Dans le jeu du chat et de la souris entre les cybercriminels et les équipes de cybersécurité des entreprises, il est souvent perçu que les hackers ont une longueur d'avance. Et pour cause, ils sont constamment à la recherche de nouveaux vecteurs d'attaque et de territoires informatiques vierges à subjuguer. Pour cela, ils sont attentifs aux nouvelles tendances et aux marchés naissants comme ceux des appareils et des terminaux distants (IoT/OT et objets connectés) et des wearables par exemple.
Contrairement aux équipes de défenses, les cybercriminels ne sont pas tenus de respecter des protocoles ou des processus limitatifs. Ils ne subissent pas non plus les limitations du manque de ressources, tant en termes de budgets que de personnel. Quant aux défenseurs, à part la veille et l’utilisation de tests de pénétration et d’évaluation de ce qu’on appelle la « posture de sécurité », ils ont peu de moyens à leur disposition pour anticiper les attaques, ou du moins déterminer, même approximativement, là où aura lieu le prochain assaut.
Certes, l’IA et l’automatisation représentent un début de réponse pour identifier et réagir aux attaques rapidement. Il y a également la veille et l’anticipation via les prévisions des fournisseurs de produits et services de cybersécurité. C’est à cela que servent les prédictions proposées par certains éditeurs.
De nouveaux programmes d'exploitation des faiblesses du numérique
Les experts du GReAT, l'équipe mondiale de recherche et d'analyse de Kaspersky, viennent de publier leurs prévisions pour 2024, en mettant l'accent sur l'évolution des menaces persistantes avancées (APT). Les chercheurs de Kaspersky prévoient que les acteurs APT vont introduire de nouveaux programmes d'exploitation sur les appareils mobiles, vêtements et appareils connectés, et les utiliser pour former des botnets, affiner leurs méthodes d'attaque de la chaîne d'approvisionnement et utiliser l'IA pour élaborer des techniques d’hameçonnage plus efficace. Ces initiatives devraient participer à une intensification des attaques à caractère politique et des activités cybercriminelles en général.Pour commencer, les nouveaux outils basés sur l'IA devraient servir à rationaliser la production de messages d’hameçonnage, permettant d'imiter les caractéristiques d’individus spécifiques pour tromper plus facilement la vigilance des personnes visées. Les attaquants peuvent concevoir des méthodes d'automatisation créatives en recueillant des données en ligne et en les transmettant à des LLM pour rédiger des lettres dans le style d'une personne proche de la victime, par exemple.
Opération « triangulation », ou plusieurs attaques en une
L'année dernière a été marquée par une découverte importante, l'opération « Triangulation », une campagne d'espionnage remarquablement furtive visant les appareils iOS, y compris ceux d’employés de Kaspersky. Au cours de l'enquête, l’équipe de l’éditeur a identifié cinq vulnérabilités dans iOS, dont quatre "zero-days". Ces vulnérabilités n'affectent pas seulement les smartphones et les tablettes, mais aussi les ordinateurs portables, les appareils portables et les gadgets domestiques intelligents, notamment Apple TV et Apple Watch.Par conséquent, expliquent les experts de Kaspersky, « Nous verrons probablement les acteurs de la menace élargir leurs efforts de surveillance, visant divers appareils grand public par le biais de vulnérabilités et de méthodes de diffusion silencieuses de failles, y compris des attaques en zéro clic par le biais des messageries, des attaques en un clic via des SMS ou des applications de messagerie, et l'interception du trafic réseau. La protection des appareils personnels et professionnels est devenue de plus en plus vitale ».
L'exploitation des vulnérabilités dans les logiciels et les appareils couramment utilisés est un autre point sur lequel les équipes de défense devront être vigilantes. La découverte de vulnérabilités de gravité élevée et critique fait parfois l'objet d'une recherche limitée et de correctifs tardifs, ce qui ouvre potentiellement la voie à de nouveaux botnets furtifs et à grande échelle, capables de mener des attaques ciblées.
La multiplication des attaques des APT et l'hacktivisme, la nouvelle norme
Le nombre de cyberattaques commanditées par des États pourrait également augmenter au cours de l'année à venir, dans un contexte de tensions géopolitiques croissantes. Ces attaques pourraient présenter des risques de vol ou de chiffrement de données, de destruction d'infrastructures informatiques, d'espionnage à long terme et de cybersabotage.Une autre tendance notable est la montée en puissance de l'hacktivisme, qui est devenu plus courant dans un monde marqué par les tensions et conflits géopolitiques ouverts. Ces soubresauts planétaires indiquent une augmentation probable de l'activité hacktiviste, qui peut être dévastatrice ou viser à diffuser de fausses informations, conduisant à des enquêtes inutiles et à une lassitude des analystes SOC et des chercheurs en cybersécurité.
Les attaques de la chaîne d'approvisionnement en tant que service représentent un domaine de préoccupation croissant également. Ces attaques de la chaîne d'approvisionnement ciblent les petites entreprises pour atteindre les grandes. Par exemple, les brèches dans le système Okta en 2022-2023 soulignent l'ampleur de la menace. Les motivations de ces attaques peuvent aller du gain financier à l'espionnage. De fait, 2024 pourrait voir de nouveaux développements dans les activités du marché de l'accès au dark web liées aux chaînes d'approvisionnement, permettant des attaques plus efficaces et à plus grande échelle.
Par ailleurs, le renforcement de l’écosystème de la menace et l’émergence d'un plus grand nombre de groupes proposant des services de piratage contre rémunération devrait se poursuivre. Les groupes qui vendent ces services de piratage sont de plus en plus nombreux, fournissant des services de vol de données à une clientèle incluant aussi bien des enquêteurs privés que des rivaux commerciaux. Cette tendance devrait s'accentuer au cours de l'année à venir.
Les rootkits de noyau de nouveau en vogue
D’un point de vue technologique, les cybercriminels devraient revenir à des attaques de plus bas niveau dans la pile technologique en fonctionnement dans les appareils et les ordinateurs. Malgré les mesures de sécurité modernes telles que la signature du code en mode Kernel, PatchGuard, HVCI (Hypervisor-Protected Code Integrity), les hackers vont tout de même tenter de contourner ou de forcer ces barrières d'exécution du code au niveau du noyau. Les attaques contre le noyau Windows devraient augmenter, prédisent les spécialistes de Kaspersky, grâce aux abus du WHCP. Pour preuve, le marché clandestin des certificats EV et des certificats de signature de code volés est en pleine expansion. Les acteurs de la menace utilisent de plus en plus le BYOVD (BringYourOwnVulnerable Driver) dans leurs tactiques.D’un autre côté, les protocoles et les systèmes de transfert de fichiers gérés (MFT) utilisés pour des attaques avancées devraient aussi constituer un terrain de chasse des hackers. Les systèmes de transfert de fichiers gérés (MFT) sont de plus en plus exposés aux cybermenaces, comme l'illustrent les failles de MOVEit et GoAnywhere en 2023. Cette tendance devrait s'accentuer, les cyberattaquants cherchant à réaliser des gains financiers et à perturber le fonctionnement des entreprises. L'architecture complexe des MFT, intégrée à des réseaux plus vastes, présente des faiblesses en matière de sécurité.
« Les organisations doivent mettre en œuvre des mesures de cybersécurité robustes, notamment la prévention de la perte de données et le chiffrement, et encourager la sensibilisation à la cybersécurité afin de renforcer les systèmes MFT contre les menaces en constante évolution », conseillent les experts de Kaspersky.