2017 aura marqué un tournant dans la cybercriminalité : avec les nombreuses attaques massives que nous avons connues, ransomwares WannaCry et NotPetya en tête, les entreprises ont pris conscience de la gravité de la situation et de la nécessité de prendre des mesures pour se protéger. Selon le rapport de CXP Group "La maturité des entreprises françaises face à la cyber-conformité", publié mi-2017, 80 % des entreprises françaises connaissent leurs obligations règlementaires en matière de cybersécurité. Cependant, selon l'enquête annuelle PAC CxO 3000 de 2017, 41 % des entreprises françaises pensent qu'avoir une informatique fiable et sécurisée est plus difficile d'année en année.
Un autre rapport, récemment publié par McAfee et réalisé par en partenariat avec le Center of Strategic and International Studies ("Economic Impact of Cybercrime – No Slowing Down"), révèle que l'économie du cybercrime coûte annuellement près de 600 milliards de dollars aux entreprises, soit 0,8 % du PIB mondial. En comparaison avec la première étude du genre, qui avait été réalisée en 2014, ce chiffre est en hausse de 26 %. Le rapport attribue cette croissance notamment à la facilité de s'engager dans la cybercriminalité, à l'adoption rapide des nouvelles technologies par les cybercriminels, ainsi qu'à la sophistication financière croissante des plus aguerris d'entre eux. Le ransomware est le vecteur d'attaque enregistrant le taux de croissance le plus rapide : on dénombre plus de 45 000 variantes de Ransomware-as-a-Service (RaaS). Ils représentent 4 000 attaques quotidiennes de ce type, en croissance de 300 % depuis 2015, selon le FBI. Les motivations des cybercriminels sont plus variées et, outre la criminalité pure et dure, peuvent aujourd'hui aussi relever de l'activisme politique ou de l'espionnage. Les impacts sur les entreprises sont nombreux et peuvent concerner le vol ou la perte de données, le blocage ou la perturbation d'une activité on-line mais aussi physique et se soldent toujours par des retombées financières.
Quelques pistes
Si le volet technologique est indispensable pour se protéger, notamment via la sécurisation des terminaux fixes et mobiles, de nombreux autres leviers doivent être actionnés, à commencer par la formation des collaborateurs et la connaissance des méthodes employées par les pirates (cf. encadré). Si la formation n'est certainement pas le remède absolu contre les erreurs humaines, elle demeure indispensable à la maîtrise des technologies de défense.
Le rapport de McAfee cité plus haut fait un certain nombre de recommandations sur la manière de gérer la cybercriminalité, via notamment la mise en œuvre uniforme des mesures de sécurité de base et l'investissement dans les technologies défensives. Il préconise en outre une coopération accrue entre les organismes internationaux d'application des lois, l'amélioration de la collecte de données par les autorités nationales, une plus grande normalisation et coordination des exigences en matière de cybersécurité, ou encore une pression internationale sur les "sanctuaires" publics pour le cybercrime. Toutes choses pas très simples à mettre en œuvre.
Des pistes plus pragmatiques, notamment pour les utilisateurs finaux, passent par des mesures de bon sens comme l'utilisation d'un gestionnaire de mots de passe et, mieux, par un système d'authentification forte, c'est-à-dire en deux étapes : les mots de passe simples offrent en effet un faible niveau de sécurité et ne sont souvent pas utilisés correctement. La meilleure défense est l'authentification multi facteurs. Il faut aussi inciter ses utilisateurs à faire des mises à jour régulières de leurs logiciels et surtout de leurs OS, ainsi que des sauvegardes. Mais de vraies sauvegardes, dont on teste l'efficacité de temps en temps, à l'instar de ce que le RSI (Responsable Sécurité Numérique) est censé faire avec son PRA (Plan de Reprise d'Activité).
La défense contre la cybercriminalité passe aussi par des bonnes pratiques comme de ne pas cliquer à tort et à travers sur n'importe quoi, de ne pas se connecter à des réseaux WiFi non protégés ou encore de ne jamais laisser son ordinateur ouvert en public, ce que l'on constate hélas encore trop souvent en entreprise, lorsque la personne s'absente pour déjeuner ou pour participer à une réunion, par exemple. Et bien sûr ne pas envoyer de paiements en réponse à de simples e-mails et se méfier des offres par trop alléchantes, voire gratuites.
À l'heure de la transformation numérique et de l'agilité constatée des cybercriminels, il convient de s'adapter ses comportements en matière de cyber-sécurité en devenant plus agile, plus réactif et plus adaptable. La prévention de la cybercriminalité concerne l'entreprise dans son ensemble ; les directives ne peuvent venir que du plus haut niveau. Ainsi, Syntec Numérique synthétise la conduite à tenir en édictant six règles d'or à adopter par les directions générales : la première étape consiste à identifier, à quantifier et à prioriser les risques. Puis, elle passe par la nomination d'un RSI, par l'allocation d'un budget de cybersécurité et l'intégration d'un critère de confiance dans les achats IT (comme le label "France Cybersecurity", par exemple). Il faut aussi s'assurer de la prise en compte de la sécurité dans les projets que l'on mène, au travers, si possible, d'un manuel de bonnes pratiques propre à l'entreprise et enfin, contrôler régulièrement la sécurité et exiger des résultats.
