Archives par mot-clé : tendances

Intel Security révèle les dernières tendances et statistiques en matière de menaces informatiques

La dernière étude du McAfee Labs pointe du doigt les nouveaux malwares, macro et sans fichier, ainsi que les nouvelles menaces qui ciblent les services bancaires mobiles.

McAfee Labs, l’entité spécialisée dans la recherche de menaces informatiques d’Intel Security, révèle les principales menaces informatiques du troisième trimestre 2015, parmi lesquelles d’anciens types de menaces reconditionnés avec l’ingénierie sociale, de nouveaux malwares sans fichier (fileless malware) remplaçant les rootkits, des failles d’application mobile, mais surtout l’exploitation du maillon le plus faible de tout écosystème : l’utilisateur. Le bilan des menaces informatiques établi par McAfee Labs sur le mois de novembre (McAfee Labs Threat Report : November 2015) vient compléter l’évaluation trimestrielle de l’éditeur portant sur les cyber-menaces :

Les chercheurs de McAfee Labs d’Intel Security ont illustré que la médiocrité des pratiques de développement d’applications mobiles, et notamment le non-suivi des conseils de sécurité donnés par le prestataire des services back-end, peuvent conduire à l’exposition des données de l’utilisateur dans le Cloud.

Cette analyse démontre également comment les clients de services bancaires mobiles ont été victimes d’un tel scénario. En deux mois, l’équipe de chercheurs a analysé près de 300.000 applications mobiles et découvert deux chevaux de Troie visant à subtiliser les données de plusieurs milliers de comptes bancaires mobiles à travers l’Europe de l’Est. Les chercheurs d’Intel Security ont démontré que les cybercriminels ont pu exploiter des failles de code dans le back-end en contournant des privilèges root afin d’installer, de façon inaperçue, un code malveillant qui leur a permis de voler des numéros de carte bancaire et réaliser des transactions frauduleuses.

Le rapport a également étudié les macro-malwares utilisant l’ingénierie sociale pour gagner du terrain au sein des entreprises. Cette typologie de logiciels malveillants a augmenté d’un peu moins de 10.000 nouvelles attaques au cours du troisième trimestre 2014 à près de 45 000 ce trimestre. Un tel niveau n’avait pas été atteint depuis 2009.

Cette croissance est liée aux attaques de spearphishing plus nombreuses dont le but est d’inciter l’utilisateur à ouvrir des malwares joints à un email. Le nouveau type de macro-malware est capable de rester caché même après le téléchargement des ‘payloads’ malveillants.

Enfin, les chercheurs du McAfee Labs ont mis en avant la manière dont les hackers ont su tirer profit des fonctionnalités offertes par certains OS pour créer un nouveau type de logiciels malveillants sans fichier (fileless malwares) qui a su contourner les systèmes de détection traditionnels des menaces. Ce genre d’attaques semble désormais prendre la place des rootkits. Le Labs de McAfee a répertorié plus de 74 470 échantillons d’attaques ‘sans fichier’ au cours des trois premiers trimestres 2015. Le plus souvent, ce type de logiciel malveillant infect directement l’espace de mémoire vive d’un appareil, se cache derrière une API au niveau d’un noyau de système d’exploitation ou se dissimule dans le registre de système d’exploitation.

5 tendances clés de la cybersécurité pour 2015

Cinq grandes tendances qui auront un impact majeur sur les entreprises au sein de l’économie des applications (nouveau modèle économique où les applications deviennent la « vitrine » des marques et où l’identité et les accès deviennent le nouveau périmètre des organisations).

Dans ce contexte les professionnels de la sécurité seront confrontés à une double-équation : faire face aux cyber-risques dont l’actualité s’est déjà largement fait l’écho en 2014 et répondre aux enjeux de l’économie des applications, en facilitant le déploiement de services innovants (Cloud, Mobile, Social, Big Data) via des canaux multiples (laptop, smartphone, tablette, kiosques, centres d’appels, …).

Mostafa Amokhtari, Directeur Technique de CA Technologies France, explique à datasecuritybreach.fr que : « Nous savons que la résolution de cette double équation réside à la fois dans la gestion de l’identité numérique, nouveau périmètre des organisations pour authentifier les utilisateurs ; et la gestion des accès pour adapter et personnaliser les services déployés aux utilisateurs. C’est tout l’enjeu auquel ces professionnels de la sécurité seront confrontés en 2015 ».

