« L’évolution du niveau de sophistication et l’innovation sont l’essence même qui constitue le paysage des cyber menaces, mais cette année nous avons assisté à une profonde mutation des motivations et de la concentration des attaques, » explique Laurent Heslault, Directeur des Stratégies de Sécurité chez Symantec. « Le paysage mondial des cyber menaces en 2016 a été marqué par l’augmentation du nombre d’attaques politisées et du nombre de campagnes de manipulation par des états. En parallèle, nous notons des perturbations sans précédent causées par des cyber criminels qui n’hésitent plus à recourir à des outils technologiques relativement simples et des services cloud. »

La France reste dans le Top 10 mondial et le Top 5 européen

L’Hexagone faisait son entrée dans le Top 10 mondial des pays les plus actifs en matière de cybercriminalité l’an dernier et cela se confirme encore cette année : la France se classe au 8e rang mondial et au 4e rang européen en 2016, soit 1 rang de plus qu’en 2015 dans les deux classements. Les Etats-Unis passent devant la Chine et le Brésil prend la 3e place, juste devant l’Inde.

La France se distingue principalement par l’augmentation du pourcentage d’attaques réseau dont elle est la source, et enregistre également une augmentation du pourcentage mondial d’attaques web et de phishing.

Les attaques subversives et de sabotage émergent au premier plan

Comme c’est le cas chaque année, les cyber criminels montrent régulièrement leur capacité à s’adapter à tout type de contexte. 2016 n’échappe pas à la règle : les attaques motivées par des raisons politiques ont été dévastatrices l’an dernier. Menées contre le parti démocrate américain, les cyber attaques ayant conduit à d’importantes fuites et au vol d’informations reflètent l’intérêt des cyber criminels d’employer des campagnes d’attaques manifestes et ultra médiatisés afin de déstabiliser et perturber les organisations ciblées ou encore les pays. Alors que les initiatives de cyber sabotage sont généralement rares, le succès perçu de plusieurs campagnes, comme celles incluant les élections américaines et Shamoon, montrent que la tendance est à l’influence politique dans le but de semer la discorde dans d’autres pays.

La subversion étant une motivation en hausse et le potentiel de discorde et de confusion ayant été démontré, il est probable que ces techniques soient de nouveau utilisées dans le but de déstabiliser d’autres pays. D’autant que 2017 est une année électorale pour la France et l’Allemagne.

Les Etats-nations à la recherche de gains majeurs

Un nouveau profil d’attaquants révèle de fortes ambitions financières, les gains générés pouvant servir à financer d’autres activités souterraines et subversives. Aujourd’hui, les plus gros casses bancaires sont menés de façon virtuelle dans le cyber espace, avec des gains s’élevant à plusieurs milliards de dollars. Alors que certaines de ces attaques sont le fruit de groupes criminels organisés, pour la première fois en 2016, un Etat-nation a semble-t-il était impliqué. Symantec a découvert plusieurs preuves liant la Corée du Nord aux attaques bancaires qui ont ciblé le Bangladesh, le Vietnam, l’Equateur et la Pologne.

« Cette attaque était incroyablement audacieuse et sans précédent. Pour la première fois, des indices forts montre l’implication d’un Etat-nation dans un cyber crime financier, » observe Kevin Haley, Directeur Security Response chez Symantec. « Alors que leur objectif était encore plus grand, les cyber attaquants ont volé au moins 94 millions de dollars. »

L’Internet des Objets et le cloud : les nouvelles frontières

Les attaques contre les ordinateurs et serveurs continuent de dominer le paysage des cyber menaces en nombre. En revanche, d’autres terminaux et plateformes sont activement ciblées ou deviennent suffisamment matures pour devenir des cibles de choix. L’adoption grandissante des services cloud et l’émergence fulgurante des technologies de l’Internet des Objets (IoT) ouvrent la voie à de nouvelles menaces dont le nombre a augmenté en 2016.

