2014 restera incontestablement l’année de l’Internet des objets. Même si ce phénomène n’est pas nouveau, il prend de l’ampleur et de nouvelles menaces et opportunités criminelles sont apparues l’an passé. Les objets connectés n’ont toutefois pas été les seuls à tenir l’affiche. Vols de données, rançons, fraudes aux présidents… ont également connu leurs heures de gloire. Sans oublier Heartbleed et ShellShock, les vulnérabilités les plus emblématiques de 2014.
Polémique, FUD et exagération ou comment bien décrypter l’actualité cyber
2014 n’a pas échappé à son lot de polémiques, FUD et exagérations dans l’actualité cyber. Gérôme Billois, Senior Manager, Solucom, prend l’exemple du cas Cybervor qui a fait la Une en août 2014, suite à un communiqué de presse de Hold Security, intitulé « You have been hacked », largement relayé dans les médias. Au travers de ce dernier, la société mettait la pression sur le lecteur en faisant jouer la peur du piratage de mots de passe (près d’1 internaute sur 6 serait touché dans le monde), et proposait ses solutions bien entendu pour pallier ce risque largement amplifié. Cette technique, que l’on appelle FUD (Fear, Uncertainty and Doubt - Peur, Incertitude et Doute), est souvent utilisée dans la vente et le marketing, et a été formalisée en 1975 par Gene Amdhal, qui dénonçait alors les techniques de vente d’IBM.
Un FUD s’appuie sur 5 principes : l’urgence (il faut réagir vite), des supporters (dont certains connus), la technique (un bot qui fait des injections SQL), une nuisance pour le public (un service payant ou qui collecte des informations) et une intox médiatique (quelques jours avant la Black Hat). Au final, il s’est avéré dans ce cas précis qu’il y a eu beaucoup plus de peur que de mal. Car si l’existence de ce phénomène est possible, le risque réel reste quant à lui faible.
Qu’aurait-il fallu vérifier avant d’affirmer le risque ? Les informations sur l’origine de la fuite, les sociétés ou individus concernés, obtenir des avis indépendants sur les informations, analyser les motivations des pirates, mais aussi de Hold Security…
Cybervor n’a pas été un cas isolé en 2014. On note également l’annonce sur CNBC en juin 2014 d’un membre de la société BAE Systems relative à une attaque ciblée ayant touché les systèmes de trading haute fréquence, et provoqué une vague d’inquiétude… avant que la société ne se rétracte deux semaines plus tard. Sans compter les autres exagérations en tout genre qui ont bercé l’année écoulée, concernant par exemple le cas iCloud, le piratage des voitures connectées, des avions, des cigarettes électroniques ou encore de TF1…
2015 connaîtra certainement son lot d’affaires emblématiques, mais aussi de FUD, alors mieux vaut rester vigilant quant aux annonces démesurées.
Internet des objets : nouvelles menaces et opportunités criminelles
Le principe des objets connectés est de relier entre eux les objets de tous les jours pour faciliter la vie des utilisateurs, explique Fabien Cozic, Enquêteur de droit privé spécialisé en cybercriminalité. Une fois intégrés dans l’environnement de l’utilisateur, ces objets réagissent de façon autonome et déclenchent des actions pour l’influencer. Les domaines d’application sont nombreux : la santé, la domotique, le sport, l’énergie… On retrouve à titre d’exemple de plus en plus de montres, de bracelets ou encore de vêtements connectés.
