2012 aura été l’année des malwares et des attaques applicatives
Les malwares, que Zeus et SpyEye stigmatisent à la perfection, ont évolué à une vitesse fulgurante, passant du stade de simple « sniffer » au rôle de pierre angulaire d’attaques particulièrement sophistiquées. Ainsi, Eurograbber a mis en oeuvre pas moins de trois de ces malwares, le premier utilisé pour l’infection initiale, le deuxième pour la manipulation des transactions sur les postes client, en coordination avec un troisième, sur téléphones mobiles, destiné à tromper le système d’authentification par SMS mis en place par les banques. Résultat : 36 millions d’euros détournés sur des comptes bancaires en Allemagne, Italie, Hollande et Espagne.

Les postes utilisateurs sont devenus les vecteurs de prédilection pour l’accès aux données et aux transactions. Ils se comptent par millions, ne sont pas toujours (loin de là) à jour en terme de sécurité et ont un accès légitime aux applications dès lors que l’utilisateur (dont la prudence n’est pas non plus la qualité première) s’est loggé.

Nul n’y a échappé en 2012. Administrations, entreprises, banques, assurances, c’est plusieurs fois par jour que des intrusions sur les applications Web ont été détectées en 2012. Un rythme jamais vu jusqu’alors, mais qui ne surprend qu’à moitié. En effet, la simplicité et l’efficacité des attaques sur ces applications sont telles que de nombreux « experts » se sont détournés des attaques systèmes pour cibler les applications Web. Ces dernières connaissent depuis plusieurs années un excès de notoriété dans la mesure où les compromis sur leur sécurité se sont multipliés au profit de délais de développement et de budgets réduits à leur plus simple expression.

Ce ne sont donc pas de nouvelles attaques qui sont apparues, mais bien les éternels Cross-Site Scripting et Injections SQL qui ont fait des ravages, exploitées maintenant par des individus organisés et compétents.
2013 doit être un tournant en matière de cybercriminalité

Cette nouvelle année va voir l’obsolescence des technologies de sécurisation des applications Web. L’évolution et l’adoption massive des nouvelles techniques d’évasions, associées à des technologies (telles que JSON ou HTML5) structurellement incompatibles avec les moteurs d’analyse actuels, vont définitivement rendre les systèmes de sécurité inutiles, qu’ils soient aussi bien d’ancienne ou de « nouvelle génération » (NGIPS ou NGFW). Cela signifie que le rythme et l’impact des intrusions va s’accroître encore avec, comme effet de levier, une adoption croissante des technologies de web services insuffisamment protégées.

En parallèle, les attaques relayées par les postes clients, allant du smartphone à la station de
travail en passant par les tablettes, vont s’intensifier et atteindre des niveaux de sophistication
encore jamais vu. Une évolution qui ciblera aussi bien les navigateurs que les applications mobiles
dans la mesure où ils représentent un point d’accès privilégié aux données.

Ces attaques devraient également se trouver de nouvelles cibles : les applications dans le
cloud. Le navigateur (ou l’application mobile qui s’y substitue) devient alors le vecteur universel
d’accès à de plus en plus d’applications gérant des données de plus en plus sensibles. Nul doute que
les malwares sauront tirer parti de ce nouveau contexte.

L’efficacité réduite des systèmes de sécurité et l’exploitation généralisée du poste client fixe
ou mobile comme vecteur d’intrusion imposeront un changement majeur dans les concepts de
sécurité applicative. Cette dernière devra d’une part être réellement garantie de bout en bout, c’està-
dire à partir du navigateur, et d’autre part intégrer des moteurs d’analyse à même de gérer des
protocoles et langages de nouvelle génération. En outre la sécurité applicative devra appréhender de
manière plus pertinente les techniques d’évasion qui se démocratisent rapidement.