– L’IoT – Les chercheurs de Symantec pointaient déjà du doigt les risques liés à l’IoT depuis 2013 et alors qu’il était difficile de prédire le niveau d’attention ou de quantifier le risque, la raison qui pousse à la prudence se résume en un mot : Mirai. Le botnet Mirai a été utilisé dans la plus grande attaque DDoS massive fin 2016 levant le voile sur le niveau de risque lié à l’IoT et à son émergence fulgurante.
Afin de traquer les tentatives d’attaques contre les objets connectés, Symantec a utilisé la technique du « pot de miel ». Le principe est d’utiliser des machines vulnérables qui « attendent » la menace afin de récolter des données puis de les analyser, permettant ainsi aux chercheurs de Symantec de voir comment les attaques IoT se multiplient et le niveau de visibilité des objets pour les cyber attaquants. Lors de cette expérience, Symantec a vu le nombre d’attaques doubler en 12 mois. En moyenne, un peu plus de 4 adresses IP uniques par heure ont attaqué le « pot de miel » durant le mois de janvier 2016 pour finir à un peu plus de 8 en décembre dernier. Au plus fort de l’activité, lorsque Mirai se développait, Symantec enregistrait des attaques toutes les 2 minutes.
Les données analysées grâce à cette expérience permettent également de déterminer les pays qui concentrent le plus de sources d’attaques. Avec 26,5 % des attaques, la Chine se place en tête du classement, suivie des Etats-Unis avec 17,7 %. La Russie (5,8 %), l’Allemagne (4,9 %) et la France (2,5 %) figurent dans le top 7 de ce classement.

– Le cloud – L’adoption massive des services cloud rend les entreprises de plus en plus vulnérables. Des dizaines de milliers de base de données cloud ont été piratées et prises en otage contre rançon en 2016, en grande partie à cause du manque de vigilance des utilisateurs qui laissent volontiers ces bases obsolètes ouvertes sans activer aucune authentification.
Pour les entreprises, la sécurité du cloud reste un challenge pour les DSI et responsables informatiques. Selon des données de Symantec, les départements informatiques ont du mal à identifier le nombre d’applications cloud utilisées au sein de leur entreprise. Lorsque la question est posée, la majorité d’entre eux en déclare une quarantaine alors qu’en réalité, ce nombre est plutôt proche du millier. Cet écart peut mener à une absence de règles et de procédures claires sur la manière dont les employés accèdent aux services cloud, rendant l’utilisation de ces applications risquée. Les brèches prennent forme dans le cloud et Symantec prédit que si les départements informatiques ne prennent pas de mesures plus strictes, ils verront un nombre grandissant de menaces entrer dans leur environnement informatique.

Le ransomware continue son ascension… mais diminue en France

Symantec a en effet enregistré une hausse de 36 % du nombre de ransomware et en a identifié plus de 100 nouvelles familles dans le monde. Cette activité se révèle toujours lucrative pour les cyber criminels mais il semblerait que les français soient moins enclins à payer les rançons que les américains, les Etats-Unis se positionnant en tête du classement et concentrant un tiers des attaques par ransomware. 64 % des victimes de ransomware aux Etats-Unis sont prêtes à payer la rançon, deux fois plus que la moyenne française (30 %) et la moyenne mondiale (36 %). Cela n’est pas sans conséquence : le montant moyen d’une rançon a augmenté de 266 %, les cyber criminels exigeant en moyenne 1 007 dollars par victime.

La France se classe au 11e rang mondial des pays les plus ciblés par le ransomware et au 6e rang européen.

Les attaquants arment des logiciels couramment utilisés et l’e-mail devient une arme de choix

En 2016, Symantec a constaté une utilisation grandissante de PowerShell par les cyber criminels, un langage script commun installé sur les ordinateurs, ou encore l’utilisation de fichiers Microsoft Office transformés en armes. Alors que les administrateurs systèmes peuvent utiliser ces outils technologiques répandus et communs pour des tâches quotidiennes de gestion, les cyber criminels de leur côté utilisent de plus en plus cette combinaison d’outils pour mener leurs campagnes de cyber crime. La raison ? Cela leur permet de laisser une faible empreinte et donc de passer plus facilement inaperçus. Au total, 95 % des fichiers PowerShell qui se trouvent dans la nature et étudiés par Symantec ont été détectés comme malveillants.

L’e-mail a également était très exploité par les cyber attaquants, devenant une arme de premier choix et une véritable menace pour les utilisateurs. La tendance se confirme au niveau international, 1 email sur 131 envoyés contenait une pièce-jointe ou un lien malveillant, le plus fort taux enregistré depuis 5 ans, alors qu’en France cette proportion s’élève à 1 email sur 209. Et les entreprises ne sont pas épargnées : la « fraude au président » ou « arnaque au dirigeant » ont généré pas moins de 3 milliards de dollars de pertes pour les entreprises ces trois dernières années, ciblant plus de 400 organisations chaque jour.

A propos du rapport annuel de Symantec sur les cyber menaces (ISTR)

Le rapport annuel sur les cyber menaces de Symantec offre une vue d’ensemble et une analyse des attaques menées dans le monde entier pendant une année donnée. Il s’appuie sur les données du réseau international d’analyse de Symantec (Symantec Global Intelligence Network) que les chercheurs de la société exploitent pour identifier, explorer et commenter les tendances émergentes en matière d’attaques, de codes malveillants, de phishing et de spam.