Les médias se sont emparés du sujet depuis quelques années maintenant, même si ce fut souvent de manière imprécise et parfois décorrelée de la réalité. Cependant, les risques entourant l’Internet des objets sont, quant à eux, devenus bien réels en 2014, puisque plusieurs cas concrets ont pu être observés l’an passé. On a ainsi assisté en janvier à une campagne de spams via un botnet d’objets connectés. Plusieurs milliers d’objets (TVs, réfrigérateur, routeurs…) ont servi à l’envoi d’environ 75 0000 spams… Il s’agit du premier « ThingBot » répertorié. Le Ver Linux Darlloz a, pour sa part, ciblé les objets connectés domestiques en exploitant une vulnérabilité PHP en mars 2014. Plus atypique, un attaquant a pris le contrôle d’un baby phone disposant d’une Webcam en avril, via le bruteforce de l’interface utilisateur. Il a ainsi obtenu un accès vidéo et voix dans la chambre du bébé, réveillé ce dernier et menacé les parents… de quoi terroriser toute la famille ! Sans compter la découverte de 73 000 caméras IP accessibles (voie publique, domiciles, entreprises…) en novembre, en raison de mots de passe faibles (4 caractères). Dans la majorité des cas, on observe que ce sont les interfaces Web qui sont piratées et non les objets eux-mêmes. 2014 a également été l’année des Proof of Concept en la matière, plusieurs chercheurs en sécurité ayant démontré sans grande difficulté les détournements possibles de ces réseaux, comme par exemple la prise de contrôle de voitures connectées.
De son côté, le business des objets connectés se développe, mais le plus souvent aucune recherche en sécurité n’est effectuée avant leur mise sur le marché, l’objectif étant à la fois de simplifier leur utilisation au maximum et de les commercialiser le plus rapidement possible. La sécurité n’est donc pas la première préoccupation. Pourtant, la multiplication de réseaux autonomes crée de nouveaux territoires à protéger. Il n’existe actuellement aucunes règles ou normes, ni uniformisation des protocoles secondaires. L’environnement de ces objets est basé sur des protocoles vulnérables, et le chiffrement efficace est rare. La centralisation du système sur le Cloud augmente, quant à elle, le risque. Quelques initiatives de sécurisation voient néanmoins le jour, telles que Thread, le protocole dédié proposé par Google, Samsung et ARM… Toutefois, nous sommes encore loin du stade d’implémentation. Et puis que faire des matériels déjà installés ?
70% des objets connectés seraient vulnérables… on doit donc s’attendre en 2015 à une augmentation forte et rapide des attaques sur les objets connectés. Ces derniers étant intégrés à la vie quotidienne des utilisateurs, ils permettent de plus l’accès à des données de très haute valeur (comportements et consommations de l’utilisateur, données médicales…). Ils seront donc au cœur de nombreuses convoitises. Les ThingBots vont certainement se développer cette année, en raison des multiples points d’accès, et le premier malware dédié risque d’apparaître dans les prochains mois. Le marché devrait malgré tout continuer de s’étendre : on prévoit près de 50 milliards d’objets connectés en 2020, soit une opportunité de 14 000 milliards de dollars.
Ces objets étant vulnérables et leurs failles facilement exploitables, ils risquent, en outre, d’être impliqués dans davantage de délits. Ils offrent aussi la possibilité d’atteindre physiquement une entreprise, une habitation et une personne. Ils seront donc certainement de plus en plus intégrés dans la préparation d’actes délinquants et criminels (repérage des lieux, habitudes des occupants, surveillance en temps réel, accès physique aux points d’entrée du réseau…). Cela risque de compliquer le travail des enquêteurs, si le déverrouillage s’effectue dorénavant à distance dans le cas de cambriolages par exemple. Le nombre d’atteintes à la vie privée devrait, en outre, augmenté, au vu de la quantité de données à caractère personnel transitant sur ces réseaux et de la facilité de pénétrer dans l’intimité des individus.
Les objets connectés posent également un certain nombre de questions juridiques, souligne Garance Mathias, Avocat à la Cour, Cabinet d’Avocats Mathias. Quels sont les droits reconnus aux utilisateurs ? Qu’en est-il de son consentement exprès ? Comment peut-il exercer son droit d’accès ? A-t-il le droit à être déconnecté ? Quid des obligations et des responsabilités incombant aux différents acteurs (fabricants, sous-traitants...) ? Qui s’avère Responsable du Traitement des données ? Ces réponses s’avèrent parfois complexes. En effet, ces objets connectés se trouvent au plus proche de notre intimité, puisqu’ils interagissent avec leur écosystème, entre eux, mais aussi avec nous-mêmes et notre environnement. L’objet « connecté » n’est pas encore défini en droit, cela ne signifie pas pour autant qu’il s’agit d’une zone de non-droit. Le futur cadre réglementaire européen relatif à la protection des données devrait venir renforcer le droit des utilisateurs quant à ces problématiques et imposer des règles plus strictes aux fabricants et autres prestataires (privacy by design, privacy by default, étude d’impact, etc.).
