Rapport annuel 2014
de Cisco sur la sécurité
2 Rapport annuel 2014 de Cisco sur la sécurité
Introduction
Le problème de la confiance
L'exploitation de la confiance est...
3 Rapport annuel 2014 de Cisco sur la sécurité
Principales découvertes
Les trois principales conclusions du Rapport annuel...
4 Rapport annuel 2014 de Cisco sur la sécurité
Table des matières du Rapport :
Le Rapport annuel 2014 de Cisco sur la sécu...
5 Rapport annuel 2014 de Cisco sur la sécurité
Le secteur d'activité
Dans cette section, les enquêteurs de Cisco Security
...
6 Rapport annuel 2014 de Cisco sur la sécurité
Comment Cisco évalue le paysage des menaces
Cisco joue un rôle critique dan...
7 Rapport annuel 2014 de Cisco sur la sécurité
Table des matières
La confiance...............................................
8 Rapport annuel 2014 de Cisco sur la sécurité
La confiance
Toutes les entreprises doivent se préoccuper de trouver le jus...
9 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance
Nouvelles pratiques d...
10 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance
deux. À mi-hauteur s...
11 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance
Une érosion de la co...
12 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance
classifiées au journ...
13 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance
1 | Une surface d'at...
14 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance
L'anatomie d'une men...
15 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance
3 | Complexité des m...
16 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance
Le passage à la mobi...
17 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance
la collaboration, l'...
18 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance
La technologie n'est...
19 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance
politiques », affirm...
20 Rapport annuel 2014 de Cisco sur la sécurité
L’expertise en
matière de
menaces
S'appuyant sur le plus grand ensemble d'...
21 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
22 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
23 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
24 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
25 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
26 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
27 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
28 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
29 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
30 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
31 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
32 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
33 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
34 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
35 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
36 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
37 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
38 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
39 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
40 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
41 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
42 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
43 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
44 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
45 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
46 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
47 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
48 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
49 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
50 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
51 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menace...
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Rapport annuel 2014 de Cisco sur la sécurité
Prochain SlideShare
Chargement dans…5
×

Rapport annuel 2014 de Cisco sur la sécurité

1 679 vues

Publié le

Le Rapport annuel 2014 de Cisco sur la sécurité présente des informations sur la sécurité dans quatre domaines essentiels :
- La confiance
- L’expertise en matière de menaces
- Le secteur d'activité
- Recommandations

Publié dans : Technologie
0 commentaire
3 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 679
Sur SlideShare
0
Issues des intégrations
0
Intégrations
17
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Rapport annuel 2014 de Cisco sur la sécurité

  1. 1. Rapport annuel 2014 de Cisco sur la sécurité
  2. 2. 2 Rapport annuel 2014 de Cisco sur la sécurité Introduction Le problème de la confiance L'exploitation de la confiance est un mode opératoire courant pour les escrocs en ligne et autres acteurs malveillants. Ils profitent de la confiance des utilisateurs dans le système, les applications, les personnes et les entreprises avec lesquels ils ont des interactions Et cette approche fonctionne : les preuves abondent de nouvelles méthodes élaborées par les trublions pour incorporer leurs programmes malveillants dans des réseaux, où ils restent sans être détectés pendant de longues périodes et volent des données ou perturbent des systèmes critiques. Les acteurs malveillants utilisent des méthodes allant du vol de mots de passe et de codes d'accès par contact à des infiltrations furtives, bien cachées parce qu'elles ne le sont justement pas, exécutées en quelques minutes, pour continuer à exploiter la confiance du public afin de provoquer des conséquences dommageables. Le problème de la confiance dépasse toutefois l'exploitation de vulnérabilités par des criminels, ou l'attaque d'utilisateurs par ingénierie sociale : il sape aussi la confiance dans les entreprises publiques comme privées. Aujourd'hui, les réseaux sont confrontés à deux formes d'érosion de la confiance. L'une est la baisse de la confiance des clients dans l'intégrité des produits. L'autre est l'accumulation de preuves de déjouement des mécanismes de confiance par des acteurs malveillants, qui mettent en cause l'efficacité des architectures d'assurance, d'authentification et d'autorisation des réseaux et des applications. Dans ce rapport, Cisco présente des informations et des analyses des principales préoccupations liées à la sécurité comme l'évolution des programmes malveillants, les tendances en matière de vulnérabilités et la résurgence d'attaques de déni de service distribué (DDoS, distributed denial-of-service). Le rapport évoque également les campagnes qui ciblent des entreprises, groupes et secteurs d'activité spécifiques, ainsi que la sophistication croissante de ceux qui tentent de voler des informations sensibles. Il conclut en recommandant d'examiner les modèles de sécurité de manière holistique et d'acquérir une vision d'ensemble de l'épisode d'attaque : avant, pendant et après. Les acteurs malveillants continuent à trouver de nouvelles manières d'exploiter la confiance du public pour produire des conséquences dommageables.
  3. 3. 3 Rapport annuel 2014 de Cisco sur la sécurité Principales découvertes Les trois principales conclusions du Rapport annuel 2014 de Cisco sur la sécurité sont présentées ci-dessous : Les attaques contre les infrastructures ciblent des ressources importantes partout sur Internet. • Les exploitations malveillantes accèdent aux serveurs hôtes, serveurs de noms et centres de données. Cela suggère la formation d'überbots (super-réseaux de zombies) en quête d'actifs d'excellente réputation et riches en ressources. • Les erreurs de mémoire tampon constituent une menace majeure, avec 21 pour cent des catégories de menaces identifiées dans le Recensement des faiblesses courantes (CWE, Common Weakness Enumeration). • Les programmes malveillants se retrouvent maintenant dans les secteurs électronique, manufacturier, agricole et minier, avec une fréquence près de six fois plus élevée que la moyenne. Les acteurs malveillants utilisent des applications auxquelles les utilisateurs font confiance pour exploiter des failles de sécurité périmétrique. • Le spam (pourriel) poursuit sa tendance à la baisse, bien que la proportion de spam à intention malveillante reste constante. • Java constitue 91 pour cent des exploitations de failles sur le Web ; 76 pour cent des sociétés qui utilisent les services de Cisco Web Security utilisent Java 6, une version en fin de vie qui ne bénéficie plus de support. • Les attaques de « points d'eau » ciblent des sites précis liés à un secteur d'activité donné et qui sont contaminés par des programmes malveillants. Des investigations menées au sein de multinationales révèlent des atteintes internes. Un trafic suspect provient de leurs réseaux et tente de se connecter à des sites douteux (100 pour cent des sociétés appellent des hôtes de programmes malveillants). • Les indicateurs d'atteintes indiquent que la pénétration des réseaux peut rester indécelée pendant de longues périodes. • Les alertes relatives à des menaces ont progressé de 14 pour cent sur douze mois ; les nouvelles alertes (par opposition à des mises à jour d'alertes) sont en augmentation. • En 2013, quatre-vingt-dix-neuf pour cent des programmes malveillants mobiles ciblaient des périphériques Android. Les utilisateurs d'Android enregistrent aussi le plus fort taux de rencontre (71 pour cent) de toutes les formes de programmes malveillants transmis par Internet.
  4. 4. 4 Rapport annuel 2014 de Cisco sur la sécurité Table des matières du Rapport : Le Rapport annuel 2014 de Cisco sur la sécurité présente des informations sur la sécurité dans quatre domaines essentiels : La confiance Toutes les entreprises devraient se soucier de trouver le juste équilibre entre confiance, transparence et confidentialité, car les enjeux sont considérables. Dans ce domaine, nous traitons de trois pressions qui rendent encore plus difficiles les tentatives des praticiens de la sécurité pour aider leurs entreprises à parvenir à cet équilibre : • Surface d'attaque accrue • Prolifération et sophistication du modèle d'attaque • Complexité des menaces et solutions L’expertise en matière de menaces S'appuyant sur le plus grand ensemble d'outils de télémétrie de détection disponible, Cisco et Sourcefire ont analysé et compilé ensemble des informations sur la sécurité concernant l'année écoulée : • Les attaques contre les infrastructures ciblent des ressources importantes partout sur Internet. • Les acteurs malveillants utilisent des applications auxquelles les utilisateurs font confiance pour exploiter des failles de la sécurité périmétrique. • Les indicateurs d'atteinte suggèrent que les pénétrations de réseaux peuvent rester indécelées pendant de longues périodes.
  5. 5. 5 Rapport annuel 2014 de Cisco sur la sécurité Le secteur d'activité Dans cette section, les enquêteurs de Cisco Security Intelligence Operations (SIO) élèvent le débat aux tendances sectorielles qui dépassent la télémétrie de Cisco et affectent pourtant toujours les pratiques en matière de sécurité, des tentatives d'accès en force aux activités de DDoS à grande échelle, en passant par les faux logiciels de décodage et de protection (ransomware), la dépendance croissante vis-à-vis du cloud et la pénurie d'experts de la sécurité, entre autres préoccupations. Recommandations Les entreprises sont confrontées à une surface d'attaque accrue, à la prolifération et à la sophistication croissantes des modèles d'attaque, ainsi qu'à une plus grande complexité au sein du réseau. Beaucoup d'entre elles peinent à affermir une vision de la sécurité soutenue par une stratégie efficace qui utilise de nouvelles technologies, simplifie leur architecture et leurs activités et renforce leurs équipes de sécurité. Cette section traite de la manière dont un modèle de sécurité axé sur les menaces permet à ses défenseurs d'affronter le cycle complet de l'attaque, tous vecteurs confondus, et à y répondre à tout moment, tout le temps, de manière continue, avant, pendant et après l'attaque.
