CyberArk : 2019, une année tumultueuse
Lavi Lazarovitz, Security Research Team Lead
Les tendances majeures de la cybersécurité et la myriade de menaces émergentes, dont nous avons été témoins cette année, promettent une année 2019 tumultueuse. Qu’il s’agisse d’attaques inédites sur de nouveaux marqueurs biométriques, de l’adoption massive de la blockchain, ou encore des risques liés aux « nouvelles » infrastructures critiques et le transfert de confiance, les organisations doivent scruter attentivement l’horizon des menaces qui se dessine. Elles doivent en effet accélérer et collaborer pour contre-innover et contre-carrer leurs assaillants.
Ci-dessous les cinq prédictions de sécurité que les organisations et les Etats doivent absolument anticiper :
1. Biométrie et authentification dans le viseur
Une nouvelle vague d’attaques visera les systèmes d’identification biométriques pour les authentifications numériques et physiques. Les contrôles d’authentification par empreinte digitale ou reconnaissance vocale et faciale, ont démontré leur efficacité dans les terminaux des consommateurs. Les organisations iront à la recherche de nouvelles méthodes d’authentification, telles que l’incorporation de micropuces d’identification sous la peau. Les pirates informatiques viseront de plus en plus ces identités afin de rassembler des quantités massives de données biométriques pour modéliser des profils en vue d’un projet malveillant. Les données génétiques et biométriques sauvegardées par les organisations deviendront progressivement des cibles de premier choix, augmentant ainsi les inquiétudes autour de la protection des données personnelles.
2. Les réseaux sociaux de l’Etat régulés comme des infrastructures critiques
Les gouvernements vont commencer à traiter les comptes des élus et des organismes étatiques sur les réseaux sociaux comme des infrastructures critiques. De la même manière que les SMS des représentants du gouvernement sont surveillés, les réseaux sociaux le seront également. Les media sociaux sont devenus un outil de choix pour permettre aux représentants des Etats de communiquer rapidement avec les citoyens. Bien qu’ils permettent un partage rapide d’information, ils ont aussi un aspect négatif, illustré par exemple avec les fausses alertes d’envoi de missiles qui ont semé la panique au Japon et à Hawaï en début d’année. Il s’agit d’un procédé efficace des hackers pour semer le chaos.
3. Des guerres commerciales en faveur de l’espionnage
Les politiques gouvernementales sont conçues pour créer des guerres commerciales vouées à générer des attaques entre Etats, afin de voler les propriétés intellectuelles et autres secrets industriels et de gagner en compétitivité. Les pirates des Etats-nations combineront des tactiques éprouvées et simples à de nouvelles techniques pour exfiltrer des adresses IP, plutôt que de cibler des informations personnelles ou autres données sensibles. Si ces attaques étaient jusqu’alors principalement commises par des personnes externes, nous serions également témoins d’une accélération des menaces internes, en particulier dans des secteurs de pointe, comme celui des véhicules autonomes. En 2019, les pirates passeront plus de temps à faire de la reconnaissance pour mener à bien ce type d’attaques, et il y aura une émergence d’armes d’Etats vendues au marché noir. Ce même phénomène s’est notamment produit après les attaques Stuxnet, Petya et NotPetya lorsque les cybercriminels ont réutilisé des bouts de codes issus d’attaques massives d’Etats-Nation pour leurs propres attaques.
4. Supply Chain et Blockchain à la croisée des chemins
En 2019, la blockchain transformera la chaine d’approvisionnement. En effet, des groupes de hackers affiliés à des Etats visent les puces au sein des supply chain, afin de s’infiltrer illégalement dans les technologies B2B et B2C. Les organisations se tournent par conséquent vers la blockchain pour sécuriser leurs chaines d’approvisionnement. Le caractère distribué de cette technologie – c’est-à-dire une chaine d’informations où toute nouvelle donnée est préalablement validée par l’entièreté du réseau – lui permet de certifier chaque étape de la supply chain, dont l’authenticité des machines physiques et virtuelles. En 2019, ce secteur sera encore la cible d’attaques ; ce qui rend plus nécessaire que jamais ce niveau de validation en amont de la chaîne.
5. Transférer la confiance [et les risques] à Google & Facebook ?
La stratégie « BeyondCorp » mise en place par Google, consiste à basculer les contrôles d’accès du périmètre réseau aux utilisateurs et terminaux sans passer par un VPN traditionnel. Or, bien que plébiscitée, cette stratégie contribuera à étendre la surface d’attaque en 2019, si les contrôles nécessaires ne sont pas mis en place. Cette approche “zero trust” peut en effet ouvrir la voie à de nombreux vecteurs d’attaques. Tout d’abord, elle transfère plus rapidement le risque et la confiance aux organismes, personnes ou machines tierces, à l’instar de Google et Facebook. Les fournisseurs d’identités sont exposés à une surface d’attaque en expansion, via l’utilisation de protocoles d’authentification, ainsi que de tokens et de clés API temporaires susceptibles d’être compromis. Ce transfert de confiance ouvre aussi la voie aux hackers pour leur permettre de transformer les services et les outils d’identités en armes réelles, et pour exposer les identifiants de connexion et les accès administrateurs – ou à privilèges. Par ailleurs, l’approche BeyondCorp requiert qu’une organisation expose une partie de son infrastructure pour que les utilisateurs puissent utiliser les applications et accès au réseau ; par conséquent, les erreurs que les entreprises ont pu commettre seront connues de tous, permettant alors aux attaquants d’exploiter toutes les vulnérabilités visibles.
Chaque année est propice au renouveau, au changement et à la promesse de nouvelles innovations technologiques dans les entreprises. A l’heure du machine learning, de l’IA et de la digitalisation continue des systèmes, les hackers renforcent chaque année leurs techniques d’attaque, les entreprises doivent donc en tenir compte dans leurs stratégies. Car en matière de cyberattaques et de pertes de données, la question n’est plus « si » mais plutôt « quand » et « comment ».