Les objets connectés sont, de plus, source de convoitise, et permettront par exemple à des acteurs malveillants de s’introduire et de se maintenir dans un système d’information de manière frauduleuse, de causer des dommages corporels ou matériels (transport, santé, etc.), ou encore de porter atteinte à la propriété intellectuelle, au savoir-faire, etc. La proposition de loi sur le secret des affaires devrait, quant à elle, venir encadrer ce dernier point.
Boom des rançons et fraudes aux présidents
Rançons et fraudes aux présidents ont également marqué l’année, ces pratiques étant en pleine explosion, reprend Gérôme Billois. Du côté des rançons, on distingue deux dimensions : les rançons ciblées et celles de masse. Concernant les rançons ciblées, on retiendra notamment le cas de Sony Pictures, piraté par GOP, en 2014. Tout a commencé au mois de février lors de l’intrusion initiale dans le SI de Sony par un moyen encore indéterminé, ayant permis l’extraction de plus de 110 To de données. Il faudra attendre le 21 novembre pour qu’une rançon soit demandée. Le lendemain, les pirates déploient un outil d’attaque destructeur (Destover) et lancent l’attaque le 24 novembre. Celle-ci a pour conséquence l’effacement des postes de travail Windows et de 75% des serveurs. Cette attaque a également eu des impacts sur l’ensemble des dimensions de l’entreprise : les informations personnelles de 47 000 employés ont été révélées, ainsi que les salaires des dirigeants, certaines informations stratégiques ont été divulguées, 5 films inédits ont été mis en ligne, le SI de Sony a connu une période d’interruption de plus de 8 semaines, les comptes Twitter et Facebook du groupe étaient hors de contrôle… sans compter les coûts liés à la résolution d’incident, à la perte de bénéfices, d’image… Tous les métiers de l’entreprise ont été touchés. Et cette prise d’otage numérique n’a fait que s’aggraver au fil du temps, via la diffusion au mois de décembre de la messagerie de plusieurs membres du COMEX de manière échelonnée, mettant les dirigeants sous pression. Les pirates ont également menacé de révéler l’ensemble des boîtes emails et demandé le 10 décembre l’abandon du film « The Interview ». La menace prend un nouveau tournant, encore plus dramatique, le 16 décembre, lorsque les pirates menacent d’attentat les salles qui diffuseront ce film. Trois jours plus tard, les états s’en mêlent : les USA pointent du doigt la Corée du Nord, qui récuse de son côté son implication. La situation s’envenime entre les deux pays. Pendant ce temps-là, le film « The Interview » sort en salle et en ligne, et rien ne se passe… Il rapporte en 6 jours 17,8 millions de dollars (face à un budget de 44 millions de dollars). Etait-ce un stratagème pour faire le buzz ? Véritablement la Corée du Nord ? Un employé malveillant… ? Depuis, le groupe GOP a disparu… mais le débat de l’attribution ne faiblit pas. Plusieurs scénarios sont envisagés quant à l’attribution de l’attaque. Histoire à suivre en 2015… Sony Pictures n’aura toutefois pas été la seule entreprise touchée par le phénomène. Domino’s Pizza, Nokia, Xbox Live… en ont également fait les frais.
Du côté des rançons de masse, plus connues sous l’appellation ransomwares, l’année aura été en dents de scie. Le cas des CryptoLockers a fait beaucoup de vagues en 2013 et 2014, ce malware rendant inaccessibles les données de l’utilisateur, contraint de payer une rançon pour les récupérer, du moins en théorie… Cependant, l’opération TOVAR, entre autres, une action massive de démantèlement du botnet GameOverZeus, vecteur de propagation de CryptoLocker, a permis de mettre à mal le malware en juin. Mais c’était sans compter avec d’autres variantes, dont Cryptowall, qui prennent désormais la relève.
