Rapport 2015 sur les risques d attaques informatiques

Transcription

1 Rapport Rapport 2015 sur les risques d attaques informatiques Résumé analytique

2 Le paysage informatique La version 2015 du Rapport annuel sur les risques d attaques informatiques de HP Security Research détaille un paysage de menaces encore très encombré par de vieux défauts et des problèmes connus, et ce, malgré une avancée de plus en plus rapide du monde de la sécurité. Il s agit d un environnement dans lequel des attaques et des mauvaises configurations bien connues cohabitent avec des logiciels malveillants mobiles et des appareils connectés (l Internet des objets [IdO]) qui restent dans l ensemble peu sûrs. Avec la reprise de l économie mondiale, les entreprises continuent d utiliser des accès peu coûteux au capital, ce qui est malheureusement aussi le cas des pirates de réseau, dont certains ont lancé des attaques de particulièrement grande ampleur au cours de l année. Le Rapport 2015 sur les risques d attaques informatiques, établi sur la base des travaux innovants de HP Security Research (HPSR), aborde plusieurs points d importance. Il examine à la fois la nature des vulnérabilités les plus fréquentes actuellement qui exposent les organisations aux risques d attaques et la façon dont les adversaires profitent de ces vulnérabilités. Le rapport met le lecteur au défi de repenser la façon dont et l endroit où leur organisation peut être attaquée, car il ne s agit plus de «si» mais de «quand». Ces renseignements peuvent être utilisés à l amélioration de l affectation des ressources financières et humaines à la sécurité afin de lutter contre les menaces. Certaines des conclusions clés du rapport 2015 sont : Les attaques bien connues sont encore courantes : les pirates continuent de profiter de techniques bien connues pour infecter les systèmes et les réseaux. De nombreuses vulnérabilités exploitées en 2014 tiraient parti du code écrit plusieurs années auparavant, parfois même plusieurs décennies (Figure 1). Les adversaires continuent de profiter de ces voies d attaque classiques. Figure 1. Les quatre failles principales découvertes par HPSR en 2014 Failles principales enregistrées en 2014 CVE Microsoft Windows 33 % CVE Adobe Reader et Acrobat CVE Oracle Java CVE Oracle Java 7 % 11 % 9 % L exploitation d applications client et serveur largement déployées est encore courante. Ces attaques sont encore plus répandues dans des applications intermédiaires mal codées, telles que des logiciels à la demande (SaaS, software as a service). Bien que de nouvelles failles aient plus attiré l attention de la presse, les attaques des années passées représentent toujours une vraie menace pour la sécurité des entreprises. Les défenseurs de réseau devraient employer une stratégie de modification complète, afin de s assurer que les systèmes sont à jour au niveau des dernières protections de sécurité et donc de réduire l éventuelle réussite de ces attaques. Les mauvaises configurations sont toujours un problème : Le Rapport HP 2013 sur les risques d attaques informatiques (publié début 2014) établissait qu un fort pourcentage des vulnérabilités enregistrées était lié à une mauvaise configuration des serveurs. La tendance a continué en 2014, lorsque les mauvaises configurations représentaient le problème principal de toutes les applications analysées. Nos découvertes montrent que l accès à des fichiers et à des répertoires inutiles domine la liste des problèmes liés aux mauvaises configurations. Les informations divulguées aux pirates par le biais de ces mauvaises configurations offrent des possibilités d attaque supplémentaires et donnent aux pirates les connaissances nécessaires à la réussite de leurs autres méthodes d attaque. Des tests de pénétration et une vérification des configurations effectués régulièrement par des entités internes et externes peuvent identifier des erreurs de configuration avant que des pirates puissent les exploiter. 2

