Les ransomwares seront plus virulents que jamais. Grâce aux gains considérables réalisés en 2016, les cybercriminels consacreront certainement davantage de ressources à l’automatisation du ciblage en 2017, afin de mieux distinguer les particuliers des entreprises et ainsi, extorquer des sommes plus élevées à ces dernières.

2016 a, sans l’ombre d’un doute, été l’année du ransomware, et cette menace continuera de se propager l’année prochaine, n’épargnant aucun système d’exploitation ni aucune plateforme. Les données extraites de la télémétrie de Bitdefender, ainsi que les informations collectées à partir de serveurs de commande et de contrôle et de botnets, permettent de dire que le ransomware est une activité particulièrement lucrative.

« En début d’année, un botnet de ransomware que nous surveillions, a engrangé 1,4 million d’euros en seulement une semaine d’activité », explique Catalin Cosoi, Directeur de la Stratégie de Sécurité chez Bitdefender.

La profitabilité de telles attaques réside en partie dans la valeur que les utilisateurs accordent à leurs données personnelles, bien qu’il semble exister des différences culturelles dans ce domaine. En effet, une récente enquête menée par Bitdefender révèle qu’un tiers (33 %) seulement des utilisateurs allemands paieraient pour accéder de nouveau à leurs données, tandis que cette proportion atteint 50% aux États-Unis. Tout comme la valeur financière que les utilisateurs attribuent à leurs données personnelles, cette prédisposition varie non seulement d’une culture à une autre, mais vraisemblablement aussi selon le statut économique. Ainsi, les roumains ne paieraient qu’un peu plus de 120 euros en moyenne pour récupérer leurs données tandis que les britanniques seraient prêts à débourser plus de 500 euros.

Les attaques DDoS, - sans doute amplifiées par l’utilisation de botnets d’IdO comme on l’a vu lors des récentes attaques contre le fournisseur Dyn - continueront de faire les gros titres. Même si la plupart des attaques seront, comme auparavant, motivées par des préoccupations politiques, ou perpétrées en soutien de campagnes de piratage de plus grande envergure, une proportion croissante de ces attaques aura tout simplement pour but d’extorquer de l’argent à des entreprises.

Le phénomène des botnets d’IdO va forcément s’intensifier, dans la mesure où ces appareils ont été généralement conçus sans avoir fait l’objet d’une réflexion sérieuse en matière de sécurité, sans parler du fait que leurs failles sont également difficiles (voire impossibles) à corriger. A titre d’exemple, il existe des dizaines de millions d’appareils connectés et vulnérables pour lesquels des correctifs (‘patchs’) sont disponibles, mais dont les méthodes d’application sont tellement complexes que les utilisateurs choisissent la plupart du temps de ne pas les appliquer et donc de rester vulnérables.
Par ailleurs, aucun fabricant de webcams ou de magnétoscopes numériques n’a jamais organisé un rappel de produits en raison de vulnérabilités découvertes au sein de leur interface Web.

« Les botnets composés d’objets finalement ‘pas si intelligents que cela’ seront la principale menace émergente pour 2017 » , estime Catalin Cosoi.

Un botnet d’IdO (Mirai) a réussi, à lui tout seul, à paralyser Internet pendant plusieurs heures en se contentant simplement de cibler l’un des principaux fournisseurs de DNS. En d’autres termes, des personnes non identifiées sont désormais capables de disposer d’un niveau de contrôle sur les communications mondiales qui était autrefois réservé exclusivement aux acteurs étatiques les plus puissants.

« Nous avons même observé une relative simplification des attaques visant certains réseaux d’entreprises : là où, ces dernières années, on constatait qu’ils étaient ciblés par des menaces persistantes avancées (APT) extrêmement complexes, on assiste aujourd’hui au retour de tactiques plus rudimentaires, telles que de simples vers qui réalisent des attaques par dictionnaire afin d’accéder aux réseaux Intranet. Cela reflète à la fois le manque de sécurité qui prévaut encore sur de tels réseaux et le fait que des cybercriminels de niveau inférieur prennent part à cette activité lucrative qui consiste à prendre en otage les données des entreprises », explique Catalin Cosoi.

À mesure que s’intensifiera la pénétration des appareils connectés dans les entreprises, les risques de sécurité liés à leur déploiement et à leur utilisation non contrôlés s’accentueront aussi. Les appareils personnels connectés seront de plus en plus utilisés par les employés y compris ceux travaillant dans des zones ‘sensibles’, ce qui aggravera le problème de sécurité des informations.

Comme la pénétration des appareils intelligents s’intensifie, la population des dispositifs qui restent non patchés et donc vulnérables « éternellement » n’arrêtera pas de s’étendre. Cela crée la possibilité de menaces croisées, dans la mesure où 60% des personnes interrogées déclarent garder des fichiers privés sur leurs PC ou ordinateurs portables qui partagent le réseau domestique avec des appareils intelligents.

Pire encore, de nombreux utilisateurs ont de mauvaises habitudes de sécurité en ce qui concerne leurs appareils connectés. Selon une étude Bitdefender, 42 % des utilisateurs d’objets connectés n’ont, par exemple, jamais mis à jour leur Smart TV, arguant le « manque de temps » comme raison principale, suivie de près par le « manque de compétence ».

Bien que la connaissance des risques soit assez élevée (près de la moitié des personnes interrogées par Bitdefender sont préoccupées par la possibilité d’un vol de données), les connaissances et les compétences requises pour atténuer les menaces de perte ou de vol d‘informations personnelles demeurent insuffisantes, tandis que l’industrie ne propose pas encore de solution globale de protection des smarthomes.

« Nous estimons qu’à partir de 2017, l’Internet des Objets (IoT, Internet of Things en anglais) sera progressivement remplacé par l’Internet des Menaces (IoT, Internet of Threats en anglais) », conclut Catalin Cosoi.

Les menaces visant les systèmes SCADA vont, elles aussi, se généraliser, dans la mesure où les fournisseurs de ce type de système continuent d’utiliser principalement le protocole TCP/IP au sein de leurs réseaux, et que le coût décroissant des puces entraine l’adoption de contrôleurs et de capteurs toujours « plus intelligents » dans les procédés industriels (et donc plus faciles à exploiter).

Les attaques ciblées visant potentiellement des entreprises utilisant le cloud public, augmenteront également en 2017, puisque les auteurs de ces attaques, qu’il s’agisse d’états souverains, de groupes d’espionnage industriel, ou d’ONG activistes, chercheront à exploiter les failles de sécurité au sein des réseaux des entreprises.

Le Darknet et autres marchés de ce type, spécialisés dans la diffusion de services et de produits illégaux (outils de cybercriminalité inclus) représentent un problème émergent qui defrayera, sans doute, la chronique en 2017. Le très florissant Marché de la Soie (Silk Road Market) a été fermé par les autorités, mais une multitude de marchés spécialisés opérant sur le réseau TOR ou dissimulés ailleurs, sont apparus dans son sillage, et devraient continuer de se développer jusqu’à devenir une fois encore, un problème planétaire.

Seule la collaboration désormais renforcée entre les gouvernements, les entreprises de sécurité et les entités touchées par les attaques (entreprises et particuliers), apporte une lueur d’espoir dans ce paysage relativement sombre. De telles initiatives, si elles sont poursuivies et intensifiées, permettront de restreindre l’expansion des botnets et des marchés illégaux, en ciblant directement leurs acteurs. Une collaboration renforcée à l’échelle mondiale ainsi qu’une diminution des obstacles bureaucratiques seront nécessaires pour atteindre cet objectif.