Des experts du SANS ont présenté les cinq nouvelles techniques de cyberattaque les plus dangereuses lors de leur intervention à la conférence RSA à San Francisco, et ont échangé leurs opinions sur le mode de fonctionnement de ces techniques, les possibilités de les contrer, ou du moins de les ralentir, ainsi que sur les opportunités pour les entreprises et les utilisateurs de s’y préparer.
1/ Piratage de données stockées dans le Cloud
Ed Skoudis, expert en « exploits » informatiques au SANS Institute
« Aujourd’hui, la conception des logiciels est très différente de ce qu’elle était il y a 10 ou même seulement 5 ans de cela, avec de gigantesques référentiels de code en ligne dans une optique de collaboration et le stockage de données dans le Cloud hébergeant des applications stratégiques. Les pirates ciblent de plus en plus ce type de référentiels et d’infrastructures de stockage dans le Cloud, en quête de mots de passe, de clés de chiffrement, de jetons d’accès et de téraoctets de données sensibles. »
Les professionnels de la sécurité doivent se concentrer sur les inventaires de données, en désignant un curateur des données pour leur organisation et en formant les architectes système et les développeurs à la sécurisation des données dans le Cloud. En outre, les grands acteurs du Cloud ont tous lancé un service d’intelligence artificielle visant à classer et protéger les données de leur infrastructure. Enfin, une grande diversité d’outils gratuits est disponible pour contribuer à prévenir et à détecter les fuites de données secrètes survenant via les référentiels de code.
2/ Désanonymisation des utilisateurs
Ed Skoudis
« Dans le passé, nous faisions face à des pirates qui tentaient d’accéder à nos machines pour dérober des données à des fins criminelles. Aujourd’hui, le piratage de données a supplanté le piratage de machines. Des données provenant de sources hétérogènes sont rassemblées et mélangées pour désanonymiser les utilisateurs, détecter des faiblesses et des opportunités au sein des entreprises ou identifier toute autre possibilité de saboter la mission de l’entreprise. Certes, il est toujours nécessaire d’empêcher les pirates informatiques de bombarder des cibles pour dérober des données. Cependant, les professionnels de la sécurité doivent également commencer à analyser les risques associés à la façon dont leurs données, en apparence inoffensives, peuvent être combinées à des données issues d’autres sources et représenter un risque pour l’entreprise. Tout cela en gardant bien à l’esprit les implications concernant la confidentialité de leurs données et leur potentiel à ternir une image de marque ou à attirer l’attention des autorités réglementaires. »
3/ Monétisation de systèmes compromis à l’aide de mineurs de crypto-monnaie
Johannes Ullrich, doyen de la recherche au SANS Institute et directeur de l’Internet Storm Center du SANS
« L’année dernière, nous avons abordé la façon dont les rançongiciels étaient exploités pour revendre des données à leur propriétaire, les crypto-monnaies apparaissant comme l’outil de prédilection pour payer la rançon. Plus récemment, nous avons découvert que les pirates ne s’encombrent plus des données. En raison de l’avalanche de données dérobées proposées à la vente, la valeur de la plupart des données personnelles communément dérobées, comme des numéros de carte de crédit, a considérablement diminué. Désormais, les pirates installent plutôt des mineurs de crypto-monnaie. Ces attaques sont plus furtives et donc plus difficiles à détecter, et les pirates peuvent empocher des dizaines de milliers de dollars par mois. Les professionnels de la sécurité doivent donc apprendre à détecter ces mineurs de monnaie et à identifier les vulnérabilités qui ont été exploitées pour les installer. »
4/ Exploitation des failles matérielles
Le matériel n’est pas moins complexe que le logiciel, et des erreurs ont été commises dans le développement du matériel tout comme elles l’ont été par les développeurs de logiciels. Il est bien plus difficile, voire souvent impossible, d’appliquer des correctifs au matériel sans devoir remplacer des systèmes entiers ou subir d’importants revers en termes de performances.
C’est pourquoi les développeurs doivent apprendre à créer des logiciels sans compter sur le matériel pour atténuer les problèmes de sécurité. De la même façon que le logiciel utilise le chiffrement sur des réseaux non sécurisés, il doit authentifier et chiffrer des données au sein même du système. De nouveaux algorithmes de chiffrement homomorphe peuvent permettre aux développeurs d’intervenir sur des données chiffrées sans avoir à les déchiffrer au préalable.
5/ Perturbation des systèmes de contrôle industriel et des services essentiels (attaques non motivées par l’appât du gain)
James Lyne, responsable de la recherche et du développement au SANS Institute et expert en cyber-menaces au Royaume-Uni
« Au quotidien, il est indéniable que l’immense majorité du code malveillant a été centrée sur la fraude et le profit. Cependant, le déploiement perpétuel de la technologie dans nos sociétés n’a fait qu’accroître les opportunités d’influence politique, voire militaire. Et les rares attaques publiquement visibles, telles que Triton/TriSYS, attestent de la capacité et des intentions des acteurs qui cherchent à compromettre les éléments des environnements industriels comportant le risque le plus élevé, c’est-à-dire les systèmes de sécurité qui ont historiquement empêché des effondrements en matière de sûreté et de sécurité. »
Les systèmes de contrôle industriel sont relativement peu matures et faciles à exploiter par rapport à l’univers informatique classique. Nombre de systèmes de contrôle industriel sont dépourvus de solutions de réduction des risques à l’instar de celles mises en œuvre sur les applications et les systèmes d’exploitation modernes. S’appuyer sur l’obscurité ou l’isolement (tous deux de moins en moins vrais) ne place pas ces systèmes dans une position adéquate pour supporter le surcroît d’attention porté sur eux, et notre secteur d’activité doit s’atteler à ce problème. Phénomène plus préoccupant : les pirates ont démontré qu’ils disposent à la fois de l’intention et des ressources pour diversifier leurs attaques, en ciblant des capteurs utilisés pour fournir des données aux contrôleurs industriels eux-mêmes.