Cyber-prévisions 2021 : une année pandémique qui aura radicalement changé la donne en matière de cybersécurité, pour les 12 prochains mois

Au chapitre des prochains oracles rendus par nos pythies digitales, la ruée actuelle vers le « tout-Cloud » va également causer de très nombreux « trous dans la raquette » en 2021, en matière de sécurité dans la protection de notre souveraineté nationale. Mais également en matière de données stratégiques (voir à ce titre, l’affaire BPI et celle de la plateforme de nos données de santé « Health Data Hub », respectivement confiées aux Cloud d’Amazon Web Service et celui de Microsoft Azur). Dans un autre registre, l’usage délétère des ransomware beaucoup plus ciblés va également empirer avec la mise au jour de nouvelles vulnérabilités totalement inédites, tout comme le vol de données avant cryptage, l’emballage des logiciels malveillants nichés au creux d’autres menaces induites, et le ciblage très spécifique des organisations clés. Bien assez en tout cas pour nous occuper encore 12 mois supplémentaires sur le plan des menaces digitales...

En matière d’ingénierie sociale, les Deepfakes augmenteront encore cette forme de danger intrusif. De nouvelles façons de mentir verront le jour et rendront de plus en plus impérative l'instauration d'une solide culture de sécurité en entreprise. Les cyberattaques vont ainsi frapper littéralement « à la maison ». Les pirates informatiques et les attaquants des états-nations en conquête de puissance cibleront toujours plus des systèmes qui gèrent notre vie quotidienne et nos infrastructures puisqu’ils réussissent déjà à les impacter. L’action sur ces infrastructures critiques ne fera qu'empirer au cours d'une année électorale riche en possibles rebondissements politiques à l’échelle européenne. Les hackers trouveront naturellement du grain à moudre en la circonstance, et à portée de main, dans le Cloud. Les attaques Cloud les plus avancées (et potentiellement dévastatrices) se produiront à la vitesse de la machine en 2021. Et parmi ces menaces persistantes et prévisibles avancées au cours de l’année, on peut d’ores et déjà compter sur l'utilisation abusive d'informations personnelles, et l’occurrence d’attaques de plus en plus sophistiquées à venir en la matière. En voici quelques-unes pour la bonne bouche, agrémentées de quelques détails comme toujours.

Petits florilège :

• L'abus d'informations personnelles et des « faux profonds » comme les fuites d'ADN feront sans doute flores cette année.

• Les attaques de « menaces persistantes avancées » (APT) seront largement disponibles sur les réseaux criminels.

• Le Dark Web permettra encore aux criminels d'acheter l'accès à des réseaux d'entreprises toujours plus sensibles.

• Les « attaques sous faux drapeau » risquent d’atteindre un tout autre niveau en 2021 que les années précédentes. Elles se développeront sans doute davantage, car les opérateurs de la menace chercheront naturellement, non seulement à « éviter l'attribution », mais aussi à rejeter activement la responsabilité sur quelqu'un d'autre qu’eux-mêmes.

• Les logiciels malveillants de base laissés là pour duper, des scripts, des outils de sécurité accessibles au grand public ou des logiciels d'administration, mélangés à quelques outillages « sous faux drapeaux », tenteront de leurrer l’intelligence des chercheurs en sécurité, car les intrus savent qu’ils ont toujours soif de tout petits indices qui pourraient suffire à détourner l’attribution de la paternité d’un acte malveillant vers quelqu'un d'autre.

• Les ransomwares évolueront toujours plus vers des menaces ciblées.

• Les nouvelles réglementations bancaires dans l'UE ouvrent d’ores et déjà de nouveaux vecteurs d'attaque en la matière. L'identité et l'authentification multi facteur (MFA) occuperont une place centrale, alors que les mots de passe pourraient commencer à disparaître dans cette année charnière.

• À mesure que les projets de transformation numérique se développeront, de nombreux plans imploseront, et en cela proportionnellement au fait que les défis et les exigences de sécurité iront croissants.

• Les cyberattaques se concentreront naturellement sur les routes commerciales entre l'Asie et l'Europe, à des fins géopolitiques.

• De nouvelles capacités d'interception et méthodes d'exfiltration de données verront aussi le jour.

• Les APT mobiles se développeront encore plus rapidement.

• De nombreuses vulnérabilités liées à au déploiement de la nouvelle 5G verront le jour, à mesure que cette technologie se développera.

• L'abus en matière de captation d'informations personnelles se développera de manière accrue, mais cette fois armé et renforcé par les apports cruciaux de l'IA.

• Les risques biométriques iront naturellement croissants en 2021.

• Les cyberattaques de grande ampleur contre les services publics prioritaires et les infrastructures critiques continueront naturellement de se développer.