3 Des technologies plus récentes créent des perspectives d attaque inédites : Avec l introduction de nouvelles technologies dans l écosystème informatique, de nouveaux types d attaques et de nouveaux défis de sécurité apparaissent. L année écoulée a vu le nombre de logiciels malveillants mobiles augmenter alors qu ils étaient déjà très répandus. Bien que le premier logiciel malveillant à destination des appareils mobiles ait été découvert il y a une décennie, ce n est qu en 2014 qu ils ont cessé d être considérés comme une nouveauté. La connexion de technologies existantes à Internet apporte également son lot de nouvelles expositions. Les systèmes point de vente (PoS) étaient la cible principale de plusieurs logiciels malveillants en Alors que des appareils physiques se connectent par le biais de l Internet des objets (IdO), un paradigme qui met l informatique omniprésent et ses conséquences sur la sécurité à la portée des citoyens moyens, la nature diverse de ces technologies a soulevé des inquiétudes concernant la sécurité et la vie privée. Afin de se protéger contre de nouvelles perspectives d attaque, les entreprises doivent comprendre et savoir comment atténuer les risques amenés dans un réseau avant d adopter de nouvelles technologies. Figure 2. Dix ans de logiciels malveillants mobiles ; les cibles des logiciels malveillants évoluent en même temps que les parts de marché 10 ans de logiciels malveillants mobiles Part de marché relative Windows ios Xrove WinCE 2006 Meiti WinCE 2008 Ikee ios 2009 Wallpapers 2010 KongFu 2012 DroidDream 2011 Master Key 2013 Koler 2014 Cabir 2004 Drever 2005 FlexiSpy Les adversaires déterminés se multiplient : les pirates utilisent aussi bien d anciennes que de nouvelles vulnérabilités pour pénétrer l ensemble des niveaux de défense classiques. Ils maintiennent l accès aux systèmes victimes en choisissant des outils d attaque qui ne seront pas détectés par des antilogiciels malveillants, ni d autres technologies de défense. Dans certains cas, ces attaques sont perpétrées par des acteurs représentant des États-nations, ou sont tout au moins lancées en soutien aux États-nations. En plus des États-nations traditionnellement associés à ce type d activité, de nouveaux acteurs tels que la Turquie sont apparus en Les défenseurs de réseau devraient comprendre la façon dont les événements sur le plan mondial affectent les risques liés aux systèmes et aux réseaux. La mise en place d une législation sur la sécurité informatique se profile à l horizon : des actions au niveau des tribunaux européen et américain ont établi un lien plus fort que jamais entre la sécurité des informations et la protection des données. Tandis que des organismes législatifs et réglementaires s interrogent sur la façon d augmenter le niveau global de sécurité dans les sphères publique et privée, une avalanche de failles individuelles a été enregistrée 3

4 en Ceci a soulevé des inquiétudes grandissantes concernant la façon dont les individus et les organisations sont affectés une fois que des données privées ont filtré et sont utilisées à des fins criminelles. Les attaques de grande envergure sur Target et Sony ont servi de parallèle à ces discussions pendant la période d étude de ce rapport. Les entreprises doivent savoir que de nouvelles lois et réglementations affecteront la façon dont ils surveillent leurs actifs et signalent les incidents potentiels. La mise en place d un codage sûr continue de représenter un obstacle : Les premières causes de vulnérabilités couramment exploitées sur les logiciels sont des défaillances, des bugs et des défauts de logique. Des professionnels de la recherche en matière de sécurité informatique ont découvert que la plupart des vulnérabilités provient d un assez faible nombre d erreurs de programmation logicielle courantes. De nombreuses publications existent pour guider les développeurs de logiciel vers l intégration de pratiques de codage plus sûres dans leur travail de développement de tous les jours Malgré toutes ces connaissances, d anciennes et de nouvelles vulnérabilités continuent d apparaître dans les logiciels. Celles-ci sont alors rapidement exploitées par des pirates. Cela peut représenter un défi, mais il est devenu impératif que le développement de logiciels soit synonyme du développement de logiciels sûrs. Bien qu il ne soit probablement jamais possible d éliminer tous les défauts de code, un processus de développement sûr correctement mis en place peut réduire l impact et la fréquence de tels bugs. Rapport sur les technologies de protection complémentaires : En mai 2014, un cadre supérieur d un fournisseur d antilogiciels malveillants très connu a annoncé la mort des antivirus. Le secteur a répondu par un «non, ils ne sont pas morts» retentissant. Ils ont tous les deux raison. Des études montrent que les logiciels de lutte contre les logiciels malveillants ne détectent qu environ la moitié de l ensemble des attaques informatiques, un taux extrêmement faible. Lors de notre examen du paysage des menaces en 2014, nous avons remarqué que les entreprises qui réussissent le mieux à protéger leur environnement ont recours à des technologies de protection complémentaires. Ces technologies fonctionnent mieux si elles sont couplées à une mentalité qui suppose qu une faille va se produire, plutôt qu à une mentalité qui ne vise qu à éviter les intrusions et les infections. En utilisant tous les outils mis à leur disposition et en ne reposant pas que sur un unique produit ou service, les défenseurs sont mieux placés pour éviter, détecter et récupérer d une attaque. Actions et réactions Face à des menaces de plus en plus importantes, les fournisseurs de logiciels continuent à rendre la vie plus difficile aux pirates avec la mise en place d éléments de réduction des risques. Cependant, ces réductions ne suffisent pas lorsqu elles sont bâties sur un code source intrinsèquement vulnérable. Plusieurs fois en 2014, d importantes vulnérabilités sont apparues et ont laissé les entreprises s efforcer de déployer des mises à jour et de nettoyer les machines infectées. Observer les réponses du secteur à la vulnérabilité Heartbleed a mis en avant le manque de préparation face à ce genre d événement. En raison de la sévérité et de l exploitation active de la vulnérabilité, des organisations ont dû répondre rapidement et mettre à jour des serveurs qui ne l étaient pas régulièrement. Le problème se trouvait dans une bibliothèque d applications qui ne disposait pas d un chemin de mise à jour suffisamment clair, ce qui a encore compliqué les efforts ; les entreprises ne disposaient pas d une parfaite connaissance des applications qui utilisaient cette bibliothèque, ni de son emplacement au sein de leurs réseaux. La découverte de vulnérabilités de divulgation d informations telles que Heartbleed illustre parfaitement la valeur que ces vulnérabilités ont au sein de la communauté des pirates. Heartbleed est une parfaite démonstration d une vulnérabilité de divulgation d information hautement contrôlable due à une lecture trop fréquente du tampon. Les vulnérabilités trouvées dans du code source étaient également un facteur important en L augmentation continue de la qualité des exploitations révèle une compréhension approfondie de la nature de la vulnérabilité et des processus internes des applications cible. 4 Notre étude de 2014 (abordée au cours de plusieurs réunions de sécurité pendant l année et résumée dans le Rapport sur les risques) indiquait que la propriété intellectuelle faisait toujours partie des cibles, en particulier de la part d intérêts chinois. D autres nations représentent également une menace importante dans notre monde connecté à l international. La Corée du Nord continue sur sa tradition de la guerre asymétrique à l âge d Internet, avec un dévouement remarquable au développement de capacités de guerre informatique même si elle se débat avec une infrastructure vieillissante. L Iran continue de développer ses capacités informatiques

