81 % des victimes d'une attaque numérique ne détectent pas la violation eux mêmes.
Nous serons tous piratés un jour, si cela n'a pas déjà été fait ! En revanche, ce que le « Trustwave Global Security Report » nous apprend, c'est qu'en grande majorité nous ne sommes pas conscients du déroulement d'une attaque. Ainsi, ayant étudié 574 attaques qui se sont déroulées dans 15 pays, l'éditeur arrive à la conclusion que 81 % des victimes d'attaques n'ont pas détecté la violation par eux mêmes.
La détection des attaques provient majoritairement (58%) de la banque ou d'un service de cartes bancaires. Suit, mais très loin (19%), l'auto-détection. Puis une procédure légale (12%), un partenaire (7%), ou un client (4%). Seules 2 entreorises sur 10 ont été capables de détecter qu'elles ont été victimes d'une cyber-attaque.
Il faut dire que les environnements dans lesquels nous évoluons ne nous sont pas favorables. 98 % des applications testées par Trustwave seraient vulnérables, et 95 % des applications mobiles, avec une moyenne de 20 vulnérabilités par application. En 2013, le chiffre était de 6 vulnérabilités, nos applications nous mettent en danger...
Le premier impact de ce phénomène porte sur les délais de réaction : une violation de données n'est détectée en moyenne que sous 86 jours, soit 3 mois entre l'intrusion et sa détection. Et il faut compter en moyenne 111 jours (4 mois) entre l'intrusion et le moment où elle sera endiguée. Dans les affaires étudiées par Trustwave, la détection s'est étalée sur une période qui a varié de 1 à 1.655 jours (4 ans et demi !).
Les points faibles des accès et des mots de passe
Les facteurs de compromission sont principalement liés à des faiblesses : dans la sécurité des accès distants (28%) - un problème qui touche plus particulièrement les points de vente et les sites d'e-commerce -, les mots de passe (28 %), la validation (15 %) qui d'ailleurs est parfois absente, et seulement en 4ème position les vulnérabilités non mises à jour. Suivent des erreurs de configuration (8%) et la malversation provenant de l'intérieur (4%).
Trustwave s'est également penché sur un échantillon de 499.556 mots de passe. 38 % d'entre eux ont une longueur qui ne dépasse pas les 8 caractères. Testés par les experts de l'éditeur, 51% d'ente eux ont pu être piratés en moins de 24 heures et 88% sous deux semaines. Il leur aura fallu en revanche 591 jours pour pirater un mot de passe composé de 10 caractères. Les utilisateurs affichent encore une réelle inconscience dans la définition de leurs mots de passe. Ainsi, l'expression 'password' figure 4 fois dans le Top 10 des mots de passe, qui cumulés représentent 2,5 % de l'ensemble de l'échantillon.
De même, 15 % des mots de passe reprennent des variations de noms ou d'expression basiques, comme le Top 2000 des noms de bébés, le Top 100 des noms de chiens, le Top 1000 des grandes villes, ou encore les noms de pays ou d'états. Une séquence de lettres a également retenu notre attention : 'ULLLLLNN', avec ses déclinaisons qui affichent plus ou moins de 'L' ou de 'N'.