• L’augmentation des mises à jour automatiques des logiciels malveillants – étant donné que de nombreuses applications se mettent à jour automatiquement – les cybercriminels cibleront désormais les mécanismes de mise à jour basés sur le Cloud à l'aide de diverses techniques. La plupart des utilisateurs font confiance à leurs applications pour la mise à jour automatique et peuvent ne pas être conscients des menaces rendues possibles par une connexion Cloud compromise.

• Bien que le piratage de logiciels à l'ancienne soit en baisse en raison du Cloud, la créativité des cybercriminels continuera à se concentrer sur les mises à jour automatiques pour infecter les utilisateurs. Et nous pouvons nous attendre en 2021 à ce que les applications et les systèmes d'exploitation de haut niveau soient eux aussi ciblés par ces menaces avancées.

• Les identités, la gestion des privilèges ainsi que leur gouvernance deviendront le dernier vecteur d'attaques cybercriminelles entre ennemis, mais aussi entre alliés.

• L’élimination progressive des mots de passe des utilisateurs finaux ira croissant : les systèmes d'exploitation et les applications continueront d’ailleurs de pousser pour mettre fin à cette dépendance actuelle.

• Les processeurs de nouvelle génération gagneront encore du terrain en 2021.

• L’augmentation des transactions de reconnaissance faciale ouvrira naturellement la voie à de nouvelles formes de piratages extrêmement malveillants et sophistiqués.

• Combiner l'apprentissage automatique et l'analyse statistique pour prédire les attaques en découvrant les schémas d'attaque sous-jacentes des cybercriminels, permettra ainsi à un système d'IA de prédire le prochain mouvement d'un attaquant, de prévoir où la prochaine attaque est susceptible de se produire. Et même de déterminer quels acteurs de la menace sont les plus probablement coupables. L’attribution y gagnera en perspicacité.

• Un examen approfondi de la façon dont les technologies de déception (duperie, ruse) peuvent être utilisées, sera mis à contribution pour créer une couche de défense pratiquement insurmontable autour des réseaux. Et ceci, quelle que soit l'étendue de leur distribution.

• La montée en puissance des nouveaux exploits « Zero-Day » qui, lorsqu'ils sont combinés avec des systèmes activés par l'IA, permettront ainsi aux cybercriminels de frapper des voies et des endroits que de nombreuses organisations ne sont tout simplement pas préparées à défendre ou à sanctuariser.

• Les cybercriminels tireront parti des techniques de vol d'identités textuelles pour cibler les consommateurs participant à des communautés en ligne, comme ceux qui soutiennent les candidats à la présidence, avec des messages frauduleux déguisés – par exemple – en initiatives de collecte de fonds.

• À mesure que les « villes intelligentes » installeront davantage de systèmes Wi-Fi publics gratuits, les pirates prendront leur envol via l'utilisation de drones facilement disponibles pour capter les données des consommateurs à partir d'appareils connectés à des réseaux non sécurisés.

• Les grands opérateurs étrangers en charge, pourront également extraire de la donnée stratégique, dès lors que leur législation sur la sécurité nationale les mettra en demeure d’agir de la sorte. GAFAM en tête.

• Les cybercriminels utiliseront la technologie vidéo et audio «Deepfake» pour perturber les opérations des grandes entreprises commerciales, et potentiellement créer une confusion géopolitique entre les états-nations, en plus de perturber les marchés financiers eux-mêmes en matière d’informations boursières.

• En guise de protestation, nous verrons sans doute de nombreuses industries en plein essor, telles que les détaillants de cannabis, les entités de cryptomonnaie et même certaines organisations environnementales, ciblées par des cyberattaques en raison de leur activisme en ligne.

• Avec les options de paiement mobile qui apparaissent un peu partout dans le monde, d'un café local à une buvette en plein air, il est à prévoir qu'il y aura une augmentation significative des vols d'identités digitales, alors que les cybercriminels cherchent à exploiter la commodité des transactions au point de vente, en particulier auprès du grand public. Des lieux comme des festivals de concerts et des événements sportifs seront sans aucun doute visés si la crise pandémique venait à s’éteindre.

• Les avancées de l’IA vont être énormes en 2021, et cela même si de nombreux fournisseurs prétendront utiliser l'IA, allant de l'utilisation de simples régressions linéaires à l'utilisation de l'apprentissage en profondeur. Bien que la régression linéaire soit finalement assez éloignée de l'IA telle qu’on l’envisage. Les gens commencent à comprendre les limites des solutions algorithmiques. En particulier lorsque celles-ci créent, amplifient ou ossifient les préjugés dans le monde. Et les entreprises qui achètent des technologies semblables devront commencer à comprendre comment ce biais affecte leurs opérations.

