Octobre étant le mois de la sensibilisation à la cybersécurité, nous avons demandé à Yves, notre directeur du soutien technique et superstar de la sécurité des courriels, de nous dire ce qui l’empêche de dormir la nuit et où il pense que vous devriez concentrer vos efforts pour améliorer la sensibilisation à la cybersécurité – et être ainsi plus protégé.
Presque toutes les menaces que nous voyons ces jours-ci exploitent le maillon le plus faible de la chaîne de sécurité de l’information : les humains (du moins les menaces réussies).
À l’origine, les menaces transmises par courriel étaient assez évidentes selon les normes actuelles : les attaquants transmettaient des exécutables auto-extractibles aux utilisateurs et les gens tombaient dans le piège et les exécutaient, se faisant infecter dans le processus. La plupart des fournisseurs de services ont mis en place des systèmes de filtrage qui bloquent les choses les plus évidentes (blocage par type de pièce jointe, mise en place d’un filtrage antivirus de base, etc…). Ces attaques étaient destinées à infecter des plateformes spécifiques, la plupart du temps pour « asservir » la machine pour former des botnets.
Cependant, au cours des dernières années, la compromission des courriels d’entreprise ou (BEC), la fraude par le PDG, la chasse à la baleine ou la harponnage, ont pris le devant de la scène. Ces attaques fonctionnent en envoyant des courriels hautement personnalisés à des cibles très spécifiques dans les entreprises pour inciter les gens à effectuer des transferts d’argent à des parties frauduleuses au lieu d’attaquer directement la machine que la personne utilise pour l’infecter.
Certaines de ces attaques très spécifiques encouragent également les utilisateurs à cliquer sur des liens malveillants pour obtenir du contenu de téléchargement dans l’espoir d’infecter la machine d’un utilisateur. Ils exploitent ensuite les gens du niveau C en supposant que plus d’informations peuvent être glanées à partir des données qu’elles contiennent. Ils peuvent également emprunter la voie du rançongiciel, en infectant la machine avec des vers de chiffrement (c’est-à-dire Cryptolocker et leurs descendants) afin d’extraire de l’argent par chantage.
Ainsi, les crimes au fil des ans sont passés de menaces directes à la sécurité ciblant les machines à l’extraction d’argent d’individus spécifiques dans les organisations. Étant donné que les gens utilisent une plus grande diversité de machines (hétérogènes), les attaques elles-mêmes deviennent moins prioritaires – les attaquants ne savent pas nécessairement comment ou sur quel appareil et système d’exploitation la partie ciblée récupérera ce courriel. Il y a 7 ou 8 ans, la plupart des gens utilisaient encore des ordinateurs pour consulter leurs courriels comme principale plateforme de communication. Aujourd’hui, ce n’est plus vrai. La plupart des gens passent régulièrement d’un ordinateur de bureau, d’un ordinateur portable, d’un appareil mobile ou d’une tablette.
Étant donné que le nombre de plateformes de communication est de plus en plus hétérogène au lieu d’homogène, la seule chose que vous pouvez dire avec certitude est que nous verrons plus de courriels de type extraction d’argent ou chantage ciblant des victimes humaines plutôt que des menaces plus conventionnelles (ou spécifiques à la plateforme).
Une chose que l’élection américaine a montrée, c’est la capacité massive des parties intéressées à manipuler l’opinion politique ou à fomenter la division en groupes (quelle que soit l’orientation politique). Je ne serais pas surpris si nous commencions à voir des attaques d’intérêt politique utilisant les mêmes vecteurs d’attaque que les menaces BEC.
Exemple : En utilisant des techniques d’hameçonnage, en vous faisant passer pour le PDG de l’entreprise X, vous pourriez essayer d’inciter le PDG de l’entreprise Y à faire des mouvements stupides qui à leur tour font plonger ou grimper le cours des actions. Pensez à un stratagème de fraude très sophistiqué pour faire fluctuer le cours des actions en votre faveur. Je pense à des pompes et des vidanges très avancées.
Imaginez un pump and dump où les spammeurs enverraient des « alertes d’achat » aux personnes ayant un nom boursier. Ces spammeurs achetaient de manière préventive ces penny-stocks à faible valeur, envoyaient ces spams en espérant que les gens achètent, augmentant le prix, puis se débarrassant de ces actions, réalisant un profit rapide.
Des criminels vraiment sophistiqués utiliseront probablement les courriels pour manipuler les marchés, les entreprises individuelles et les actionnaires à des fins financières et politiques – et la seule défense sera éducative et psychologique. La technologie n’aidera pas beaucoup.
Dans l’ensemble, vous avez toujours besoin de la technologie. Les attaques sont faciles à lancer et il y a très peu d’obstacles au lancement, ainsi que la possibilité de collecter des rançons de manière relativement anonyme. Ces éléments de sécurité peuvent être couverts de manière assez complète par la technologie. Au-delà de cela, c’est l’avenir des campagnes malveillantes hautement ciblées et automatisées qui reste le plus effrayant de notre liste.
