Cybersécurité : les prévisions de Bitdefender pour 2020

Chez Bitdefender, nous voulons partager nos prévisions pour l’année qui vient de commencer. Voici donc nos principales prévisions en ce qui concerne la cybersécurité sur l’année 2020 et ce à quoi nous devrions assister.

Plus de vulnérabilités avec un plus grand impact
Les rapports de vulnérabilités et d’exploits devraient augmenter en 2020. Le nombre de CVE (Common Vulnerabilities and Exposures, ou failles répertoriées) a augmenté régulièrement au cours des deux dernières années, et il n’a jamais baissé deux années de suite. De plus, compte tenu de la fragmentation accrue du matériel et des logiciels, et de l’adoption à grande échelle de structures open source, nous pouvons probablement nous attendre à un effet en cascade lorsqu’une vulnérabilité est trouvée dans un composant et utilisée en masse. Ces vulnérabilités affecteront de nombreux fournisseurs et fabricants, avec potentiellement des conséquences profondes sur les consommateurs et les organisations.
L’adoption accrue de programmes de récompenses (bug bounty) par les entreprises et les organisations a également stimulé la croissance des divulgations éthiques. Cependant, les délais de non-divulgation ont parfois été repoussés à plus de six mois, ce qui entraînera un décalage en 2020 de vulnérabilités signalées en 2019.
En août 2019, plus de 100 autorités de numérotation CVE certifiées (CNA) avaient volontairement repris la tâche de documenter et d’attribuer des scores et des numéros CVE aux vulnérabilités signalées. Cette augmentation indique également que davantage de vulnérabilités sont – et seront – signalées, nécessitant plus de ressources pour les documenter et les traiter.

La complexité des logiciels et des connaissances nécessaires aux attaques et à la protection augmentera, la sophistication des logiciels malveillants augmente
Les attaques réussies ciblant tout, du Web et du cloud à l’ingénierie sociale, à l’intelligence artificielle et même aux failles matérielles de bas niveau, nécessiteront des connaissances beaucoup plus avancées et approfondies de la part des pirates. Cela entraînera une sophistication accrue des logiciels malveillants, les attaquants pouvant potentiellement développer de nouveaux outils et techniques pour esquiver les couches de sécurité traditionnelles.

Diversification accrue de l’Internet des Objets sans sécurité appropriée : attaques contre les infrastructures et retours d’anciennes CVE
Avec plus de 20 milliards d’appareils connectés (Internet of Things) à Internet en 2020, le nombre d’attaques ciblant des vulnérabilités non corrigées augmentera. En l’absence de cadres de sécurité ou de réglementations disponibles pour garantir la sécurité des appareils et des données qu’ils collectent, traitent et distribuent, et un manque de cycles de correctifs réguliers poussés par les fournisseurs pour remédier aux vulnérabilités connues, nous verrons probablement les anciennes CVE utilisés ici et là pour compromettre les objets connectés. Les objets connectés industriels sont également susceptibles de devenir plus attrayants pour les cybercriminels, potentiellement motivés par un gouvernement, car ils peuvent être utilisés pour perturber les services et les infrastructures critiques.

Les acteurs étatiques utiliseront de plus en plus la cyberguerre, du moins secrètement; attribution à d’autres nations
La fuite des Shadow Brokers (les “courtiers de l’ombre”, groupe de hackers connu pour avoir dévoilé des outils d’espionnage lié à la National Security Agency), qui a révélé des outils spécialement conçus pour planter des artefacts dans les Advanced Persistent Threats (menaces persistantes avancées) pointant vers divers pays, illustre comment les logiciels malveillants de cyberguerre deviendront de plus en plus difficiles à attribuer à une nation spécifique ou à un groupe soutenu par une nation. Le contexte géopolitique alimentera le développement et l’utilisation des cyberarmes, soit pour l’espionnage ou la manipulation politique, soit même pour perturber les infrastructures critiques. Les élections présidentielles américaines jouant un rôle vital dans le monde, davantage d’APT seront probablement découvertes et attribuées à des motifs politiques.

La lutte contre la censure gouvernementale (lutte pour la vie privée) s’intensifiera
Le contrecoup de la législation visant à renforcer la censure ou à affaiblir les outils et services de chiffrement se poursuivra tout au long de 2020, alors que les défenseurs de la vie privée et les organisations luttent contre elle. Le gouvernement australien a récemment fait face à des réactions violentes de la part de grandes entreprises technologiques après avoir proposé une législation permettant aux forces de l’ordre de déchiffrer des communications spécifiques et de fournir une aide “volontaire” en partageant des détails techniques concernant les nouvelles technologies et les nouveaux services en cours de développement.
En tant que tel, davantage d’outils et de services axés sur la confidentialité et le chiffrement seront probablement adoptés à la fois par l’utilisateur lambda et les cybercriminels.