  6. 6. 6 Rapport annuel 2014 de Cisco sur la sécurité Comment Cisco évalue le paysage des menaces Cisco joue un rôle critique dans l'évaluation des menaces, eu égard à la prévalence de ses solutions et à l'ampleur de sa veille sécuritaire : • 16 milliards de requêtes sur le Web sont inspectées chaque jour par le biais de Cisco Cloud Web Security • 93 milliards de messages électroniques sont inspectés chaque jour par la solution de messagerie hébergée de Cisco • 200 000 adresses IP sont évaluées chaque jour • 400 000 échantillons de programmes malveillants sont évalués chaque jour • 33 millions de fichiers de terminaux sont évalués chaque jour par FireAMP • 28 millions de connexions au réseau sont évaluées chaque jour par FireAMP Cette activité a permis à Cisco de détecter les menaces suivantes : • 4,5 milliards de messages électroniques sont bloqués chaque jour • 80 millions de requêtes sur le Web sont bloquées chaque jour • 6450 détections de fichiers de terminaux se produisent chaque jour dans FireAMP • 3186 détections de réseau de terminaux se produisent chaque jour dans FireAMP • 50 000 intrusions dans le réseau sont détectées chaque jour
  7. 7. 7 Rapport annuel 2014 de Cisco sur la sécurité Table des matières La confiance........................................................................................................... 8 Nouvelles pratiques des affaires, nouvelles failles sécuritaires............................................................ 9 L'érosion de la confiance.................................................................................................... 11 Principaux défis sécuritaires pour 2014.................................................................................... 12 Des systèmes fiables et transparents......................................................................................16 L’expertise en matière de menaces........................................................... 20 Augmentation des signalements de menaces............................................................................21 Le volume du spam est en baisse, mais les spams malveillants continuent à constituer une menace..............24 Exploitation de failles sur le Web : Java en tête.......................................................................... 29 BYOD et mobilité : La maturation des périphériques profite aux cybercriminels...................................... 33 Attaques ciblées : Le défi du délogement de « visiteurs » persistants et envahissants...............................37 Instantané des programmes malveillants : tendances observées en 2013............................................ 39 Principales cibles : Marchés verticaux.....................................................................................42 Des fractures dans un écosystème fragile................................................................................ 44 Trafic malveillant, souvent révélateur d'attaques ciblées, détecté dans tous les réseaux d'entreprise.............. 49 Le secteur d'activité......................................................................................... 53 Les tentatives d'accès en force constituent une tactique privilégiée pour compromettre des sites Web.......... 54 Attaques DDoS : ce qui revient en vogue................................................................................ 56 DarkSeoul.................................................................................................................... 58 La pénurie d'experts de la sécurité et le décalage des solutions........................................................61 Le cloud, un nouveau périmètre........................................................................................... 62 Recommandations............................................................................................ 64 Objectifs pour 2014 : vérifier la fiabilité et améliorer la visibilité......................................................... 65 Annexe.................................................................................................................. 68 Les entreprises de sécurité ont besoin de spécialistes des données.................................................. 69 À propos de Cisco SIO................................................................................... 78 Cisco SIO.....................................................................................................................79 À propos de ce document Ce document contient des éléments qui peuvent être consultés et partagés. Recherchez cette icône pour ouvrir la fonctionnalité « chercher » dans Adobe Acrobat. Logiciels recommandés Adobe Acrobat Version 7.0 et plus récente Recherchez ces icônes pour partager des contenus.[ ]
  8. 8. 8 Rapport annuel 2014 de Cisco sur la sécurité La confiance Toutes les entreprises doivent se préoccuper de trouver le juste équilibre entre confiance, transparence et confidentialité, car les enjeux sont considérables.
  9. 9. 9 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance Nouvelles pratiques des affaires, nouvelles failles sécuritaires La faiblesse de maillons de la chaîne d'approvisionnement technologique constitue l'un des aspects du paysage contemporain complexe des cybermenaces et du risque. Il en est de même de l'émergence de l'infrastructure any-to-any (de chacun vers tous les autres), dans laquelle tout périphérique, où qu'il soit, peut survenir à n'importe quelle instanciation du réseau.1 On assiste également à la prolifération ininterrompue de périphériques à même d'accéder à Internet (téléphones intelligents, tablettes, etc.), qui essaient de se connecter à des applications pouvant être exécutées n'importe où, notamment dans un cloud public de logiciel- service (SaaS), un cloud privé ou un cloud hybride.2 Les services d'infrastructure Internet de base eux-mêmes sont devenus des cibles pour les pirates qui veulent tirer profit de la réputation, du débit, et de la disponibilité permanente des serveurs d'hébergement Web, de serveurs de nom et de centres de données pour lancer des campagnes de plus en plus massives. Voir « Des fractures dans un écosystème fragile », page 44.) Si des tendances telles que l'informatique cloud et la mobilité réduisent la visibilité et augmentent la complexité de la sécurité, les entreprises doivent tout de même les adopter, car elles sont essentielles pour leur assurer un avantage sur la concurrence et la réussite de leurs affaires. Des failles de sécurité apparaissent toutefois, et se creusent, tandis que les équipes de sécurité s'efforcent d'adapter des solutions traditionnelles à des façons de faire des affaires nouvelles et en évolution rapide. Pendant ce temps, les acteurs malveillants accélèrent leur exploitation de failles que des solutions ponctuelles non intégrées ne peuvent tout simplement pas combler. Ils réussissent parce qu'ils disposent de ressources qui leur permettent d'être plus agiles. Le réseau cybercriminel s'étend, se renforce et fonctionne de plus en plus comme n'importe quel réseau d'affaires légitime et sophistiqué. Aujourd'hui, la hiérarchie cybercriminelle ressemble à une pyramide (voir Figure 1). Au bas de la pyramide se trouvent les opportunistes non techniques et les utilisateurs de logiciels criminels fournis comme un service (« crimeware-as-a-service ») qui cherchent par leurs campagnes à gagner de l'argent, à proclamer une position, ou les L'infrastructure de base d'Internet est devenue une cible pour les pirates. [ ]
  10. 10. 10 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance deux. À mi-hauteur se trouvent les revendeurs et ceux qui entretiennent l'infrastructure, les « intermédiaires ». Au sommet, on trouve les innovateurs techniques, les acteurs majeurs que les forces de police recherchent le plus, mais peinent à identifier. Les cybercriminels modernes ont généralement des objectifs de gestion clairs quand ils lancent leurs attaques. Ils savent quelles informations ils recherchent ou quels résultats ils veulent obtenir et connaissent le cheminement qu'ils doivent suivre pour atteindre ces objectifs. Ils passent beaucoup de temps à effectuer des recherches sur leurs cibles, souvent par le biais d'informations publiques sur les réseaux sociaux, ainsi qu'à planifier leurs objectifs de manière stratégique. De nombreux acteurs de l'économie dite « de l'ombre » envoient aussi désormais des programmes malveillants de surveillance pour collecter des informations sur un environnement, notamment sur la technologie de sécurité déployée, afin de pouvoir cibler leurs attaques. Cette reconnaissance préalable permet à certains auteurs de programmes malveillants de s'assurer du fonctionnement de leurs programmes. Une fois introduit dans un réseau, le programme malveillant élaboré qu'ils ont conçu peut communiquer avec les serveurs de commande et de contrôle à l'extérieur et se propager latéralement dans l'infrastructure pour exécuter sa mission, qu'il s'agisse du vol de données essentielles ou de la perturbation de systèmes critiques. FIGURE 1 La hiérarchie cybercriminelle Innovateurs techniques Revendeurs / Agents de maintenance de l'infrastructure Opportunistes non techniques / Utilisateurs de logiciels criminels fournis comme un service (« Crimeware-as-a-Service ») [ ]
  11. 11. 11 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance Une érosion de la confiance Les menaces conçues pour tirer profit de la confiance qu'ont les utilisateurs dans les systèmes, les applications et les personnes et entreprises qu'ils connaissent sont désormais des phénomènes constants du monde virtuel. La dissection de pratiquement n'importe quelle machination permet d'identifier, au cœur de celle-ci, une forme d'abus de confiance : des programmes malveillants transmis à des utilisateurs qui naviguaient en toute légitimité sur des sites Web grand public. Des pourriels qui semblent avoir été envoyés par des sociétés de bonne réputation, mais qui contiennent des liens vers des sites malveillants. Des applications mobiles de tiers truffées de programmes malveillants et téléchargées à partir de boutiques en ligne connues. Des collaborateurs qui utilisent leurs privilèges d'accès à des informations pour voler des éléments de propriété intellectuelle de leurs employeurs. Les utilisateurs devraient peut-être présumer que rien, dans le monde du virtuel, ne mérite leur confiance. De leur côté, les professionnels de la sécurité pourraient rendre service à leurs entreprises en ne faisant confiance à aucun trafic sur le réseau3 , ou en n'accordant pas une pleine confiance aux pratiques de sécurité des tiers ou des chaînes d'approvisionnement qui fournissent de la technologie à leur entreprise. Pourtant, les entreprises des secteurs public et privé, les utilisateurs individuels et même les États-nations veulent être assurés qu'ils peuvent faire confiance aux technologies fondamentales dont ils dépendent au quotidien. Ce besoin de confiance dans la sécurité a contribué à faire progresser les Critères communs pour l'évaluation de la sécurité informatique (Common Criteria for Information Technology Security Evaluation) (Common Criteria, Critères communs), les notions et le cadre qui permettent aux agences gouvernementales et autres groupes de définir les besoins qui doivent être satisfaits par les produits technologiques pour garantir qu'ils sont dignes de confiance. À ce jour, 26 pays dont les États-Unis participent à l'Accord de reconnaissance des critères communs, un accord multilatéral qui prévoit la reconnaissance réciproque par les gouvernements participants de produits qui ont été soumis à évaluation. En 2013 cependant, la confiance a, de manière générale, subi un revers. Le catalyseur : Edward Snowden. L'ancien sous-traitant du gouvernement américain a divulgué des informations Tous les utilisateurs devraient poser pour principe que rien n'est digne de confiance dans le monde du virtuel.
  12. 12. 12 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance classifiées au journal britannique The Guardian, qu'il avait obtenues alors qu'il effectuait une mission pour la National Security Agency (NSA, Agence américaine pour la sécurité nationale).4 Les révélations de Snowden aux médias comprennent, à ce jour, des informations sur le programme de surveillance et de collecte de données de la NSA, dénommé PRISM,5 ainsi qu'un autre programme NSA-GCHQ6 dénommé MUSCULAR, par lequel des réseaux de fibre optique transportant du trafic depuis les centres de données de grandes sociétés de l'Internet à l'étranger auraient été soumis à des écoutes.7 Ces révélations et d'autres de Snowden sur les pratiques de surveillance du gouvernement ont érodé la confiance à de nombreux niveaux : entre États-nations, entre les gouvernements et le secteur privé, entre les citoyens et leur gouvernement et entre les citoyens et les entreprises des secteurs public et privé. Elles ont aussi naturellement fait naître des inquiétudes sur la présence et les risques potentiels de vulnérabilités involontaires et de « portes dérobées » délibérément créées dans des produits technologiques, ainsi que sur l'intensité des efforts des fournisseurs pour empêcher ces faiblesses et protéger les utilisateurs finals. Principaux défis pour la sécurité en 2014 Avec l'érosion de la confiance, et alors qu'il devient plus difficile de distinguer les systèmes et relations dignes de confiance de ceux qui ne le sont pas, les entreprises sont confrontées à plusieurs grands écueils qui affectent leur capacité à résoudre les problèmes de sécurité : 1 |  Une surface d'attaque plus étendue 2 |  La prolifération et la sophistication du modèle d'attaque 3 |  La complexité des menaces et des solutions Ensemble, ces problèmes créent et exacerbent les failles de sécurité qui permettent aux acteurs malveillants de lancer leurs attaques d'exploitation des failles plus rapidement que les entreprises ne peuvent remédier aux faiblesses de leur sécurité. Ces menaces et ces risques sont examinés plus en détail dans les pages qui suivent. [ ]
  13. 13. 13 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance 1 | Une surface d'attaque plus étendue La surface d'attaque présente aujourd'hui pour les acteurs malveillants des possibilités infinies de saper un écosystème sécuritaire immense et fragile. Cette surface a connu une croissance exponentielle et sans fin, avec une multitude de terminaux, de points d'intrusion et de données que l'entreprise ne contrôle pas. Les données sont le but des campagnes de la plupart des adversaires, parce qu'elles sont synonymes de crédibilité. Si des données ont une « valeur de revente », qu'il s'agisse de la propriété intellectuelle d'une grande entreprise ou des données sur la santé d'un individu, elles sont désirables et, de ce fait, exposées à un risque. Si la valeur de la cible est supérieure au risque de la compromettre, elle sera piratée. Même de petites entreprises sont exposées à un risque de piratage. En outre, la plupart des entreprises, grandes ou petites, ont déjà été compromises sans même le savoir : 100 pour cent des réseaux d'entreprise analysés par Cisco présentent un trafic à destination de sites qui hébergent des programmes malveillants. FIGURE 2 L'anatomie d'une menace moderne Applications Internet et dans le cloud Réseau public Campus Périmètre Grandes entreprises Datacenter Le point d'entrée de l'infection se situe en dehors de l'entreprise Une cybermenace avancée contourne les défenses périmétriques La menace se propage et tente d'exfiltrer des données de grande valeur
  14. 14. 14 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance L'anatomie d'une menace moderne, illustrée dans la Figure 2, fait ressortir le but ultime de nombreuses campagnes cybercriminelles : atteindre le datacenter et en extraire des données de grande valeur. Dans cet exemple, une action malveillante affecte un périphérique extérieur au réseau de l'entreprise. Elle provoque une infection qui se propage à un réseau de campus. Ce réseau sert de rampe de lancement pour le réseau de l'entreprise, puis la menace poursuit son avancée vers le trésor : le datacenter. Au vu de la surface d'attaque croissante et du ciblage par les pirates de données de grande valeur, les experts de la sécurité de Cisco recommandent aux entreprises de s'efforcer de répondre à deux questions importantes en 2014 : « Où résident nos données critiques ? » et « Comment pouvons-nous créer un environnement sécurisé pour protéger ces données, surtout lorsque de nouveaux modèles de gestion tels que l'informatique dans le nuage et la mobilité nous laissent peu de contrôle sur ces données ? » 2 | Prolifération et sophistication du modèle d'attaque Le paysage des menaces actuel n'a plus rien à voir avec ce qu'il était il y a seulement 10 ans. Les attaques simples qui provoquaient des dommages endiguables ont laissé la place à des opérations cybercriminelles modernes sophistiquées, bien financées et à même de provoquer des perturbations majeures pour les entreprises. Les sociétés sont devenues le point de mire des attaques ciblées. Celles-ci sont très difficiles à détecter, restent dans les réseaux pendant de longues périodes et amassent des ressources du réseau pour lancer des attaques ailleurs. Pour couvrir tout le spectre des attaques, les entreprises doivent affronter un vaste éventail de vecteurs d'attaque, avec des solutions qui fonctionnent partout où la menace peut se manifester : sur le réseau, sur les terminaux, sur les périphériques mobiles et dans les environnements virtuels. « Où résident nos données critiques ? » et « Comment pouvons-nous créer un environnement sûr pour protéger ces données, surtout quand de nouveaux modèles de gestion comme l'informatique cloud et la mobilité ne nous laissent guère de contrôle sur celles-ci ? » Experts de la sécurité de Cisco Le but ultime de nombreuses campagnes cybercriminelles est d'atteindre le datacenter et d'exfiltrer des données de grande valeur.
