Verizon, le deuxième opérateur américain, à l’occasion du rapport de sécurité DBIR ( data breach investigation Research) a fait le point sur l’évolution des dangers sur les réseaux. Le Cybercrime représente 290 milliards de dollars par an, selon le cabinet d’avocats New yorkais Mischon de Reya, un spécialiste discret des multinationales piratées. Pour Robert Wynn Jones, un avocat de la firme, cela représente désormais un business supérieur au trafic total de la revente des trois premières drogues mondiales : marijuana, cocaïne et héroïne. Moins pénalisé que la drogue, le cybercrime a le vent en poupe et rapporte plus actuellement que le trafic de drogue. A l’occasion de la parution de son rapport 2014 de Sécurité, Verizon a rassemblé dans ses locaux européens d’Amsterdam de nombreux directeurs informatiques et journalistes pour les convaincre de l’urgence de prendre conscience des attaques toujours plus effrayantes. « Après dix années d’études approfondies sur toutes les attaques importantes, nous avons pu constater que la plupart des entreprises sont presque toujours en retard face au crime organisé. Actuellement ce sont les « bad guys » qui mènent la danse » selon Edddie Shwartz ( photo ci dessous) le vice président en charge de la sécurité et du consulting. Malgré ses 25 années d’expérience dans ce domaine, il avoue humblement : « La professionnalisation des hackers s’améliore sans cesse. Ce sont malheureusement des ingénieurs très intelligents souvent au service de mafias richissimes qui ont fait du vol d’informations, un véritable business. »
Un discours bien rodé
La meilleure solution de défense prônée par Verizon, on le subodorait un peu, passe par ses services managés de sécurité. Mais ce n’est pas la première fois qu’un spécialiste de la sécurité démontre d’un coté la progression effroyable des risques et de l’autre la sécurité apparente de ses services. C’est d’ailleurs le discours récurrent de tous les fournisseurs de sécurité qui, de plus en plus, au-delà des fonctions innovantes de leurs armes parlent désormais de gestion des risques comme si l’affaire était perdue d’avance. Le cloud sécurisé serait il finalement plus sûr que les outils classiques des serveurs locaux ?
Une position prioritaire
Au vu de la couverture mondiale de l’opérateur et du nombre de spécialistes impliqués dans la sécurité (prés de 1000 en Europe, 3000 aux USA et 2500 dans la zone Asie Pacifique, son expérience dans le domaine mérite l’attention. Son rapport qui n’est pas l’habituelle étude « invérifiable » porte sur un nombre limité d’entreprises et s’appuie sur des violations de données réelles. Le dossier que l’on peut télécharger sur le site de Verizon dresse un portrait à priori très réaliste de l’état de la cybercriminalité. Verizon n’est pas le seul contributeur à ce dossier « noir »; 50 firmes et institutions ont croisé leurs chiffres et partagé les traces d’attaques. Avec plus de 63 000 incidents de sécurité dans 95 pays, le rapport de cette année 2014 s’appuie sur 1 367 attaques réelles. L’an passé, ce chiffre ne dépassait pas les 600 unités. D’un point de vue statistique, le DBIR identifie une douzaine de modèles de menaces récurrentes: les plus courantes sont les erreurs diverses classiques telles que l’envoi d’un e-mail à une mauvaise personne, les malwares (les logiciels malveillants différents visant à prendre le contrôle de systèmes), l’abus d’initié lié à l’escalade de privilège, le vol « physique » ou les pertes de terminaux, les application Web attaquées, les attaques par déni de service, le cyber espionnage, l’intrusion dans les machines de point de vente et l’attaque système de récupération de cartes de paiement.
la guerre est perdue d’avance
Christopher Novak est le responsable de l’unité de réponse rapide de l’opérateur. Basé à New York, il intervient avec son équipe tous les jours sur le territoire américain sur les lieux où les malfrats se sont introduits. Son discours est simple et rejoint celui de Schwartz : « La guerre, au jour le jour, est perdue. On passe son temps à courir après la faille. A chaque occasion, les attaquants sont arrivés dans une période idéale, le décalage entre les infos des équipes internes de sécurité et l’intelligence des attaquants profite de la faille qui, de plus en plus, reste masquée pour servir ensuite à des tractations.»
la petite boutique est aussi visée
Paul Pratley du service risk est un spécialiste et connaît les attaques des magasins. Il est un spécialiste de l’utilitaire black pos qui a été conçu pour pirater les terminaux point de ventes. Il chasse les ram scraper, ces utilitaires qui surveillent les données les plus utilisées au cœur des serveurs. Lorsqu’on lui demande les techniques les plus courantes : « Cela reste le phishing pour introduire un cheval de Troie, un malware via l’envoi de courrier. Avec le développement des réseaux sociaux, c’est devenu facile d’approcher une personne au cœur des réseaux d’une entreprise: le hacking social, les malwares, l’attaque systématique via la brute force et le vol de credentials, les modes d’attaques restent simples, mais toujours assez efficaces.» Finalement le discours que Verizon tient à celui- de son patron de la sécurité Edddie Shwartz:« On connait l’ADN des réseaux et le plus simple, c’est de nous confier vos applications ; tout est une question de confiance. Ma prédiction, c’est qu’il va y avoir un tsunami d’entreprises qui vont confier leur sécurité à des firmes spécialisées. Ce n’est pas le travail de l’industrie alimentaire, par exemple, que de courir après les derniers virus. Mieux vaut confier de travail à des spécialistes qui possèdent comme nous des équipes et des « cyber intelligence center ». Interrogé sur le fait qu’un partenariat avec les opérateurs s’imposerait à terme : « Non, on est en compétition permanente pour séduire les mêmes clients. On ne collabore pas en général mais cela arrive parfois pour des opérations spécifiques ». Mais que font les polices ? « On travaille en permanence avec eux, les états et leurs armées. C’est un échange très riche.»