« Les attaquants n’ont pas besoin de forcer la porte du réseau d’une entreprise si la clé est déjà à portée de main », souligne Laurent Heslault, Directeur des stratégies de sécurité de Symantec et Norton pour l’Europe du Sud. « Ils piègent les entreprises en les faisant s’auto-infecter via des chevaux de Troie lors de mises à jour de logiciels standard. Ils attendent ensuite patiemment que leurs cibles téléchargent ces mises à jour infectées, leur donnant ainsi libre accès au réseau de l’entreprise. »

La France passe au 14e rang mondial et se distingue par les attaques réseaux, le phishing et les arnaques sur les réseaux sociaux et l’extorsion numérique

La France progresse à nouveau cette année d’un rang et passe donc au 14e rang mondial et au 6e rang européen des pays où la cyber-criminalité est la plus active, les Etats-Unis, la Chine et l’Inde conservant le haut du classement. Si l’on note une baisse du spam et des attaches web, on voit également que l’Hexagone a subi encore plus d’attaques réseaux et par phishing en 2014 et 2013, occupant respectivement la 6e et 4e place mondiale.

Autre fait distinctif français : si les grandes entreprises sont particulièrement concernées (59 %) par les attaques ciblées, il en est de même pour les PME (35,6 %) et ce, de façon différente des statistiques mondiales.

L’exception culturelle française en matière de cyber-criminalité concerne d’une part les arnaques sur les réseaux sociaux : la France se classe au 5e rang mondial et 2e rang européen (derrière le Royaume-Uni et devant l’Allemagne), d’autre part l’extorsion numérique, avec les ransomware (4e rang européen et 6e rang mondial) dont les cryptolockers représentent désormais 9 % dans le pays.

Les attaquants parviennent à leurs fins rapidement et avec précision

2014 aura été une année record pour les vulnérabilités zero-day, et une étude de Symantec révèle qu’il aura fallu en moyenne 59 jours aux éditeurs de logiciels pour créer et déployer des correctifs alors qu’il leur en fallait seulement quatre en 2013. Les attaquants ont profité de ce retard et, dans le cas de Heartbleed par exemple, ont été très réactifs pour exploiter la vulnérabilité dans les quatre heures qui ont suivi. Ce sont au total 24 vulnérabilités zero-day qui ont été découvertes en 2014, laissant le terrain libre aux attaquants d’exploiter les failles de sécurité connues avant qu’elles ne soient corrigées.

Des attaques toujours plus ciblées touchant les entreprises

Pendant ce temps, les attaquants expérimentés ont continué à pénétrer les réseaux par des attaques de spear-phishing très ciblées, en augmentation de 8 % en 2014. Ce qui rend l’année 2014 particulièrement intéressante est la précision de ces attaques qui ont eu recours eu recours à 20 % d’e-mails en moins pour parvenir à leurs fins et incorporé plus de logiciels malveillants par téléchargement et autres exploits en ligne.

En outre, Symantec a observé que les attaquants :

– Utilisent des comptes de messagerie volés à une victime d’une entreprise afin d’en harponner d’autres au bout de la chaîne alimentaire ;

– Profitent des outils et des procédures de gestion des entreprises pour déplacer les IP volées au sein du réseau d’entreprise avant de les en extraire ;

– Conçoivent des logiciels d’attaque personnalisés au sein même du réseau de leurs victimes afin de mieux dissimuler leurs activités.

L’extorsion numérique des consommateurs en forte hausse

La cybercriminalité a encore cru l’an passé avec 317 millions de nouveaux programmes malveillants créés, soit près de 1 million par jour. L’e-mail reste un vecteur d’attaque important pour les cyber-criminels, mais ces derniers continuent d’expérimenter de nouvelles méthodes d’attaque sur les périphériques mobiles et les réseaux sociaux afin d’atteindre plus de personnes, en faisant des efforts moindres.

« Les cyber-criminels sont paresseux par nature, ils préfèrent des outils automatisés et se faire aider par des consommateurs qui réalise leur sale travail à leur insu », a ajouté Laurent Heslault. « L’année dernière, 70 % des arnaques sur les médias sociaux ont été partagées manuellement dans la mesure où les attaquants ont profité de la confiance que les personnes accordent aux contenus partagés par leurs amis. »

Alors que les arnaques sur les médias sociaux peuvent rapidement rapporter de l’argent aux cyber-criminels, certains se tournent vers des méthodes d’attaque plus lucratives et agressives comme le ransomware, qui bloque littéralement le terminal en otage contre le versement d’une rançon. L’an dernier, ce type de programme malveillant a augmenté de 113 % et sa variante « crypto locker », qui chiffre les données, a fait 45 fois plus de victimes qu’en 2013. Plutôt que de se faire passer pour les autorités et de réclamer le paiement d’amende pour le contenu volé, technique de ransomware traditionnelle, le style d’attaque de crypto-ransomware est plus vicieux en cela qu’il retient en otage via des techniques de chiffrement les fichiers de la victime, ses photos et d’autres contenus numériques sans masquer ses intentions.

Pour les entreprises et les particuliers : rester calme et adopter la bonne approche de sécurité

Face aux attaquants qui persistent et évoluent, les entreprises et les particuliers peuvent mettre en place toute une série de mesures pour se protéger. Pour commencer, Symantec recommande les meilleures pratiques suivantes :

Pour les entreprises :
– Ne pas être pris au dépourvu : Utiliser des solutions d’intelligence des menaces avancées afin de réussir à identifier tout indicateur que les systèmes sont compromis et ainsi répondre plus rapidement aux incidents.
– Adopter une attitude proactive en matière de sécurité : Mettre en place une sécurité multicouche des terminaux, une sécurité réseau, un cryptage, une authentification forte et des filtrages de réputation. Collaborer avec un fournisseur de services gérés de sécurité pour renforcer votre équipe informatique.
– Se préparer au pire : Une bonne gestion des incidents permet de s’assurer que son système de sécurité est optimisé, mesurable et reproductible, et les enseignements tirés vous aident à améliorer la situation de l’entreprise en matière de sécurité. Penser également à s’adjoindre les services d’un expert tiers afin d’être aidé à gérer les crises.
– Proposer du une formation continue sur le sujet : Définir des lignes directrices et des politiques d’entreprise ainsi que des procédures de protection des données sensibles sur les appareils personnels et professionnels. Évaluer régulièrement les équipes d’investigation internes et effectuer des exercices pratiques afin de s’assurer de disposer des compétences nécessaires pour lutter efficacement contre les menaces informatiques.

Pour le grand public :
– Utiliser des mots de passe forts et uniques pour ses comptes et appareils et les mettre à jour régulièrement, idéalement tous les trois mois. Ne jamais utiliser le même mot de passe pour plusieurs comptes.
– Etre prudent sur les médias sociaux : Ne pas cliquer sur les liens dans le corps des e-mails non sollicités ou sur les médias sociaux, en particulier s’ils viennent de sources inconnues. Les cyber-criminels savent que les personnes sont plus susceptibles de cliquer sur des liens envoyés par leurs amis. C’est pourquoi ils piratent des comptes et envoient des liens malveillants à tous les contacts du compte.
– Sachez ce que vous partagez : Lorsqu’un appareil est connecté au réseau, tel qu’un routeur ou un thermostat, ou lorsqu’une nouvelle application est téléchargée, il faut vérifier les autorisations pour voir quelles données seront transmises. Il convient de désactiver l’accès à distance lorsque cela n’est pas nécessaire.