  15. 15. 15 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance 3 | Complexité des menaces et des solutions L'époque est révolue où les bloqueurs de spam et les antivirus pouvaient aider à protéger un périmètre de réseau facile à définir contre la plupart des menaces. Aujourd'hui, les réseaux dépassent les frontières traditionnelles, évoluent en permanence et créent de nouveaux vecteurs d'attaque : périphériques mobiles, applications sur Internet et mobiles, hyperviseurs, médias sociaux, navigateurs Web, ordinateurs personnels et même véhicules. Les solutions « point-in-time » (ponctuelles) ne peuvent pas répondre à la myriade de technologies et de stratégies utilisées par les acteurs malveillants. Cela rend la surveillance et la gestion de la sécurité des informations encore plus délicates pour les équipes de sécurité. La vulnérabilité des entreprises augmente, car les entreprises appliquent à des plates-formes de gestion multiples des solutions ponctuelles désagrégées. Le résultat en est un ensemble de technologies disparates appliquées à des points de contrôle qui n'ont jamais été conçus pour fonctionner ensemble. Cela augmente le potentiel d'atteinte aux informations des clients, à leur propriété intellectuelle et à leurs autres informations sensibles, et met en danger la réputation des sociétés. Il est nécessaire de disposer d'une capacité continue offrant la meilleure occasion de réagir aux défis d'environnements de menace complexes. Les attaques incessantes ne se produisent pas à un moment précis : elles sont permanentes. Les défenses des sociétés doivent donc l'être aussi. Dans un contexte de complexité des menaces et des solutions correspondantes plus aiguë que jamais, les entreprises doivent repenser leur stratégie de sécurité. Au lieu de se fier à des solutions ponctuelles, elles peuvent réduire cette complexité en intégrant systématiquement la sécurité dans la trame de leur réseau lui-même, de sorte que celui-ci puisse : • Effectuer un suivi et une analyse continus des fichiers et identifier les comportements malveillants qui s'ensuivent quel que soit le moment où ils se manifestent. • Aider les entreprises à étendre leur couverture en multipliant la surface sur laquelle des appareils de mise en réseau peuvent être placés. • Raccourcir le délai de détection, parce qu'il peut voir plus de trafic. • Conférer aux entreprises la capacité d'agréger une sensibilité au contexte unique qu'il est impossible d'obtenir en se fiant à des périphériques sans substitution possible en matière de sécurité. Les solutions ponctuelles ne peuvent pas répondre à la myriade de technologies et de stratégies utilisées par les acteurs malveillants.
  16. 16. 16 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance Le passage à la mobilité et aux services cloud impose un fardeau sécuritaire plus lourd à des terminaux et des périphériques mobiles qui, dans certains cas, ne viendront même jamais en contact avec le réseau de l'entreprise. Le fait est que les périphériques mobiles introduisent un risque de sécurité quand ils sont utilisés pour accéder aux ressources des sociétés ; ils peuvent facilement se connecter avec des services de tiers en mode cloud et à des ordinateurs au statut sécuritaire potentiellement inconnu et échappant au contrôle de l'entreprise. En outre, les programmes malveillants pour périphériques mobiles se multiplient rapidement, ce qui augmente encore les risques. Compte tenu de l'absence de visibilité, même la plus élémentaire, la plupart des équipes de sécurité informatique n'ont pas la capacité d'identifier les menaces potentielles provenant de ces appareils. Les approches avancées telles que la capacité continue joueront un rôle plus important dans la lutte contre les programmes malveillants sophistiqués, par le biais d'outils d'analyse de métadonnées qui agrègent les données et les événements sur un réseau étendu de manière à offrir une visibilité accrue même après qu'un fichier a été déplacé sur le réseau ou entre des terminaux. Cette approche diffère de la sécurité ponctuelle aux terminaux, qui analyse les fichiers à un point initial dans le temps pour établir la présence d'un programme malveillant. Les programmes malveillants sophistiqués peuvent échapper à cette analyse et s'installer rapidement sur des terminaux avant de se diffuser à l'ensemble du réseau affecté. Des systèmes fiables et transparents Au vu de l'étendue toujours grandissante de la surface d'attaque, de la prolifération et de la sophistication croissantes du modèle d'attaque, ainsi que de la complexité des menaces et des solutions, les utilisateurs ont besoin de pouvoir faire confiance aux informations dont ils sont consommateurs, ainsi qu'aux systèmes qui les fournissent, quelle que soit la manière dont ces utilisateurs accèdent aux services en réseau. La création d'un environnement de réseau véritablement sûr devient de plus en plus complexe à mesure que les gouvernements et les entreprises investissent dans la mobilité, Les périphériques mobiles introduisent un risque de sécurité lorsqu'ils sont utilisés pour accéder aux ressources de l'entreprise.
  17. 17. 17 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance la collaboration, l'informatique cloud et d'autres formes de virtualisation. Ces capacités contribuent à améliorer la résilience, à accroître l'efficacité et à réduire les coûts, mais peuvent aussi introduire des risques supplémentaires. La sécurité des processus de fabrication qui créent des produits informatiques est désormais aussi exposée à des risques, les produits contrefaits et falsifiés constituant un problème de plus en plus prégnant. De ce fait, les responsables gouvernementaux et d'entreprises identifient massivement la cybersécurité et les problèmes de confiance qui s'y rapportent comme des préoccupations majeures. La question que les praticiens de la sécurité devraient poser est : que ferions-nous différemment si nous savions qu'une atteinte est imminente ? Les acteurs malveillants recherchent et exploitent les faiblesses de la chaîne d'approvisionnement technologique en matière de sécurité. Les vulnérabilités et les portes dérobées créées délibérément dans les produits technologiques peuvent finir par leur donner accès à la totalité de la propriété. Les portes dérobées constituent depuis longtemps un problème de sécurité et devraient préoccuper les entreprises, car leur seule raison d'être est de faciliter les activités clandestines ou criminelles. L'élaboration de systèmes fiables implique d'incorporer la sécurité dans la trame même des systèmes, du début à la fin du cycle de vie du produit. Le Cisco Secure Development Life cycle (CSDL,cycle de vie de développement sécurisé Cisco)8 prescrit une méthodologie réplicable et mesurable conçue pour incorporer la sécurité du produit au stade de sa conception, minimiser les vulnérabilités en cours de développement et augmenter la résilience des produits face aux attaques. Les systèmes fiables fournissent la base d'une approche d'amélioration continue de la sécurité qui anticipe sur les nouvelles menaces et les empêche de se matérialiser. Ces infrastructures protègent non seulement les informations essentielles, mais surtout aident à éviter l'interruption de services indispensables. Les produits fiables qui bénéficient du support de fournisseurs de confiance permettent à leurs utilisateurs de minimiser les coûts et les atteintes à leur réputation résultant du détournement d'informations, d'interruptions de service et de violation des informations. Il convient toutefois de ne pas confondre systèmes fiables avec imperméabilité à toute attaque de l'extérieur. Les clients et utilisateurs d'informatique ont un rôle important à jouer pour maintenir l'efficacité des systèmes fiables à déjouer les tentatives de corruption de leurs activités. Il s'agit notamment d'installer à temps les mises à jour et correctifs de sécurité, de se montrer constamment vigilant pour reconnaître des comportements anormaux des systèmes et d'appliquer des contre-mesures efficaces en cas d'attaque. Les acteurs malveillants recherchent et exploitent toute faiblesse sécuritaire dans la chaîne d'approvisionnement en technologie.
