Blog GlobalSign

17 déc. 2019

Bilan des plus grosses cyberattaques en 2019 et prévisions pour 2020

Encore une année bien remplie pour les hackers, avec à leur palmarès des attaques contre de grandes villes, des gouvernements, des entreprises, des hôpitaux et des écoles à travers le monde. Rien que ces dernières semaines, la ville de Johannesburg, en Afrique du Sud s’est longuement interrogée pour savoir si elle devait payer la rançon de 30 000 $ en bitcoins — soit quatre pièces — demandée par les pirates informatiques. La municipalité n’a toutefois pas cédé aux menaces des hackers de révéler les données privées de citoyens.

Revenons sur d’autres événements majeurs de l’année concernant la sécurité :

En janvier, une attaque a été détectée impliquant deux types de logiciels malveillants — Vidar et Grandcrab — en conjonction avec un cheval de Troie conçu pour voler des informations. Dans ce type de scénario, le cyberattaquant parvient généralement à se faire un peu d’argent. Malheureusement.

Puis, en mars, une nouvelle souche de logiciels de rançon, LockerGoga, a infecté l’un des plus grands producteurs d’aluminium au monde, Norsk Hydro. Les conséquences furent suffisamment graves pour interrompre le système d’automatisation pendant plusieurs jours et forcer le passage en mode manuel. Résultat : l’entreprise a dû acheter plusieurs centaines de nouveaux ordinateurs. La société a annoncé au mois d’avril le montant qu’il lui faudrait débourser pour réparer les dommages causés par l’attaque : au moins 52 millions de dollars.

En mai, la ville de Baltimore aux Etats-Unis a été la cible de hackers qui ont gelé plusieurs milliers d’ordinateurs de la ville et exigé une rançon de 76 000 $ en bitcoins. La ville n’a pas payé, mais l’attaque lui a coûté 18 millions de dollars, avec des conséquences sur de nombreux systèmes essentiels — perturbations du service de messagerie des employés, interruption de la facturation de l’eau et même, suspension des transactions immobilières. Début octobre, la ville a par ailleurs contracté une police d’assurance contre le cyberrisque de 20 millions de dollars.

Pendant l’été, l’état du Texas a été fortement touché par une vague d’attaques au rançongiciel contre 23 entités gouvernementales locales ciblées. Si l’État a refusé de céder au chantage des agresseurs lors de leur attaque du mois d’août, l’incident a tout de même coûté au bas mot 12 millions de dollars.

Début octobre, des révélations ont fait état d’une attaque massive lancée contre que plusieurs hôpitaux de l’État de l’Arkansas. Les hackers ont chiffré les fichiers et restreint l’accès aux systèmes informatiques du Centre médical régional du système de santé DCH, du Northport Medical Center et du Fayette Medical Center. Le personnel médical a dû passer en mode manuel et se fier aux dossiers papier plutôt qu’aux dossiers numériques pendant la réparation du système informatique.

Suite à cela et à d’autres activités malveillantes, le département de la Défense des États-Unis (DoD) a récemment publié un rapport très attendu sur un nouveau projet de normes de cybersécurité. Ce projet vise à renforcer les règles que les sous-traitants de la fonction publique doivent respecter afin de se protéger des hackers. D’après FedScoop, le DoD devrait publier la version définitive de son référentiel de normes de cybersécurité en janvier.

À quoi peut-on s’attendre en 2020 ? Seul l’avenir nous le dira. En attendant, nous avons demandé à certains des esprits les plus brillants de GlobalSign de nous livrer leurs pronostics.

Lila Kee, Directrice générale de GlobalSign, Amériques


#Prévision2020 : Le nombre de communautés de confiance autour des infrastructures PKI privées devrait augmenter

Face au succès croissant des infrastructures à clés publiques (PKI) dans les entreprises et les communautés d’intérêts fermées pour permettre une authentification forte des utilisateurs et dispositifs, le nombre de PKI hébergées par des entreprises privées devrait augmenter. Les navigateurs et les programmes de magasins de racines publiques continueront à servir de socle de confiance publique pour les sites de commerce électronique (SSL/TLS), les exécutables associés à des applications externes (signature de code) et les e-mails sécurisés (S/MIME) où les identités sont validées par les clients de messagerie, les navigateurs et les systèmes d’exploitation les plus connus. Les usages traditionnels et émergents auront cependant de plus en plus besoin de confiance privée :

