Cybercriminalité en 2014 : intelligente, dangereuse et furtive. Mars 2014
Introduction Fondé sur les travaux des laboratoires de recherche d ESET, ce rapport sur les tendances des menaces pour 2014 traite de plusieurs sujets en matière de sécurité de l'information. Le but de ce rapport est de sensibiliser la communauté des internautes, aussi bien en usage privé que professionnel, face aux différentes formes de menaces informatiques et, par conséquent, de tenter de prévoir ses évolutions probables dans les années à venir. Tandis qu en 2011, on relevait une forte croissance des réseaux de botnets et de logiciels malveillants à but lucratif, en 2012, la principale tendance était directement liée aux menaces pour plates-formes mobiles. Un an plus tard, on observait une croissance vertigineuse de codes malveillants pour appareils mobiles et à l'heure actuelle, bien que ces menaces ne cessent d'augmenter et d'évoluer, le thème principal porte sur la préoccupation croissante exprimée par les utilisateurs concernant la vie privée sur Internet. Dans ce cadre, les révélations d'edward Snowden liées aux pratiques de la National Security Agency (NSA) ont eu une influence croissante sur l'inquiétude des internautes sur la sécurité des données sur Internet. A l évidence, cette tendance ne s'est pas traduite par une diminution des cas de personnes touchées par un code malveillant ou par un autre type de menace informatique. Si l on peut affirmer que les préoccupations autour de la vie privée auront un effet positif sur la sensibilisation des utilisateurs, il demeure néanmoins essentiel que les individus puissent être au courant de tous les aspects de la sécurité de l'information. Autrement, il ne sera pas possible d'atténuer l'impact global des menaces informatiques. Une autre tendance observée en 2013, et qui se poursuivra dans les prochaines années, est liée à l'augmentation du nombre et de la complexité de codes malveillants conçus pour le système d'exploitation Android. Les cybercriminels appliquent des méthodes d'attaques à la fois classiques et plus récentes sur les plates-formes mobiles. Ainsi, la découverte de vulnérabilités critiques et leur exploitation ultérieure par un code malveillant représentent une évolution de la cybercriminalité touchant la technologie mobile. D'autre part, une augmentation de la complexité des réseaux de botnets, de menaces 64 bits et de codes malveillants qui tentent d'obtenir des profits en volant de la monnaie électronique (bitcoins) sont autant de menaces qui ont récemment pris de l'importance. Enfin, une variété d équipements non traditionnels, tels que les voitures intelligentes, les consoles de jeux ou autres téléviseurs intelligents, sont susceptibles dans l avenir, d introduire de nouvelles types de menaces. 2
Atteinte à la vie privée : Un "nuage" à l horizon Auparavant, les façons traditionnelles de partager l information se limitaient aux supports magnétiques amovibles. Or, au cours des dernières années, le nombre d'utilisateurs et d entreprises qui privilégient la technologie de stockage d informations dans le Cloud a considérablement augmenté. Certes, les avantages du Cloud computing sont considérables, principalement du fait que les accès aux informations sont disponibles de pratiquement n'importe quel endroit à travers Internet. Ainsi, en cas de sauvegardes, il n'est pas nécessaire de choisir un lieu physiquement sûr pour préserver le support de stockage dans la mesure où le prestataire de la solution Cloud s engage à prendre toutes les dispositions pour garantir à ses clients des espaces sécurisés (hébergement distant, plan de reprise et continuité de l'activité en cas de sinistre). À cet égard, Gartner soulignait qu en 2011, seulement 7% de l'information de l'utilisateur final étaient stockés dans le Cloud alors que leur prévision pour 2016 serait de 36%. Par ailleurs, la publication du Cisco Global Index visant à prévoir la croissance mondiale des centres de données et du trafic IP fondés sur le Cloud, fait apparaître qu'en 2017 les utilisateurs européens sauvegarderaient une quantité de 770 exabytes d'informations dans le Cloud (2,6 milliards de gigaoctets). Le tableau suivant montre la croissance estimée du Cloud dans plusieurs régions du monde et la quantité de données stockées (exprimée en exaoctets ) : Croissance du Cloud par régions 3
