in

Les prévisions de Proofpoint pour 2017 en matière de cybersécurité

En 2017, les hackers continueront d’exploiter l’humain pour installer des logiciels malveillants, transférer des fonds et voler des informations. Des changements significatifs auront cependant lieu dans les techniques et comportements adoptés au travers des trois principaux vecteurs qui ciblent les personnes : l’e-mail, les médias sociaux et les applications mobiles.

Baisse d’intensité des menaces avancées

En 2016, il ne s’est pratiquement pas écoulé une semaine sans une intensification des campagnes d’e-mails propageant le logiciel rançonneur Locky. Ces campagnes ciblent des centaines de millions de victimes potentielles à travers le monde afin que, même avec de faibles taux de diffusion, des milliers de messages atteignent néanmoins leurs cibles. Cependant, elles accentuent également le risque que les éditeurs de solutions de sécurité et les chercheurs observent et analysent leurs nouvelles techniques et charges malveillantes. Malgré l’intégration de techniques de filtrage de plus en plus élaborées destinées à masquer leurs campagnes, les auteurs de kits d’exploitation ont eux aussi constaté que des attaques à grande échelle peuvent présenter autant de risques que d’avantages.

Nous prévoyons donc qu’en 2017, les auteurs de menaces avancées vont revenir à des campagnes de moindre ampleur, plus ciblées, pour diffuser leurs malwares. Les campagnes d’e-mails volumétriques ne vont pas disparaître mais seront réservées à des codes malveillants « banalisés », tels que des exécutables compressés au format zip (notamment du JavaScript), afin de propager des variantes de ransomwares commerciaux, tandis que les campagnes plus ciblées vont voir augmenter tant leur nombre que leur complexité. Les kits d’exploitation vont poursuivre leur tendance récente, à savoir des attaques à plus petite échelle et le ciblage de zones géographiques où leurs activités sont moins susceptibles d’être surveillées par les chercheurs en sécurité.

Essoufflement des macros malveillantes

L’an passé, nous avions prévu que les campagnes volumétriques de macros malveillantes de 2015 finiraient par s’essouffler vers la mi-2016. Cette prévision s’est globalement réalisée : lors des campagnes massives qui ont suivi la panne du botnet Necurs en juin, des fichiers JavaScript et autres exécutables zippés diffusant Locky (avec l’appui de Dridex) ont dans une large mesure remplacé les documents joints contenant des macros malveillantes. Cependant, ces dernières ont continué d’être largement utilisées dans des campagnes plus ciblées et de moindre ampleur, propageant des chevaux de Troie bancaires tels que Dridex, Ursnif, Vawtrak et – vers la fin de l’année 2016 – divers autres malwares, servant à intercepter des frappes clavier (keyloggers), à accéder aux ordinateurs à distance (RAT), à télécharger des codes malveillants (downloaders) ou à dérober des informations (stealers). Des innovations constantes en vue d’échapper aux « sandbox » ont donné un second souffle à ces attaques de macros mais nous nous attendons à ce que, d’ici avril 2017, ces mesures ne suffisent même plus à assurer des taux d’efficacité générant un retour d’investissement sur ces campagnes. Les attaques de fichiers JavaScript (js, wsf, hta, vbs) zippés se poursuivront mais seront aussi minoritaires que les exécutables zippés. Parallèlement, les cybercriminels ne cesseront d’améliorer et d’automatiser davantage encore les campagnes de spearphishing pour en faire des attaques « individualisées » à plus grande échelle, en y ajoutant des informations d’identification personnelle afin de rendre leurs messages plus crédibles. Une recrudescence des attaques de documents exploitant des vulnérabilités est peu probable (voir la section suivante). Les auteurs des attaques se concentreront plutôt sur l’ingénierie sociale pour lui donner un rôle central dans la chaîne d’infection, en incitant les utilisateurs à cliquer sur des exécutables incorporés à des documents afin de leur faire installer des logiciels malveillants se faisant passer pour des applications authentiques incluses en pièces jointes, accessibles via des liens pointant vers de véritables sites d’hébergement ou des services de partage de fichiers, ou bien travestis en éléments familiers de l’interface utilisateur Windows.

Remplacement des kits d’exploitation par des « kits humains »

Les kits d’exploitation mettent à profit l’existence de vulnérabilités pouvant être ciblées avec efficacité sur les machines des victimes potentielles. A cet égard, la baisse constante, depuis plusieurs années, à la fois du nombre total des failles rendues publiques et, plus important encore, des moyens publiés de les exploiter met en péril le modèle économique de ce type d’outils cybercriminels. Alors que les nouvelles vulnérabilités exploitables sont de moins en moins nombreuses, que les entreprises et les utilisateurs installent plus régulièrement les correctifs, que la sécurité des navigateurs et des systèmes d’exploitation se renforce et que les auteurs des attaques se voient contraints de combiner plusieurs failles, l’effondrement des kits d’exploitation en 2016 peut être considéré, au moins en partie, comme une prise de conscience par les acteurs malveillants de la nouvelle réalité des attaques de ce type : leur durée d’efficacité est réduite et elles deviennent de moins en moins fiables en tant que vecteur de diffusion de malware. Nous avons déjà observé en 2015 un phénomène comparable touchant les campagnes d’e-mails, lorsque les attaques d’ingénierie sociale sous la forme de documents joints contenant des macros malveillantes ont largement remplacé celles exploitant des vulnérabilités dans les documents PDF et Office.

