable. Malgré la sensibilisation autour du phénomène, les hackers se donnent aussi les moyens de mieux travailler leurs attaques, pour rendre toujours plus réalistes leurs pièges. Il y a une vraie professionnalisation des groupes à l’origine de ces attaques. Quant au spear phishing, il va être utilisé pour injecter des malwares ou pour escroquer des entreprises avec des arnaques au Président par exemple.
Malheureusement, l’on devrait voir se poursuivre voire s’amplifier, la cyber-guerre contre les groupements islamistes. Avec pour objectif, la diffusion de propagande (défaçage de site), le vol d’informations (via des malwares) ou la déstabilisation des entreprises (via des malwares ou des arnaques).
L’email risque d’être un vecteur encore fortement utilisé pour initier les attaques. Il est plus que jamais important, pour les responsables informatiques de protéger les profils les moins armés pour identifier ce type de menaces : les commerciaux, comptables, RH, marketing, top management, etc.
Ainsi, la protection des boites email ne doit plus seulement se faire à la réception d’un message, mais doit pouvoir être faite à tout moment du cycle de vie de l’email : lors de la réception, après la réception, pendant la lecture, après la lecture, etc.
Les cyberattaques ne sont pas une finalité, il existe des moyens de s’en prémunir, techniques évidemment mais surtout humains. En 2015, de bonnes initiatives ont été lancées et c’est une excellente chose. Les attaques connues cette année ont au moins eu pour bénéfice de sensibiliser grandement la population. En matière de cyberattaques liées aux emails, la vigilance est primordiale. Si chacun se responsabilise mieux grâce aux actions de prévention, un grand pas sera franchi en matière de lutte contre la cybercriminalité
_________
Georges Lotigier est PDG de Vade Retro Technology