2014 : coup d'œil dans le rétroviseur – Episode 1, Les menaces

Un petit débriefing s’impose pour clore cette année 2014 qui fut encore riche en évènements. L’année dernière, Madame Irma nous avait prédit quelques tendances pour 2014, avait-elle raison ou alors peut-elle ranger sa boule de cristal au placard ?

c’est quoi ce cœur qui saigne ?

S’il ne fallait retenir que cela, et ça Madame Irma ne l’avait pas vu venir ! 2014 a été l’année de la découverte de belles failles dans le monde de l’open source. Qui n’a jamais entendu parler d’Heartbleed, la célèbre vulnérabilité découverte dans la librairie cryptographique d’OpenSSL ? Sa grande notoriété s’explique tout d’abord par le nombre de serveurs utilisant cette librairie, estimé à 28 millions de serveurs en Avril 2014 et donc par la couverture médiatique qu’il en a résulté. Entre Poodle, Shellshock, Heartbleed, … ces vulnérabilités critiques touchant des plateformes grands publics pourraient continuer à être exploitées en 2015.

allo, nan mais Allo quoi !

Les menaces sur les plateformes mobiles ont bel et bien fait parler d’elles en 2014. Avec 84% de parts de marché, Android reste la plateforme favorite des pirates. Selon Kasperky Labs, par rapport à l’année précedente, Android a connu une explosion des malwares avec une multiplication par 4 des attaques dont 98% visant les plateformes Android. La motivation financière ne fait plus le moindre doute, les stars parmi la famille de 300 Malwares sont inévitablement les malwares bancaires, les ransomwares et les botnets  pour l’année 2014.

Heureusement pour nous, ces malwares pullulent dans de petits stores non réglementés principalement situés au Moyen-Orient et en Asie. En revanche, pour le Store officiel de Google, seulement 0.1% des applications sont des logiciels malveillants. F-Secure reconnait le contrôle rigoureux des applications au sein des Stores, ce qui implique une vie très courtes des malwares sur ceux-ci.

cryptoWall, Cryptolocker, Cryptorbit, CryptoDefense …

Nouvelle forme de revenu des cybercriminels,  les ransomwares surfent sur une stratégie bien rodée et très lucrative. C’est ainsi qu’en 2013 et 2014, les malwares CryptoWall et Cryptolocker  sont apparus sur la toile, chiffrant à la volé des milliards de fichiers et demandant en échange d’une rançon, la clé de chiffrement. D’après Dell SecureWorks, la somme astronomique de 5.25 milliards de fichiers ont été impactés uniquement par CryptoWall.  Face à cette réussite, ces ransomwares se sont vite adaptés à d’autres plateformes, à savoir les mobiles et les serveurs de stockage. On peut citer « Synolocker »  pour les serveurs de stockage spécifiques à la marque Synology et « Simplocker »  qui est le premier Ransomware à investir la plateforme Android.

Cette approche de rançonnage séduit de nouveau criminels qui l’ont mise en œuvre durant le mois de Juin sur l’agrégateur de flux RSS Feedly en orchestrant une attaque DDOS puis en réclamant une rançon pour mettre un terme à cette attaque par déni de services.  Les services Cloud étant en plein expansion, ce type de chantage devrait particulièrement sévir dans les prochaines années.

touche pas à mon SCADA !

Cette année, les réseaux SCADA ont refait parler d’eux. Le monde obscur des réseaux industriels était apparu au grand jour avec le Virus Stuxnet ciblant le programme nucléaire iranien en 2010. Puis en 2012 avec un virus destructeur nommé Shammon qui a ciblé la compagnie pétrolière Aramco.

En 2013, le projet Shine a fait à son tour coulé beaucoup d’encre.  En effet, on a découvert que plus d’1 millions d’IP unique étaient disponibles sur internet et vraisemblablement en relation avec des réseaux industriels. Sachant que en Europe, 90% des mots de passe SCADA en production sont des mots de passe par défaut, on imagine facilement les dégâts possibles.

Ces réseaux industriels font maintenant face à des attaques de groupes très organisés. Ainsi, on a pu voir l’opération « Cleaver » qui est déjà classé comme la riposte des Iraniens au virus Stuxnet. Cette opération a ciblé des organisations sensibles dans 16 pays dont la France. Cette vague d’attaques a permis d’exfiltrer des informations catégorisées comme très sensibles. La protection de ces systèmes représentera une priorité pour la plupart des gouvernements dans les prochaines années.

En France, la loi de programmation militaire publiée fin 2013 traite de la protection de ces opérateurs d’importances vitales. Parallèlement à cette loi, l’ANSSI a mis en place un groupe de travail afin de publier et de compléter les documents liés à la cyber-sécurité industrielle. L’objectif : proposer des réponses concrètes et pragmatiques aux acteurs industriels et à la sécurisation des infrastructures.

conclusion

Mis à part les failles découvertes dans le monde de l’open source, dans l’ensemble, Madame Irma avait plutôt bien prédit l’avenir. Entre les nouvelles armes de chantage, les attaques sur mobiles et l’évolution des réseaux industriels vers l’internet des objets, sa boule de cristal disait vrai.

Inutile de la lui confisquer, nous attendons donc avec impatience ses nouvelles prédictions pour la nouvelle année.

Roland

 

Roland Roure

Actuellement étudiant en 2ème année d’école d’ingénieur spécialisée en Cyberdéfense, je réalise ma formation en alternance. Je permute donc entre mon école, l’ENSIBS de Vannes et l’équipe cybersécurité d’Orange Business. Je découvre le monde du marketing en appréciant la pluridisciplinarité et la vue global sur le monde de la cybersécurité.