La rançon est une méthode en devenir pour les cybercriminels, car c’est un bon moyen de gagner de l’argent de manière relativement simple. La fraude au président est aussi en pleine croissance. Bien qu’ancienne, cette technique est aujourd’hui revisitée à la sauce cyber et prend de plus en plus d’ampleur. Face à ces phénomènes, Gérôme Billois recommande notamment de sensibiliser les collaborateurs et de renforcer les systèmes métiers sensibles.
Heartbleed et ShellShock : les deux vulnérabilités les plus emblématiques de 2014
Du côté des vulnérabilités, bien que nombreuses en 2014, on se souviendra notamment de Heartbleed (CVE-2014-0160) et de ShellShock (CVE-2014-6277). Ces deux vulnérabilités, qui concernent des logiciels libres, ont été largement médiatisées et massivement utilisées, explique Hervé Schauer, Directeur associé, HSC by Deloitte. Un nombre important de périphériques ont été touchés (serveurs, mobiles, objets connectés…) et de nombreuses organisations concernées.
La vulnérabilité Heartbleed, publiée le 7 avril 2014, est liée à une erreur de programmation dans le code de la bibliothèque OpenSSL. Elle aurait été introduite le 31 décembre 2011, via la soumission d’un correctif. Ce code vulnérable se retrouve ajouté à la version 1.0.1 d’OpenSSL en mars 2012. Il faudra cependant attendre 2 années avant que Heartbleed ne soit découverte. Cette vulnérabilité offre la possibilité pour l’attaquant de lire la mémoire des systèmes disposant des versions OpenSSL affectées (OpenSSL 1.0.1 jusqu’à la version 1.0.1f incluse). Elle compromet également les clés privées utilisées pour identifier le fournisseur de services, mais aussi le trafic chiffré et les éventuelles informations d’authentification de l’utilisateur (identifiants et mots de passe). Elle permet, de plus, d’effectuer des attaques de type Man-In-The-Middle.
La vulnérabilité ShellShock, publiée le 27 septembre 2014, concerne quant à elle GNU Bash. Elle serait la résultante d’une correction incomplète des vulnérabilités CVE-2014-6271 et CVE-2014-7169, notamment sur les vérifications apportées à l’affectation des variables d’environnement, mais aussi d’un problème d’isolation des différents contextes. Cette vulnérabilité donne la possibilité d’exécuter du code arbitraire sur des sites distants et d’effectuer des attaques en déni de service. Plus surprenant, la vulnérabilité a été introduite dans le code le 5 août 1989, et la version comportant cette vulnérabilité publiée en septembre de la même année, pour n’être découverte qu’en 2014, de quoi rester pantois…
Sans généraliser, ces deux vulnérabilités soulèvent toutefois plusieurs interrogations quant aux logiciels libres. Quels moyens sont réellement mis à disposition pour les développements des logiciels et bibliothèques ? Quid des tests qualité des codes fournis ? Pour Hervé Schauer, il existe actuellement un véritable problème de sensibilisation d’une grande majorité de programmeurs et d’informaticiens, qui sont contraints de développer vite et mal pour répondre à la pression du business. Ces deux vulnérabilités et leurs conséquences ont cependant été, selon lui, un excellent entraînement « grandeur nature » d’une crise en sécurité des systèmes d’information et ont permis aux organisations de tester leur réactivité quant à la gestion des correctifs.
Les nouveaux « braqueurs » envahissent la Toile
Du côté bancaire, Christophe Jolivet, Directeur associé, PROSICA, observe une sophistication des attaques. C’est le cas par exemple avec les attaques ciblant les distributeurs automatiques de billets, telles que le Skimming dont les techniques tendent à s’améliorer ou issues de quelques programmes malveillants ciblés, comme le cheval de Troie Tyupkin ou la variante Ploutos. Nous avons également assisté en 2014 à quelques attaques ciblées de systèmes d’information contrôlant les distributeurs. Pour ce faire, les attaquants ont utilisé des techniques de Spearphishing visant des employés, afin de récupérer des informations et tenter de modifier des paramètres de sécurité (seuil de retrait…) gérés par les outils d’administration des distributeurs.