Malgré cette croissance et les avantages du Cloud pour les utilisateurs, il est important de rappeler que cette technologie n'est pas exempte de risques liés à la sécurité de l'information. La préoccupation qui émerge aujourd hui, suite à l affaire Snowden, concerne la protection de la vie privée. Les moyens de communication électronique entre les humains ayant pris une importance considérable, le fait de partager des émotions, des opinions politiques ou religieuses et tout autre point de vue sur la vie en société peuvent apparaître sur la toile aux yeux de tous, si la confidentialité n est pas respectée. De plus, même si les internautes prennent soin de limiter la diffusion de l information à leurs seuls amis, dans le cas des réseaux sociaux, il s avère que pour des raisons d espionnage industriel, marketing ou politique, certains organismes (NSA, par exemple) disposent d outils sophistiqués pour observer les flux et les requêtes pour effectuer des analyses comportementales. Bien entendu, l'internet n'est pas une exception. Lorsque vous souhaitez garder un secret professionnel ou personnel, dans un cadre réel ou virtuel, les informations confidentielles ne doivent pas être accessibles à des tiers non autorisés. Or, les dispositifs de protection des données adaptés à ce genre de situation existent mais ne sont pas toujours connus ou mal utilisés. Bien que ce constat ne soit pas nouveau, l affaire NSA a remis en lumière, de façon spectaculaire, l ampleur des ressources mis en œuvre pour surveiller des individus ou des entreprises en toute illégalité. Ainsi, la confiance des internautes vis-à vis des informations circulant sur la toile et stockées dans le Cloud a largement été érodée. Or, si les dispositifs de protection «traditionnels» fondés sur des solutions de sécurité proposés par des éditeurs, tels que ESET, protègent l'utilisateur des différents codes malveillants, du piratage et du vol de mots de passe, à travers l'authentification à deux facteurs, il est très difficile d empêcher la collecte de données stockées sur l ordinateur et dans le Cloud par tous les logiciels légaux dont l'usage dépend de l'acceptation par l utilisateur des conditions de son utilisation. Dans ce contexte, il est essentiel de lire attentivement les conditions d'utilisation du logiciel et de tenir compte du fait que, lorsqu une personne accepte ce type d'accord, il accepte explicitement tous les termes (lus ou non lus) qu'il contient. A ce titre, des experts en sécurité soutenus par l Electronic Frontier Foundation ont récemment fait appel aux fournisseurs de solutions IT pour leur suggérer quelques pistes leur permettant de mieux protéger les utilisateurs contre la surveillance de la NSA. 4
Menaces sous Mac : mythe ou réalité? La quantité de logiciels malveillants spécifiques au Mac reste faible par rapport à d'autres plates-formes comme Windows. Cependant, le nombre de malwares Mac est constamment en hausse et ce n'est pas seulement un problème de quantité. plate-forme comme une autre pour agir dans un réseau de botnets (zombies). Si des pirates ont comme objectif de mettre en œuvre un réseau de botnets pour constituer une armée de machines compromises (bots ou zombies) capables de récolter des informations d'identification bancaires ou de mener des attaques de déni de service (DDoS) par exemple, les cybercriminels ne se préoccupent pas de savoir si les bots sont sur Mac ou PC, voire sur des smartphones Android. A priori, tant qu un cheval de Troie fait son travail, peu importe la plate-forme. Ainsi, le fait de protéger les deux plates-formes n est pas un luxe. Aujourd'hui un malware bien conçu et ciblé peut causer des dommages sur un Mac non