Revue de la cybersécurité 2017 : l’année du réveil – deuxième partie

Dans cette deuxième partie de notre étude sur la cybersécurité de 2017, nous jetons un regard rétrospectif sur certains des événements clés qui ont eu lieu tout au long d’une année très occupée. Si vous avez raté la première partie de notre article, vous pouvez la consulter ici.

Sécurité des données

Les chiffres récents de l'Indice de niveau de brèche de Gemalto pour la première moitié de 2017 montrent une tendance inquiétante et suggèrent que les brèches de données sont de plus en plus fréquentes et que le volume d'enregistrements impactés augmente de manière synchrone. Au total, 918 violations de données ont entraîné la compromission de 1,9 milliard d'enregistrements de données dans le monde au cours du premier semestre de 2017, le nombre d'enregistrements perdus, volés ou compromis ayant augmenté de 164 % par rapport au second semestre de 2016. Les États-Unis continuent d’être le foyer d'une majorité écrasante de violations de données.

On peut affirmer avec certitude que le vol de données à l'agence d'évaluation du crédit Equifax a volé le spectacle dans des brèches de données autonomes cette année. Le piratage d'Equifax, véritable histoire d’horreur pour toutes ses victimes, a entraîné le désordre dans l’entreprise, qui a en effet a été obligée de ramasser les pots cassés après la découverte de l'incident. Cette attaque a mis en lumière les préoccupations générales au sujet du traitement des données et de la vie privée.

Bien qu'elle ne soit pas nécessairement la plus importante en termes de documents compromis, l’importante brèche d'Equifax en 2017 s’est démarquée par le type d'informations divulguée. En effet, les violations de données peuvent être une triste réalité de la vie numérique, mais ce n'est pas tous les jours que des informations telles que les numéros de sécurité sociale d'un Américain sur deux sont volés.

C'est-à-dire, à moins de considérer « le filon mère de toutes les fuites »,  dans lequel la firme d'analyse de données Deep Root Analytics a accidentellement divulgué des renseignements personnels sur 198 millions d'électeurs américains à la moitié de cette année, dans ce qui est considéré comme la plus grande fuite de données électorales au monde. Il y a quelques jours à peine, il est apparu que les citoyens américains faisaient face à une autre fuite d'informations sensibles, affectant cette fois-ci 123 millions de foyers américains.

Pendant ce temps, Yahoo, qui n’en est pas à sa première nouvelle fracassante, a reconnu en octobre que l'une de ses deux violations massives - en août 2013 - touchait les trois milliards de comptes d'utilisateurs du service, plutôt que le milliard de comptes précédemment divulgués. Les identifiants d'accès exposés peuvent être utilisés pour des attaques automatisées à grande échelle appelées "bourrage d'identité", dans lesquelles les malencontreux tirent parti des noms et mots de passe appartenant à un compte pour envahir les autres comptes du même utilisateur, notamment dans les banques, étant donné le penchant bien connu des internautes pour la réutilisation de leurs mots de passe pour de nombreux comptes.

Vulnérabilités

L'importance de colmater les failles de sécurité a également été mise en évidence cette année. En effet, plusieurs des pires incidents auraient pu être évités si les systèmes avaient été réparés et si les bonnes pratiques de sécurité avaient été suivies. Un certain nombre de vulnérabilités ont été examinées cette année, mais aucune n'a eu un impact aussi durable que celles exploitées par les acteurs menaçants qui ont coopté le lot d'outils mis au point par la NSA et volés et divulgués par Shadow Brokers.

Le protocole de chiffrement WPA2 a également constitué une autre faille fondamentale qui a fait la une des journaux cette année, bien qu’elle n'a pas été largement exploitée. KRACK "ou Key Reinstallation AttaCK - qui, depuis la révélation en octobre, a été réparé sur toutes les principales plateformes - a permis à des tiers d'espionner le trafic réseau aussi longtemps qu'ils se trouvaient à portée du Wi-Fi de la victime. Par conséquent, les conversations privées n'ont peut-être plus été aussi privées dans certaines circonstances.

Diverses implémentations de la norme Bluetooth se sont heurtées à leur propre série de défauts, pouvant potentiellement mettre en sérieux danger les utilisateurs de presque tous les systèmes d'exploitation. En septembre, nous avons observé qu'à peu près n'importe quel périphérique Bluetooth qui n'avait pas été récemment corrigé pouvait être pris en charge, même s'il n'était pas associé au périphérique du pirate.

Alors que de plus en plus d'appareils, principalement dans le domaine de l'IdO, sont connectés à Internet, la surface d'attaque augmente à un rythme alarmant. Il en va de même pour les failles de sécurité: les vulnérabilités signalées en 2017 ont plus que doublé par rapport à celles signalées en 2016.

Infrastructures critiques en danger critique?

L'écosystème de l'infrastructure critique s'est révélé être un verger abondant de fruits en suspension, car des faiblesses fondamentales n'ont cessé de se manifester cette année. L'urgence des menaces qui pèsent sur les infrastructures clés a de nouveau été mise à nu quelques jours seulement après 2017, alors que les chercheurs ont conclu qu'une panne de courant qui avait causé une panne d'électricité d'une heure dans certaines parties de la capitale ukrainienne et à l'extérieur de celle-ci, le 17 décembre 2016, avait été causée par une cyberattaque.

