Alors que certaines cyber menaces disparaissent, d’autres font leur grand retour

Le rapport de F-Secure sur les menaces numériques permet de faire le bilan des tendances et événements qui ont marqué le secteur l’année dernière. Proposant de nombreux tableaux, statistiques, chronologies et graphiques, il offre un avis d’expert sur le monde lucratif, effrayant et en perpétuelle évolution de la criminalité en ligne et de la lutte contre les hackers.

Dans le dernier rapport de 2014, le Laboratoire expliquait que les détections du kit d’exploitation Angler avaient « grimpé en flèche ». Pour fonctionner, les menaces comme Angler et Nuclear, qui ont été parmi les plus virulentes de l’année 2015, ont besoin de logiciels dépassés tels qu’Adobe Flash, l’une de leurs cibles favorites.

Mais d’après Sean Sullivan, Security Advisor chez F-Secure, contrairement à ces dernières années, Flash ne fera bientôt plus les beaux jours des kits d’exploitation similaires à Angler. Les progrès du secteur ont en effet permis aux éditeurs de délaisser Flash, qui est aujourd’hui pour de nombreux sites web un plugin obsolète et superflu.

De fait, Flash n’a jamais été pris en charge par les produits Apple iOS, et son développement pour les appareils Android a cessé en 2012.

« Flash s’est depuis recentré sur le marché des ordinateurs de bureau, mais comme on peut le voir, il est de moins en moins apprécié », écrit Sean Sullivan, Security Advisor chez F-Secure, dans le rapport de F-Secure sur les menaces 2015. « En août 2015, Amazon annonçait qu’à partir du 1^er septembre 2015, les publicités utilisant la technologie Flash ne seraient plus autorisées sur la plateforme. Google a suivi le mouvement en février 2016. Dans cette optique, AdWords et DoubleClick, ses réseaux publicitaires, n’afficheront plus de publicités en Flash à partir du 30 juin 2016 et ce type de publicité sera complètement désactivé à partir du 2 janvier 2017. »

D’après Sean, cette tendance va perdurer, grâce à la fonctionnalité « tout-en-un » du HTML 5.

Selon lui, une fois que les réseaux publicitaires de Google auront cessé d’utiliser les publicités en Flash début 2017, les autres services du groupe pourront en faire de même. « Le navigateur Google Chrome incitera fortement les internautes à autoriser les sites utilisant Flash et sera suivi de près par Mozilla Firefox et Microsoft Edge. Ainsi, d’ici le printemps 2017… Flash ne sera plus d’aucune utilité aux kits d’exploitation. »

La mort de Flash et les mises à jour automatiques de la plupart des navigateurs pourraient-elles entraîner la fin des kits d’exploitation de manière générale ?

« Avec un peu de chance, ils ne seront bientôt plus qu’un mauvais souvenir », indique Sean. « Ce ne serait pas la première fois qu’un modèle économique disparaît du marché des malware. Les kits d’exploitation pourraient éventuellement se concentrer sur les navigateurs, mais il leur faudrait trouver des menaces de type “Zero-Day”. »

Cependant, alors qu’une menace disparaît, une autre prend sa place.

« Les macro-malware (des documents contenant du code malveillant dissimulé) ont marqué la fin des années 1990 et le début des années 2000 », indique le rapport. « Mais lors du lancement de la suite Office 2003, Microsoft a modifié les paramètres de sécurité par défaut pour empêcher l’activation automatique des macros à l’ouverture d’un document, compliquant considérablement la tâche des pirates. »

Avant juillet 2015, plus personne n’associait les macros à une cyber menace. Les macro-malware ont resurgi dans plusieurs pays européens, où les criminels ont vu une opportunité à saisir.

« Ils se propagent principalement grâce aux pièces jointes des emails et utilisent des techniques d’ingénierie sociale pour pousser les internautes à ouvrir les documents et à activer les macros, ce qui entraîne l’exécution du code malveillant. »

Les attaques utilisant des macros sont responsables de la propagation de Dridex, un cheval de Troie bancaire à cause duquel un hôpital californien a été victime de chantage informatique durant plusieurs semaines.

Les kits d’exploitation et les ransomware misent généralement sur d’anciens logiciels et sur la propension des internautes à commettre une erreur (comme ouvrir une pièce jointe ou cliquer sur « OK » dans une fenêtre pop-up) pour permettre aux criminels d’accéder à leurs systèmes. Mais ce n’est que le début des compromis.

Pour mieux cerner le fonctionnement des cyber attaques et prévenir et réduire leurs effets, le rapport de F-Secure sur les menaces 2015 propose un nouveau modèle de travail qui changera notre approche des menaces en ligne.

Il s’agit de la « Chain of Compromise », qui repose sur « quatre in » :

• Inception
  Phase durant laquelle un système ou un appareil est exposé à une menace potentielle
• Intrusion
  Phase durant laquelle le pirate parvient à accéder au système
• Infection
  Phase durant laquelle le pirate réussit à installer du contenu malveillant sur le système attaqué
• Invasion
  Phase durant laquelle le contenu malveillant continue de fonctionner suite à l’infection initiale, ce qui aggrave généralement les conséquences de l’attaque

Le rapport explique : « Toutes les sociétés, même les plus petites, doivent mettre en place des solutions afin d’éviter les attaques tout au long de la chaîne, et définir un plan pour empêcher les pirates de gagner du terrain et d’atteindre leurs objectifs. »

Nous devons tous comprendre comment ces attaques fonctionnent. Pour éviter de telles attaques, Sean propose d’« instaurer des règles pour les emails ».

« Les macros malveillantes se diffusent souvent par le biais de pièces jointes d’emails. L’instauration d’une règle qui filtre les emails accompagnés d’une pièce jointe dans un dossier séparé permet de les trier en attendant d’avoir plus de temps pour les étudier avec précaution. Comme il est possible d’autoriser les expéditeurs de confiance, il s’agit d’une bonne mesure préventive qui ne vous compliquera pas trop la vie. »

« Comprendre la nature des attaques est aussi très important pour comprendre la nature des conflits à l’échelle internationale », explique Mikko Hypponen, Chief Research Officer, dans l’avant-propos du rapport.

Internet est apparu à la fin de la guerre froide, et pour Mikko, « cela a ouvert une boîte de Pandore où les frontières n’étaient plus visibles et où il était impossible de reconnaître ses ennemis. »

Aujourd’hui, nous pouvons être piratés par une personne vivant à des milliers de kilomètres. Cela peut être quelqu’un qui souhaite récupérer nos identifiants bancaires, ou un activiste numérique qui infiltre notre PC, ou encore un pirate tentant de mettre à mal l’alimentation électrique d’un pays étranger. Il est essentiel de comprendre comment nous pouvons être affectés pour comprendre comment nous protéger.

« Les conflits sur Internet sont complexes », affirme Mikko. « La seule chose dont nous pouvons être sûrs, c’est que nous assistons au début d’une nouvelle course à l’armement : une course au cyber armement. »

N’hésitez pas à nous contacter en commentaire ci-dessous ou sur note compte Twitter @FSecureFrance pour recevoir dès sa sortie un exemplaire en PDF du Rapport sur les Menaces du deuxième semestre 2015 entièrement en français!