protégé. En fait, aucun système d exploitation n est 100% sécurisé. Même si la vulnérabilité touche à des applications, telles que Java, elle peut être exploitée par des logiciels malveillants. D une part, beaucoup d utilisateurs Mac sont persuadés que leur appareil ne peut pas attraper de virus PC, ce qui est exact. Sauf que cette affirmation élude le fait que les Mac peuvent propager des virus PC. Ainsi nombre d entreprises, ayant des collaborateurs qui emploient un Mac ou un PC (y compris ceux qui exécutent Windows sur Mac) se préoccupent légitimement du risque de propagation. Il est donc logique de sécuriser les deux sachant que l erreur humaine ou l imprudence sont également des facteurs aggravants, quelle que soit la plate-forme. Les règles de prudence restent les mêmes : les deux systèmes d'exploitation nécessitent la mise à jour de l OS, des applications, de l anti-virus et l installation des correctifs de sécurité. Les bons conseils, souvent rappelés pour les utilisateurs Windows, sont aussi appropriés sur Mac, notamment sur l usage de mots de passe complexes. D autre part, lorsqu un Mac est infecté par un logiciel malveillant, sur lequel des pirates informatiques ont installé leur logiciel à l insu de l utilisateur, la machine prend de la valeur dans la mesure où elle devient une 5
A titre d exemple, l un des chercheurs d ESET basé en Irlande a mené une enquête sur une escroquerie repérée par son système de surveillance de malwares. Bien qu'il n'y ait aucun doute sur la volonté d Apple de protéger ses clients contre les menaces de sécurité, il est impossible pour un éditeur de système d'exploitation ou de logiciels de sécurité, de garantir une protection absolue pour l'utilisateur. Si les utilisateurs ont une confiance absolue dans la sécurité de leur environnement informatique, cette attitude peut se retourner contre eux lorsqu il s agit d ingénierie sociale, en particulier pour le phishing. Dans ce cas, les cybercriminels savent parfaitement exploiter ce phénomène, dans la mesure où ces utilisateurs auront tendance à faire davantage confiance à des sites Web leur paraissant officiels. Ce chercheur décrit une approche très réaliste de phishing (via un e-mail reçu par les utilisateurs irlandais à l'aide d indices visuels habituels d'apple) qui mène à une fausse procédure d identification sur le site itunes vers une adresse que plusieurs éditeurs de sécurité ont pourtant repéré comme un site de diffusion de logiciels malveillants. La victime est alors invitée à confirmer qu il est bien le détenteur du compte en lui demandant de des données personnelles, incluant le numéro de sa carte de crédit et de son code de sécurité, son mot de passe et même son numéro de sécurité sociale. Même si Apple ne demanderait jamais à leurs utilisateurs ce type de demande d informations par e-mail et que cet éditeur les met plutôt en garde contre ce genre de phishing sur leur site de support, de nombreux utilisateurs sont encore dupés par l'aspect et la convivialité du site. Pourtant, le site d'apple donne des conseils utiles de prudence sur les informations partagées par e-mail ou via un lien non vérifié dans l'e-mail. Ainsi l idée de protéger son Mac s impose comme pour toute autre plate-forme. A cet effet, ESET propose une solution ultra légère qui maintient les performances de l ordinateur et qui protège de tout type de malware dont les virus, vers, spyware et également des menaces inter plates-formes pour Windows. 6
