La cybercriminalité est une industrie, mais la sécurité ne semble pas toujours être une préoccupation majeure pour les entreprises

Les attaques et les malwares sont clairement de plus en plus sophistiqués. Pour les antivirus, le plus important est de comprendre « ce qu’il faut analyser ». Explications avec Boris Sharov, PDG de l’éditeur russe Doctor Web, l’un des rares éditeurs d’antivirus propriétaire de sa technologie de détection et de désinfection des malwares.

 

Les pirates sont-ils plus forts et ingénieux qu’avant ou est-ce que ce sont toujours un peu les mêmes techniques employées depuis des années comme les e-mails de phishing ?

Le premier point important est que les pirates sont aujourd’hui beaucoup plus organisés qu’auparavant, ce qui leur donne plus de « force » et de puissance de frappe. L’objectif numéro 1 des pirates depuis longtemps est de gagner de l’argent. C’est ce qui leur a permis de s’organiser en groupes bénéficiant de fonds très importants, et donc de « recruter » des pirates très bons techniquement.

Concernant les malwares proprement dits, et/ou les méthodes de piratage, il y a eu bien sûr une grande évolution. La mise en place des techniques dites d’ingénierie sociale, qui consistent à inciter l’utilisateur à effectuer par lui-même une action ayant pour résultat d’infecter son ordinateur, a fait faire un bon aux cybercriminels qui ont commencé (et continuent) à exploiter la naïveté ou le manque de connaissances des utilisateurs.

Techniquement parlant, les attaques et les malwares sont clairement de plus en plus sophistiqués. Même si une campagne de phishing par e-mail sera toujours utilisée, le malware qu’elle va diffuser sera, lui, beaucoup plus « intelligent » qu’auparavant et notamment plus à même de dissimuler sa présence sur la machine.

Si nous prenons le système Android, qui est une cible privilégiée des cybercriminels, nous voyons que maintenant, les logiciels malveillants sont capables d’attaquer directement le firmware de l’appareil, ce qui n’existait pas au moment du lancement d’Android sur le marché. Les pirates suivent l’évolution des dispositifs informatiques, et chaque nouveau système ou nouvel outil numérique est étudié pour en repérer les failles et les « trous de sécurité » par lesquels ils pourraient s’infiltrer.

 

Les attaques dites « fileless » seraient de plus en plus fréquentes. Pourquoi ces attaques se multiplient-elles ? Comment fonctionnent-elles et quelles sont les solutions et les techniques de défense ?

Dès 2003, lors d’une attaque globale du vers dit SQL-Slammer – qui ne comptait que 376 octets ne prenant jamais une forme de fichier – l’équipe de Doctor Web s’amusait à lire des commentaires des confrères disant que ce type de virus ne pouvait pas être détecté par les antivirus. On était le seul produit capable de l’arrêter en mémoire. Pour nous donc, rien de nouveau, on le fait depuis 20 ans déjà.

Les attaques « fileless », c’est-à-dire qui n’utilisent pas de fichiers, sont destinées à exploiter des programmes licites déjà installés afin de perpétrer différentes actions sur une machine, sans être détectées. En effet, s’il n’y a pas de « fichier » proprement dit, il n’y a pas de trace du malware, il est donc plus difficile de repérer l’infection. Ces attaques peuvent être utilisées pour effectuer par exemple du mining de cryptomonnaie sur un ordinateur à l’insu de l’utilisateur.

Elles se multiplient, car elles permettent à l’attaquant de gagner du temps, avant d’être identifié par l’antivirus notamment. Même si les antivirus actuels savent gérer ce type d’attaques grâce à l’analyse comportementale, certains exploits sont plus difficiles à détecter que d’autres, et en matière de piratage, même quelques minutes en plus d’invisibilité peuvent rapporter gros.

 

Comment voyez-vous l’avenir de la cybersécurité alors que l’ioT va se développer dans l’industrie et que les entreprises utilisent de plus en plus le cloud ?

Plus il y a d’outils, plus il y a d’enjeux. La problématique de l’IoT est que dans de très nombreux cas, les objets dits « intelligents » ne sont pas ou mal protégés « by design », c’est-à-dire par les fabricants, ils sont donc des cibles relativement faciles pour les pirates. Concernant le Cloud, il y a eu beaucoup de débats et de discussions autour de la sécurité de ces outils.

La sécurité, pour une entreprise, doit être envisagée à un niveau global. C’est-à-dire que chaque « entrée » potentielle doit être vérifiée et sécurisée. La Recherche & Développement en matière de sécurité informatique continue sans cesse, et les outils de protection sont de plus en plus performants. Il n’en reste pas moins qu’aucun éditeur ne peut prendre en charge la politique de sécurité d’une entreprise.

Les dirigeants doivent être conscients des risques et prendre des mesures de prévention et de protection, même si aucune entreprise ne sera jamais préservée à 100%. Le principe de la sécurité se base sur l’existence de malwares. La cybercriminalité représente elle-même une véritable « industrie », et bizarrement, la sécurité ne semble pas toujours être une préoccupation majeure, tant du côté des entreprises que du côté des fabricants, d’IoT ou de Smartphones, ou d’autres outils numériques.

La mise en place de mesures intervient encore (trop) souvent après une attaque. Dans ce contexte, entre augmentation des attaques et besoin des entreprises, la cybersécurité a donc sûrement encore de l’avenir.