Pour ce qui est des attaques ciblant les SI des établissements financiers et leurs clients, on retiendra le cas de JP Morgan en octobre 2014, victime de la divulgation de données à caractère personnel de 83 millions de comptes (particuliers et professionnels). Le principe des attaques multi-niveaux ciblant les clients est souvent le même : compromission de l’ordinateur de la victime par l’envoi d’emails frauduleux, redirection vers de faux sites bancaires pour récupérer les données d’authentification, incitation de la victime à installer un programme malveillant sur son smartphone pour obtenir les mots de passe uniques envoyés par SMS. La Banque Postale en a d’ailleurs fait les frais en 2014 et une dizaine de personnes ont été placées en garde à vue suite à des virements frauduleux effectués grâce à la récupération des codes envoyés sur les smartphones des victimes (Certicode).
Loic Guezo, Directeur & Evangéliste, Trend micro, revient, pour sa part, sur quelques « cambriolages » significatifs en 2014, à savoir les vols de données emblématiques. Cette année a, en effet, été riche en nombre de fuite d’informations (certaines massives) au niveau des utilisateurs finaux : Target (toute fin 2013), Home Depot, UPS, Michaels, Goodwill, Ebay... Le plus souvent, l’alerte est donnée par des tierces parties, constate-il. Et la durée de maintien dans les SI s’avère de plus en plus longue avant la détection de la fuite.
Même si l’affaire Target a commencé fin 2013, elle s’est poursuivie en 2014 et les premiers enseignements ont pu être tirés. A ce jour, on recense au total : 110 millions de clients concernées, plus de 80 poursuites civiles enregistrées, une baisse des profits 2013 estimée à 34%, un coût global évalué à 1 milliard, le départ du CIO en mars et du CEO en mai… Une plainte collective a été déposée, dont le texte a été rendu public le 1er décembre dernier. Cette affaire a entrainé une profonde déstabilisation de l’entreprise et l’histoire n’est pas finie…
La crypto n’a pas été épargnée en 2014
D’un point de vue macroscopique, le risque d’attaque technique augmente, observe Philippe Bourgeois, Expert Sécurité au Cert-IST. Certains risques théoriques sont d’ailleurs devenus réels en 2014. Par exemple, Kaspersky a identifié l’attaque DarkHotel en Asie au mois de novembre, qui proposait une fausse mise à jour Flash sur le Wi-Fi d’un hôtel visant à infecter les postes VIP. L’attaque Quantum-Insert de la NSA permettait, quant à elle, de répondre plus vite à une requête pour s’interposer dans un flux Web (de novembre 2013 à mars 2014). Le hardware n’a pas non plus été épargné, y compris les douchettes code barre, avec l’attaque ZombieZero en juillet dernier. On constate également que personne n’est épargné par ces attaques. Les entreprises sont des cibles fréquentes, au même titre que les états : en premier lieu, celles qui ont une ampleur internationale, mais aussi celles qui travaillent pour ces dernières (sous-traitants, prestataires).
Parmi les nouvelles menaces, les attaques visant la crypto restent, selon lui, le domaine le plus actif en 2014. De nombreux bugs dans des composants crypto ont été découverts. L’année s’est d’ailleurs avérée noire pour TLS/SSL, 5 failles majeures ayant touché un seul composant : GotoFail (Apple), CVE-2014-0092 (Linux/GnuTLS), HeartBleed (Linux/OpenSSL), Schannel (Microsoft) et POODLE (SSLv3). Plusieurs attaques ont été mises au point afin d’exploiter ces bugs, comme HeartBleed. Au-delà de ces bugs, les outils « cryptographiques » ont également été attaqués : attaques de désanonymisation visant TOR, abandon de TrueCrypt (mai 2014), attaque des coffres forts « Keepass » et « Password Safe » par Citadel au mois de novembre… Cette tendance est préoccupante puisque la crypto est le pilier central de la plupart des solutions de sécurité. On retiendra aussi les attaques visant les « air-gaps ». L’objectif est d’utiliser un « canal-caché » pour communiquer avec un système isolé (par exemple ultrasons, rayonnement magnétique, lumière, etc.). Ce sujet a notamment été popularisé fin 2013 par « BadBIOS », un virus « théorique » utilisant en particulier les ultrasons.
