Comme chaque fin d'année, les principaux éditeurs de sécurité font un travail de prévisions sur l'évolution des risques et menaces pour l'année suivante dans un monde de plus en plus interconnecté et dépendant du numérique, comme l'actualité nous le rappelle trop souvent avec des entreprises ou services publics qui se retrouvent totalement bloqués, engendrant des situations parfois critiques lorsque cela touche par exemple des hôpitaux.
Acronis est l'un des acteurs majeurs dans le domaine de la cybersécurité, spécialisée à l'origine dans la sauvegarde avant d'évoluer vers une approche globale innovante et différenciante permettant de proposer dans une solution unifiée les traditionnelles fonctions de protection conte les différentes formes d'attaques (virus, ransomwares, et toutes formes de codes malveillants) à des fonctions avancées de sauvegarde en ligne et locale. Samy Reguieg, Regional Manager France d’Acronis partage avec nous les tendances qui vont selon lui marquer le paysage de la cybersécurité en 2023.
1. Authentification. Est-ce bien vous ?
Il est probable que les attaques des mécanismes d’authentification et des solutions IAM (Identity Access Management) de gestion des accès et des identités se multiplient et aboutissent plus fréquemment. L’on constate déjà de multiples tentatives de vol ou de contournement des tokens d’authentification multifactorielle (MFA). La volonté de submerger les cibles de requêtes, dans le cas d’attaques dites de fatigue MFA, peut également aboutir à l’établissement de connexions sans même qu’il y ait de vulnérabilité préalable. Les attaques récentes d’Okta et de Twilio ont également démontré que des services externes peuvent être compromis. Ces scénarios viennent s’ajouter aux sempiternels problèmes de mots de passe faibles et réutilisés. Il est donc extrêmement important de comprendre le fonctionnement des mécanismes d’authentification en place et de savoir qui a accès à quelles données.
2. Le ransomware toujours en force
La menace d’être victime d’une attaque de ransomware perdure et évolue. Elles tendent cependant vers l’exfiltration de données avec une forte volonté des cybercriminels de professionnaliser leurs opérations. La plupart s’ouvrent aux systèmes d’exploitation MacOS et Linux ainsi qu’à l’environnement cloud. De nouveaux langages de programmation comme Go et Rust se démocratisent et obligent à ajuster les outils d’analyse. Le nombre des attaques ne cesse d’augmenter, sachant qu’elles demeurent lucratives surtout quand des polices de cyberassurance couvrent en partie les pertes. Chaque fois que possible, les agresseurs voudront désinstaller les outils de sécurité, supprimer les sauvegardes et désactiver les plans de reprise après sinistre. Pour ce faire, ils utiliseront volontiers les techniques « living of the land ».
3. Compromissions de données à grande échelle
Les malwares utilisés pour dérober des données, comme Racoon et Redline, sont en train de devenir la norme. Souvent, des identifiants sont volés et vendus pour perpétrer de nouvelles attaques via des courtiers d’attaque initiale. Les multiples flux de données couplés à la complexité des services cloud interconnectés font que les entreprises ont plus de difficultés à suivre leurs données. Et comme toujours plus de parties doivent avoir accès aux données, il devient difficile de garantir qu’elles seront systématiquement chiffrées et protégées. Une simple clé d’accès à une API, sur GitHub ou une appli mobile, peut suffire pour voler des données. La question du respect de la vie privée va devenir centrale avec des avancées informatiques en ce sens.
4. Élargissement des attaques de phishing au-delà des e-mails
Les e-mails malveillants et attaques de phishing se comptent toujours en millions. Les agresseurs utiliseront des données obtenues illégalement pour personnaliser les attaques et les automatiser. Des scams d’ingénierie sociale, comme les attaques de compromission d’emails professionnels ou BEC (Business Email Compromise), vont s’étendre à d’autres services de messagerie, messages texte, Slack, chats Teams, etc. pour tromper les mécanismes de filtrage et de détection. Quant aux attaques de phishing, elles vont continuer d’utiliser des proxies pour capturer les tokens de sessions, voler des tokens MFA et faire diversion au moyen de QR codes pour avancer masquées.
5. Des contrats pas si intelligents que ça
Les attaques des plateformes d’échange de crypto et des contrats intelligents sur les différentes blockchains ne sont pas près de disparaître. L’on constate même des tentatives des États de voler des centaines de millions en monnaie numérique. Les attaques plus sophistiquées des contrats intelligents, du trading algorithmique et des solutions DeFi vont se poursuivre en plus des attaques plus classiques de phishing et de malware contre leurs utilisateurs.
6. Risques d’exploitation de l’infrastructure
Les fournisseurs de services sont de plus en plus attaqués et compromis. Les agresseurs piratent les outils installés, comme PSA, RMM ou d’autres outils de déploiement, pour s’en servir de base. La menace émane des fournisseurs de services IT gérés, mais aussi des sociétés de conseil, des prestataires du support de premier niveau et d’autres partenaires également amenés à se connecter. Ces initiés externes sont souvent vus comme le maillon le plus faible de la défense d’une entreprise, plus faciles à abuser que de fomenter des attaques complexes des fournisseurs de logiciels.
7. Les attaques depuis le navigateur
Les attaques depuis ou via le navigateur vont se multiplier pour se propager pendant les sessions. L’on constate l’existence d’extensions de navigateur trompeuses qui permutent les destinataires de transactions ou dérobent des mots de passe en arrière-plan. Certains piratent le code source de ces outils pour ajouter des portes dérobées via le référentiel GitHub. Les sites web vont aussi continuer de suivre les utilisateurs avec des scripts de tracking JavaScript et de partager les ID de sessions HTTP avec des services de marketing. Les techniques Formjacking/Magecart vont se généraliser également avec l’ajout de petits snippets conçus pour aspirer toutes les informations du site web original. Dans le contexte de l’informatique sans serveur, il sera encore plus compliqué d’analyser de telles attaques.
8. Automatisation cloud via des API
D’énormes quantités de données, de processus et d’infrastructures ont déjà été migrés dans le cloud. Cette tendance va se poursuivre avec l’automatisation entre services. De nombreux objets de l’IoT feront partie de ce vaste cloud de services hyperconnecté. Ceci se traduira par l’accessibilité de nombreuses API depuis Internet et la multiplication des attaques en conséquence. Le contexte de l’automatisation pourra donner lieu à des attaques de très grande échelle.
9. Attaques des processus métier
Les cybercriminels ne manquent pas d’esprit d’initiative pour modifier les processus métier dans leur intérêt et à leur profit. Ils n’hésitent pas, par exemple, à modifier les coordonnées bancaires du destinataire dans le modèle du système de gestion des factures d’une entreprise ou à ajouter leur bucket cloud comme destination des sauvegardes du serveur d’e-mail. Souvent, ces attaques procèdent davantage d’une analyse fine du comportement de l’utilisateur que d’un malware, comme pour les attaques d’initiés qui se multiplient.
10. Omniprésence de l’IA
Les processus d’IA et de ML vont bientôt être utilisés par les entreprises de toute taille et de tous secteurs. Des techniques avancées de création de données synthétiques vont venir favoriser les fraudes à l’identité et les campagnes de désinformation à partir de contenus faussement crédibles. Plus inquiétantes encore seront les attaques directes des modèles d’IA et de ML visant à exploiter les faiblesses du modèle, à biaiser délibérément des données ou à se servir de déclencheurs d’alertes pour noyer les opérations IT.