  • Authentification des utilisateurs d’accès à distance
  • Authentification des équipements (IoT, mobiles, machines)
  • DevOps — à la fois SSL et signature de code
  • Signatures numériques associées aux consortiums, secteurs d’activité et gouvernements

Dans un contexte porteur pour le cloud computing, l’hébergement de ces PKI privées sera orienté vers le cloud par des fournisseurs d’AC qui apporteront leur expertise en matière de sécurité, d’agilité de certificats et de performance. En allégeant la pression financière, ces fournisseurs d’AC en mode cloud contribueront à lever les réticences de ces organisations et communautés privées à investir.

Lancen LaChance, vice-président, Solutions IoT


#Prévision2020 : L’informatique quantique n’est pas encore une menace de risque réel. Ignorez le battage médiatique.

Les entreprises parlent de plus en plus d’informatique quantique, y compris Google. Or, dans les faits, si le « quantique » aura bien un impact sur notre secteur, ça ne sera pas en 2020, et certainement pas avant au moins une bonne décennie. Beaucoup de questions restent en suspens : Quel est le meilleur algorithme pour la résistance quantique ? Personne n’a la réponse et tant que le secteur ne sera pas parvenu à un consensus, aucune solution quantique ne sera mise en place.

Nous n’occultons pas pour autant l’informatique quantique et ne refusons pas de réfléchir à ses perspectives pour l’avenir — nous y pensons, bien entendu. Mais en attendant, c’est sur la cryptoagilité que nous nous concentrerons, car le sujet devrait faire davantage s’inviter dans les discussions autour de la sécurité.

Ted Hebert, vice-président, Marketing

#Prévision2020 : les piratages d’objets intelligents sont imminents à l’échelle mondiale

Il existe près de 30 milliards d’objets connectés (IoT) actifs dans le monde — soit 127 nouveaux appareils mis en service chaque seconde. En extrapolant et en croisant ces chiffres avec les prévisions de 75 milliards de dispositifs IoT actifs en 2025, la question qui se pose n’est pas de savoir S’ILS peuvent être piratés, mais bien QUAND ils le seront. Et la tentation est trop forte pour les cadors du Dark Web pour qu’ils résistent.

Vous voulez un truc effrayant ? En 2019, Amazon a vendu 100 millions d’unités de son assistant personnel intelligent Alexa. Les chiffres sont à peu près équivalents pour Google Home. Ça ne vous inquiète pas ? Autre info : les téléviseurs ont mis 13 ans à franchir la barre des 50 millions d’unités rien qu’aux États-Unis, contre deux ans pour les enceintes intelligentes. Il a fallu quatre ans pour qu’Internet soit accessible par 50 millions d’utilisateurs, et seulement deux ans pour Facebook.

Ces chiffres prouvent une chose : le monde évolue vite. Le monde des objets intelligents est étroitement imbriqué aux réseaux sociaux. Résultat : utilisateurs, domiciles, établissements de santé, établissements financiers, usines de production et d’autres secteurs se retrouvent exposés au piratage, au démantèlement et/ou à des demandes de rançon. Même si je préférerais que ça ne soit pas le cas, les chiffres sont tels qu’ils ne peuvent être ignorés. Or en face, la réaction des fabricants, des entreprises et des consommateurs est trop lente, avec des mesures encore insuffisantes.

Parmi ces entreprises, beaucoup souffrent elles-mêmes de compressions budgétaires et de pénuries de personnel dans le domaine de la cybersécurité. GlobalSign a commencé à travailler individuellement avec ses clients au développement d’un plan de PKI et de plans pour l’IoT pour pallier ces manques — avec notamment un portail pour les développeurs IoT. En encourageant l’expérimentation, le développement et la collaboration entre développeurs/DevOps et experts en cryptographie, ce portail vise à rendre plus sûre la prochaine génération de dispositifs intelligents, de cobots (robots collaboratifs)… mis sur le marché.