Autres cas significatifs : le RAT « Havex », conçu pour les environnements SCADA. Il a, entre autres, été utilisé dans l’APT DragonFly. On peut, en outre, citer les attaques « Masque » et « WireLucker » qui ont ciblé Apple iOS en novembre, ou encore l’exploit-kit « Angler » qui intègre les attaques « tout en mémoire ».
Le coût global de la cybercriminalité reste difficile à évaluer
Le coût global de la cybercriminalité et l’évaluation de ses impacts restent aujourd’hui très difficile, explique le Colonel Eric Freyssinet, Chef du Centre de lutte Contre les Criminalités Numériques (C3N), Gendarmerie nationale, même si globalement les chiffres sont en hausse. Dans la majorité des cas, les entreprises qui viennent déposer plainte sont incapables d’évaluation le préjudice dont elles sont victimes. Au vu des cas auxquels la gendarmerie est confrontée, elle estime en moyenne ce préjudice à environ 4 millions d’euros chaque mois.
Seule certitude : les marchés « underground » s’avèrent florissants et les produits et services qui y sont proposés sont de plus en plus variés : documents d’identité, cartes bancaires, virus et kits d’exploit, ordinateurs infectés à louer ou vendre, services criminels (piratage, DDoS, doxing) et même garantie sur les services…
Sur un échantillon de 328 cas rencontrés par la gendarmerie en août et septembre 2014, 35% étaient des escroqueries effectuées via une usurpation d’identité, près de 20% des escroqueries via des comptes clients, environ 9% des cas d’atteintes à la vie privée. Concernant les infractions économiques et financières, sur un échantillon de 1 750 cas recensés en août 2014, plus de 35% étaient liés à des petites annonces, plus de 20% à l’utilisation de numéros de cartes bancaires, plus de 8% au commerce électronique… Face à ce constat, le CECyF, Paypal et Signal Spam ont d’ailleurs lancé avec la Gendarmerie nationale une campagne d’information sur les escroqueries sur Internet et en particulier des escroqueries facilitées par les petites annonces.
SCADA, hacktivisme, monnaies virtuelles… toujours d’actualité
Pour conclure ce panorama 2014, François Paget, Chercheur de menaces, Intel Security-McAfee Labs, revient sur quelques thèmes abordés lors de précédents panoramas, qui n’ont pas fait l’objet de présentations cette année bien que toujours d’actualité.
Les dangers inhérents aux systèmes SCADA, abordés lors du panorama 2007, n’ont pas faibli. A titre d’exemple, un industriel allemand, spécialiste de la production d’acier, a été victime en 2014 d’une attaque informatique ayant conduit à la compromission de son système informatique. L’attaque ayant résulté en l’impossibilité de procéder à l’arrêt maîtrisé d’un haut fourneau, le site a souffert d’importants dégâts, non détaillés par le BSI (ministère allemand de la sécurité informatique).
De son côté, l’hacktivisme, notamment évoqué à l’occasion du panorama 2010, a été moins spectaculaire en 2014, mais est toujours là. On s’éloigne d’ailleurs du « peace and love » avec des groupes, tels qu’AnonGhost, qui flirtent avec des idées terroristes, ou encore OpAntiRep contre la gendarmerie après la mort de Rémi Fraisse à Sivens.
Les monnaies virtuelles avaient fait grand bruit en 2013. Cependant, ce sont les monnaies qui ont le plus chuté en 2014. A la date du 22 décembre, la monnaie virtuelle avait perdu 56% de sa valeur en un an. Une plateforme d’échange de bitcoins a même été démantelée en juillet 2014 dans la région Midi-Pyrénées. Néanmoins, les monnaies virtuelles n’ont pas dit leur dernier mot, puisqu’il s’en crée toujours de nouvelles.
2014 restera incontestablement l’année de l’Internet des objets. Qu’en sera-t-il en 2015 ? Les menaces et les attaques ne devraient pas faiblir. Nous entendrons certainement parler davantage des cartes sans contact et du m-paiement... Au vu de l’actualité de ce début 2015, Internet devrait également se trouver cette année au cœur d’une cyberguerre opposant les terroristes aux protagonistes de la liberté.
Emmanuelle Lamandé
Source