Le nombre de cyber-menaces a en effet atteint un sommet historique en 2016, avec des attaques de type BEC (Business Email Compromise) gagnant en popularité parmi les cybercriminels cherchant à extorquer de l’argent aux entreprises. C’est ce que montre le rapport de Trend Micro sécurité annuel « 2016 Security Roundup: A Record Year for Enterprise Threats » qui constate une croissance de 748 % des nouvelles familles de ransomware conduisant à des pertes évaluées à 1 milliard de dollars pour les entreprises du monde entier.
Au cours de l’année écoulée, Trend Micro et son programme Zero Day Initiative (ZDI) ont dévoilé un total de 780 vulnérabilités. Parmi elles, 678 ont été identifiées grâce au programme « bug bounty » de la ZDI, vérifiées puis signalées à l’entreprise affectée. Comparées aux vulnérabilités décelées en 2015, les failles Apple ont progressé de 188 % tandis que celles de Microsoft ont reculé de 47 %. En outre, l’utilisation de nouvelles vulnérabilités dans les kits d’exploitation a diminué de 71 %, notamment grâce au démantèlement en juin 2016 du groupe de cybercriminels à l’origine de l’Angler Exploit kit.
« Alors que les menaces ne cessent de se diversifier et de gagner en sophistication, les cybercriminels, qui ciblaient essentiellement les individus, reportent désormais leur attention sur la source de revenus la plus lucrative, à savoir les entreprises », affirme Ed Cabrera, Chief Cybersecurity Officer de Trend Micro. « Tout au long de l’année 2016, nous avons constaté que les cybercriminels extorquent de l’argent aux organisations pour plus de rentabilité ; or cette tendance n’est pas prête de ralentir. »
Parmi les points marquants du rapport :
L’essor des ransomware
Le nombre de familles de ransomware est passé de 29 à 246 au cours de l’année 2016, une croissance portée principalement par leur rentabilité. Bien que les individus et les entreprises soient encouragés à ne pas payer la rançon, les gains des cybercriminels sont estimés à près de 1 milliard de dollars.
Une recrudescence des arnaques de type BEC
A l’instar des ransomware, les arnaques de type BEC ont été très lucratives en 2016, générant en moyenne 140 000 dollars de pertes pour les entreprises dans le monde. Ces arnaques mettent par ailleurs en lumière l’efficacité des techniques d’ingénierie sociale utilisées par les cybercriminels pour cibler les entreprises.
La diversité des vulnérabilités
Le programme ZDI de Trend Micro a identifié en 2016 un nombre record de vulnérabilités, la plupart détectées au sein d’Adobe Acrobat Reader DC et WebAccess d’Advantech. Les deux applications sont largement utilisées dans les entreprises et les systèmes SCADA (Supervisory Control And Data Acquisition).
La fin du kit d’exploitation Angler
Suite à l’arrestation de 50 cybercriminels, le kit d’exploitation Angler, autrefois prédominant, s’est progressivement évanoui jusqu’à disparaître complètement. Bien que d’autres kits d’exploitation aient bien entendu profité de l’absence d’Angler pour voir le jour, l’exploitation de nouvelles vulnérabilités au sein des kits d’exploitation a baissé de 71 % à la fin de l’année 2016.
Chevaux de Troie bancaires et malware ATM
Les cybercriminels utilisent depuis longtemps des malwares ciblant les guichets automatiques, que ce soit via la mise en place de techniques de skimming ou l’utilisation de chevaux de Troie bancaires. Ces attaques se sont cependant diversifiées au cours des dernières années, octroyant aux cybercriminels un accès à des informations personnellement identifiables (PII) et aux identifiants utilisés pour s’introduire dans les réseaux des entreprises.
Attaque massive via Mirai
En octobre 2016, certains hackers ont su tirer avantage de la faible sécurité des objets connectés pour lancer une attaque par déni de service (DDoS) qui a pris en otage près de 100 000 périphériques IoT et mis hors ligne des sites tels que Twitter, Reddit et Spotify pendant plusieurs heures.
Yahoo, un cas historique de fuite de données
Yahoo a vécu la plus grande violation de données de l’histoire en août 2013, 1 milliard de comptes utilisateurs ayant été affecté. Cet incident de sécurité de grande envergure n’a pourtant été divulgué que récemment, trois mois après que des rapports aient fait état d’une nouvelle fuite de données en septembre 2016, impliquant 500 millions de comptes supplémentaires. Ces événements soulèvent la question du partage d’informations et de la responsabilité des entreprises envers leurs clients au regard de la sécurité des données utilisateurs.