Benoît Herr
L'éditeur Malwarebytes liste les 5 techniques les plus fréquemment employées par les cybercriminels pour la propagation de malware et constate que ceux qui déclarent que la plus importante faille de sécurité en matière d'informatique se situe entre le fauteuil et l'écran n'ont pas tout à fait tort...
Les spams malveillants
Qu'ils contiennent des pièces jointes corrompues ou des liens renvoyant vers des sites Web malveillants, les e-mails malveillants sont surement la manière la plus connue de propager des malwares. Récemment, plusieurs vulnérabilités ne nécessitant que peu ou pas du tout d'action de la part du destinataire ont été utilisées par les pirates. Sur simple ouverture, des pièces jointes ou des e-mails eux-mêmes ont pu provoquer des requêtes et télécharger et exécuter automatiquement du code malveillant. C'est notamment le cas du célèbre malware FinSpy. Les pirates ont aussi misé sur des technologies anciennes comme le format d'archivage .ace, pour déjouer la vigilance des systèmes automatisés et les utilitaires de détection de spam. Pour déjouer ces techniques, il est conseillé de n'ouvrir les e-mails et pièces-jointes d'expéditeurs connus en vérifiant non seulement le nom affiché mais également la syntaxe de l'adresse utilisée. Quand bien même les deux ne présenteraient aucun élément suspect, il convient de vérifier le lien à cliquer ou la pièce jointe : ont-ils une syntaxe correcte ? Sont-ils réellement attendus ?
L'exploitation d'EternalBlue
WannaCry et NotPetya utilisent, pour se propager, une fuite provenant de la NSA et exploitée sous le nom d'EternalBlue, qui exploite une vulnérabilité présente au sein de nombreux systèmes d'exploitation Windows. Signalé à Microsoft plusieurs mois avant la première vague d'attaque et malgré le déploiement de correctifs, de nombreuses machines non mises à jour se sont vues infectées. Adylkuzz, un mineur de Bitcoin, utilise lui aussi ce vecteur pour infecter des systèmes et appliquer un patch empêchant tout malware supplémentaire de s'installer par la suite. CoinMiner, une autre famille de mineur, profite également d'EternalBlue pour opérer.
Les attaques par le biais de logiciels corrompus
On installe souvent des logiciels téléchargés et parfois on se retrouve avec une barre d'outils perturbant le fonctionnement du navigateur ou avec des publicités intempestives. Le logiciel de nettoyage et de maintenance Ccleaner a vu l'une de ses versions compromises au cours même de sa construction, ce qui illustre la planification méticuleuse et le haut niveau de sophistication des pirates. Cette mésaventure est également survenue sur des machines Apple avec le logiciel de gravure de DVD HandBrake, puis par les applications Elmedia Player et Folx, distribuées par Eltima Software, tous infectés par Proton. Celui-ci est capable de récupérer des mots de passe, notamment ceux stockés dans les navigateurs.
Les attaques géolocalisées
Les pirates se mettent parfois au marketing : les attaques géociblées visant à perturber, déstabiliser ou compromettre des données sont de plus en plus fréquentes. On constate ainsi l'émergence du ransomware Magniber qui, si la victime n'est pas localisée en Corée du Sud, s'auto-supprime de façon inoffensive. Finfisher sévit quant à lui au Moyen-Orient et, propulsé par le groupe de pirates BlackOasis, cible des organisations et individus liés à la politique de la région, notamment des journalistes, militants ou membres de l'ONU. Enfin, BadRabbit et NotPetya ont été essentiellement actifs en Ukraine dans l'univers du transport pour le premier, et de l'énergie pour le second.
Dans le monde francophone, c'est l'escroquerie au support technique qui a marqué les esprits : de fausses pages affichant des messages d'alerte invitaient les victimes à appeler un numéro. Au bout du fil, des opérateurs parlant un français quasi parfait et capitalisant sur leur crédulité se chargeaient alors de leur faire payer des prestations sans aucun intérêt.
La fraude publicitaire
La fraude publicitaire est problématique pour les annonceurs, qui, à cause de botnets imitant le comportement des visiteurs, voient leurs dépenses gaspillées et les statistiques de visibilité perturbées. Mais c'est l'internaute de base qui risque le plus à cause de campagnes frauduleuses et de malwares conçus pour échapper à la détection. Une de ces campagnes, qui s'est déroulée sur Yahoo, incitait les utilisateurs à télécharger un faux patch pour Firefox. De plus en plus, les pirates utilisent des techniques de phishing dont l'une d'entre-elles consiste à remplacer un texte par de faux caractères. L'internaute se laisse ainsi persuader qu'il lui manque une police pour afficher correctement le contenu. Évidemment, l'installateur de polices proposé est bien souvent un ransomware.