Authentification : Les mots de passe ne sont plus à la hauteur Déjà observée en 2013, la croissance de logiciels malveillants pour mobiles et les cas de fuites d'informations dues à des attaques par des tiers va s amplifier en 2014. L exemple de la violation du compte Twitter de Burger King où l'attaquant a utilisé le mot de passe pour publier des annonces pour un de ses concurrents, ainsi que les différentes menaces informatiques qui ont tenté de voler des mots de passe (codes malveillants, attaque par force brute, attaques sur des serveurs et phishing) ont prouvé que l authentification simple, à travers un seul facteur par mot de passe, ne suffit pas à réduire l'impact des attaques. L une des solutions la plus économique et néanmoins efficace qui s impose aujourd hui, est celle de l authentification à deux facteurs qui correspond à une méthodologie mettant en œuvre une seconde étape de vérification de l identité. Par exemple, lorsqu'un utilisateur accède à son compte (messagerie, réseau social, banque, etc.), il doit non seulement saisir un mot de passe, mais entrer un second code de confirmation qui pourrait lui être envoyé par SMS sur son mobile ou à travers une application spécifique. De cette façon, si un attaquant peut obtenir le nom de l'utilisateur et son mot de passe, il ne pourra pas connaître le second facteur d'authentification. A ce titre, beaucoup d entreprises ont adopté en 2013 des systèmes d'authentification à deux facteurs comme un moyen de réduire certaines attaques informatiques. Hormis les institutions financières qui possèdent une longue expérience d utilisation de cette technologie, ce système d authentification a été adopté par de nombreuses entreprises, telles que Facebook, Apple, Twitter, LinkedIn, Evernote, Google et Microsoft, entre autres. La plupart du temps, ces systèmes ne demandent de saisir le deuxième facteur d'authentification que dans le cas où la personne tente de se connecter avec un nouvel appareil. Cela évite à l'utilisateur d'entrer le second code d'authentification à chaque fois qu'il souhaite utiliser le service. De même, plusieurs services permettent l'utilisation de ce type de protection à l'aide de Google Authenticator (application disponible pour les platesformes mobiles) en créant un code aléatoire qui peut être saisi comme un deuxième facteur d'authentification (Ex : Microsoft, Google, Facebook, Amazon Web Services et Evernote). MOT DE PASSE FAIBLE Le plus grand risque de la sécurité informatique : le vol de mots de passe Créez des mots de passe forts P@ssF0rtSTOPhack3rs!* 61% des utilisateurs réutilisent leur mot de passe sur plusieurs sites internet 76% des intrusions exploitaient des mots de passe faibles ou volés 44% des internautes changent leur mot de passe au moins une fois par an Combinez les caractères en minuscules, en MAJUSCULES, les chiffres et les symboles Utilisez plus de 8 caractères (mieux vaut combiner des mots, 20-30 caractères) Changez votre mot de passe plus d une fois par an abc123 Abcd John123 golf123 Chiffres à la fin, surtout le 1 et le 2 Les majuscules au début Prénoms (principalement utilisés par les femmes) Hobbies (principalement utilisés par les hommes) 7
SURPASSEZ LES HACKERS Avec une authentification forte à deux facteurs (2FA) 2FA valide votre identité et sécurise vos données Smartphone avec un mot de passe à usage unique mot de passe de l utilisateur combiné au mot de passe à usage unique Serveur d authentification du client Accès sécurisé au réseau et aux données de l entreprise En conséquence, ESET a mis sur le marché en 2013 une première solution sécurisée conçue pour mettre en œuvre un système d'authentification à deux facteurs pour les réseaux VPN et des serveurs de messagerie d'entreprise. Il s agit d une approche simple et moderne qui peut facilement être déployée dans une configuration de cloud privé car elle s'interface avec les acteurs principaux de manière totalement transparente, tels que Cisco, Juniper, Checkpoint, F5, Microsoft, Citrix ou applications Cloud public compatibles SAML (Google Apps, Office 365 par exemple). Plus précisément, ESET Secure Authentication utilise la technologie d authentification à deux facteurs et mot de passe unique (2FA-OTP). Lors de sa connexion distante au réseau de l entreprise, l utilisateur verra son identification traditionnelle (identifiant / mot de passe) complétée par la demande d un mot de passe à usage unique qu il générera via son application mobile. Dans ce cas l authentification dite forte permet de protéger les données de l entreprise contre les tentatives de