Les chercheurs d'ESET ont ensuite plongé plus en profondeur dans kes échantillons d’un logiciel malveillants détecté par ESET sous le nom de Win32/Industroyer, pour finalement en arriver à la conclusion que le code malveillant avait très probablement été utilisé lors de l'incursion de décembre 2016. Grâce à son caractère hautement personnalisable - et à sa capacité de persister dans le système et de fournir des informations précieuses pour affiner les charges utiles hautement configurables - le logiciel malveillant peut être adapté aux attaques contre n'importe quel environnement, ce qui le rend extrêmement dangereux.

L’attaque survenue en décembre 2016 rappelle la panne d'électricité similaire, mais bien plus importante, provoquée par la cyberattaque du 23 décembre 2015. Celle-ci a laissé environ la moitié des foyers de la région d'Ivano-Frankivsk, peuplée de 1,4 million d'habitants, sans électricité pendant plusieurs heures, dans le cadre d'une première attaque de ce genre qui a fait appel à des logiciels malveillants connus sous le nom de BlackEnergy.

Robert Lipovský, chercheur principal en logiciels malveillants d’ESET, s'est dit préoccupé par le fait que l'Ukraine pourrait servir de modèle pour affiner les attaques contre les infrastructures critiques qui pourraient être déclenchées dans d'autres parties du monde. Il affirme : « L'impact relativement faible de la panne d'électricité de décembre 2016 contraste fortement avec le niveau technique et la sophistication des logiciels malveillants présumés à l'origine de la panne ».

En octobre, le gouvernement américain a émis un rare avertissement public, soulignant que : « depuis au moins mai 2017, les acteurs de la menace ciblent des entités gouvernementales et les secteurs de l'énergie, de l'eau, de l'aviation, du nucléaire et des industries manufacturières critiques et, dans certains cas, ont mis à profit leurs capacités pour compromettre les réseaux des victimes. »

Au cours d’une cyberattaque décisive révélée plus tôt ce mois-ci, des acteurs menaçants ont récemment utilisé un logiciel malveillant appelé Triton pour détruire le système de sécurité d'une usine industrielle au Moyen-Orient, ce qui a entraîné l'arrêt des activités de l'installation. Bien que ce soit le premier rapport au sujet d’un système compromis au niveau des infrastructures critiques, cet incident évoque le souvenir d’Industroyer et Stuxnet.

Entre temps, le secteur de la santé reste en difficulté en ce qui concerne ses propres cyberdéfenses. Il s'agit depuis longtemps d'une cible de choix, notamment puisqu’elle implique le stockage d’une variété de dossiers personnels sensibles qui doivent souvent être consultés rapidement.

Les dommages que WannaCryptor a infligés au National Health Service (NHS) du Royaume-Uni sont la meilleure illustration des ravages que peut causer une cyberattaque dans les établissements de santé, qu'elle soit ciblée ou non. L'agression aurait entravé un organisme du NHS sur trois en Angleterre. En conséquence, 19 500 rendez-vous médicaux ont été annulés, les ordinateurs de 600 cabinets médicaux ont été verrouillés et cinq hôpitaux ont dû dévier des ambulances ailleurs.

Plus tard, il a été annoncé que le NHS recevrait une injection d'une valeur de 20 millions de livres sterling afin de renforcer son immunité contre des incursions similaires. D'une certaine manière, cela représente un écart par rapport à la tendance à long terme de l'industrie, qui intègre en général de plus en plus de dispositifs, chacun étant lié à des informations confidentielles et, dans de nombreux cas, à des fonctionnalités IdO, alors que la sécurité et la protection de la vie privée sont, comme d'habitude, restées une réflexion après coup.

Dénouement

Alors que 2017 se trouve maintenant presque dans le rétroviseur, le dicton selon lequel même la meilleure sécurité peut être dépassée par le maillon le plus faible de la chaîne de sécurité est toujours valable pour le cyberespace. Comme cela a été répété ad nauseam - et même si cela ne s'applique pas nécessairement à tous les incidents - le facteur humain est généralement le ventre mou. C'est en fait là que les attaques et les atteintes notoires sont utiles, entre autres parce qu'elles mettent en lumière les vulnérabilités dans la façon dont nos renseignements personnels sont traités. Plus généralement, les menaces actuelles mettent à nu les dangers de notre dépendance à l'égard des technologies assaillies et nous rappellent à quel point la cybersécurité est vitale dans le contexte de la convergence de nos mondes numérique et physique.

Avant de boucler la boucle de 2017, nous avons de nombreuses leçons à tirer des événements des 12 derniers mois et de ce qui sera certainement un début d’année très actif en 2018. Alors que des proportions croissantes de nos vies se déroulent dans le monde en ligne - et souvent avec peu de conscience de notre part - l'urgence de protéger nos vies numériques est plus grande que jamais. Pour commencer, nous devons nous donner la possibilité de rester en avance sur les mécréants, qui innovent avec rapidité et sont prêts à exploiter toute faiblesse. Nous serions négligents de penser que ça ne peut pas nous arriver. Au lieu de cela, apprendre des erreurs commises par d'autres - avant que ces mêmes erreurs ne soient exploitées contre nous - va beaucoup plus loin dans le maintien et l'amélioration de nos défenses. De cette façon, nous réduisons la probabilité que la le manque de cybersécurité devienne un problème permanent et non diagnostiqué qui risque de revenir nous mordre et d'éroder la valeur non seulement de notre vie numérique, mais aussi de notre être physique.