Selon les prévisions de Fortinet, les cybercriminels pratiqueront l’intelligence artificielle et l’automatisation pour extorquer les services commerciaux, mettre sur pied des ‘essaims’ (swarms) d’objets connectés piratés, cibler les infrastructures critiques, et empêcher les responsables sécurité de dormir...

Les organisations se transforment… Qu’à cela ne tienne, les cyber-pirates s’adaptent et suivent le pas, démontrant leur capacité à adopter les plus récentes innovations. Et puisque nous mettons toujours plus de choses en réseau, au point que demain quasi tous les objets seront connectés, les pirates de frottent les mains. C’est pour résumer, ce que nous annonce l’éditeur Fortinet pour l’année prochaine.

1L’avènement des Hivenets et Swarmbots autonomes

Face à des attaques sophistiquées comme Hajime and Devil’s Ivy ou Reaper, les experts de Fortinet s’attendent à ce que les cybercriminels remplacent leurs réseaux botnets par des hivenets, à savoir des clusters intelligents d’équipements piratés qui ciblent plus efficacement les vecteurs d’attaques. Les hivenets vont tirer avantage d’une compétence de machine learning pour cibler les systèmes vulnérables à très grande échelle. Ils seront capables de communiquer entre eux et de prendre des décisions sur la base d’informations de veille en local qui sont partagées. De plus, les équipements piratés gagneront en intelligence et agiront sans instruction de la part de ceux contrôlant le botnet.

Les hivenets pourront ainsi croître de manière exponentielle sous forme d’essaims (swarm), en multipliant leurs cibles et en empêchant les remédiations post-incident. Si les attaques n’utilisent pas encore la technologie swarm, cette dernière est néanmoins embarquée dans leur code : il est donc probable que, dans le futur, les assaillants intègrent un apprentissage autonome à ce type d’attaque. Des swarms d’équipements piratés identifieront et cibleront de manière simultanée différents vecteurs d’attaque, accélérant ainsi leurs exactions tout en en élargissant leur périmètre. Cette rapidité d’action pèsera lourdement sur la capacité à prédire les attaques, et donc à les combattre.

2Le rançonnage des services commerciaux

L'activité des ransomwares a été 35 fois plus importante sur la seule année dernière avec les ransomworms et attaques similaires. Cette tendance devrait d’ailleurs se poursuivre, avec comme prochaine cible de prédilection les fournisseurs de services cloud, dans l’objectif de générer toujours plus de revenus. Les réseaux complexes et hyperconnectés des fournisseurs de cloud constituent un talon d'Achille pour des centaines d'entreprises, d'administrations, d'infrastructures critiques ou d'acteurs des soins de santé.

Il faut s’attendre à ce que les cybercriminels capitalisent sur des technologies d'Intelligence Artificielle et les associent à des méthodes d’attaques multi-vecteurs, ceci afin d’analyser, de détecter et d’exploiter les faiblesses des environnements des fournisseurs de services cloud. Ces attaques, particulièrement rémunératrices pour les cybercriminels, peuvent interrompre les services à l'intention de centaines d'entreprises, avec un impact final sur des dizaines ou des centaines de milliers de clients.

3Malware polymorphe de nouvelle génération

Nous assisterons rapidement à la genèse de malwares conçus entièrement par des machines et sur la base d’une détection automatique de vulnérabilités et d’analyses complexes de données. Si le malware polymorphe n’est guère nouveau, il devrait néanmoins fortement évoluer. L’Intelligence Artificielle devrait permettre la mise en œuvre de processus définis par machine pour éviter toute détection. Face à l'évolution naturelle d’outils déjà existants, les assaillants seront capables d’affiner leurs exploits aux spécificités de chaque faiblesse identifiée.

Les malwares sont déjà capables d’utiliser les modèles d’apprentissage pour contourner la sécurité en place et produire plus d’un million de variantes de virus par jour. Mais à ce jour, cette perspective est basée seulement sur un algorithme, et il est difficile d'évaluer précisément le résultat. L’automatisation croissante des malwares rendra cette situation encore plus critique sur l’année à venir.

4Les infrastructures critiques en première ligne

Les fournisseurs d’infrastructures critiques continuent à être des cibles privilégiées. Ces organisations opèrent des réseaux essentiels qui protègent des services et des informations critiques. Cependant, la majorité des infrastructures critiques et des réseaux industriels sont fragiles, puisqu’ils ont été conçus pour fonctionner de manière cloisonnée. Mais les attentes des collaborateurs et du grand public pour une réponse toujours plus rapide à leurs besoins ont commencé à faire évoluer ces réseaux, avec notamment le besoin d'une sécurité dédiée à des environnements conçus à l'origine pour être isolés.

Face à l’importance de ces réseaux et aux conséquences potentiellement dévastatrices des piratages ou d’indisponibilités, les opérateurs d’infrastructures critiques se retrouvent désormais sous le feu d’organisations criminelles ou terroristes, voire d’états. L’audace des assaillants et la convergence des technologies opérationnelles et d’information rendent la sécurité des infrastructures d’autant plus critique pour les années à venir.   

Image d’entête 675744112 @ iStock Chaliya