Les dernières années ont été marquées par une tendance forte, celles des systèmes logiciels prédictifs et programmés à l’aide de techniques d’intelligence artificielle. Les récentes innovations sur ce terrain capitalisent sur les technologies collaboratives de type swarm pour tirer le meilleur parti de bases de connaissance expertes, constituées de milliards d’octets de données mis à jour, afin d’affiner la précision des prédictions.
Le revers de la médaille ? Ces technologies ne sont pas passées inaperçues aux yeux des cybercriminels. Des chercheurs en sécurité de Fortinet ont récemment découvert que les botnets intelligents avaient régulièrement exploité la vulnérabilité du framework Apache Struts à l’origine du piratage d’Equifax. Les assaillants misent sur l’automatisation et sur des schémas décisionnels intelligents pour tirer parti de vulnérabilités connues.
Le pessimisme est de rigueur pour l’avenir, précisément parce que les botnets se transforment en hivenets et mènent des attaques basées sur un auto-apprentissage auprès des pairs, ciblant ainsi les systèmes vulnérables, et ce, avec une supervision minimale. Les hivenets sont des clusters intelligents de dispositifs piratés, qui tirent partie de la technologie swarm pour rendre leurs attaques plus efficaces. Ainsi, si les botnets classiques réagissent aux commandes de leur opérateur, les hivenets, en revanche, prennent leurs décisions en toute autonomie.
Les hivenets sont capables d’utiliser des « essaims » de dispositifs piratés pour identifier et tirer simultanément parti de différents vecteurs d’attaque. Au fur et à mesure qu’il identifie et pirate de nouveau dispositifs, un hivenet grossit de manière exponentielle, ce qui renforce sa capacité à cibler de multiples victimes en même temps.
Une infection récurrente
Nombre d’organisations subissent des infections récurrentes par un même botnet, un phénomène qui peut s’expliquer par plusieurs raisons. Il se peut que l’entreprise victime ignore la nature et l’étendue précises du piratage. Autre explication : le botnet se met en sommeil, pour se réactiver dès le retour à la normale des activités métiers. Enfin, il est tout aussi possible que l’entreprise n’ait jamais identifié l’origine de l’événement. Autant d’hypothèses pour expliquer comment un botnet peut exploiter et ré-exploiter une même vulnérabilité.
Meilleures pratiques en matière de sécurité
Les entreprises utilisatrices de services cloud peuvent maîtriser le risque d’exposition aux hivenets et botnets en adoptant les quelques bonnes pratiques suivantes :
- Tenir un inventaire des dispositifs autorisés et interdits.Il s’agit de répertorier les ressources autorisées et non autorisées au sein de votre environnement, et notamment les dispositifs grand public à l’instar des smartphones et PC portables. Vous savez ainsi exactement ce que vous devez protéger.
- Limiter les privilèges des utilisateurs :tous les utilisateurs n’ont pas forcément besoin de privilèges d’administrateur !
- Limiter les applications au sein de votre environnement :n’utilisez que les applications nécessaires à vos activités métiers et assurez-vous que ces applications et systèmes associés soient à jour et patchés. La présence d’applications superflues étend la surface d’attaque et rend la protection de votre environnement plus complexe. Voici une pratique qui doit être adoptée par toutes les organisations, petites et grandes.
- Une cyber-hygiène pertinente :il s’agit bien sûr de rester vigilant vis-à-vis des nouvelles menaces et vulnérabilités qui émergent, mais, pour autant, attention à ne pas perdre de vue ce qui se passe au sein de votre propre environnement. L’hygiène du réseau et des dispositifs est souvent négligée en matière de sécurité. C’est sûr, la désactivation de services superflus, le patching de vulnérabilités et le maintien de l’ordre en général ne constituent pas des tâches particulièrement intéressantes. Et pourtant, elles sont essentielles.
___________
Christophe Auberger est Directeur Technique France de Fortinet.