  18. 18. 18 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance La technologie n'est pas immobile. Les agresseurs non plus. Pour assurer la fiabilité d'un système, il faut couvrir tout le cycle de vie du réseau, de sa conception initiale à sa mise au rebut, en passant par sa fabrication, l'intégration du système, le fonctionnement au jour le jour, la maintenance et les mises à jour. Le besoin de systèmes fiables dépasse le propre réseau d'une entreprise et s'étend aux réseaux auxquels elle se connecte. Les équipes Cisco Security Research and Operations ont observé une utilisation croissante du « pivoting » au cours de l'année écoulée. En matière de cybercriminalité, il s'agit d'utiliser une porte dérobée, une vulnérabilité ou simplement de pratiquer un abus de confiance à un point donné de la chaîne d'attaque, et de s'en servir comme tremplin pour lancer une campagne beaucoup plus sophistiquée contre des cibles beaucoup plus substantielles, comme le réseau d'une société d'énergie majeure ou le datacenter d'un établissement financier. Certains pirates utilisent la confiance qui existe entre entreprises comme base de leur pivot, en exploitant un partenaire de confiance pour cibler et exploiter un autre partenaire d'affaires, entreprise ou gouvernement, à son insu. La vigilance est de mise dans l'environnement de menace contemporain. La sécurité doit s'adapter à tous les états transitoires qui font partie de l'environnement informatique de l'entreprise, en validant la fiabilité du système de manière mesurable et objective, à partir de données et processus indépendants et pouvant être confirmés L'approche la plus durable est une défense dynamique adaptée à l'environnement unique de l'entreprise, comprenant des contrôles de sécurité qui évoluent en permanence pour rester toujours pertinents.9 Des systèmes fiables peuvent exister dans cet environnement et la transparence est essentielle pour les élaborer. “« Un système fiable doit reposer sur une base solide : des pratiques de développement de produit, une chaîne d'approvisionnement fiable et une approche architecturale comprenant conception de réseau, implémentation et Principales préoccupations pour 2014, exprimées par les CISO d'aujourd'hui Lorsque les responsables de la sécurité informatique (CISO, chief information security officers) examinent le paysage de menaces actuel, ils sont confrontés à des pressions croissantes : protéger des téraoctets de données, respecter des réglementations rigoureuses et évaluer les risques qu'il y a à collaborer avec des fournisseurs tiers, le tout avec des budgets en baisse et des équipes informatiques restreintes. Les CISO ont plus de tâches que jamais et des menaces sophistiquées et complexes à gérer. Les principaux stratèges en matière de sécurité pour le compte des services de sécurité de Cisco, qui conseillent les CISO sur les approches de sécurité pour leurs entreprises, présentent cette liste des préoccupations et challenges les plus urgents pour 2014 : Gérer la conformité La préoccupation la plus répandue chez les CISO est peut-être la nécessité de protéger des données qui résident sur un réseau de plus en plus poreux, tout en mobilisant des ressources précieuses concernant la conformité. À elle seule, la conformité n'induit pas la sécurité ; ce n'est qu'une directive a minima qui se concentre sur les besoins d'un environnement réglementé particulier. La sécurité, quant à elle, est une approche globale qui recouvre toutes les activités d'entreprise. Faire confiance au cloud Les CISO doivent prendre des décisions sur la manière de gérer Suite page suivante
  19. 19. 19 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance politiques », affirme John N. Stewart, Vice-président principal et responsable de la sécurité de Cisco. « Toutefois, l'attribut le plus important est la transparence du fournisseur. » Une transparence accrue s'accompagne immanquablement d'une perte de confidentialité, mais il est possible de parvenir à un juste équilibre par coopération, ce qui offre des occasions supplémentaires de faire coïncider la veille sur les menaces avec les meilleures pratiques en matière de sécurité. Toutes les entreprises doivent se préoccuper d'identifier le juste équilibre entre confiance, transparence et confidentialité, car les enjeux sont considérables. Sur le long terme, il est possible de parvenir à une meilleure cybersécurité pour tous les utilisateurs, de sorte que le plein potentiel de l'économie émergente de l'Internet multidimensionnel (Internet of Everything10 ) puisse être réalisé. La réalisation de ces objectifs dépendra toutefois de l'efficacité de politiques de confidentialité et de la robustesse de défenses des réseaux qui répartissent le fardeau de la sécurité sur les terminaux et le réseau. À court terme et peut-être plus près de nous se trouve le besoin, pour toute entreprise moderne, d'appliquer les meilleures méthodes et informations disponibles pour l'aider à protéger ses actifs les plus précieux et s'assurer qu'elle ne contribue pas directement à des problèmes de cybersécurité plus larges. Les entreprises actuelles doivent étudier l'impact potentiel de leurs pratiques de sécurité sur l'écosystème de cybersécurité en général, de plus en plus complexe et interconnecté. L'entreprise qui ne tient pas compte de cet aspect général risque sa réputation, ce qui signifie qu'aucun grand fournisseur de sécurité ne permettra à des utilisateurs d'accéder à son site. Une fois qu'une entreprise est placée sur liste noire, il n'est pas facile d'en être radié et, dans certains cas, le rétablissement n'est jamais complet. Pour en savoir plus sur les pratiques de Cisco en matière de systèmes fiables (Cisco Trustworthy Systems, visitez la page www.cisco.com/go/trustworthy. les informations en toute sécurité avec les budgets et le temps limités dont ils disposent. Par exemple, le cloud est devenu un moyen économique et souple de gérer des entrepôts de données toujours plus volumineux, mais il suscite des soucis supplémentaires pour les CISO. Les présidents-directeurs généraux et les conseils d'administration voient le cloud comme une panacée qui devrait permettre d'éliminer des matériels coûteux. Ils veulent profiter des avantages que présente le déchargement de données dans le cloud et attendent des CISO qu'ils exécutent cette vision, en toute sécurité et rapidement. Faire confiance aux fournisseurs Comme dans le cas du cloud, les entreprises font appel à des tiers pour leur fournir des solutions spécialisées. L'argument du coût justifie le recours aux tiers. Ces fournisseurs sont toutefois des cibles de grande valeur pour les criminels, qui savent que les défenses d'un tiers peuvent ne pas être aussi solides. Se rétablir d'atteintes à la sécurité Toutes les entreprises doivent supposer qu'elles ont été piratées, ou au moins convenir qu'il ne s'agit pas de savoir si elles seront ciblées par une attaque, mais quand. De récents actes de piratages comme Operation Night Dragon, l'atteinte à RSA et l'attaque Shamoon contre une grande société gazière et pétrolière en 2012 sont présents dans les esprits de nombreux CISO. (Voir les travaux de recherche de Cisco sur la prévalence des activités malveillantes dans les réseaux d'entreprise, page 49.) (suite de la page précédente) [ ]
  20. 20. 20 Rapport annuel 2014 de Cisco sur la sécurité L’expertise en matière de menaces S'appuyant sur le plus grand ensemble d'outils de télémétrie de détection disponible, Cisco et Sourcefire ont analysé et compilé ensemble des informations sur la sécurité concernant l'année écoulée.
  21. 21. 21 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Augmentation des signalements de menaces Les vulnérabilités et menaces rapportées par Cisco IntelliShield® ont connu une croissance soutenue en 2013 : en octobre 2013, le total cumulé des alertes de l'année était en hausse de 14 pour cent par rapport à la même période de 2012 (Figure 3). En octobre 2013, les alertes avaient atteint leur plus haut niveau depuis qu'IntelliShield a commencé à les enregistrer en mai 2000. Il est également intéressant de signaler l'augmentation substantielle du nombre de nouvelles alertes, par opposition aux mises à jour d'alertes existantes, telles que suivies par IntelliShield (Figure 4). Les fournisseurs de technologie et les chercheurs constatent un nombre croissant de nouvelles vulnérabilités (Figure 5), dont la découverte résulte de l'intérêt accru pour une utilisation d'un cycle de vie de développement hautement sécurisé, ainsi que d'améliorations de la sécurité de leurs propres produits. Le nombre accru de nouvelles vulnérabilités peut également indiquer que les fournisseurs examinent leur code produit et résolvent les vulnérabilités avant que les produits ne soient diffusés et leurs vulnérabilités exploitées. FIGURE 3 Totaux annuels cumulés des alertes, 2010-2013 0 Jan. Déc.Nov.Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév. 1 000 2 000 3 000 4 000 5 000 6 000 7 000 Mois 2013 2012 2011 2010
  22. 22. 22 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces FIGURE 4 Alertes nouvelles et mises à jour, 2013 Nouvelle alerte Alerte mise à jour Mois 224303 386212 333281 387256 221324 366291 293391 215286 278437 320517 0 400 200 800 600 1000 211347 Jan. Nov.Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév. En portant une attention plus soutenue au développement de logiciels sécurisés, les fournisseurs de solutions auront de meilleures chances d'obtenir la confiance de leurs clients. Non seulement un cycle de vie de développement sécurisé atténue le risque de vulnérabilité, mais il permet aussi aux fournisseurs de détecter tôt dans le processus de développement des défauts potentiels et assure aux acheteurs qu'ils peuvent se fier à ces solutions.
  23. 23. 23 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces FIGURE 5 Catégories de menaces courantes suivies par Cisco IntelliShield REMARQUE : ces catégories de menace CWE (Common Weakness Enumeration, recensement des faiblesses courantes), telles que définies par la National Vulnerability Database (base de données nationale des vulnérabilités, https://nvd.nist.gov/cwe.cfm), correspondent aux méthodes utilisées par les acteurs malveillants pour attaquer les réseaux. 1 1 5 2 3 4 6 7 8 2 34 5 6 7 8 9 CWE-119 : Erreurs de mémoire tampon Autres alertes d'Intellishield (activité, problèmes, CRR, AMB) CWE-399 : Gestion des conflits des ressources CWE-20 : Validation des entrées 9 CWE : Erreur de conception CWE-310 : Problèmes de cryptographie CWE-287 : Problèmes d'authentification CWE-352 : Falsification de requête inter-site (CSRF, Cross-Site Request Forgery) CWE-22 : Traversée de parcours CWE-78 : Injections de commande SE CWE-89 : Injection SQL CWE-362 : Conditions de concurrence CWE-255 : Gestion des informations d'accès CWE-59 : Suivi de lien CWE-16 : Configuration CWE : Informations insuffisantes CWE : Autre CWE-189 : Erreurs numériques CWE-264 : Permissions, privilèges et contrôle d'accès CWE-200 : Fuite/divulgation d'informations CWE-79 : Attaque sur éléments dynamiques (XSS) CWE-94 : Injection de code
  24. 24. 24 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Le volume de spam est en baisse, mais les spams (pourriels) malveillants continuent à constituer une menace En 2013, le volume des spams a connu une tendance à la baisse partout dans le monde. Si le volume global a effectivement baissé, la proportion de pourriels aux intentions malveillantes est toutefois restée constante. Les spammeurs utilisent la vitesse comme un outil d'abus de confiance des utilisateurs de messagerie électronique, en transmettant des quantités massives de pourriels quand des événements d'actualité ou des tendances abaissent la résistance des destinataires aux escroqueries au pourriel. Après l'attentat à la bombe du Marathon de Boston, le 15 avril 2013, deux campagnes de spam à grande échelle ont été lancées, l'une le 16 et l'autre le 17 avril, qui étaient destinées à attirer les utilisateurs de messagerie électronique avides d'informations sur l'impact de l'événement. Les chercheurs de Cisco ont commencé à détecter l'enregistrement de centaines de noms de domaine liés à la notion d'attentat à la bombe quelques heures seulement après l'événement.11 Les deux campagnes de spam présentaient dans leur sujet des titres sur de prétendus bulletins d'actualité liés aux attentats, tandis que les messages contenaient des liens supposés amener à des vidéos des explosions ou des informations de médias de bonne réputation. Les liens orientaient les destinataires vers des pages comprenant des liens vers des articles ou des vidéos réels, mais aussi des iframes malveillants destinés à infecter les ordinateurs des visiteurs. À leur apogée, Les spammeurs tirent avantage du désir des gens d'obtenir plus d'informations après un événement majeur.
  25. 25. 25 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces les pourriels relatifs au Marathon de Boston constituaient 40 pour cent du total des pourriels diffusés dans le monde le 17 avril 2013. La Figure 6 montre l'une des campagnes de spam du réseau de zombies se faisant passer pour un message de CNN.12 La Figure 7 montre le HTML source d'un pourriel sur l'attentat à la bombe du Marathon de Boston. L'iframe final (dissimulé) renvoie à un site malveillant.13 Vu l'immédiateté des pourriels d'informations de dernière minute, il y a plus de chances pour que les utilisateurs de messagerie électronique croient à la légitimité de ces messages. Les spammeurs font leur miel du désir d'information du public après un événement majeur. Quand les spammeurs donnent aux utilisateurs en ligne ce qu'ils veulent, il est beaucoup plus facile de les amener à agir comme ils le veulent, par exemple à cliquer sur un lien infecté. Il est également bien plus facile de les empêcher de soupçonner une quelconque irrégularité du message.
