Avec l'édition 2020 de son « Panocrim », le panorama de la cybercriminalité, le Club de la sécurité de l’information français (Clusif) analyse, comme chaque année depuis 20 ans, les grandes tendances de la cybermalveillance qui ont secoué l’année précédente et esquisse celles des années à venir.
Ransomwares à leur apogée, vulnérabilité du Cloud, attaque par un tiers, plateforme de plainte contre les e-escroqueries… A l’occasion de l’incontournable Panorama de la cybercriminalité (Panocrim), qui a été dévoilé le 21 janvier 2020 à la Cité des sciences et de l’industrie à Paris, le Club de la sécurité de l’information français (Clusif) a présenté devant un parterre d’experts son rapport sur les événements majeurs qui ont marqué l’actualité du cybercrime en 2019. Détails.
Gare aux applications frauduleuses !
Outre les fraudes classiques comme le phishing, de nouvelles stratégies d’attaque sont en train d’émerger pour subtiliser des informations. Parmi elles, le malware qui s’en prend aux assistants vocaux fait des dégâts : il s’agit de monter de toutes pièces une application frauduleuse, pour extorquer à son utilisateur ses données personnelles. Par exemple, des chercheurs ont mis au point une appli d’horoscope qui réclame au bout d’un certain temps des informations confidentielles, avec des injonctions telles que « Votre mot de passe a expiré pour continuer à utiliser le service, merci de le dicter ».
Le ransomware plus sophistiqué
Autre fléau indétrônable, le rançongiciel reste la cyberattaque la plus répandue. Outre l’envoi par mail de pièces jointes infectées, de nouvelles tendances se sont dégagées en 2019 à ce sujet. D’abord, les attaques se regroupent désormais en campagne : sous le terme de Big Game Hunting, elles sont plus massives et mieux organisées, comme en témoigne le rançongiciel Ryuk en Floride.
Les attaques par tiers, presque indécelables
Il se trouve aussi que ces attaques se servent de plus en plus d’un tiers, comme les fournisseurs de services informatiques, pour déguiser leurs méfaits. Intérêt : une fois le fournisseur infecté, toutes les actions de vol et d’exfiltration de données ressemblent à des actions légitimes de la part du-dit fournisseur. « Les attaques par les tiers seront un des défis majeurs de 2020. Il est difficile de les détecter et de réagir parfois avec un contexte contractuel complexe. La filière de la cybersécurité va devoir travailler sur la redéfinition même de la notion de confiance qui ne peut plus qu’être contractuelle et par l’intermédiaire de vérifications régulières comme des audits. Une approche temps réel sera nécessaire avec une capacité de réaction rapide et de gestion de crise » estime Gérôme Billois, associé au sein du cabinet Wavestone.
Le Cloud, pas si safe
Qui dit recours au Cloud, dit risque plus élevé de fuite de données. A cet égard, Olivier Morel, directeur général adjoint chez Ilex International, cite quelques exemples qui pointent du doigt les Clouds mal protégés ou mal configurés comme les moteurs de recherche et d’analyse ElasticSearch (AWS), les failles 0-day sur le forum vBulletin, les espaces de stockage Amazon S3, ou encore les bases de données MongoDB sans mot de passe.
Quelle stratégie de communication en cas d’attaque ?
Certes, ce florilège d’attaques a de quoi faire blêmir mais il pose également la question de la gestion de crise. Des entreprises comme Altran préfèrent rester discrètes sur les attaques qu’elles subissent en se contentant d’un communiqué de presse au début de la crise et d’un retour d’expérience à l’issue. D’autres groupes, comme Norsk Hydro en Norvège, font le choix de la transparence totale à travers une communication en temps réel de ce qui est en train de se passer avec un site web dédié, ou l’organisation de visites des sites.
Une plateforme pour porter plainte
Hormis la mise en place en amont d’une stratégie de communication de crise adéquate, d’autres solutions de défense sont en train d’apparaître, notamment du côté réglementaire. Ainsi Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité (SDLC) à la Direction centrale de la police judiciaire, a-t-elle annoncé l’arrivée prochaine d’une plateforme de plainte en ligne pour les e-escroqueries opérée par le ministère de l’Intérieur. Baptisée Thésée pour Traitement harmonisé des enquêtes et signalements pour les e-escroqueries, ce cyber commissariat devrait être mis en place au cours du premier trimestre 2020.
Ségolène Kahn
Commentez