Nisarg Desai, directeur, Solutions IoT

#Prévision2020 : Les IoT connaissent un succès croissant, mais le manque de sécurité continue à poser problème

L’Internet des Objets est un succès, mais le manque de sécurité retarde un certain nombre de déploiements. En 2020, les fournisseurs de services cloud fourniront ou s’associeront à des sociétés de sécurité pour fournir à leurs clients les moyens de provisionner et de gérer de manière sécurisée leurs équipements, ainsi qu’un écosystème IoT général sécurisé.

Sur le volet réglementaire, je m’attends également à ce que l’Union européenne continue à ouvrir la voie, notamment sur le sujet de la fabrication et des déploiements d’IoT, même si les États-Unis devraient progressivement entrer dans la danse. Malheureusement, les attaques, les violations et les piratages contre les IoT vont aussi se poursuivre. À cela s’ajoute le fait que les normes de sécurité ne seront pas respectées et que le pourcentage d’équipements sécurisés ne devrait pas augmenter. Pourquoi ? Les fabricants d’équipement d’origine (OEM) ne sont toujours pas disposés à en supporter les coûts ou à les répercuter sur les consommateurs, de peur de perdre des ventes.

#Prévision2020 : Des applications Web plus performantes boosteront l’adoption des outils DevOps

À l’heure où l’amélioration des performances de certaines applications Web complexifie les infrastructures de services, l’année 2020 sera marquée par une adoption en forte hausse des outils et des pratiques DevOps. D’autres vecteurs de menaces profiteront de ce contexte et le nombre de piratages, de vulnérabilités et de compromis médiatisés en 2020 devrait augmenter. Les entreprises se soucieront davantage de sécurité. Certaines vont commencer à investir davantage dans une approche holistique de la sécurité, y compris, mais sans s’y limiter, le chiffrement de toutes les données internes et externes en mouvement et au repos. La sécurité, la conformité et la gouvernance des données seront des thèmes majeurs, et les solutions dans ce domaine connaîtront une adoption en hausse.

Diane Vautier, responsable du marketing IoT

#Prévision2020 : La santé restera une cible prioritaire de cyberattaques

L’introduction de dispositifs de santé connectés à l’Internet des Objets et la valeur élevée des informations contenues dans les dossiers médicaux partagés (DMP) créent une surface d’attaque unique absolument irrésistible pour les pirates informatiques. C’est une manne lucrative en plein essor. Pour les chercheurs et les prévisionnistes, les IoT dans le domaine de la santé vont poursuivre leur croissance rapide.

Mais avec plus d’appareils, le nombre d’attaques est potentiellement plus élevé. D’après le magazine Health IT Security, « la majorité des organismes de santé, des fabricants d’objets connectés (IoT) et des entreprises qui exploitent des IoT ont déjà subi une cyberattaque sur leurs IoT au cours des 12 derniers mois ». Le phénomène concerne des entreprises en Allemagne, au Royaume-Uni, aux États-Unis, au Japon et en Chine.

Ces attaques et leurs coûts mettent tout le monde en alerte. Les fabricants de dispositifs médicaux et les organismes de santé chercheront à réduire la surface d’attaque. Les plateformes d’identités traditionnelles basées sur des PKI leur apporteront un certain soulagement, en fournissant des identités uniques aux appareils permettant d’authentifier les utilisateurs, les dispositifs, les réseaux et les passerelles. Ces identités propres aux équipements forment alors un réseau d’identités de confiance qui garantit la sécurité des échanges.

Patrick Nohe, Responsable marketing produit Senior

#Prévision2020 : L’abandon des protocoles TLS 1.0 et TLS 1.1 sur Internet ne se passera pas aussi bien que prévu.

Espérons que cette prédiction s’apparente en définitive plutôt à un cri d’alarme qu’à une vision prémonitoire de l’avenir. Mais au printemps dernier, dans une annonce conjointe assez inédite, certains des plus grands acteurs d’Internet comme Google, Mozilla, Microsoft et Apple ont annoncé leur décision d’abandonner la prise en charge des versions 1.0 et 1.1 du protocole TLS devenues obsolètes. Malheureusement, l’actualité SSL ne fait pas la une très longtemps et depuis, l’abandon des protocoles n’a pas suscité de débat particulièrement passionné.

