Si vos outils de sécurité et réseau n’ont pas été à la hauteur pour protéger votre entreprise dans le passé, peu de chances que les choses s’améliorent à l’avenir. Vous êtes toujours à la peine pour intégrer et gérer de multiples produits cloisonnés? Il est alors fort probable que la complexité et la faible visibilité qui en découlent risquent de mettre en péril votre entreprise. Certes, il n’est pas possible de prédire l’avenir avec précision. Cependant, voici cinq menaces émergentes que vous devriez garder à l’œil.

Attaques Linux

Récemment, Linux est davantage devenu une cible de prédilection pour les cybercriminels étant donné que ce système d’exploitation gère les systèmes back-end de nombreux réseaux et de solutions basées sur conteneurs pour les besoins de dispositifs IoT et d’applications critiques. À ce titre, Linux attire davantage l’attention des cyber-assaillants. Désormais, les attaques visant les systèmes d’exploitation Linux sont aussi courantes et fréquentes que les attaques visant Windows. 

La plupart des entreprises savent comment gérer ces dernières. En revanche, elles sont moins habituées à se tenir au courant et à jour en matière de protection et d’analyse des risques et maliciels en environnement Linux. Et pourtant, les environnements Linux hébergent des données précieuses, tels que des identifiants SSH (Secure Socket Shell), des certificats, ou encore des identifiants et des mots de passe utilisés dans le cadre d’applications. 

Attaques de réseaux satellite

Alors que l’Internet par satellite progresse, on peut s’attendre à une recrudescence des codes d’exploitation ciblant de tels réseaux. Aujourd’hui, le marché compte déjà une demi-douzaine de fournisseurs d’accès à Internet par satellite. Les menaces visent, pour l’essentiel, les entreprises ayant besoin d’une connexion satellite garantissant des communications à faible latence pour des cas d’usage tels que jeux en-ligne, fourniture de services critiques vers des sites distants, infrastructures de communications pour les pipelines, compagnies aériennes, flottes de navires, etc.

Ceci devrait étendre la surface d’attaque dans la mesure où les entreprises ajoutent à leurs réseaux (interconnectés) de nouvelles liaisons satellite pour connecter des systèmes opérant auparavant hors ligne (par exemple, des dispositifs opérationnels distants).

Attaques contre les portefeuilles de crypto-monnaie

Les portefeuilles de crypto-monnaie sont la cible de maliciels (malware) conçus pour détourner des informations stockées, ce qui permet à des assaillants de s’en prendre à des clés privées de bitcoins, à une adresse bitcoin, ou encore à l’adresse d’un portefeuille pour vider celui-ci. Les attaques démarrent souvent par un grand classique: une campagne d’hameçonnage (phishing) qui consiste à associer un fichier Microsoft Word malveillant à un courriel de type pourriel (spam). Le maliciel est acheminé par le biais d’une macro de document Word dont l’objectif est de dérober les informations et les identifiants des portefeuilles de crypto-monnaies stockés sur les dispositifs infectés d’un utilisateur. 

Dans la même veine, certains générateurs fictifs de carte-cadeau sur Amazon s’en prennent à des portefeuilles numériques, en remplaçant le portefeuille de la victime par celui du cyber-assaillant.

Notons par ailleurs qu’un nouveau cheval de Troie, baptisé ElectroRAT, prend pour cible les crypto-devises. Il allie des techniques d’ingénierie sociale avec des applications personnalisées de crypto-devises et a la capacité d’effectuer différentes actions: enregistrement des frappes au clavier, copies d’écran, téléchargement de fichiers et exécution de commandes.

Attaques sur les systèmes opérationnels (OT)

Les attaques par rançongiciel ciblent davantage les infrastructures critiques, donnant lieu à des incidents appelés “killware”. Ce terme se veut l’illustration de la capacité du maliciel à perturber les activités d’hôpitaux, de pipelines, de sites de traitement des eaux, entre autres infrastructures critiques, avec des conséquences potentiellement lourdes sur les individus.

Les cybercriminels sont susceptibles de se désintéresser de cibles mineures pour privilégier des attaques davantage visibles pouvant avoir de lourdes conséquences sur le monde physique, en ce compris les chaînes logistiques, en provoquant de nombreuses victimes humaines.

La convergence des réseaux IT et OT facilite la tâche des cyber-assaillants qui peuvent désormais accéder aux systèmes opérationnels via des réseaux domestiques piratés et les dispositifs des télétravailleurs. Ce risque est d’autant plus important que les cyber-assaillants ne doivent plus être nécessairement détenteurs de connaissances pointues en matière de systèmes de contrôle industriels (ICS, Scada…) puisqu’ils peuvent se procurer des kits d’attaques sur le Dark Web. 

Attaques sur l’“edge”

Le nombre toujours plus important de télétravailleurs expose les réseaux des entreprises à de nombreuses menaces qui concernent habituellement les réseaux domestiques. La multiplication des “périphéries de réseau” (edges) implique que les menaces peuvent plus facilement s’y dissimuler et tirer parti des ressources légitimes qui y sont présentes, une technique dite du “living off the land”. En recourant à cette technique, attaques et exfiltrations de données ressemblent à des activités normales. Ce type d’attaques peuvent également être associées à des chevaux de Troie EAT (edge access trojans). De manière furtive, les maliciels présents dans ces environnement de périphérie ou d’extrémité-réseau peuvent exploiter des ressources locales pour surveiller les activités et les données au niveau de cette périphérie, pour ensuite s’en prendre à des systèmes, applications et données critiques, voire les prendre en otage.

Se protéger des attaques, nouvelles et anciennes

Les entreprises doivent mettre l’accent sur le renforcement de leurs systèmes basés sur Linux et Windows. Lorsqu’il s’agit d’adopter de nouvelles technologies, les entreprises doivent opter pour une approche donnant la priorité à la sécurité, en s’assurant de la non-dangerosité de ces technologies, avant d’ajouter par exemple de nouvelles liaisons satellite.

En vous préparant aux nouvelles menaces, vous ne devez pas faire l’impasse sur celles qui existent déjà. Se défendre contre les menaces actuelles et à venir exige une approche intégrée de la sécurité. Pour lutter contre des menaces en évolution, les entreprises doivent privilégier une plate-forme de sécurité basée sur une architecture mesh (1), avec des solutions conçues pour collaborer et opérer de concert.

(1) Une architecture de cyber-sécuriité dite de type “mesh” fait référence à une étroite imbrication et cohérence de technologies et de services de sécurité, procurant une plate-forme unifiée, avec gestion centralisée, capacité de surveillance et d’alertes multi-dimensions, multi-risques, et aptitude à évoluer dynamiquement et automatiquement en fonction des cyber-menaces. Et ce, à tous les niveaux du ou des réseaux et connecitivités d’une entreprise – depuis le coeur du réseau sur site jusqu’au cloud, en passant par les environnements distants et de “périphérie”. Cfr la représentation graphique qu’en donne Gartner.

Derek Manky
Chief Security Insights & Global
Threat Alliances, Fortinet