Pour 2017, nous pensons que les kits d’exploitation vont connaître une évolution similaire en étant de plus en plus axés sur l’ingénierie sociale : les groupes évolués, notamment ceux utilisant ces kits et les publicités malveillantes, vont continuer de délaisser les vulnérabilités des logiciels au profit de tentatives de leurrer les utilisateurs. Les kits d’exploitation deviendront des « kits humains » regroupant un éventail étendu de techniques conçues pour amener les utilisateurs à infecter leur propre machine avec une charge malveillante, par le biais d’une publicité, d’une incitation à cliquer ou encore de messages personnalisés de manière convaincante, à l’exemple de ceux que nous avons observés dans les campagnes d’e-mails en 2016. Dans le même temps, les kits d’exploitation ne vont pas disparaître pour autant mais ils deviendront plus ciblés, visant des utilisateurs dans des régions du monde traditionnellement plus lentes à installer les correctifs et où la surveillance des chercheurs est moins intense. De nouveaux kits continueront d’arriver sur le marché, avec des fonctionnalités leur permettant de tirer le meilleur parti des failles disponibles, qu’elles soient publiées ou de type « zero day ».

Poursuite de l’évolution des escroqueries par e-mail en entreprise (BEC) et des lourdes pertes occasionnées

Depuis la mi-2015, les escroqueries par e-mail (BEC, Business Email Compromise) représentent une menace majeure pour les entreprises, causant plus de 3 milliards de pertes selon des estimations récentes. Le montant global de ces préjudices est appelé à augmenter même si le nombre d’incidents de grande ampleur de ce type est en recul grâce au renforcement des procédures et des contrôles financiers dans les grandes entreprises. Au sein de celles-ci, ces nouvelles règles éviteront totalement les pertes spectaculaires de 2015 et 2016 en instaurant un contrôle plus strict des ordres de virement. Malheureusement, ces changements ne seront pas universels et, en dehors des zones développées d’Amérique du Nord et d’Europe, il restera possible pour des individus de passer de faux ordres de virement. Même dans les pays où des contrôles renforcés sont mis en place, les petites et moyennes entreprises resteront vulnérables aux attaques BEC et verront s’accroître leur part dans le montant global des pertes. En outre, nous continuerons d’observer des variations saisonnières de ces attaques, à l’image des campagnes « W2 request » qui ont marqué le début de l’année 2016, mais ces cas demeureront relativement peu fréquents.

Automatisation complète des attaques de phishing Angler

L’an dernier, le phishing de type Angler s’est développé tant en termes d’étendue des cibles que de sophistication des techniques d’ingénierie sociale employées. Pourtant ces attaques n’ont pas atteint le degré d’automatisation couramment observés dans les kits d’exploitation et de phishing : en 2016, on voyait encore des fautes de copier-coller, de grammaire et d’orthographes, des noms de marque incorrects dans les messages et autres erreurs fréquentes révélatrices d’un travail fait à la main. En 2017 nous prévoyons que les escrocs feront appel à l’automatisation et à un niveau élémentaire de traitement du langage naturel afin de perfectionner leurs techniques d’attaque. Cela devrait leur permettre de cibler à la fois un plus grand nombre de marques et de victimes dans chaque campagne de messages frauduleux. Les auteurs des attaques ont déjà montré leur capacité à synchroniser le lancement de leurs campagnes sur celui des produits, au moment où une intensification des communications est attendue sur les canaux de support des réseaux sociaux : nous prévoyons une accentuation de cette tendance en 2017 en raison de la montée en puissance des ressources.

Poursuite de l’accélération des attaques via les réseaux sociaux et exploration de nouveaux territoires

L’hypercroissance des réseaux sociaux a ouvert la voie à une croissance tout aussi rapide des attaques sur ces plates-formes, ainsi qu’à une évolution simultanée des attaques les utilisant comme vecteur. En raison de leur retour sur investissement nettement plus élevé, nous prévoyons que le rythme de croissance des attaques sur les réseaux sociaux s’accélérera en 2017. En particulier :

  • Progression annuelle supérieure à 100 % des escroqueries et du phishing sur les réseaux sociaux
  • Progression annuelle supérieure à 500 % du spam sur les réseaux sociaux
  • Augmentation significative des fraudes et des contrefaçons utilisant de faux comptes sur les réseaux sociaux
  • Augmentation significative des techniques intégrées de fraude utilisant des comptes sur les réseaux sociaux, de fausses applications mobiles, des sites web frauduleux et des e-mails d’imposteurs

Snapchat sera plus particulièrement dans la ligne de mire en 2017. Alors que ce réseau social s’est imposé comme l’une des plates-formes de communication les plus actives, il n’a pas encore fait l’objet d’attaques de grande ampleur. Nous prévoyons qu’en 2017, soit un certain nombre de campagnes d’envergure seront lancées avec succès, soit une faille de sécurité majeure sera révélée dans la plate-forme elle-même, avec la publication d’une preuve de concept (du code informatique permettant de l’exploiter).