  26. 26. 26 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces FIGURE 6 Spam du Marathon de Boston FIGURE 7 HTML source d'un pourriel sur l'attentat à la bombe du Marathon de Boston iframe width=640 height=360 src=https://www.youtube.com/embed/H4Mx5qbgeNo iframe iframe width=640 height=360 src=https://www.youtube.com/embed/JVU7rQ6wUcE iframe iframe width=640 height=360 src=https://bostonmarathonbombing.html iframe
  27. 27. 27 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Le spam en chiffres Au plan mondial, le volume de spam est en chute, selon des données collectées par Cisco Threat Research Analysis and Communications (TRAC)/SIO (Figure 8), mais les tendances varient d'un pays à l'autre (Figure 9). FIGURE 8 Volume global de spam, 2013 Source : Cisco TRAC/SIO 0 Jan. Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév. 20 40 60 80 100 120 140 160 Mois Milliardsparjour FIGURE 9 Tendances des volumes, 2013 Source : Cisco TRAC/SIO 0 Jan. Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév. 5 10 15 20 25 Mois Volumeenpourcentage États-Unis Corée, République de Chine Italie Espagne
  28. 28. 28 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces FIGURE 10 Principaux thèmes des messages de spam dans le monde 1. Dépôt bancaire/Avis de paiement Avis de dépôt, de virement, de paiement, de chèque rejeté, d'alerte à la fraude. 2. Achat de produit en ligne Confirmation de commande de produit, demande de bon de commande, devis, essai. 3. Photo jointe Photos jointes malveillantes. 4. Avis d'expédition Factures, livraison ou enlèvement, suivi. 5. Rencontres en ligne Sites de rencontres en ligne. 6. Impôts Documents fiscaux, remboursements, rapports, renseignements sur la dette, déclarations fiscales en ligne. 7. Facebook Situation de compte, mises à jour, notifications, logiciels de sécurité. 8. Carte ou chèque cadeau Alertes de divers magasins (Apple était le plus populaire). 9. PayPal Mise à jour de compte, confirmation, avis de paiement, litige sur paiement.
  29. 29. 29 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Exploitation de failles sur le Web : Java en tête De toutes les menaces sur le Web qui sapent la sécurité, les vulnérabilités du langage de programmation Java continuent à constituer la cible la plus fréquemment exploitée par les criminels en ligne, selon des données de Cisco. Les exploitations des failles de Java dépassent de loin celles qui sont détectées dans des documents Flash ou Adobe PDF, qui constituent aussi des vecteurs populaires pour les activités criminelles (Figure 11). Des données provenant de Sourcefire, désormais division de Cisco, montrent aussi que les exploitations des failles de Java constituent l'immense majorité (91 pour cent) des indicateurs d'atteinte (IoC, indicators of compromise), suivis par la solution FireAMP de Sourcefire pour l'analyse et la protection avancées afférentes aux programmes malveillants (Figure 12). FireAMP détecte les atteintes en cours d'exécution sur les terminaux, puis enregistre le type de logiciel à l'origine de chaque incident. FIGURE 11 Attaques malveillantes générées par le biais de PDF, Flash et Java en 2013 Source : rapports Cisco Cloud Web Security Flash PDF Mois Java 0 2 % 4 % 6 % 10 % 8 % 14 % 12 % 16 % Jan. Nov.Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév.
  30. 30. 30 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Pour des menaces telles que l'exploitation des failles de Java, les principaux problèmes auxquels les praticiens de la sécurité sont confrontés sont la manière dont les programmes malveillants pénètrent leur environnement de réseau et l'endroit sur lequel ils devraient concentrer leurs efforts pour minimiser l'infection. Une action isolée peut paraître inoffensive, mais on peut découvrir l'historique d'un programme malveillant en suivant une chaîne d'événements. L'établissement de chaînes d'événements est la capacité à effectuer une analyse rétrospective de données retraçant le cheminement suivi par les acteurs malveillants pour contourner la sécurité périmétrique et infiltrer le réseau. En soi, les IoC peuvent démontrer que l'accès à un site Web donné est sûr. À son tour, le lancement de Java peut être sans danger, tout comme le lancement d'un fichier exécutable. Une entreprise est toutefois exposée à un risque si un utilisateur visite un site Web comportant un iframe, qui lance ensuite Java, lequel télécharge un fichier exécutable qui, à son tour, exécute des actions malveillantes. FIGURE 12 Indicateurs d'atteinte, par type Source : Sourcefire (solution FireAMP) 3 % Microsoft Excel 1 % Microsoft PowerPoint 3 % Adobe Reader 2 % Microsoft Word 91 % Compromis Java
  31. 31. 31 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces L'ubiquité de Java en fait l'un des outils préférés des criminels, ce qui a fait des atteintes de Java de loin l'activité de « chaîne d'événements » la plus malveillante en 2013. Comme l'explique la page « À propos de » du site de Java, 97 pour cent des ordinateurs de bureau dans les entreprises utilisent Java, et 89 pour cent du total des ordinateurs de bureau aux États-Unis.14 Java offre une surface d'attaque trop étendue pour être ignorée par les criminels. Ils ont tendance à élaborer des solutions qui exécutent des exploitations de failles dans un ordre précis ; par exemple, ils commencent par essayer d'accéder à un réseau ou de voler des données en utilisant la vulnérabilité la plus facile ou la plus connue, avant de passer à d'autres méthodes. Dans la plupart des cas, Java constitue l'exploitation de faille privilégiée par les criminels, car elle leur offre le meilleur retour sur investissement. Atténuer le problème posé par Java Bien que les exploitations de failles de Java soient courantes et que les vulnérabilités soient difficiles à éliminer, il existe des méthodes pour réduire leur impact : • Lorsque c'est possible, désactiver Java dans les navigateurs, dans tout le réseau, peut empêcher le lancement de ces exploitations de failles. • Des outils de télémétrie comme Cisco NetFlow, incorporés à de nombreuses solutions de sécurité, peuvent surveiller le trafic associé à Java et conférer aux professionnels de la sécurité une meilleure compréhension des sources de menaces. • Une gestion complète des correctifs peut combler de nombreuses lacunes de sécurité. • Des outils de surveillance et d'analyse des terminaux qui continuent à suivre et à analyser les fichiers après leur entrée sur le réseau peuvent détecter rétrospectivement et arrêter des menaces qui ont été validées à l'entrée mais qui affichent ultérieurement un comportement malveillant. • Une liste des périphériques potentiellement compromis, classés par ordre de priorité, peut être générée à l'aide des IoC de manière à établir une corrélation entre les différents éléments de veille des programmes malveillants (sans négliger des événements apparemment bénins) et à identifier une infection au premier jour, sans signature d'antivirus existante. L'installation de la version la plus récente de Java contribuera aussi à éviter les vulnérabilités. Selon la recherche de Cisco TRAC/SIO, 90 pour cent des clients de Cisco utilisent une version de Java 7 Runtime Environment, la version la plus récente du programme. C'est positif du point de vue de la sécurité, puisque cette version est censée offrir une meilleure protection contre les vulnérabilités.
  32. 32. 32 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Les recherches effectuées par Cisco TRAC/SIO ont cependant aussi montré que 76 pour cent des entreprises qui utilisent des solutions Cisco utilisent aussi Java 6 Runtime Environment, en plus de Java 7. Java 6 est une version périmée dont le support n'est plus assuré. Les entreprises utilisent souvent les deux versions de Java Runtime Environment parce que différentes applications peuvent s'appuyer sur différentes versions pour exécuter le code Java. Cependant, avec plus des trois quarts des entreprises interrogées par Cisco utilisant une solution en fin de vie dont les vulnérabilités ne recevront jamais de correctif diffusé dans le public, les chances pour les criminels d'exploiter des faiblesses sont énormes. En 2013, la fréquence des programmes malveillants affectant Java sur Internet a culminé en avril à 14 pour cent de tous les programmes malveillants présents sur le Web. Cette fréquence a atteint son point le plus bas en mai et juin 2013, autour de 6 pour cent et 5 pour cent du total des programmes malveillants rencontrés sur Internet, respectivement (Figure 13) (En début d'année, Oracle a annoncé qu'il cesserait de mettre à disposition des mises à jour de Java SE 6 sur son site public de téléchargement, bien que les mises à jour de Java SE 6 existantes restent dans les archives de Java sur le réseau Oracle Technology Network.) Si les professionnels de la sécurité qui disposent d'un temps limité pour combattre les exploitations des failles sur Internet décident de concentrer l'essentiel de leur attention sur Java, ils feront là un bon choix d'affectation de leurs ressources. FIGURE 13 Rencontres de programmes malveillants affectant Java sur le Web, 2013 Source : Cisco TRAC/SIO Nov.Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév. Mois Jan. 7,50% 6,75% 9,00% 14,00% 6,00% 5,00% 12,25% 7,50% 6,25% 9,50% 6,50% 0 2 % 4 % 6 % 10 % 8 % 12 % 14 %
  33. 33. 33 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces BYOD et mobilité : La maturation des périphériques profite aux cybercriminels Les cybercriminels et leurs cibles sont confrontés au même défi : ils essaient d'identifier la meilleure façon d'utiliser les tendances BYOD (bring-your-own-device, apportez votre propre appareil) et de mobilité à leur avantage. Deux éléments semblent aider les criminels à se rapprocher de leurs objectifs. Premièrement, il s'agit de la maturation des plates-formes mobiles. Les experts de la sécurité de Cisco remarquent que plus les téléphones intelligents, tablettes et autres appareils fonctionnent comme les ordinateurs de bureau et portables conventionnels, plus il est facile de concevoir des programmes malveillants pour ceux-ci. Deuxièmement, l'utilisation croissante d'applications mobiles. Lorsque les utilisateurs téléchargent des applications mobiles, ils installent en fait un client léger sur le terminal, ainsi qu'un code de téléchargement. Autre défi : de nombreux utilisateurs téléchargent régulièrement des applications mobiles sans se préoccuper de la sécurité. Dans le même temps, les équipes de sécurité se débattent avec le problème « any-to-any » (de chacun vers tous les autres) : comment sécuriser n'importe quel utilisateur, sur n'importe quel périphérique, où qu'il se trouve, quand il accède à n'importe quelle application ou ressource.15 La tendance BYOD ne fait que compliquer ces efforts. Il est difficile de gérer tous ces types d'équipements, surtout avec un budget informatique limité. Dans un environnement BYOD, le CISO doit être particulièrement sûr que la salle de données est étroitement contrôlée. La mobilité offre de nouvelles possibilités d'atteinte des utilisateurs. Les chercheurs de Cisco ont observé des acteurs utilisant des canaux sans fil pour écouter clandestinement et accéder à des données en cours d'échange sur ces canaux. La mobilité présente aussi un éventail de problèmes de sécurité pour les entreprises, notamment la perte de propriété intellectuelle et d'autres données sensibles en cas de perte ou de vol d'un appareil non sécurisé d'un collaborateur. De nombreux utilisateurs téléchargent régulièrement des applications mobiles sans aucun souci de sécurité.