5 et considère les groupes de pirates informatiques comme des multiplicateurs de force à utiliser pour cibler des entités occidentales, en particulier des organisations et des entités gouvernementales. Le monde souterrain des pirates informatiques turcs, parmi d autres de la région, continue de se développer. Nous nous attendons à ce que la tendance continue dans cette zone a également été une année essentielle pour les logiciels malveillants, en particulier parce qu ils sont enfin considérés comme de véritables menaces par le public. Bien que la majorité des logiciels malveillants sous découverts en 2014 se trouvait en dehors du marché GoogleTM Play, il est arrivé que des logiciels malveillants y soient placés à l aide de comptes de développeurs créés à des fins criminelles. Le ransomware était également un thème clé l année dernière alors que des pirates continuent d exploiter un modèle économique dans lequel les données des utilisateurs sont retenues contre une rançon par un logiciel malveillant, souvent à l aide d algorithmes de cryptage asymétriques. Le ransomware le plus remarquable de l année était peut-être CryptoLocker, qui est apparu fin 2013 et a causé des dégâts importants avant d être supprimé au cours d une opération dirigée par le FBI. Malgré cette action, le modèle économique de la rétention des données de l utilisateur contre une rançon par le biais d un logiciel malveillant reposant sur un cryptage a vu l apparition d un certain nombre d imitateurs, dont CryptoWall est l exemple le plus emblématique. La menace des logiciels malveillants continue d augmenter en même temps que les attaques sur Target et Home Depot ont mis en avant les risques liés aux appareils PoS. Notre enquête nous a permis de découvrir un développement continu, une sophistication accrue et une base de code divergente dans les logiciels malveillants PoS actuels. De manière significative, ces programmes malveillants sont bâtis par des personnes disposant de connaissances spécifiques sur les environnements ciblés. Ceci met en avant la nature planifiée de ces attaques et nous rappelle que les pirates s installent de plus en plus dans la durée. Les entreprises doivent être capables de surveiller leurs réseaux et leurs systèmes d une façon qui leur permet de reconnaître une collecte malveillante de renseignements et des activités de reconnaissance qui pourraient annoncer l imminence d une attaque. Figure 3. Le développement dans le cadre de l Internet des objets (d après l étude d Evans Data auprès de plus de développeurs, 2014) Le développement dans le cadre de l Internet des objets 17 % 23 % Pourcentage de développeurs au niveau mondial qui travaillent sur des applications à destination d appareils connectés. Pourcentage de développeurs projetant de travailler sur des appareils connectés dans les six prochains mois. Il semble que les consommateurs soient de plus en plus informés des problèmes de protection des données au niveau des appareils connectés (IdO), qu il s agisse d une inquiétude liée aux risques de divulgation de la vie privée et de sécurité posés par les appareils connectés de base ou de quelque chose de plus global. L IdO est plus qu un mot à la mode, c est un paradigme qui met l informatique omniprésente et ses conséquences sur la sécurité à la portée des citoyens moyens (Figure 3). Les attaques impliquent souvent diverses couches de l infrastructure de l appareil. Ceci pourrait inclure des applications prises en charge par les smartphones, les tablettes ou par les services dans le cloud, ainsi que par des couches de micrologiciels et d applications situées sur l ordinateur hôte. Divers vecteurs de propagation peuvent également être utilisés, notamment des fichiers de mise à jour infectés, un réseau exploité et des vulnérabilités dans les couches de communication de l ordinateur hôte, ainsi que de possibles vulnérabilités dans l infrastructure des services dans le cloud et dans les applications des appareils intelligents. Bien que les menaces provenant d Internet en lui-même existent au niveau mondial, un réseau mondial de chercheurs en sécurité est toujours sur le qui-vive afin d aider le secteur des logiciels à rendre son code plus sûr. L Initiative Zero Day (ZDI) de HPSR est le plus gros programme de prime à la recherche de bugs chez les fournisseurs, et bénéficie de plus de dix ans d expérience dans la coordination de la divulgation des vulnérabilités. Fin 2014, il s était construit un réseau de plus de chercheurs indépendants et travaillant à l exposition et à la résolution des faiblesses dans les logiciels et les plateformes les plus connus au monde. Ces deux dernières années, des chercheurs représentant de nouvelles zones géographiques (dont l Allemagne, la Corée du Sud, la Chine et la Fédération de Russie) sont apparus et ont publié des analyses techniques d excellente qualité (Figure 4). Les chercheurs de ces pays ne se concentrent pas seulement sur la découverte des vulnérabilités, mais également sur des techniques d exploitation innovantes. 5