DeepFakes / FakeNews
Les techniques DeepFake (hypertrucage) s’amélioreront et pourraient stimuler de nouvelles vagues de cybercriminalité. Le DeepFake audio a déjà été utilisé dans des appels téléphoniques frauduleux, incitant les organisations à transférer des fonds vers des comptes contrôlés par des cybercriminels. Les pirates s’en sont sortis avec un pactole de 243 000 $ en usurpant l’identité du PDG d’une société énergétique allemande. L’arnaque DeepVoice a persuadé le PDG de la filiale britannique à transférer les fonds à un fournisseur hongrois dans l’heure.
Ces incidents montrent comment la création artificielle de contenu vidéo et audio à l’aide de l’apprentissage automatique entraînera probablement plus d’arnaques d’ingénierie sociale par les fraudeurs.
Les élections présidentielles américaines de 2020, événement d’une extrême importance, peuvent également donner lieu à de fausses informations (fake news) et à des escroqueries. Les allégations d’ingérence d’États extérieurs ont suscité une vive controverse lors de la dernière élection présidentielle, et les médias sont susceptibles de repérer plus de contrefaçons et d’intox en 2020.

Ransomware ciblé
Alors que la famille de rançongiciels GandCrab a été déclassée par ses auteurs, d’autres ayant des similitudes frappantes et le même modèle commercial – comme Sodinokibi – sont devenus de plus en plus populaires. Les familles de ransomwares qui ciblent des secteurs spécifiques, tels que les soins de santé, les infrastructures critiques et l’éducation, deviendront plus courantes. D’autres dérivés de GrandCrab, peut-être même développés par le même groupe, apparaîtront probablement avec de nouvelles «fonctionnalités» pour esquiver la sécurité et maximiser les profits.

Attaques FinTech
Alors que les institutions financières subissent une pression croissante pour créer des API et ouvrir leurs infrastructures aux sociétés FinTech (de technologie financière), les cybercriminels cibleront probablement ces organisations, à la fois parce qu’elles peuvent avoir des pratiques laxistes en matière de sécurité et parce qu’elles stockent, traitent et ont accès aux données financières critiques et sensibles des utilisateurs.
Les startups de la FinTech sont plus susceptibles d’être vulnérables au phishing (hameçonnage), aux attaques de leurs applications Web et mobiles, en raison de logiciels commerciaux obsolètes, open-source et manquant de véritables procédures de sécurité. En somme, le problème central auquel sont confrontées les startups fintech est la création de meilleurs protocoles pour améliorer la sécurité et la protection des données. Des audits de sécurité récents suggèrent que les principaux sites Web des entreprises échouent aux tests de conformité PCI DSS, tandis que les backends des applications mobiles rencontrent des problèmes de confidentialité ou de graves erreurs de configuration liées au chiffrement et un renforcement insuffisant de la sécurité du serveur Web.
En 2019, nous avons déjà constaté des violations de données fintech (y compris des victimes identifiées comme des sociétés Fortune 500) qui se sont produites en raison d’un stockage incorrect des données personnelles (par exemple, dans des fichiers journaux), des procédures d’authentification faibles qui ont permis aux attaquants de réinitialiser le mot de passe de sauvegarde en ligne pour les clients, ou en exposant par inadvertance des documents internes dans des espaces publics.
L’un des exemples les plus élaborés implique des pirates utilisant des e-mails falsifiés et de faux domaines pour détourner 1 million de dollars de capitaux d’amorçage d’une société de capital-risque vers une startup israélienne. Ce type d’attaque BEC (Business Email Compromise) montre que les fintechs pourraient risquer beaucoup plus qu’exposer les données clients, et aussi perdre de grandes quantités d’argent des fonds d’investissement.

Franken-malware : des composants malveillants polyvalents capables de tout
L’industrie des logiciels malveillants en tant que service commencera à réutiliser et à améliorer des composants et outils précédemment connus, conçus pour l’infiltration et la persistance, afin de permettre à leur «client» de déployer tout type de logiciels malveillants, allant des ransomwares aux mineurs de crypto-monnaie en passant par les exploits et autres logiciels espions. Nous avons déjà constaté une augmentation de ces injecteurs réutilisés dans des campagnes de logiciels malveillants et potentiellement par différents cybercriminels, propageant plusieurs types de menaces à motivation financière. Les développeurs de malware commenceront probablement à se concentrer sur la livraison d’outils qui offrent les moyens d’infiltrer et de supprimer les charges utiles de logiciels malveillants en fonction des demandes de leurs «clients».

Menaces basées sur le cloud
L’adoption du cloud continuera d’augmenter. Les entreprises verront probablement davantage d’attaques provenant de menaces fondées sur le cloud et causées par des vulnérabilités et de mauvaises configurations. Elles se propageront rapidement à travers des infrastructures privées, publiques ou hybrides. L’adoption d’infrastructures IaaS (Infrastructure as a Service, modèle de cloud computing destiné aux entreprises) couplée à la mutualisation des environnements cloud exercera encore plus de pression sur l’isolement et la confidentialité des données si les attaquants compromettent ces infrastructures. La prolifération et la diversification des technologies cloud destinées à augmenter la productivité, l’efficacité et l’évolutivité sont susceptibles d’élargir davantage une surface d’attaque déjà importante.
Les cybercriminels commenceront également à utiliser le cloud plus souvent pour diffuser leurs menaces et contrôler à distance les victimes. Plus de logiciels malveillants commenceront à abuser des plates-formes de développement Web populaires, telles que GitHub, pour servir de canaux pour les communications de commande et de contrôle. Cela permettra aux acteurs malveillants d’abuser des services cloud légitimes pour rester incognito et échapper aux solutions de sécurité des terminaux et des réseaux.