Début 2019, près du quart des 100 000 premières unités d’Alexa n’était pas encore compatible avec le TLS 1.2. Mais au-delà de ça : les applications Web et mobiles utilisent aussi le SSL/TLS. Par conséquent, une fois la date d’abandon officiel arrivée, nul besoin d’être devin pour annoncer que des milliers de sites Web et d’applications seront inutilisables sur les ordinateurs fixes et les téléphones. La décision de décommissionner les anciennes versions du protocole est une bonne décision. Mais face aux changements technologiques à venir, la concertation semble difficile au niveau sectoriel sur les modalités qui permettraient de faciliter et de simplifier ces transitions. J’espère que l’abandon du TLS 1.0 et 1.1 ne viendra pas renforcer ce triste constat.

#Prévision2020 : D’autres attaques et exploits RSA seront découverts et présentés.

À ce stade, l’interopérabilité est le seul argument valable pour continuer à utiliser l’échange de clés RSA avec le SSL/TLS. Le caractère universel du cryptosystème RSA rend son décomissionnement d’autant plus compliqué. Mais si l’on devait uniquement envisager les choses en termes de bonnes pratiques, il faudrait que nous utilisions tous une méthode basée sur une courbe elliptique, c’est-à-dire ECDHE et ECDSA. Pour la toute dernière version du protocole TLS (TLS 1.3), la décision a été prise pour nous car l’échange de clés RSA est désormais supprimé. La raison est certes tout à fait valable. Le cryptosystème est à bout de souffle. L’an dernier, lors de conférences sur la sécurité, plusieurs attaques contre le RSA ont été abordées. Cela vient s’ajouter à une liste relativement longue d’exploits antérieurs déjà abordés, mais qui — avec un peu de finesse — peuvent encore être exploitables.

Le coût informatique augmente avec la taille des clés RSA. Lorsque la taille des clés augmente, le niveau de sécurité ne s’accroît pas proportionnellement aux ressources utilisées pour le chiffrement/déchiffrement à l’aide des clés RSA. Et peut-être qu’aucun cryptosystème n’est plus menacé par l’arrivée (à terme) de l’informatique quantique. Si vous souhaitez discuter de cryptoagilité, n’abordez le sujet de la cryptographie quantique qu’une fois le système RSA abandonné.

Lea Toms, Directrice Marketing, EMEA


#Prévision2020 : Attendez-vous à une augmentation des piratages de données biométriques

Si le piratage des mots de passe non chiffrés et des données personnelles est toujours une mauvaise nouvelle pour les victimes, les dégâts sont, dans une certaine mesure, réparables. Demain, on parlera davantage de cas de piratage des données biométriques et des conséquences pour les entreprises et les particuliers. Une fois que des données biométriques ont été exposées, il n’y a aucun moyen de les modifier. Vous pouvez mettre à jour votre mot de passe, mais pas votre empreinte digitale. Vous pouvez changer d’adresse e-mail, mais vous ne pouvez pas changer vos yeux. Les entreprises vont devoir prendre les devants et en faire plus pour protéger les informations les plus sensibles et les plus personnelles, à savoir les données biométriques ! Je m’attends à des amendes record pour les entreprises qui feront l’objet de piratage de données biométriques. Les récits de victimes de tels actes de malveillance vont se multiplier. Il sera de plus en plus important de protéger les données à l’aide d’une combinaison de deux ou plusieurs types d’informations — avec un mot de passe ou un code PIN modifiable en plus des informations biométriques permanentes.

Comme vous pouvez le voir, nos prévisions couvrent un large éventail de sujets liés à la cybersécurité, mais nous aimerions maintenant avoir votre avis. Qu’est-ce qui vous préoccupe le plus à l’aube de 2020 ? Avons-nous oublié d’évoquer certaines vulnérabilités ou certains risques majeurs ? Avons-nous omis d’aborder certaines avancées technologiques révolutionnaires ? Faites-nous part de vos prévisions dans les commentaires, ou envoyez-nous un tweet.

Partager ce blog

Attaques d’usines par des rançongiciels dont les petits noms humoristiques ne font pas du tout rire…

Protection de la vie privée : les prochains sujets à suivre de près