  34. 34. 34 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces La mise en place d'un programme formel de gestion des appareils mobiles contribuant à assurer la sécurité d'un appareil avant de l'autoriser à accéder au réseau constitue une solution d'amélioration de la sécurité pour l'entreprise, selon des experts de Cisco. Au minimum, un verrouillage par numéro d'identification personnel (NIP, ou personal identification number, PIN) devrait être requis pour authentifier l'utilisateur ; l'équipe de sécurité devrait pouvoir éteindre ou effacer l'appareil à distance en cas de perte ou de vol de celui-ci. Tendances en matière de programmes malveillants affectant les appareils mobiles : 2013 La recherche qui suit sur les tendances en matière de programmes malveillants affectant les appareils mobiles en 2013 a été réalisée par Cisco TRAC/SIO et par Sourcefire, désormais division de Cisco. Les programmes malveillants mobiles ciblant des périphériques spécifiques constituent seulement 1,2 pour cent du total des programmes malveillants rencontrés sur Internet en 2013. Bien que ce pourcentage ne soit pas élevé, il mérite d'être signalé, car les programmes malveillants pour périphériques mobiles constituent manifestement un domaine d'exploration émergent et logique pour les développeurs de programmes malveillants. Selon les chercheurs de Cisco TRAC/SIO, 99 pour cent des programmes malveillants destinés à compromettre des périphériques mobiles qui sont rencontrés ciblent des dispositifs Android. Les chevaux de Troie visant des appareils pouvant utiliser Java Micro Edition (J2ME) occupaient le second rang en 2013, avec 0,84 pour cent du total des programmes malveillants pour périphériques mobiles rencontrés. Tous les programmes malveillants pour périphériques mobiles ne sont toutefois pas conçus pour cibler des appareils particuliers. De nombreux incidents comprennent phishing (hameçonnage), likejacking (transmission de programme malveillant lorsqu'un utilisateur clique sur le bouton « like » de Facebook) ou d'autres ruses d'ingénierie sociale, ou encore des renvois forcés à d'autres sites que ceux qui étaient attendus. Une analyse des agents d'utilisateurs menée par Cisco TRAC/SIO révèle que les utilisateurs d'Android, présentent la fréquence de contact la plus élevée (71 pour cent) avec toutes les formes de programmes malveillants diffusés par le biais d'Internet, suivis des utilisateurs de l'iPhone d'Apple, qui subissent 14 pour cent du total des rencontres de programmes malveillants sur Internet (Figure 14). Les chercheurs de Cisco TRAC/SIO ont également rendu compte d'indications d'efforts pour monétiser des atteintes d'Android courant 2013, notamment des lancements de logiciels publicitaires et de logiciels espions liés à des petites et moyennes entreprises (PME). À 43,8 pour cent, Andr/Qdplugin-A était le programme malveillant le plus souvent rencontré, selon les recherches de Cisco TRAC/SIO. En général, ces incidents passaient par des copies reconditionnées d'applications légitimes distribuées par des places de marché non officielles (Figure 15). Les programmes malveillants mobiles qui ciblent des périphériques précis constituent seulement 1,2 pour cent du total des programmes malveillants rencontrés sur le Web en 2013.
  35. 35. 35 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces FIGURE 14 Programmes malveillants rencontrés sur Internet, par périphérique mobile Source : Rapports Cisco Cloud Web Security Android iPhone iPad BlackBerry Nokia Symbian iPod Huawei Windows Phone Motorola Playstation Nook ZuneWP Kindle WindowsCE 0 40 % 20 % 80 % 60 % 100 % FIGURE 15 10 premières incidences de programmes malveillants pour périphériques mobiles, 2013 Source : rapports Cisco Cloud Web Security Andr/Qdplugin-A Andr/NewyearL-B Andr/SmsSpy-J Andr/SMSSend-B Andr/Spy-AAH Trojan.AndroidOS. Plangton.a Andr/DroidRt-A Andr/Gmaster-E AndroidOS. Wooboo.a Trojan-SMS.AndroidOS. Agent.ao Andr/DroidRt-C 0 20 % 10 % 40 % 30 % 50 %
  36. 36. 36 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces FIGURE 16 Principales familles de programmes malveillants pour Android observées en 2013 REMARQUE : SMSSend représente 98 pour cent de tous les programmes malveillants pour Android ; les deux pour cent restants sont présentés proportionnellement. Source : Sourcefire 16 % 14 % 11 % 10 % 7 % 7 % 6 % 4 % 4 % 4 % 4 % Andr.TrojanDroidKungFu Andr.Trojan.Opfake Andr.Trojan.Anserver Andr.Exploit.Gingerbreak Andr.Exploit.Ratc BC.Exploit.Andr Andr.Exploit.ExploidAndr.Trojan.StelsAndr.Trojan.Geinimi Adnr.Trojan.DroidDreamLight (1%)Andr.Trojan.NotCompatible (1%)Andr.Trojan.RogueSPPush (1%)Andr.Trojan.TGLoader (1%)Andr.Trojan.Ackposts (1%)Andr.Trojan.OBad (1%)Andr.Trojan.Chuli (1%)Andr.Trojan.GingerMaster (1%)Andr.Trojan.Badnews (1%)Andr.Trojan.FakeTimer (1%)Andr.Trojan.Gonesixty (1%)Andr.Trojan.Kmin (1%)Andr.Trojan.Zsone(1%)Andr.Trojan.Plankton Andr.Trojan.Adrd Andr.Trojan.Golddream Andr.Trojan.Androrat (2 %)Andr.Trojan.Pjapps (2 %)Andr.Trojan.YZHC3 % 3 % 3 % 98 % Andr.SMSSend
  37. 37. 37 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Attaques ciblées : le défi du délogement de visiteurs persistants et « envahissants » Il y a de fortes chances que des attaques ciblées aient déjà infiltré vos réseaux. Une fois qu'elles prennent pied dans un réseau, elles ont tendance à y rester, à dérober furtivement des données ou à utiliser des ressources de réseau pour « pivoter » avant d'attaquer d'autres entités (pour plus d'informations sur le pivoting, voir page 18). Les dommages causés dépassent le vol de données ou une défaillance dans l'entreprise : la confiance entre partenaires et clients peut s'évaporer si ces attaques ne sont pas éliminées des réseaux dans les meilleurs délais. Les attaques ciblées menacent la propriété intellectuelle, les données des clients et des informations sensibles du gouvernement. Leurs créateurs utilisent des outils sophistiqués qui contournent l'infrastructure de sécurité de l'entreprise. Les criminels se donnent beaucoup de mal pour s'assurer que ces infractions ne sont pas détectées et appliquent des méthodes qui rendent les « indicateurs d'atteinte », ou IoC, pratiquement imperceptibles. Leur approche méthodique pour accéder aux réseaux et exécuter leur mission comprend une « chaîne d'attaque », c'est-à-dire la chaîne des événements qui mènent à l'attaque et au déroulement de celle-ci. Une fois que ces attaques ciblées trouvent un endroit où se cacher sur le réseau, elles exécutent leurs tâches efficacement et les réalisent généralement sans se faire remarquer. Les criminels se donnent beaucoup de peine pour s'assurer que leurs atteintes ne sont pas détectées.
  38. 38. 38 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces FIGURE 17 La chaîne d'attaque Pour comprendre l'éventail actuel des menaces et défendre efficacement le réseau, les professionnels de la sécurité informatique doivent réfléchir comme des agresseurs. Les entreprises qui s'attachent à mieux comprendre l'approche méthodique appliquée par les acteurs malveillants pour exécuter leur mission peuvent identifier des moyens de renforcer leurs défenses. La chaîne d'attaque, version simplifiée de la « chaîne d'abattage virtuel », décrit les événements qui précèdent et accompagnent les différentes phases d'une attaque. 1. Étude Obtenir une image complète d'un environnement : réseau, terminal, mobile et virtuel, y compris les technologies déployées pour sécuriser l'environnement. 2. Écrire Créer un programme malveillant ciblé, conscient du contexte. 3. Tester S'assurer que le programme malveillant fonctionne comme prévu, en particulier pour qu'il puisse déjouer les outils de sécurité en place. 4. Exécuter Naviguer sur le réseau étendu, en étant conscient de l'environnement, en évitant la détection et en se déplaçant latéralement jusqu'à atteindre la cible. 5. Accomplir la mission Collecter des données, créer une perturbation ou causer de la destruction.
  39. 39. 39 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Instantané des programmes malveillants : tendances observées en 2013 Les experts de la sécurité de Cisco effectuent en permanence des recherches et analyses du trafic de programmes malveillants et autres menaces découvertes, ce qui peut fournir des informations sur d'éventuels comportements criminels à venir et contribuer à détecter les menaces. FIGURE 18. Principales catégories de programmes malveillants Ce graphique présente les principales catégories de programmes malveillants. Les chevaux de Troie sont les plus courants, suivis des logiciels publicitaires. Source : Sourcefire (solutions ClamAV et FireAMP) ChevaldeTroie Logiciel publicitaire Ver Virus Téléchargeur Diffuseur(0%) 64 % 20 % 8 % 4 % 4 % FIGURE 19. Principales familles de programmes malveillants pour Windows Ce graphique présente les principales familles de programmes malveillants pour Windows. La plus nombreuse, Trojan.Onlinegames, se compose principalement de programmes de vol de mots de passe. Elle est détectée par la solution antivirus ClamAV de Sourcefire. Source : Sourcefire (solution ClamAV) Onlinegames Multiplug (Logiciel publicitaire) Syfro Megasearch Zeusbot Gamevance Blackhole Hupigon Spyeye(1%) 41 % 14 % 11 % 10 % 10 % 7 % 4 % 3 %
  40. 40. 40 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces FIGURE 20. Les dix premières catégories d'hôtes de programmes malveillants sur Internet, 2013 Ce chiffre montre les hôtes les plus fréquents de programmes malveillants, selon les recherches menées par Cisco TRAC/SIO. Source : rapports Cisco Cloud Web Security 0 Jan. Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév. 5 % 10 % 15 % 20 % 25 % 30 % 35 % 40 % Mois Annonces Activité et secteur Communautés en ligne Ordinateurs et Internet Infrastructure Actualités Achats Moteurs de recherche et portails Hébergement web Non classé Autre Nov. 45 % FIGURE 21. Catégories de programmes malveillants, en pourcentage du total, 2013 Source : Cisco TRAC/SIO ChevauxdeTroie polyvalents iFrames etexploitations defailles ChevauxdeTroie voleursdedonnées Téléchargeur diffuseur Fauxlogicielsde protection(Ransomware) etprogrammesbasés surlapeur(Scareware) Versetvirus (1%) SMS,harponnage etlikejacking (1%) Constructeurs etoutilsvoyous (hacktools) 27 % 23 % 22 % 17 % 5 % 3 %
  41. 41. 41 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces FIGURE 22. Hôtes et adresses IP de programmes malveillants spécifiques, 2013 Source : rapports Cisco Cloud Web Security Nov.Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév. Hôte unique Mois IP unique Jan. 0 10 000 30 000 20 000 50 000 40 000 60 000 Il ressort des travaux de recherche effectués par Cisco TRAC/SIO en 2013 que les chevaux de Troie polyvalents constituaient les programmes malveillants transmis par Internet les plus fréquemment rencontrés, avec 27 pour cent du total. Les scripts malveillants, tels que les exploitations de failles et les iframes, venaient ensuite, à 23 pour cent du total. Les chevaux de Troie voleurs de données, tels que les voleurs de mots de passe et les portes dérobées, constituaient 22 pour cent du total des programmes malveillants transmis par Internet rencontrés, les chevaux de Troie téléchargeurs et programmes malveillants de diffusion de chevaux de Troie prenant la quatrième place, à 17 pour cent du total (voir Figure 21). La baisse régulière des hôtes et adresses IP de programmes malveillants uniques (moins 30 pour cent entre janvier et septembre 2013) suggère que les programmes malveillants sont concentrés sur un moins grand nombre d'hôtes et d'adresses IP (Figure 22). (Remarque : une adresse IP peut servir des sites pour plusieurs domaines). Comme le nombre d'hôtes baisse, même si celui des programmes malveillants reste stable, la valeur et la réputation de ces hôtes deviennent plus importantes, puisque de bons hôtes aident les criminels à accomplir leurs objectifs.