Prédictions pour la gestion des identités et des accès en 2015

1. Une authentification universelle à portée de main : l’authentification multi-facteurs, les cartes à puce, la signature électronique, la biométrie et les nouveaux modes de paiement électronique vont stimuler la demande de nouvelles solutions d’authentification plus simples et adaptées au contexte de l’utilisateur. Les entreprises chercheront à implémenter un système d’authentification sans mot de passe et sans contact, où les terminaux mobiles (smartphone, tablette, objets connectés, etc.) seront utilisés comme moyen d’authentification universelle.

2.  Un identifiant numérique unique : l’économie des applications et l’utilisation croissante d’applications mobiles nécessitent un mode d’accès centralisé aux identités et aux droits d’accès. Les entreprises devront établir un identifiant numérique unique qui sera utilisé pour authentifier les utilisateurs, simplifier le développement, le déploiement et l’adoption d’applications tout en favorisant l’innovation. Cet identifiant unique couvrira toutes les applications, via tous les canaux, et sera facilement accessible via des API de gestion des identités.

3. De la gestion des identités vers la sécurité d’accès aux identités : un changement d’orientation va se produire sur le marché de la gestion des identités, en raison des cyber-menaces qui ont défrayé la chronique en 2014. L’accent ne sera plus mis sur l’administration de base des identités, mais sur leur sécurité. La majorité des piratages perpétrés en 2014 était liée à l’usurpation d’identités d’utilisateurs internes exposant les entreprises au vol de données et à l’utilisation malveillante d’applications. La protection des entreprises contre l’usurpation d’identité exigera de nouveaux systèmes de protection à la fois intelligents, contextuels et vérifiables.

4. La mobilité et l’Internet des objets entraîneront l’émergence d’ « architectures orientées API » : la croissance exponentielle des applications mobiles et de l’Internet des objets entraîneront une migration vers des architectures orientées API plus légères, afin de faciliter les connexions au sein des écosystèmes numériques. Ces architectures seront mieux à même de prendre en charge le large éventail d’utilisateurs ayant besoin d’accéder à des applications et des données sur site ou dans le Cloud et via divers types de terminaux. C’est en fait l’architecture orientée API qui apportera l’agilité et la flexibilité nécessaires pour réussir dans l’économie des applications.

5. La direction aux commandes de la stratégie de sécurité interne : la direction sera de plus en plus impactée par les actions de piratage portant atteinte à l’image de marque de l’entreprise. En conséquence, elle s’impliquera davantage dans la stratégie de sécurité de l’entreprise et la gouvernance de la sécurité. La sécurité ne sera plus un « problème informatique », mais un « problème stratégique ». Les inquiétudes relatives aux attaques de type DoB (Denial of Business) se traduiront pas une surveillance accrue des instances de direction. (CA Technologies)

Cybercriminalité : Quelles tendances pour 2014 ?

L’année 2013 touche à sa fin, et les chercheurs de FireEye sont déjà tournés vers 2014 et ses tendances en termes de menaces. L’exploitation des vulnérabilités « Zero Day » ciblera moins Java mais davantage les navigateurs web ; les attaques de type «  Watering-hole » devraient supplanter les attaques de spear-phishing ; enfin, avec l’apparition de nouvelles catégories de malwares mobiles, le paysage de la sécurité va se complexifier et étendre ses frontières.

Voici les principales tendances identifiées par les chercheurs de FireEye.
Selon Darien Kindlund : Les auteurs de menaces sophistiquées vont continuer à se cacher derrière « les outils logiciels “criminels” traditionnels” afin de compliquer l’identification et l’attribution de leurs attaques, pour les responsables sécurité.

Selon Amanda Steward : Davantage d’attaques vont utiliser des signatures de codes volées ou valides. Celles-ci  permettent aux malwares d’usurper les caractéristiques d’exécutables légitimes pour contourner les défensestraditionnelles (antivirus notamment).

Selon Yogi Chandiramani et Tim Stahl : Les logiciels malveillants mobiles vont accroitre la complexité du paysage des menaces. Nous verrons ainsi des menaces combinées entre le bureau et l’accès mobile pour obtenir l’authentificationd’un mobile (à l’image des numéros de SMS de confirmation). Parce que les cybercriminels vont là où sont les clics, on peut s’attendre à voir se développer les attaques visant ces terminaux.

