Cette prédiction peut paraitre surprenante tant les découvertes de groupes APT ne cessent de croitre. Cette prédiction tient donc du fait que l’industrie de la sécurité a continuellement découvert les opérations très sophistiquées sponsorisées par les Etats, nécessitant pourtant des années de préparation. Partant de ce positionnement, cela parait donc logique que les attaquants se lancent dans de nouvelles techniques, encore plus sophistiquées, difficiles à détecter, et difficiles à attribuer à un quelconque auteur.

Le matériel de réseau et de l’IoT.

Les ordinateurs sont de plus en plus connectés sur des réseaux, qui eux-mêmes contiennent la plupart des données les plus confidentielles. Les acteurs de cybermalveillances déploieront davantage d’outils pour cibler spécifiquement le matériel de réseau. Des campagnes telles que VPNFilter illustrent parfaitement la manière dont les attaquants ont déjà commencé à déployer leurs logiciels malveillants pour créer un ‘botnet’ polyvalent. Dans ce cas particulier, même lorsque le logiciel malveillant était extrêmement répandu, la détection de l’attaque a pris un certain temps, ce qui est inquiétant compte tenu de ce qui pourrait arriver dans des opérations plus ciblées, qui devraient croitre tout au long de l’année à venir.

Des représailles publiques

Les enquêtes sur de récentes attaques très médiatisées, telles que le piratage de Sony Entertainment Network ou l’attaque de la DNC, ont abouti à la constitution d’une liste de suspects inculpés. Cela se traduit non seulement par des procès, mais aussi par une démonstration publique de l’identité de l’auteur de l’attaque. Ces dénonciations publiques peuvent largement influer sur la confiance accordée à un gouvernement et peuvent engendrer des conséquences diplomatiques bien plus graves.

Cependant ces représailles publiques, mettant au jour l’existence de ces attaques, installent un climat de peur qui fait office de plus grande réussite pour les cyberattaquants. Ils peuvent ainsi exploiter cette peur, cette incertitude et ces doutes de manière différente, plus subtile, que l’on a déjà pu constater lors d’opérations notables telles que les Shadowbrokers, défiant ainsi la confiance des citoyens dans les institutions nationales. On s’attend à une croissance des attaques de ce type, capitalisant sur la peur, pour créer des environnements de chaos.

L’émergence de nouveaux acteurs

En simplifiant un peu, le monde des APT semble se diviser en deux groupes : les acteurs traditionnels les plus avancés disposant de nombreuses ressources (qui, selon nos prédictions, disparaîtront) et un groupe de nouveaux arrivants dynamiques qui souhaitent participer au jeu. Le problème, c’est que la frontière entre ces différents acteurs n’a jamais été aussi ténue, avec des centaines d’outils très efficaces, des exploits réinterprétés et des frameworks de tous types mis à la disposition du public. De plus, ces outils rendent l’attribution presque impossible et peuvent facilement être personnalisés si nécessaire.

Le spear phishing

Les experts pensent que le vecteur d’infection le plus efficace à ce jour deviendra encore plus important dans un avenir proche. La clé de son succès réside dans sa capacité à susciter la curiosité de la victime et les récentes fuites massives de données provenant de diverses plates-formes de médias sociaux pourraient aider les attaquants à améliorer cette approche.

Des malwares destructeurs

Olympic Destroyer a été l’un des cas les plus célèbres de programmes malveillants potentiellement destructeurs au cours de l’année écoulée, mais de nombreux attaquants intègrent régulièrement de telles fonctionnalités dans leurs campagnes. Les attaques destructrices présentent plusieurs avantages pour les attaquants, notamment de faire diversion, ou permet de nettoyer toutes les preuves ou facteurs d’identification laissés après les attaques, ou tout simplement, pour faire une mauvaise surprise à la victime.

Les attaques de la chaîne d’approvisionnement

C’est l’un des vecteurs d’attaque les plus inquiétants. Il a été exploité avec succès au cours des deux dernières années. Ce vecteur d’attaque entraine tous les utilisateurs, professionnels ou privés à se préoccuper du nombre de fournisseurs impliqués dans leur utilisation finale.

Même s’il s’agit d’un formidable vecteur pour cibler toute une industrie ou même tout un pays, il n’est pas aussi efficace pour des attaques plus ciblées car le risque de détection est plus élevé.

Dans l’ensemble, les attaques de la chaîne d’approvisionnement sont un vecteur d’infection efficace que nous continuerons de voir. En ce qui concerne les implants matériels, nous pensons qu’il est extrêmement peu probable que cela se produise et, le cas échéant, nous ne le saurons probablement jamais.

Et le mobile…

C’est dans les prévisions de chaque année. Rien de révolutionnaire n’est attendu, mais il est toujours intéressant de penser aux deux vitesses de cette lente vague d’infections. Il va sans dire que tous les acteurs ont des composants mobiles dans leurs campagnes, les usages étant de plus en plus mobiles, cela ne ferait pas sens d’uniquement cibler les PC. De nombreux exemples d’artefacts sont d’ores et déjà actifs pour cibler les Androids, mais les attaques iOS gagnent aussi du terrain…
Les experts ne s’attendent pas à une épidémie majeure en ce qui concerne les programmes malveillants ciblés pour mobiles, mais ils prévoient une activité continue de la part d’attaquants avancés qui cherchent à trouver le moyen d’atteindre les appareils mobiles de leurs cibles.

Le rôle de Kaspersky et des acteurs en cybersécurité est d’anticiper ces attaques, de comprendre celles qu’ils auraient pu manquer, pour faire en sorte qu’elles ne se produisent plus dans le futur.