  42. 42. 42 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Principaux objectifs : marchés verticaux Les sociétés de marchés verticaux hautement rentables, comme le secteur pharmaceutique et celui des produits chimiques ou encore celui de la fabrication de produits électroniques, ont une fréquence élevée de programmes malveillants sur Internet, selon la recherche effectuée par Cisco TRAC/SIO. La fréquence augmente ou diminue parallèlement à la valeur des biens et services du marché vertical concerné. Les chercheurs de Cisco TRAC/SIO ont observé une croissance remarquable de la fréquence des programmes malveillants dans les secteurs agricole et minier, qui étaient auparavant à risque relativement faible. Ils attribuent l'augmentation des cas de programmes malveillants dans ce secteur au fait que les cybercriminels suivent les tendances telles que la baisse des ressources de métaux précieux et les perturbations de la production alimentaire due à la météorologie. La fréquence des programmes malveillants dans le secteur électronique continue aussi à augmenter. Les experts de la sécurité de Cisco signalent que les programmes malveillants qui ciblent ce marché vertical sont généralement conçus pour aider les acteurs à avoir accès à des éléments de propriété intellectuelle, qu'ils utilisent pour obtenir un avantage sur la concurrence ou pour les vendre au plus offrant. Pour déterminer la fréquence de rencontre de programmes malveillants propres à un secteur, les chercheurs de Cisco TRAC/SIO comparent le taux de fréquence moyen pour toutes les entreprises qui passent par le service Cisco Cloud Web Security au taux de fréquence médian pour toutes les sociétés d'un secteur donné qui passent par le service. Une fréquence supérieure à 100 pour cent pour un secteur Les « points d'eau » ne sont pas des oasis pour les entreprises ciblées L'un des moyens par lesquels les acteurs malveillants essaient de transmettre les programmes malveillants aux entreprises de certains marchés verticaux précis passe par le recours à des attaques de « point d'eau ». Tels de grands prédateurs observant leur proie, les cybercriminels qui cherchent à cibler un groupe précis (par exemple les personnes qui travaillent dans l'aéronautique) étudient les sites fréquentés par ce groupe, infectent un ou plusieurs de ces sites avec des programmes malveillants, puis attendent en espérant qu'au moins un utilisateur du groupe cible visitera ce site et sera affecté. Une attaque de point d'eau est essentiellement une exploitation de la confiance, car elle utilise des sites légitimes. C'est aussi une forme de harponnage. Cependant, alors que le harponnage cible certains individus, les points d'eau sont destinés à affecter des groupes de personnes ayant des intérêts communs. Les attaques de points d'eau n'opèrent aucune discrimination parmi leurs cibles : quiconque visite un site infecté est exposé. Fin avril, une attaque de point d'eau a été lancée à partir de pages précises hébergeant un contenu lié à l'industrie nucléaire du site du Ministère du Travail des États- Unis.16 À partir de début mai 2013, les chercheurs de Cisco TRAC/SIO ont observé une autre attaque de point d'eau émanant de plusieurs Suite page suivante
  43. 43. 43 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces autres sites liés aux secteurs de l'énergie et pétrolier. Des similitudes, notamment la manière précise dont était élaborée l'exploitation de failles utilisée dans les deux attaques, ont donné à penser que les deux attaques pouvaient être liées. Les recherches de Cisco TRAC/SIO ont également indiqué qu'un grand nombre des sites utilisaient le même concepteur de site et le même fournisseur d'hébergement. Cela pouvait impliquer que l'atteinte initiale était due à des codes d'accès hameçonnés ou volés à ce fournisseur.17 La protection des utilisateurs contre ces attaques implique de maintenir à jour les correctifs des machines et des navigateurs Web à tout moment, afin de minimiser le nombre de vulnérabilités qui peuvent être exploitées par un agresseur. Il est également essentiel de veiller à ce que le trafic sur Internet soit filtré et que les programmes malveillants soient recherchés avant leur transmission au navigateur de l'utilisateur. (suite de la page précédente) témoigne d'un risque supérieur à la normale de rencontre de programmes malveillants transmis sur Internet, tandis qu'un taux inférieur à 100 pour cent indique un risque moindre. Par exemple, une société qui présente une fréquence de 170 pour cent est exposée à 70 % de risques de plus que la valeur médiane. À l'inverse, une société dont la fréquence est de 70 pour cent a 30 pour cent de risques de moins que la médiane (Figure 23). FIGURE 23 Risque sectoriel et rencontres de programmes malveillants sur Internet, 2013 Source : rapports Cisco Cloud Web Security Comptabilité Agriculture et mines Automobile Aviation Banque et finance Organismes caritatifs et ONG Clubs et organisations Enseignement Produits électroniques Énergie, pétrole et gaz Ingénierie et construction Loisirs Nourriture et boissons Services publics Santé Chauffage, plomberie et climatisation Informatique et télécommunications Industriel Assurance Juridique Fabrication Presse et édition Pharmacie et chimie Services aux entreprises Immobilier et gestion foncière Vente au détail et vente en gros Transport et expédition Voyages et loisirs Services publics 0 100 % 200 % 300 % 400 % 500 % 600 % 700 %
  44. 44. 44 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Des fractures dans un écosystème fragile Les cybercriminels apprennent que la mobilisation de la puissance de l'infrastructure d'Internet présente beaucoup plus d'avantages que le simple accès à des ordinateurs individuels. La dernière nouveauté des exploitations malveillantes des failles consiste à accéder à des serveurs d'hébergement Web, des serveurs de noms et des centres de données dans le but de tirer avantage de l'immense puissance de traitement et de la bande passante qu'ils fournissent. Par cette approche, les exploitations de failles peuvent atteindre un nombre d'utilisateurs d'ordinateurs sans méfiance bien plus grand, et avoir un impact nettement supérieur sur les entreprises ciblées, que l'objectif soit d'énoncer une prise de position politique, de saper un adversaire ou de générer des revenus. FIGURE 24. Une stratégie d'infection à haute efficacité Serveur hôte compromis Site Web compromis Site Web compromis Site Web compromis Site Web compromis Site Web compromis
  45. 45. 45 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Cette tendance de ciblage de l'infrastructure d'Internet signifie essentiellement que l'on ne peut pas faire confiance aux fondements d'Internet eux-mêmes. Les méthodes utilisées pour accéder à la racine des serveurs hôtes sont variées et comprennent des tactiques telles que des chevaux de Troie sur la gestion des postes de travail qui volent des codes d'accès aux serveurs, des vulnérabilités des outils de gestion de tiers utilisés sur les serveurs et des tentatives d'accès en force (voir page 54). Des vulnérabilités inconnues du logiciel de serveur lui-même peuvent aussi offrir des voies d'accès. Un serveur d'hébergement compromis peut infecter des milliers de sites et de propriétaires de sites dans le monde (Figure 24). Les sites hébergés sur des serveurs compromis agissent à la fois comme réachemineurs (intermédiaires dans la chaîne d'infection) et dépositaires du programme malveillant. Au lieu de nombreux sites compromis qui chargeraient des programmes malveillants à partir d'un faible nombre de domaines malveillants (une relation de beaucoup à peu), la relation est désormais entre un grand nombre d'acteurs et un autre grand groupe d'acteurs, ce qui complique les efforts d'endiguement. Les serveurs de noms de domaine sont des cibles de choix de ce nouveau genre d'attaques, dont les méthodes exactes sont encore en cours d'investigation. Tout semble indiquer qu'outre des sites individuels et des serveurs d'hébergement, des serveurs de noms de certains fournisseurs d'hébergement sont également compromis. Les chercheurs de Cisco en matière de sécurité indiquent que cette tendance à cibler l'infrastructure d'Internet modifie le paysage des menaces, car elle donne aux cybercriminels le contrôle d'une part non négligeable du fondement même d'Internet. « Le cybercrime est devenu si lucratif et si fortement banalisé qu'il a besoin d'une infrastructure puissante pour se maintenir à flot », affirme Gavin Reid, directeur de l'intelligence en matière de menaces de Cisco. « En compromettant les serveurs d'hébergement et les centres de données, les agresseurs ont non seulement accès à d'énormes volumes de bande passante, mais bénéficient aussi d'une disponibilité permanente de ces ressources. » « Le cybercrime est devenu si lucratif et si fortement banalisé qu'il a besoin d'une infrastructure puissante pour se maintenir à flot ». Gavin Reid, directeur de l'intelligence en matière de menaces pour Cisco [ ]
  46. 46. 46 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Relier les points : DarkLeech et Linux/CDorked La campagne d'attaque par DarkLeech signalée par Cisco en 201318 met en relief la manière dont l'atteinte de serveurs d'hébergement peut servir de tremplin pour une campagne plus massive. On estime que les attaques par DarkLeech ont compromis, en un bref intervalle, au moins 20 00019 sites légitimes dans le monde, qui utilisent le logiciel de serveur HTTP Apache. Les sites ont été infectés par une porte dérobée SSHD (Secure Shell daemon) qui permettait à des agresseurs à distance de charger et configurer des modules Apache malveillants. Les agresseurs ont alors été en mesure d'injecter de manière dynamique des iframes (des éléments HTML) en temps réel sur des sites hébergés, qui transmettaient des codes d'exploitation des failles et d'autres contenus malveillants par le moyen du kit d'exploitation Blackhole. Comme les injections d'iframe DarkLeech ne se produisent qu'au moment de la visite d'un site, les signes d'infections peuvent être difficiles à discerner. En outre, pour éviter la détection de l'atteinte, les criminels utilisent un éventail élaboré de critères conditionnels ; par exemple, ils n'injectent l'iframe que si l'adresse IP du visiteur correspond à celle du propriétaire du site FIGURE 25. Atteintes de serveurs par DarkLeech Server, par pays, 2013 Source : Cisco TRAC/SIO 58 % États-Unis 2 % Italie ,5 % Turquie ,5 % Chypre 1 % Suisse ,5 % Autres 2 % Espagne 1 % Australie 1 % Japon ,5 % Malaisie 1 % Lituanie ,5 % Danemark 1 % Pays-Bas 9 % Allemagne1 % Belgique 2 % Singapour 2 % Thaïlande 3 % Canada 10 % Royaume-Uni 2 % France ,5 % Irlande