Selon Yichong Chen : L’exploitation des vulnérabilités « Zero Day » de Java, devrait être moins fréquentes. Malgré leur relative facilité d’exploitation, nous n’avons pas observé de nouvelles vulnérabilités depuis Février 2013. Cela pourrait s’expliquer par les pop-ups d’avertissement de sécurité de la version 1.7 ou encore par l’attention accrue des chercheurs en cybercriminalité sur ce point. Il est également possible qu’une trop faibleproportion d’internautes utilise des versions vulnérables de Java, et que leur exploitation ne soit pas suffisamment rentable.

Selon Dan Caselden : L’exploitation des vulnérabilités des navigateurs web devraient être plus fréquentes. Les pirates sont de plus en plus à l’aise pour contourner l’ASLR (Address Space Layout Randomisation) des navigateurs. Et contrairement à Java et aux vulnérabilités classiques, celles impliquant les navigateurs continuent de croitre sur le même rythme.

Selon Thoufique Haq : Les auteurs de malwares vont adopter des techniques furtives pour manipuler et contrôler (command-and-control (CnC)) les communications. Ils utiliseront les canaux des protocoles légitimes et  abuseront les services Internet légitimes pour relayer leur trafic et échapper à la détection. Ce changement reflète l’escalade logique des pirates qui sont de plus en plus gênés par les défenses réseau ; Les attaques de type « Watering-hole » et le ciblage des médias sociauxvont progressivement remplacerles emailsde phishing. Ils offrent en effet,un espace neutreoù les cibles baissent leur garde. Lefacteur de confiancen’est pas unobstacle insurmontable, et cela ne demande qu’un minimum d’effortpourattirerla cible dansun piège.

Selon Bryce Boland : De plus en plus de malwares vont alimenter la chaîne d’approvisionnement. Attendez-vous àdavantage de codesmalveillantsdanslesmises à jour des BIOS (Système de gestion élémentaire des « entrées/sorties ») mais également du firmware.

Selon Alex Lanstein : De nouvelles techniques de « corruption mémoire[1] » vont émerger suite à l’implémentation de la fonctionnalité du « click to play » d’Adobe Flash(nécessitant une interaction de l’utilisateur pour exécuter un contenu Flash potentiellementmalveillant). En effet, ces derniers mois nous avons vu Flash être utilisé pour exécuter des codes malveillants dans la phase d’infection. Mais depuis qu’Adobe a intégré la fonctionnalité «click-to-play » aux documents Microsoft Word, cette approche ne fonctionne plus. Les dernières exploitations zéro-day de documents « docx » et « tiff », par exemple, n’utilisaient pas Flash pour cette raison ; Les pirates vont trouver d’autres moyens pour déjouer les systèmes d’analyse automatisés (sandbox), comme le déclenchement des redémarrages, les clics de souris, la fermeture des applications, etc. Un exemple: le déclenchement du malware à un moment précis, à l’image de ce qui a été observé récemment au Japon et en Corée. Les pirates se concentrent désormais à contourner les systèmes de sandbox, on peut parier que cette approche donnera à leurs malwares beaucoup plus de puissance.

Selon Jason Steer : Les logiciels criminels auront davantage vocation à détruire les systèmes d’exploitation. Dernièrement, les autorités européennes sont parvenus a arrêter les cyber-gangs. Une nouvelle fonctionnalité de Zeus qui efface le système d’exploitation, aide les cybercriminels à nettoyer toutes les preuves d’un attaque et ainsi éviter l’arrestation.

Selon Darien Kindlund et Bryce Boland : De plus en plus de « quartiers numériques » vont alimenter lescampagnesd’attaquesciblées. En d’autres termes, « SunshopDQ »n’est que le début. Plusles auteursdes menacevontindustrialiserle développement de leur attaques et leur diffusion, plus les économies d’échelle seront importantes.

Selon Greg Day : La collaboration croissante entreles victimes d’attaquesà travers le monde, va permettre d’identifier et arrêter les gangs decybercriminels, grâce au croisement des indicesd’attaques distinctesavec ceux des campagnes communes ; Le Cybercrimese personnalise. Pour les hackers,les donnéespersonnelles ont plus de valeur que les données génériques. Ils devraient logiquement réorienter leur attention surdes donnéesà forte valeur.

Selon Rudolph Araujo : Le temps de détection de malwares de pointe. Selon la société à laquelle on se fie (Verizon DBIR, Ponemon etc.), le temps de détection peut osciller entre 80 et 100 jours et de 120 à 150 pour la suppression totale des malwares. Généralement, le temps de détection peut augmenter mais le temps de traitement va encore plus s’allonger à force que les attaquants deviennent de plus en plus sophistiqués avec leur capacité à s’immiscer dans le système des entreprises pour une plus longue durée.