Révélées par plusieurs chercheurs, les failles des processeurs Intel, nommées Spectre et Meltdown, sont d’une complexité sans précédent.
Sébastien Gest, Tech Évangéliste de Vade explique : « Ces failles sont d’un genre nouveau, elles sont totalement indolores et incolores. Le fait qu’elles se situent au niveau du hardware directement au niveau de la mémoire tampon, les rend redoutables. En exploitant ces failles, les cybercriminels peuvent exfiltrer des mots de passe, des clés de chiffrement et d’autres données privées. Le problème est que même si Spectre peut être combattu par des patchs – encore faut-il les faire – il n’y a rien à faire pour Meltdown, à part renouveler les processeurs, ce qui prendra des années. Spectre et Meltdown, sont un véritable cancer pour l’informatique. Des failles de ce type vont se multiplier, elles toucheront par exemple des systèmes de vidéos surveillance, des DAB et autres objets connectés qui ne seront jamais mis à jour. Il y a donc une réelle problématique face à ce type de menaces qui viennent d'un défaut de conception à la base ».
2017 avait été marqué par les failles Equifax, Uber ou encore Deloitte, en 2018, place à Marriott, Facebook, Amazon, ou encore plus récemment au Ministère des Affaires Étrangères.
« Depuis le début de l'année 2018 (selon l'agrégation de différentes sources, notamment Ihavebeenpwd), 1.7 milliard d'enregistrements de bases de données ont fuité dans la nature. Sur les 1,7 milliard de données ayant fuité cette année, 5% contiennent des mots de passe sans chiffrement ou avec un niveau de chiffrement tellement faible qu'il est aisé de retrouver le mot de passe originel ».
Par Sébastien Gest
A quoi s’attendre en 2019 ? Essoufflement du cryptojacking, arnaques par email, APT étatiques…
Les informations personnelles, plus ou moins sensibles, sont utilisées pour mener plusieurs types d’attaques, notamment :
De nombreuses fuites ayant eu lieu en 2018 ou au cours des années précédentes, contenaient des informations personnelles de type numéro de passeport, de carte d’identité, etc. C’était le cas par exemple de la fuite de Cathay Pacific ou de British Airways. L’expert commente : « il faut que les particuliers gagnent en vigilance, lorsqu’ils donnent leurs données en ligne, mais surtout qu’ils s’habituent à ne pas faire confiance aveuglement lorsqu’ils reçoivent des contacts, SMS, emails, encore plus lorsqu’ils viennent de marques dites de confiance. Du côté des entreprises, il est également recommandé de mettre en place des solutions pour détecter de attaques de plus en plus ciblées, difficiles à détecter, telles que le spear phishing ».
Les données ayant fuité, peuvent également être utilisées pour mener des campagnes de spear phishing, invitant les victimes à faire des virements internationaux (Faux Ordres de Virements internationaux ou FOVI). C’est l’une des tendances très lucratives du moment. « Récemment, le groupe Pathé a perdu 19 millions d’euros, dans le cadre d’une attaque de FOVI. Via une campagne de spear phishing, le fraudeur a réussi à convaincre les collaborateurs de transférer plusieurs fois un montant considérable d'argent. Cela ne nécessite aucune compétence technique, simplement de l’ingénierie sociale et de disposer de données dérobées ou achetées sur le Darkweb » confirme l’expert.
L’une des autres tendances que nous devrions voir de plus en plus en 2019. Même si l’arnaque n’est pas nouvelle, elle tire profit des données personnelles, notamment acquises sur le Darkweb ; Le procédé : « les cybercriminels usurpent l’identité de propriétaires de téléphone portable, prennent possession de leur carte SIM et sont ainsi capables de contourner l’authentification à deux facteurs, qui généralement passe par un SMS ou un appel passé vers le téléphone. Une fois qu’ils ont pris la main sur le téléphone, les cybercriminels peuvent vider les comptes en banque par exemple », explique Sébastien Gest.
Le cryptojacking est un des buzzwords de cette année 2018. En quelques mois, le cryptojacking ou minage de cryptomonnaie malveillant, a été propulsé en tête des menaces informatiques, surpassant même en volume l’incontournable ransomware. Mais cette activité résistera-t-elle à la chute inexorable du bitcoin ? Sébastien Gest prédit que non. L’expert annonce « un hiver particulièrement difficile pour le bitcoin et la forte baisse de la valorisation du bitcoin – crypto monnaie la plus populaire, sur laquelle sont indexées de nombreuses monnaies virtuelles - va entraîner un intérêt bien moindre pour le cryptojacking. Le ransomware et les FOVI sont désormais bien plus rentables. La seule perspective pour le cryptojacking est de passer au minage de stable coin, ces monnaies dont la valeur est calquée sur une devise, dollar, euro, yen, etc. et dont le cours est beaucoup moins fluctuant : UDST, USD Coin, Bit Euros, etc. ».
Sébastien Gest ajoute par plusieurs observations : « Nous avons coutume de dire chaque année que les attaques gagnent en sophistication, que le périmètre d’attaque s’étend, etc. Mais les attaques les plus dangereuses ne sont pas forcément les plus sophistiquées, comme nous pouvons le voir avec les attaques de phishing que l’on retrouve dans la conception de pratiquement 90% des attaques informatiques. Et malheureusement, plus les données fuitent, plus les pirates disposent d’informations clés pour réussir leurs attaques. Dès lors qu’un particulier ou qu’une entreprise est connectée, il ou elle s’expose à des attaques directes ou à dommages collatéraux, comme nous l’avons vu avec nombreuses entreprises touchées par Wannacry ».
« Pour l’année à venir comment ne pas parler de l’implication croissante des Etats dans les attaques… Avec tous les outils dont ils disposent - phishing, zero-day, backdoors, etc. – il ne serait pas inconcevable de découvrir des attaques informatiques avancées - APT - menées par des Etats, à diverses fins, en 2019. Sans oublier qu’une élection européenne se profile, et que nous avons déjà pu constater les impacts d’attaques informatiques et d’ingérence de puissances étrangères dans des processus électoraux ».