Le Clusif, le Club de la sécurité de l'information français, a présenté son Panorama de la cybercriminalité 2014. Un panorama toujours aussi déprimant, les techniques de hacking évoluent, et les menaces demeurent et s'intensifient.
Le monde de la sécurité est en évolution permanente. Les attaques s'enchainent, les hackers font évoluer leurs compétences, et avec les nouveaux domaines technologiques, le périmètre des menaces ne cesse de grandir. En cela, les Panorama de la cybercriminalité du Clusif ne changent pas, même s'ils sont différents d'une année sur l'autre. Un paradoxe qui en réalité n'en est pas, la cybercriminalité est simplement une problématique quotidienne, aux conséquences pour les organisations qui prennent place sur une échelle qui va du grave au dramatique…
Il suffit de reprendre les thématiques du Panorama ces dernières années pour constater l'évolution des menaces dans la continuité, qui colle aux évolutions technologiques, et l'ingéniosité redoublée des hackers. En 2010, le thème central portait sur l'hackivisme et les OS embarqués. En 2011, la mobilité. En 2012, les cyber-conflits. En 2013, le cyber-espionnage. Et pour 2014, l'Internet des objets.
Les mêmes menaces, et plus encore...
Il suffit de replacer le discours des experts qui se sont succédés à la tribune dans le contexte historique des activités du Clusif pour constater que rien ne change, sauf le périmètre des menaces qui ne cesse d'augmenter. Ainsi les menaces par phishing, évoquées dès 2003, sont toujours d'actualité. De même dans l'industrie SCDA (Supervisory Control and Data Acquisition), thème central du Panorama de 2007. Nous pourrions multiplier les exemples dans quasi tous les domaines de la sécurité. Qu'une menace émerge un jour, nous en reparlerons encore dans x années !
Philippe Bourgeois, expert sécurité au Cert-IST, faisant le point sur l'évolution du risque et le changement de la nature des attaques, constate « la réalisation concrète d'attaques théoriques déjà connues. Elles ne sont pas forcément sophistiquées, mais elles sont déjà été portées à notre connaissance. Les risques théoriques deviennent réelles. ». Autre évolution sensible, les attaques ciblent de plus en plus des entreprises internationales. « Les sous-traitants sont un moyen de rentrer dans les systèmes des organisations. Le cercle grandit de jour en jour, il concerne de plus en plus de gens. »
La cible de l'open source
Hervé Schauer, Directeur associé de HSC by Deloitte, nous a quant à lui proposé de disséquer deux vulnérabilités qui ont fait l'actualité en 2014 : Heartbleed et Shellshock. Largement médiatisées – plusieurs intervenants ont stigmatisé le rôle de la presse dans la problématique sécuritaire – ces deux attaques présentent une similitude : elles portent sur des environnements open source (OpenSSL pour la première, GNU Bash pour la seconde).
Elles ont donné à Hervé Schauer l'occasion, avec la verve qu'on lui connaît, de fustiger les faiblesse du développement de logiciel. « Aujourd'hui, tout est logiciel, ce qui augmente le volume des périphériques touchés. Les développeurs multiplient les erreurs et les mauvaises pratiques, ils ne font pas de tests. La précipitation des mises sur le marché ne permet pas de prendre en compte les bases de sécurité. Ils ne font pas d'effort pour faire du contrôle qualité. Ils se reposent sur les autres pour corriger les erreurs. [Ce qui entraine] des difficultés dans les organisations pour retrouver les serveurs touchés et les responsables associés ». La conséquence, ce sont les interrogations qui portent sur le logiciel libre. « Les réactions sont tardives. Mais nous avons l'espoir de sensibiliser les programmeurs à bien programmer ! ». Il conseille l'usage d'environnements de test en situation réelle pour les cybercriminels. Le seul point positif à ses yeux, ce sont les tests de gestion de crise.
L'Internet des objets
Thème central de ce Panorama de l'année 2014, l'Internet des objets commence à tenir ses promesses. 70 % des objets connectés seraient vulnérables, a rappelé Fabien Cozic, enquêteur de droit privé spécialisé en cybercriminalité. Il fait le constat du triptyque qui relie les objets : mobilité, captation, sauvegarde et utilisation. Et pointe lui aussi le rôle de la presse, « il y a beaucoup d'exagération ».
L'année 2014 aura été l'année de « la perception de signes de risques réels ». Avec la création de la première menace réelle, Thingbot, du ver Linux Dalloz, et la découverte aux Etats-Unis de 73.000 caméras IP accessibles via un mot de passe faible à 4 caractères ! Et là encore les équipes de développement sont montrées du doigt : « Il n'y a pas de recherche de sécurité avant mise sur le marché. La sécurité n'est pas la priorité, les constructeurs gèrent les risques après qu'ils se déclarent. Il n'y a pas de règle, de norme, d'uniformisation des protocoles secondaires... »
D'autres sujets ont été évoqués dans le Panorama. Les polémiques, FUD et exagérations, qui entrainent surtout des perte d'énergie pour les démystifier. Ou encore l'explosion des rançons et fraudes aux présidents (l'exemple du chantage réussi sur Sony). « Les cyber-criminels réalisent des actions plus simples. Ils sont de plus en plus astucieux, et de plus en plus membres de cyber-armées. C'est pourquoi nous devons continuer de sensibiliser les collaborateurs et renforcer les systèmes métiers sensibles », Gérôme Billois, senior manager chez Solucom, qui à notre grand regret ne fera qu'esquisser l'intervention des états et la cyber-guerre.
Et pour 2015 ?
Difficile également d'esquisser le devenir du Panorama en 2015… Le Colonel Eric Freyssinet, Chef du Centre de lutte Contre les Criminalités Numériques (C3N) de la Gendarmerie nationale, évoque des chiffres 'en hausse' de la cyber-criminalité, des marchés 'underground' florissants, avec des produits et services variés. Quant aux évènements dramatiques de ces derniers jours, ils auront permis à François Paget, chercheur de menaces chez Intel Security – McAfee Labs, d'évoquer trois sujets que nous retiendrons pour notre conclusion : la carte dans contact, l'utilisation d’Internet comme soutien au terrorisme, et les nouvelles évolutions de la législation.