2.000%. Alors que beaucoup d’experts s’extasient sur le phishing – passé de 51% des incidents en 2018 à 29% en 2019 –, le rapport annuel d’IBM sur les menaces pointe l’évolution spectaculaire des attaques de technologies opérationnelles, celles qui font tourner les laminoirs ou les aéroports, par exemple, et dont le cycle de vie très long offre davantage de surface aux attaquants, commente l’expert de ces questions au Luxembourg pour IBM, Jean-François Mairlot.
Mais aussi le record de données perdues. 8,5 milliards de données ont été récupérées par des pirates. Dont (principalement des adresses e-mail et des mots de passe) et les de Verifications.io.
Quelles sont les tendances mises en évidence dans le rapport annuel X-Force Threat Intelligence Index?
Jean-François Mairlot. - «Il insiste sur les trois vecteurs principaux d’attaques. C’est par là que commencent les attaques. D’abord, il y a énormément de vols de mots de passe, ce qui représente environ un tiers des attaques. Les gens perdent le contrôle de leurs mots de passe, et les hackers peuvent rentrer soit dans les entreprises, soit dans la vie privée des gens. Puis, il y a les vulnérabilités, en très forte augmentation. On parle de 150.000 vulnérabilités qui sont connues et exploitables, qui ne sont pas patchées. Les vulnérabilités vont certainement augmenter parce qu’une plate-forme comme Windows 7 est très utilisée, mais n’a plus de support. Les hackers vont exploiter ses vulnérabilités. La troisième tendance est le phishing. Il reste un vecteur très important, mais nous notons, chez IBM, une diminution par rapport à l’an dernier. Il était à 50%, il est à 31% des attaques. J’ai appelé le , et ils ont clairement un boom beaucoup plus important (55%) de phishing au Luxembourg que ce que nous voyons. 2019 a été l’année du phishing, et ça s’explique parce que nous travaillons avec des entreprises, alors que le Circl travaille aussi beaucoup avec les individus et ils ont eu beaucoup d’appels.
Le phishing est de plus en plus ciblé, plus difficile à détecter, les hackers utilisent beaucoup la confiance donnée à certaines marques, comme Google et Youtube. Dès que les internautes reçoivent un mail de ces sociétés, ils ne se méfient pas. Ce n’est pas de l’intelligence artificielle. Mais on voit ces techniques utilisées pour usurper l’identité de quelqu’un, que ce soit par la voix ou par la vidéo. Si on peut le faire pour Donald Trump, on peut certainement le faire pour le président d’une banque ou d’une société importante.
La sécurité est le ‘s’ de IoT... Il n’y a pas de ‘s’ dans IoT! C’est une bonne image.
On voit aussi une complexification des ransomwares, beaucoup plus évolués. Avant, c’était des campagnes de phishing très larges, et les gens ne tombaient pas dedans. Aujourd’hui, c’est beaucoup plus ciblé, et il y a des liens qui se font avec Trojan, un cheval de Troie. On voit cela dans le domaine bancaire. Le Trojan permet d’être présent dans le système bancaire sans être détecté, et le ransomware est plus un malware qui va encrypter les données pour demander une rançon. On remarque aussi que des malwares ne demandent plus de rançons. Ils sont là pour détruire, un peu comme il y a 15 ans. Les virus détruisaient le disque dur, mais ne demandaient pas de rançon. Soit c’est de la vengeance, parce qu’une société a été victime d’un ransomware et qu’elle a décidé de ne pas payer. Ou alors, ils essaient de créer des écrans de fumée: pour masquer une attaque très sournoise à droite, on envoie quelque chose de très visible à gauche. Il y a aussi des attaques plus connues depuis des années, comme celles d’États ou d’organisations, qui fragilisent des sociétés au niveau commercial, mais celles-là ne sont pas dans nos statistiques.
Une grosse tendance vient aussi de l’internet des objets. La technologie intègre très peu de sécurité. Les vendeurs de petites caméras ou de pèse-personnes, tous ces petits objets, ont des cycles de développement très courts. Ils veulent être les premiers à mettre leurs produits sur le marché, donc il y a peu de sécurité intégrée. Avec le virus Mirai, on a vu que ça pouvait poser de gros problèmes. Mirai, c’était des centaines de milliers d’appareils qui ont attaqué en même temps, et il a fait beaucoup d’émules, qui suivent dans cette lignée-là. La sécurité est le ‘s’ de IoT… Il n’y a pas de ‘s’ dans IoT! C’est une bonne image. Ce secteur devient un des vecteurs prédominants et va continuer à croître. Tout ce qui va amener de l’interconnexion supplémentaire, comme la 5G, mais aussi des bracelets connectés en bluetooth, aura le même effet.
