Beyond the horizon : essor des cyberattaques dans les années 2010

Remarque : cet article a été initialement publié sur SmarterMSP.

Dans le cadre de notre série en cinq parties sur l'évolution de la cybersécurité, consultez notre quatrième article ci-dessous, qui traite des dispositifs IoT et des vulnérabilités face aux ransomwares basés sur le bitcoin dans les années 2010.

Au cours des années 2000, nous avons assisté à une course effrénée entre les experts en sécurité et les hackers. En outre, nous avons également constaté l'impact du développement des smartphones connectés à Internet, des services cloud et de la croissance continue du e-commerce, qui ont considérablement élargi la surface de la menace. 

Dans les années 2010, nous avons assisté à une hausse de la cybercriminalité, parallèlement au nombre d'utilisateurs d'Internet et à une grande variété de nouveaux appareils connectés. 

Plusieurs tendances ont influencé l'évolution du secteur de la cybersécurité : l'adoption de logiciels et de services basés sur le cloud a continué à augmenter pour les entreprises, ayant pratiquement doublé à la fin de la décennie, la montée en puissance de l'utilisation des appareils mobiles et l'essor des smartwatches, un marché qui s'est développé après qu'Apple ait lancé sa première Apple Watch en 2015. Ces tendances ont favorisé la multiplication des vecteurs d'attaque et des attaques contre la chaîne d'approvisionnement.  

L'ère des appareils connectés

Entre 2008 et 2009, l'internet des objets (IoT) a fait son apparition. Au départ, l'idée était d'étiqueter les objets (en utilisant l'identification par radiofréquence) à des fins de suivi. Toutefois, ce concept s'est rapidement étendu à des appareils par ailleurs anodins qui disposaient soudainement d'une connectivité internet sans interface utilisateur classique. Tous les objets, des distributeurs automatiques aux appareils médicaux, ont rapidement été connectés. De nouveaux appareils (comme la sonnette Ring, lancée en 2011, et plusieurs systèmes de surveillance pour bébés) ont été développés en intégrant la connectivité dès le départ. Des solutions de sécurité domestique basées sur le web sont également apparues, offrant aux consommateurs un accès à distance aux caméras de sécurité, aux serrures et aux portes de garage. Amazon a lancé Alexa en 2014, rajoutant encore plus d'appareils au réseau.

Rapidement, les bureaux et les maisons se sont retrouvés inondés d'appareils divers se connectant aux réseaux des entreprises et des particuliers, fournissant des coordonnées GPS, un accès aux données de paiement et (surtout) des liens assez peu protégés avec les réseaux existants. Alors que les entreprises et les utilisateurs avaient investi massivement dans des logiciels antivirus pour leurs ordinateurs de bureau, une telle protection était impensable pour les distributeurs automatiques ou les caméras de sécurité.

Avec l'arrivée sur le marché de ces nouveaux appareils connectés, qui envoient des données via les connexions cellulaires et Wi-Fi publiques, les experts en cybersécurité n'ont pas manqué de réagir en s'exclamant : « C'est reparti ! ».

Les cybercriminels ont exploité les dispositifs de l'internet des objets pour lancer des attaques par déni de service (DDoS) et accéder aux réseaux d'entreprise. Il y a eu, bien sûr, le piratage classique, notamment des cas où des personnes extérieures se sont connectées à des moniteurs de surveillance pour bébés et ont fait peur à des parents en manque de sommeil. Mais des criminels ambitieux ont élaboré des plans bien plus sophistiqués.

Parmi les incidents notables, citons l'attaque du botnet Bashlite qui a infecté des millions d'appareils en 2014 ; des vulnérabilités découvertes partout, des pompes à insuline aux feux de circulation en passant par les véhicules connectés (notamment les BMW, Fiat et Tesla), qui auraient permis à des tiers de prendre le contrôle de ces appareils, avec des conséquences potentiellement mortelles ; le botnet Mirai a profité de la faiblesse de la protection par mot de passe des caméras en circuit fermé et d'autres appareils pour mener une attaque DDoS qui a mis hors service plusieurs pans de l'internet en 2016 ; le botnet Reaper, le botnet Amnesia, et d'autres encore par la suite. 

L'attaque Stuxnet a été l'une des plus marquantes contre les dispositifs IoT. Stuxnet est un puissant ver informatique conçu par les services de renseignement américains et israéliens pour désactiver un élément clé du programme nucléaire iranien. Il visait une installation sous surveillance aérienne, mais s'est propagé de manière inattendue à des systèmes informatiques extérieurs.