6 Figure 4. Des chercheurs externes pour ZDI répondent présent des quatre coins du globe Carte de répartition géographique des chercheurs Conclusion Dans un monde où de plus en plus de personnes et d appareils se connectent à Internet, il est essentiel de se concentrer plus sur la sécurité et la protection de la vie privée. L année dernière a vu l apparition de plusieurs vulnérabilités qui ont réellement attiré l attention des médias. Les défenseurs de réseau devraient se servir des informations contenues dans le du Rapport 2015 sur les risques d attaques informatiques pour mieux comprendre le paysage des menaces et mieux déployer les ressources dans l optique de minimiser les risques de sécurité. En se tournant vers l avenir, On constate que La technologie va poursuivre son amélioration de notre monde de différentes manières, mais ces bénéfices apportent aussi leur lot de défis liés au maintien de la sécurité et de la protection de la vie privée tout au long de notre vie numérique. Cependant, grâce à un regain de la collaboration et à une compréhension approfondie des menaces imminentes, nous pouvons augmenter encore les poursuivre l augmentation des coûts physiques et intellectuels auxquels un pirate doit faire face pour exploiter un système. Pour en savoir plus sur la façon dont HP peut aider votre organisation à mettre en place un programme de sécurité efficace, à combler les manques dans votre environnement ou à remettre en place votre infrastructure après une infection, rendez-vous sur hp.com/go/hpsr. En savoir plus sur hp.com/go/hpsr Inscrivez-vous pour recevoir les nouveautés hp.com/go/getupdated Partagez ce document avec vos collègues Notez ce document Copyright Hewlett-Packard Development Company, L.P. Les informations contenues dans les présentes peuvent être modifiées sans préavis. Les seules garanties concernant les produits et services HP sont celles mentionnées dans les déclarations de garantie explicites accompagnant ces produits et services. Rien de ce qui figure aux présentes ne peut constituer une garantie supplémentaire. La société HP ne peut être tenue pour responsable des erreurs ou des omissions techniques ou rédactionnelles contenues dans les présentes. Adobe et Acrobat sont des marques de commerce de Adobe Systems Incorporated. Microsoft et Windows sont des marques de commerce du groupe d entreprises Microsoft. Oracle et Java sont des marques déposées d Oracle et/ou de ses sociétés affiliées. Google est une marque déposée de Google Inc. 4AA5-0920ENW, Février 2015, Rév. 1