Mirai, les dangers d’un monde de plus en plus connecté
L'attaque Mirai, menée en 2016, est un excellent exemple de la puissance des attaques de botnet, et de l'importance de la sécurité des équipements connectés. Cette attaque à grande échelle a exploité le logiciel malveillant Mirai pour compromettre des milliers d’IoT, tels que des caméras de surveillance et des routeurs, en exploitant des mots de passe par défaut faibles ou inchangés. De cette façon, les cybercriminels construisent de vastes réseaux de robots qu'ils peuvent utiliser pour lancer des attaques par déni de service distribué (DDoS) contre des sites Web populaires, les rendant indisponibles pendant des heures. Ainsi, en 2016, des attaquants ont rendu de nombreux sites comme Twitter, EBay, Netflix ou encore PayPal indisponibles pendant une dizaine d’heures dans une grande partie des États-Unis.L'attaque de Mirai a mis en lumière la nécessité de protéger les objets connectés dès leur conception. De nombreux fabricants ignorent encore la sécurité lors de la conception de ces appareils, en utilisant des mots de passe par défaut, faciles à deviner ou en ne fournissant pas de mises à jour de sécurité régulières. L'attaque a mis en évidence les vulnérabilités des appareils IoT et a incité l'industrie à renforcer les normes de sécurité, ainsi qu’à promouvoir des pratiques de conception sécurisées.
En 2022, la loi européenne sur la cyber-résilience a été votée pour introduire des exigences obligatoires en matière de sécurité des produits, et des services numériques, dans l’Union Européenne. Cette loi impacte aussi la production et l’importation d’objets connectés, qui devront répondre à certaines exigences en matière de sécurité.
SolarWinds, la preuve que personne n’est à l’abris
La cyber-attaque visant SolarWinds, en 2020, nous a révélé qu’aucune entreprise n’était à l’abri de se faire pirater. Cette attaque a compromis les logiciels de gestion informatique de SolarWinds, utilisés par de nombreuses entreprises et organisations gouvernementales, permettant aux attaquants d'accéder aux réseaux des victimes, et de leur voler des données sensibles. Les auteurs de l'attaque ont exploité une faille dans le processus de mise à jour des logiciels pour infiltrer discrètement les réseaux des utilisateurs finaux.Une des principales leçons de cette attaque est l'importance de la surveillance et de la gestion des risques, au sein de la chaîne d'approvisionnement. Les organisations, de toute taille, doivent être attentives aux fournisseurs et aux partenaires avec lesquels elles travaillent, en évaluant leurs pratiques de sécurité et en exigeant des mesures de protection appropriées. La mise en place de mécanismes de détection des activités suspectes et d'audits réguliers peut permettre de repérer les signes avant-coureurs d'une attaque. Aussi, cette attaque a souligné l'importance de l'adoption de bonnes pratiques de sécurité, telles que la segmentation du réseau qui permet d’isoler facilement une machine compromise, la gestion des privilèges assurant ainsi une meilleure gouvernance des accès aux données sensibles et la surveillance continue des systèmes grâce, par exemple, à un EDR ou un gestionnaire de vulnérabilités, pour atténuer les risques liés à une attaque ciblée.
Les attaques et les failles de sécurité tristement célèbres nous fournissent des enseignements précieux. Elles mettent en évidence l'importance de la sensibilisation - des utilisateurs, comme des administrateurs - à la sécurité informatique, de la collaboration entre les différentes parties prenantes, et de l'investissement dans la recherche et le développement de nouvelles technologies de sécurité, comme l'analyse comportementale des EDR ou encore l’IA dans l’analyse des indicateurs de compromission. Les attaques comme Mirai et SolarWinds nous rappellent l'importance de la sécurisation des objets connectés et de la chaîne d'approvisionnement, et nous encouragent à renforcer nos efforts pour protéger nos systèmes et données dans un monde numérique en constante évolution.
Par Thibaut Remaud, consultant sécurité opérationnelle chez Synetis