Stuxnet a exploité de multiples vulnérabilités Windows de type zero-day inconnus jusqu'alors. Il a été conçu pour cibler les automates logiques programmables (PLC), des ordinateurs numériques industriels utilisés pour la fabrication. En l'occurrence, il visait un automate spécifique : les ordinateurs contrôlant le programme nucléaire iranien. L'objectif de Stuxnet était de perturber les automates responsables de la gestion des centrifugeuses d'enrichissement de l'uranium et de les rendre incontrôlables au point de les détruire.

Stuxnet aurait détruit près d'un cinquième des centrifugeuses nucléaires iraniennes. Ciblant les systèmes de contrôle industriels, le ver a infecté plus de 200 000 ordinateurs et provoqué la dégradation physique de 1 000 machines. Cette mesure s'est avérée très efficace et a considérablement retardé le programme nucléaire iranien. L'évaluation la plus optimiste de Stuxnet est qu'il a retardé et ralenti le développement de l'uranium iranien suffisamment pour dissuader Israël de frapper unilatéralement le pays, et qu'il a fait gagner du temps aux services de renseignement et aux efforts diplomatiques.

Cette attaque a mis en évidence le potentiel d'exploitation des dispositifs IoT dans le cadre de cyberattaques à grande échelle et a souligné l'importance de mesures de cybersécurité fiables pour les dispositifs IoT.

Ransomware : la montée en puissance du bitcoin

Mais une autre technologie, rarement utilisée par les consommateurs ou les entreprises à l'époque, s'est avérée être l'outil le plus précieux pour les cybercriminels. La blockchain et la cryptomonnaie bitcoin sont apparues en 2008, et la première transaction a eu lieu l'année suivante. Cette monnaie numérique anonyme a donné aux criminels un outil de choix : un moyen d'extorquer numériquement une rançon à la victime d'un malware ou d'un scam par hameçonnage, sans risque de voir la transaction tracée jusqu'à un compte bancaire ou un lieu physique. Les attaques à grande échelle pourraient désormais être monétisées beaucoup plus efficacement.

À mesure que la valeur du Bitcoin augmentait, les attaques par ransomwares se multipliaient également. Le nombre d’attaques par ransomware a augmenté de façon exponentielle entre 2015 et 2020 et correspondait approximativement à la croissance de la valorisation du bitcoin au cours de la même période. 

En 2017, les choses se sont corsées avec l'attaque du ransomware WannaCry, qui s'est appuyé sur l'exploit EternalBlue pour Windows, affectant finalement 300 000 ordinateurs avant que le chercheur Marcus Hutchins ne découvre un « kill switch » permettant d'empêcher sa propagation. Le ver cryptographique exigeait le paiement d'une rançon en bitcoins. L'attaque a touché jusqu'à 70 000 appareils dans les hôpitaux du National Health Service au Royaume-Uni, notamment des scanners IRM et des frigos pour le stockage du sang.

Les spécialistes de la sécurité ont reconnu la nécessité de ne pas se limiter à l'antivirus, mais de se tourner vers ce qui allait devenir la détection et la réponse aux points d'accès (EDR), un terme inventé par Gartner en 2013. L'analyse classique est devenue insuffisante car les pirates peuvent déployer des codes malveillants sans installer de logiciel (en utilisant des exécutables). Les cybercriminels pouvaient également se déplacer latéralement dans un réseau une fois qu'ils l'avaient infiltré. Les entreprises avaient besoin d'une visibilité sur le réseau pour identifier les activités suspectes au sein des applications sur ces terminaux. Les attaques pouvaient être identifiées par leur comportement, modification d'applications ou suppression de fichiers. 

Cependant, ces solutions nécessitaient beaucoup de ressources (techniques et humaines) pour contrôler et analyser les données rendues dans le cadre de l'EDR. C'est ainsi qu'est née la gestion de la détection et de la réponse (MDR), qui permet d'externaliser cette fonction tout en assurant la visibilité.

En raison de l'évolution rapide et de la complexité des cyberattaques, l'EDR et le MDR se sont révélés insuffisants. En 2018, le terme Extended Detection & Response (XDR : détection et réponse étendues) a été inventé pour fournir une vision plus holistique qui offre une visibilité sur l'ensemble du patrimoine numérique, y compris les terminaux, les réseaux, les ressources cloud, le matériel et les applications, ouvrant ainsi une nouvelle ère de cybersécurité, que nous aborderons dans le prochain article de cette série.

C'est tout pour la quatrième partie de notre série sur l'évolution de la cybersécurité. Découvrez la troisième partie au cas où vous l'auriez manquée et ne manquez pas la cinquième partie qui arrive bientôt !