Par ailleurs, les plates-formes de paiement sur les réseaux sociaux seront vraisemblablement la cible d’attaques plus soutenues en 2017. Alors que les réseaux sociaux deviennent de plus en plus évolués, bon nombre d’entre eux (à l’exemple de Facebook, Wechat, Line, etc.) ont lancé des services de paiement. Ces services voient leur volume de transactions augmenter à mesure que leurs écosystèmes s’enrichissent de fonctionnalités. En 2017, ces tendances vont attirer l’attention des pirates et les plates-formes de paiement sont mûres pour des attaques ciblées exploitant des vulnérabilités ou des techniques d’ingénierie sociale.

Menaces mobiles : le génie est sorti de la bouteille

L’année 2016 a marqué un tournant dans le paysage des menaces mobiles avec l’émergence du risque de clones malveillants d’applications répandues, l’utilisation accrue du « sideloading » pour la diffusion d’applications non autorisées et la disponibilité d’outils d’attaque ciblée pour les mobiles, éliminant tout doute pouvant subsister quant au fait que ces appareils – et leurs utilisateurs– sont aussi vulnérables aux attaques que les ordinateurs, voire davantage encore dans la mesure où ces dangers demeurent moins bien compris. En 2017, des attaques « zero day » telles que celles menées par le kit mobile Pegasus et les vulnérabilités « Trident » associées ne seront plus uniquement le fait d’acteurs étatiques ciblant des dissidents mais toucheront également les entreprises et les particuliers. Grâce à ces outils et à d’autres, les cybercriminels passeront de plus en plus par les systèmes SMS et iMessage pour diffuser des URL malveillantes voire des attaques « zero day ». Celles-ci seront à la fois massives, par exemple sous forme de phishing visant les mots de passe des comptes bancaires et les numéros de carte, et ciblées en direction de certains employés et responsables d’entreprises. Dans le même temps, la catégorie des logiciels malveillants et dangereux va s’étendre aux applications frauduleuses, que les utilisateurs sont incités à installer par des techniques d’ingénierie sociale usurpant le nom de l’éditeur. Ces applications peuvent avoir pour but d’infecter les appareils mobiles ou tout simplement de dérober de l’argent en se servant du nom d’une marque authentique pour amener par ruse les utilisateurs à effectuer des achats par carte de crédit ou à cliquer sur des publicités frauduleuses.

Recrudescence des attaques étatiques allant au-delà du piratage de données

La nouvelle administration américaine présente de nombreuses inconnues dans des domaines allant de la politique commerciale à celle de défense. Les prochaines élections en France et dans d’autres pays européens peuvent également aboutir à un niveau d’incertitude similaire. C’est pourquoi, en 2017, nous nous attendons à une recrudescence des cyberattaques étatiques et, en particulier, des intrusions sophistiquées et sournoises (menaces persistantes avancées, ou APT) ciblant toutes les branches de l’administration américaine à partir de divers pays, notamment un regain d’activité d’acteurs étatiques chinois relativement calmes. Comme l’a montré la campagne signalée le 9 novembre, l’e-mail demeurera le principal vecteur pour le ciblage de personnes et d’entreprises susceptibles d’avoir accès à des données aidant des puissances étrangères à connaître et anticiper les politiques et les projets des nouveaux gouvernements aux Etats-Unis et en Europe dans le cadre de négociations diplomatiques et commerciales. En outre, la nature des cyberattaques étatiques va s’étendre considérablement au-delà du vol de secrets et de l’espionnage industriel. Avec l’efficacité du « doxing », du vol de données, des révélations embarrassantes et de la désinformation déjà démontrée dans de nombreux pays, de plus en plus de gouvernements tenteront de recourir à des cyberattaques pour s’approprier des informations et exploiter les réseaux sociaux et les sites d’actualités afin de semer la zizanie et le chaos dans d’autres Etats pouvant éventuellement nuire à leurs intérêts. Sur les réseaux sociaux, des trolls étatiques ciblent d’ores et déjà des dissidents et des critiques de certains régimes, une pratique bien documentée en Europe centrale et de l’Est et observée aux Etats-Unis durant le mois qui a précédé l’élection présidentielle. En 2017, elle deviendra plus répandue et plus agressive, employée par divers acteurs étatiques dans le dessein d’influencer les débats publics et les décisions politiques.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.