Il y a une augmentation significative des attaques au niveau de l’OT, de l’operational technology, les systèmes qui pilotent les robots ou les chaînes de production dans les usines. Il y a une surface d’attaque plus importante parce que les cycles de vie d’une chaîne de production sont beaucoup plus longs. Il va vivre plus longtemps avec des problèmes de sécurité, tout en pilotant des infrastructures critiques, que ce soit un laminoir ou un aéroport.
Est-ce qu’il y a des spécificités luxembourgeoises dans ce rapport d’envergure mondiale?
«Le Luxembourg est un marché principalement financier. Pas uniquement, mais principalement. La densité de banques est plus grande, et donc on y est sensible, puisque le secteur numéro 1 des attaques reste la finance, donc les banques et les assurances, pour la quatrième année consécutive. Il y a beaucoup d’argent à récolter, et ça motive les hackers. Concrètement, cela se traduit par des attaques plus ciblées. Il y a de l’étude faite au préalable, à la fois au niveau des gens, mais aussi des vulnérabilités des systèmes bancaires. D’un point de vue géographique, l’Europe reste en troisième position, derrière les États-Unis et l’Asie, mais représente encore 21% des attaques. Vu la concentration de banques, ça doit être plus que la moyenne, même s’il faut relativiser par rapport à la taille du pays. Ces attaques sont plus dures à contrecarrer, mais le secteur bancaire est très bien préparé. C’est un des secteurs les plus matures, ils ont des obligations. Les plus petites sociétés n’ont pas le même niveau de protection et sont moins visées.
Qu’est-ce que vos experts recommandent face à ces différentes menaces?
«Ce que nous préconisons, c’est le SDLC, software development life cycle. C’est-à-dire d’intégrer la question de la sécurité dès le début du développement d’un projet ou d’un produit. Nos statistiques montrent que corriger quelque chose en fin de cycle coûte beaucoup, beaucoup, plus cher que si cela avait été intégré au début. À chaque moment-clé, on doit vérifier qu’on est bien en ligne avec les objectifs initiaux.
Les mots de passe, c’est comme une brosse à dents: ça ne se partage pas, et ça se change régulièrement.
Pour les mots de passe, c’est comme une brosse à dents: ça ne se partage pas, et ça se change régulièrement. Il faut beaucoup d’hygiène, soit au niveau des individus, ils doivent avoir beaucoup de mots de passe et les stocker dans un endroit sécurisé. En moyenne, aux États-Unis, selon une étude, on a chacun environ 150 mots de passe. C’est difficile de les retenir tous. Les gens sont tentés d’utiliser le même mot de passe, ce qui est une très grosse erreur. Il vaut mieux avoir un système de coffre-fort, mais des mots de passe différents. On a dit pendant un temps qu’il fallait des mots de passe très forts, 16 caractères, mais difficiles à retenir. Puis que ces mots de passe étaient oubliés, donc obligeaient à passer par des procédures de récupération… qui présentent de nouvelles vulnérabilités, il valait mieux des mots de passe plus simples.
Pour les entreprises, le SSO, où l’entreprise collecte les mots de passe et le salarié y accède avec un seul mot de passe.
Les vulnérabilités connues doivent être patchées dès que possible. Ça semble tout simple, mais c’est toujours un vecteur important, un tiers des attaques passent par là.
Autre problème que nous avons remarqué, c’est celui des configurations. Beaucoup de configurations sont laissées avec les réglages par défaut, et ça peut être le mot de passe par défaut, ce qui est mortel ou des configurations par défaut…
Le phishing requiert une formation des gens, ils doivent faire la différence entre un mail sollicité et une tentative d’hameçonnage. Comme les phishings sont de plus en plus sophistiqués, il faut renouveler les campagnes d’information pour resensibiliser ses employés.
Dans le cadre des ransomwares, ils encryptent tout ce qu’ils voient. Quand vous êtes à la maison, vous avez juste votre PC, bon, vous perdez vos photos de vacances. Dans le domaine de l’entreprise, si tout est connecté, un employé peut neutraliser tout le monde. Ce qui est très important, c’est de faire des back-up, des sauvegardes régulières. Ça semble évident, mais c’est la manière de se protéger. Et surtout, il faut que ces back-up soient off-line. Si quelqu’un peut y avoir y accès, ça va être encrypté de nouveau.
Pour les banques ou les entreprises, on va ajouter des mitigations supplémentaires en fonction de ses risques. Il faut aussi avoir des benchmarks, pour voir où on se situe et où on veut aller demain, ça permet de mettre en place une stratégie. que celle que les hackers partagent pour attaquer. Et finalement, il ne faut pas oublier de tester! Des ‘pentests’, des tests de pénétration. Là où le bât blesse est l’incident response, c’est-à-dire qu’on ne vérifie pas assez ce qu’on est capable de faire quand l’entreprise est attaquée pour nos clients, fournisseurs, etc.!»