  47. 47. 47 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces FIGURE 26. Réactions des serveurs compromis par DarkLeech Source : Cisco TRAC/SIO 0,5 % Apache/CentOS 43 % Apache/2.2.3 CentOS 39 % Apache-unspecified 8 % Apache/2.2.3 RedHat 7 % Apache/2.2.22 2 % Apache/2.2.8 ou du fournisseur d'hébergement, et n'injectent l'iframe qu'une fois en 24 heures pour les visiteurs individuels. L'investigation Cisco TRAC/SIO a révélé que les atteintes DarkLeech couvraient toute la planète, les pays comportant le plus grand nombre de fournisseurs d'hébergement présentant naturellement le plus fort taux d'infection. Les chercheurs de Cisco SIO/TRAC ont interrogé des milliers de serveurs compromis pour évaluer la répartition des versions de logiciels de serveur affectées. En avril 2013, une autre porte dérobée malveillante qui avait infecté des centaines de serveurs utilisant le logiciel de serveur HTTP Apache a été détectée. Linux/CDorked20 remplaçait le chiffre binaire HTTPD sur les versions d'Apache installées avec cPanel. Des portes dérobées similaires, ciblant Nginx et Lighttpd, ont également été découvertes. Tout aussi sélectif que DarkLeech dans ses méthodes d'attaque, CDorked utilise aussi des critères conditionnels pour injecter dynamiquement des iframes sur des sites hébergés par le serveur affecté. Le visiteur
  48. 48. 48 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces qui navigue sur un site affecté reçoit un contenu malveillant d'un autre site malveillant, où une boîte à outils de logiciels criminels tente de compromettre encore plus avant l'ordinateur de l'utilisateur.21 Linux/CDorked présente une caractéristique unique : il suit des cycles de 24 heures en moyenne dans les domaines de sites Internet. Il est rare que des sites compromis soient utilisés plus longtemps. Ainsi, même si un domaine affecté par un programme malveillant est signalé, il a déjà été abandonné par les agresseurs. En outre, avec Linux/ CDorked, les fournisseurs d'hébergement changent fréquemment (toutes les deux semaines environ), et passent d'un hôte compromis à un autre par cycles pour éviter d'être détectés. Les serveurs de nom compromis chez ces mêmes fournisseurs d'hébergement permettent aux acteurs malveillants de passer d'un hôte à un autre sans perdre le contrôle de domaines pendant la transition. Une fois qu'un nouvel hôte est parasité, les agresseurs entament un cycle de nouveaux domaines, utilisant souvent des noms de domaine évoquant le typosquattage22 pour tenter de paraître légitimes à des observateurs peu attentifs. L'analyse des profils de trafic menée par Cisco TRAC/SIO sur CDorked suggère fortement un lien avec DarkLeech. L'URL référente spécialement encodée utilisée par CDorked dénote expressément un trafic en provenance de DarkLeech. Ce n'est toutefois pas l'évolution la plus intéressante des programmes malveillants : tant CDorked que DarkLeech semblent s'inscrire dans une stratégie nettement plus importante et plus complexe. « Le degré de sophistication de ces atteintes suggère que les cybercriminels ont acquis un contrôle substantiel de milliers de sites et de multiples serveurs d'hébergement, dont des serveurs de noms employés par ces hôtes », indique Gavin Reid, directeur de l'intelligence en matière de menaces de Cisco. « Avec la récente avalanche de tentatives d'accès en force ciblant des sites individuels, il semble que nous assistions à un retournement de situation, l'infrastructure d'Internet étant désormais utilisée pour créer ce qu'on ne peut décrire que comme un énorme et très puissant réseau de zombies (botnet). Cet überbot peut être utilisé pour envoyer des pourriels, transmettre des programmes malveillants et lancer des attaques DDoS à une échelle jamais vue auparavant. » CDorked et DarkLeech semblent s'inscrire dans une stratégie beaucoup plus étendue et plus complexe.
  49. 49. 49 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Trafic malveillant, souvent signe d'attaques ciblées, détecté dans tous les réseaux d'entreprises Selon un examen mené par Cisco sur les tendances en matière d'expertise des menaces, on observe un trafic malveillant sur 100 % des réseaux d'entreprises. Cela signifie qu'il existe des preuves de pénétration de ces réseaux par des criminels sophistiqués ou d'autres acteurs, qui peuvent opérer sans être détectés pendant de longues périodes. Toutes les entreprises doivent supposer qu'elles ont été piratées ou au moins convenir que la question n'est pas de savoir si elles vont être ciblées par une attaque, mais quand, et pour combien de temps. Dans le cadre d'un récent projet examinant les recherches de DNS (Domain Name Service) provenant de l'intérieur de réseaux d'entreprises, les experts en matière de menaces de Cisco ont découvert que dans tous les cas, les entreprises présentaient des indications d'utilisation abusive ou d'atteinte de leurs réseaux (Figure 27). Par exemple, 100 pour cent des réseaux d'entreprises analysés par Cisco présentaient un trafic à destination de sites hébergeant des programmes malveillants, tandis que 92 pour cent présentaient un trafic à destination de pages Web sans contenu, qui abritent généralement des activités malveillantes. Quatre-vingt- seize pour cent des réseaux examinés présentaient un trafic à destination de serveurs piratés. Cisco a également détecté un trafic à destination de sites Web de l'armée ou du gouvernement au sein d'entreprises qui n'ont normalement de relations d'affaires ni avec l'une, ni avec l'autre, ainsi qu'à destination de sites liés à des régions à haut risque, comme des pays placés sous embargo commercial par les États-Unis. Cisco a observé que de tels sites pouvaient être utilisés en raison de la réputation généralement excellente dont jouissent les entreprises publiques ou gouvernementales. La présence de trafic à destination de tels sites n'est pas nécessairement un signe sûr d'atteinte, mais pour des entreprises qui n'ont habituellement pas de relations d'affaires avec le gouvernement ou l'armée, ce trafic peut indiquer que les réseaux sont compromis pour que des criminels puissent les utiliser pour accéder à des sites et réseaux du gouvernement ou militaires. [ ]
  50. 50. 50 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces Malgré leurs efforts pour maintenir leurs réseaux exempts de menaces malveillantes, toutes les entreprises examinées par Cisco en 2013 présentaient des indications de trafic douteux. Le trafic identifié par les interrogations de DNS peut fournir des IoC solides et mérite plus ample investigation par les entreprises qui veulent arrêter ces acteurs difficiles à détecter dans leurs réseaux. Il s'agit d'une méthode pour augmenter la visibilité des mouvements criminels généralement très difficiles à localiser. FIGURE 27. L'omniprésence du trafic malveillant 100 % 100 % 96 % 92 % 88 % 79 % 71 % 50 % Programme malveillant à menace élevée Connexions vers des domaines connus comme étant des sites malveillants ou comme des vecteurs de menace. Gouvernement et militaire Trafic douteux et excessif vers des destinations généralement pas contactées par le public. Infrastructure piratée Connexions vers une infrastructure connue pour être piratée ou vers des sites compromis. Sites sans contenu Connexions vers des sites vacants auxquels peut être associé un code destiné à injecter des programmes malveillants dans les systèmes. FTP suspect Connexions inattendues vers des sites FTP irréguliers. VPN suspect Connexions depuis l'intérieur d'une entreprise vers des sites VPN douteux. Éducation par le biais de menaces Connexions à des universités dans des lieux douteux, servant potentiellement de pivot pour d'autres types de programmes malveillants. Pornographie Volume très élevé de tentatives de connexion à des sites de pornographie connus.
  51. 51. 51 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces ARTICLE SPÉCIAL DE CISCO SECURITY RESEARCH : Nouvelles tendances du Bitsquatting et nouveaux moyens de stopper les attaques Le Cybersquattage, c.-à-d. la pratique consistant à enregistrer des noms de domaine identiques ou présentant une similitude à même d'induire une confusion avec une marque distinctive, est depuis longtemps un outil utilisé par les criminels en ligne. Récemment, le « bitsquatting », c'est-à-dire l'enregistrement de noms de domaines qui ne présentent qu'un chiffre binaire de différence avec le domaine d'origine, est devenu un autre moyen de réorienter le trafic sur Internet vers des sites qui hébergent des programmes malveillants ou des escroqueries. Le bitsquatting est une forme de cybersquattage qui cible des erreurs d'octets dans la mémoire de l'ordinateur. Une erreur de mémoire se produit chaque fois qu'un ou plusieurs octets lus par la mémoire ont changé d'état par rapport à ce qui était écrit précédemment. Ces erreurs de mémoire peuvent survenir en raison de nombreux facteurs, dont des rayons cosmiques (des particules chargées en énergie qui frappent la Terre à une fréquence atteignant 10 000 par mètre carré et par seconde), l'utilisation d'un appareil en dehors de ses paramètres environnementaux recommandés, des défauts de fabrication et même des explosions nucléaires de faible intensité. En modifiant un seul octet, un domaine comme « twitter.com » peut devenir le domaine bitsquat « twitte2.com ». Un agresseur peut simplement enregistrer un domaine bitsquat, attendre qu'une erreur de mémoire se produise, puis intercepter le trafic sur Internet. Les chercheurs en matière de sécurité estiment que les attaques de bitsquatting ont plus de chances de viser des noms de domaines fréquemment résolus, puisque ceux-ci ont de meilleures probabilités d'apparaître dans la mémoire lorsque des erreurs d'octets se produisent. Des recherches récentes menées par Cisco prévoient toutefois que des domaines auparavant non considérés comme suffisamment « populaires » pour être attaqués produiront en fait des volumes utiles de trafic de bitsquat. Cela s'explique par le fait que la quantité de mémoire par appareil et le nombre d'appareils connectés à Internet augmentent tous les deux ; selon des estimations de Cisco, on comptera 37 milliards d'« objets intelligents » connectés à Internet en 2020.23 Vecteurs d'attaque par bitsquatting Cisco TRAC/SIO a identifié de nouveaux vecteurs d'attaque par bitsquatting, à savoir : • Bitsquatting du caractère de délimitation de sous-domaine : d'après la syntaxe acceptée pour les étiquettes de noms de domaine, les seuls caractères valides dans un nom de domaine sont A-Z, a-z, 0-9 et le tiret. Toutefois, lors de la recherche de domaines bitsquat, le fait de limiter la recherche à ces caractères amènera à négliger un autre caractère important et également valide des noms de domaine : le point. Une nouvelle technique de bitsquatting repose sur les erreurs d'octet qui entraînent la modification de la lettre « n » (chiffre binaire 01101110) en un point « . » (chiffre binaire 00101110) et inversement. • Caractère de délimitation de sous-domaine dans lequel le « n » est transformé en « . » : dans une variante de la technique précitée, si un nom de domaine de second niveau contient la lettre « n » et qu'il y a au moins deux caractères après celle-ci, on est en présence d'un bitsquat potentiel. Par exemple, « windowsupdate.com » pourrait devenir « dowsupdate.com ». • Bitsquats de caractère de délimitation d'URL : les noms de domaines sont souvent inclus dans une URL. Dans une URL ordinaire, les caractères de barre oblique tels que « / » jouent le rôle de caractère de délimitation et séparent le nom du site de celui de l'hôte dans le cheminement d'URL. Le caractère de barre oblique (binaire 00101111) peut, par la modification d'un seul octet, devenir a lettre « o » (binaire 01101111), et inversement. Suite page suivante

×