Les stratagèmes des cybercriminels pour s’assurer l’infiltration d’un SI se sont enrichis de techniques de manipulation comme la désinformation par la manipulation des données ou de l’horodatage. Mais, les défenseurs sont prêts à utiliser les mêmes techniques pour les contrer.
À mesure que l’infrastructure informatique s’étend et se développe, sa complexité augmente et les couches sécuritaires qu’il faut empiler pour la protéger s’accumulent. Dans les entreprises de nouveaux éléments sont constamment intégrés, comme les appareils des employés en télétravail, ou les terminaux mobiles, élargissant encore plus le périmètre à défendre. Du point de vue applicatif, la complexité tient aussi à l’accumulation de solutions logicielles et de méthodes de travail, comme la conteneurisation, la virtualisation, les API, DevOps…
L’accroissement de la surface d’attaque, la militarisation des nouvelles technologies, et l’industrialisation de la cybercriminalité continuent de façonner la menace moderne et la façon avec laquelle les défenseurs doivent riposter. De plus, les organisations peinent à avoir de la visibilité sur les nouveaux environnements que sont le cloud, les conteneurs, et les applications de communication d’entreprise. D’après une étude réalisée par VMware, Global Incident Response Threat Report : Manipulating Reality, cette situation risque de s’aggraver encore plus, car les attaques deviennent de plus en plus sournoises et manipulatrices.
Des techniques de manipulation émergentes
« Aujourd’hui, il est de plus en plus évident que nous vivons dans une sorte de zone crépusculaire, où l’objectif des attaquants modernes est de lancer des attaques destructrices qui déforment la réalité numérique, que ce soit par le biais de la compromission des communications commerciales, de la manipulation du temps et des données, ou des deepfakes », affirment les rédacteurs du rapport. Pire encore, le fait de coloniser l’infrastructure d’une victime n’est souvent qu’un début. L’étape suivante consistant à utiliser cette infrastructure pour lancer des attaques sur d’autres victimes.
Les répondants ont indiqué que les victimes ciblées subissent désormais des attaques destructrices et d’intégrité plus de 50 % du temps. Les cybercriminels y parviennent grâce à des techniques émergentes, telles que la manipulation des horodateurs, ou les attaques Chronos, que près de 60 % des répondants ont observées. Les attaquants utilisent plus en plus le cloud pour faire du « island hopping »le long de la chaîne d’approvisionnement de la victime : 49 % de toutes les attaques ciblent la victime par le biais du « island hopping ». Ce chiffre est à comparer aux 53 % de toutes les attaques dont les répondants ont été témoins et qui visaient directement la victime.
Les défenseurs prêts à riposter sur le même terrain
Le passage à un environnement de travail à distance et la généralisation de l’utilisation de plateformes de communication et de collaboration ont ouvert de nouvelles perspectives aux cyber assaillants. Ils utilisent de plus en plus les plateformes de communication d’entreprise (par exemple, Microsoft Teams, Skype, Slack, Google Chat) pour se déplacer dans un environnement donné et lancer des attaques sophistiquées. Lorsqu’il leur est demandé quels sont les outils à double usage qui facilitent les déplacements latéraux, 32 % des personnes interrogées choisissent ces plateformes, après PowerShell et .NET de Microsoft.
Pour faire face à ces nouvelles manipulations, les répondants sont prêts à utiliser eux aussi des techniques basées sur la tromperie et la manipulation. La majorité des personnes interrogées (81 %) se dit prête à utiliser un éventail de ruses, allant de la tromperie au contre-piratage. Si des techniques telles que le déploiement de fausses grilles et des micro dépôts de données sont utiles, ils n’hésiteront pas à les utiliser.