vol, de destruction, les attaques par dictionnaire, les cryptolockers et toute autre forme de cybercriminalité. Début 2014, ESET a introduit sur le marché une seconde version de sa solution d authentification forte en ajoutant deux fonctionnalités particulièrement utiles aux entreprises qui souhaitent personnaliser leur système de protection. ESET propose un kit de développement logiciel (SDK) et des API faciles à intégrer pour renforcer la protection sur un plus large éventail d'applications et de données. Le vrai coût des failles de sécurité Perturbation de l activité Pertes de données comme la propriété intellectuelle Perte de temps et de productivité Dégradation de l image de marque Coût le plus élevé par document perdu 199 en allemagne 136 66% dans 9 pays des failles ne sont pas découvertes pendant des mois, ce qui augmente le nombre de dommages potentiels Coût moyen par document perdu * source: Verizon Data Breach Report 2013 8
Menaces sous Android : La rançon du succès En 2014, il est devenu évident que le système d'exploitation Android de Google a consolidé sa position en tant que plate-forme mobile la plus largement utilisée avec comme effet induit, l'augmentation et la consolidation des différentes menaces informatiques qui affectent cette plate-forme. Le graphique ci-après montre qu en 2010, il y avait seulement trois familles tandis qu en 2011, on comptait 51 familles, 63 en 2012 et 79 à fin octobre 2013. Croissance des familles de logicielsmalveillants pour android 1. Downloader Trojan : qui essaye de trouver d'autres menaces à partir d'internet pour les installer ensuite sur l'appareil ; 2. Dropper Trojan : qui installe d'autres menaces que le cheval de Troie qui lui-même s intègre dans son code ; 3. Clicker Trojan : destiné à créer du trafic sur un site ou une publicité dans le but d'augmenter artificiellement le nombre de "clics" ; 4. Bank Trojan : qui tente de voler des informations à des organismes financiers ou bancaires. Il est important de souligner que le plus grand nombre de familles de logiciels malveillants pour Android a été repéré en 2013, même si il s agit des dix premiers mois de l'année. Si l'on compare sur la même période de temps, de janvier à octobre, 55 familles sont apparues en 2012 et 79 en 2013. Cela représente une augmentation de 43,6 % pour 2013. Un autre aspect intéressant à signaler concerne la découverte de nouvelles catégories de chevaux de Troie pour Android. Jusqu'à il y a un an, il était courant de trouver des chevaux de Troie en logiciels espions, SMS et botnet qui tentent de transformer l'appareil en zombie. Cependant, en 2013, quatre sous-catégories de chevaux de Troie ont été signalées qui étaient auparavant connues sous d autres plates-formes, Windows notamment : La tendance actuelle n'est donc pas seulement liée à la croissance des menaces spécifiques à la plate-forme mobile de Google, mais elle est aussi remarquable en termes de variantes de chevaux de Troie qui affectaient auparavant que les systèmes d'exploitation traditionnels. Il est probable que dans l'avenir, le nombre de familles composées de ces sous-catégories augmentera. Dans un tel contexte, la solution d ESET Mobile Security pour Android est loin d être un luxe. Il s agit d une nouvelle génération de solutions de sécurité mobile qui offre une analyse renforcée, un module anti-phishing et une interface utilisateur conviviale adaptée aux habitués de cette plate-forme. Grâce à cette solution, les utilisateurs de smartphones et de tablettes Android bénéficient d un usage plus sécurisé et d une protection, aussi bien contre les menaces physiques que numériques. 9
REMERCIEMENTS Nous vous remercions du temps que vous avez accordé à la lecture de ce livre blanc et espérons que celui-ci a répondu à vos interrogations. Si vous souhaitez plus d informations sur les solutions présentées, n hésitez pas à nous contacter. L'équipe eset france CONTACTEZ-NOUS ESET France Tel. + 33 (0)1 55 89 08 85 www.eset.com/fr Copyright 2014 ESET. Tous droits réservés.