• Au fur et à mesure que l'adoption de l'IA dans la cybersécurité se développe, les problèmes de sécurité liés au biais de l'IA vont naturellement augmenter de concert. Alors que l'utilisation de l'IA par les équipes de sécurité continuera de croître, celles-ci devront surveiller et gérer les biais potentiels dans leurs modèles d'IA pour éviter les angles morts de sécurité qui entraînent des menaces manquées ou davantage de « faux positifs ». Aussi, une façon d'éviter les biais au sein de l'IA consiste à établir une diversité cognitive, une diversité des informaticiens qui développent le modèle d'IA, des données qui l'alimentent et des équipes de sécurité qui l'influencent.

• Le « Cloud Phishing » augmentera en tant que tactique principale pour les APT.

• Ces tentatives de phishing seront principalement lancées via des applications Cloud plutôt que par les habituels e-mails empiégés. Les utilisateurs font implicitement confiance aux nombreuses applications Cloud utilisées sur le lieu de travail, ce qui les rendra très vulnérables aux tactiques de phishing. De même, les appareils mobiles deviendront le principal dispositif d'accès au Cloud, ce qui en fait des cibles attrayantes pour les attaques de phishing qui tirent parti du petit écran des appareils mobiles pour inciter les utilisateurs à ouvrir du contenu malveillant…

• Les violations de données dans le Cloud liées à une exposition accidentelle et à une mauvaise configuration des applications Cloud augmenteront à la fois en gravité et en nombre d'applications Cloud différentes affectées. Cela correspond à la prédiction de Gartner selon laquelle d'ici 2021, 95% des échecs de sécurité dans le Cloud seront la faute du client. Alors que l'adoption du Cloud continue de croître, et que de plus en plus de données sont stockées et partagées par ce biais, l'exposition de ces données est un problème majeur auquel les équipes de sécurité devront faire rapidement face.   

En résumé, la transformation du Cloud va s'accélérer, les attaques automatisées augmenteront, les entreprises adopteront le « Zéro Trust » et la non-conformité deviendra extrêmement coûteuse. Plus de vulnérabilités avec un plus grand impact. La complexité des logiciels et des connaissances nécessaires aux attaques et à la protection augmentera. La sophistication des malwares grandira. Les acteurs étatiques utiliseront de plus en plus la cyberguerre, au moins secrètement en faisant feu de tout bois, et particulièrement l’attribution à d'autres nations de leurs propres méfaits. La lutte contre les censures gouvernementales (lutte pour la vie privée) va également s'intensifier. Période post-Covid oblige pourrions-nous dire.

Enfin, le cyberterrorisme apparaîtra-t-il sous une forme très agressive en 2021 ? Très peu de prédictions désastreuses véritables en ce sens sur les « Cyber ​​9/11 » ou les « Cyber ​​Pearl Harbours », ou même sur des personnes qui meurent dans les hôpitaux de cyberattaques, ont été faite en 2020… Par peur d’inspirer nos ennemis dans cette optique ? Possiblement. Gageons cependant que les pirates endoctrinés trouveront très certainement de nouveaux outils à portée de main dans le Cloud pour agir et opérer de manière criminelle. Les attaques Cloud les plus avancées (et potentiellement les plus dévastatrices) se produiront à la vitesse de la machine en 2021, comme nous l’indiquions déjà plus haut. Les ransomwares et les Deepfakes plus ciblés causeront une myriade de problèmes encore non mesurables en l’état, et divers hacks électoraux, ainsi que des campagnes de désinformation associées beaucoup plus perspicaces et pernicieuses verront possiblement le jour.

Quoi qu’il en soit, nous sommes tous peu ou prou des cibles d’intérêt. Et si vous ou moi travaillions avec une personnalité à très grande valeur ajoutée, nous représenterions très certainement, dès lors, une cible de choix également pour les attaquants.

Le séisme « SolarWinds », représente un changement de paradigme notable en matière d’action cyber-intrusives dans la nouvelle cyberguerre froide

Une nouvelle forme de « cyber guerre froide» s'intensifie et se déroule de plus en plus en ligne, alors que les puissances occidentales et orientales séparent de plus en plus leurs technologies et leurs renseignements. La guerre commerciale en cours entre les États-Unis et la Chine, ainsi que le découplage de ces deux énormes économies en est un signe clair. Les cyberattaques seront vraisemblablement de plus en plus utilisées comme armes de conflits géopolitiques « par procuration » entre de plus petits pays, financés et activés par de plus grandes nations. Ces dernières chercheront à consolider et à étendre leurs sphères d'influence et leur puissance sur la place mondiale, comme le montrent en outre les récentes cyber-opérations contre l'Iran, à la suite d'attaques contre les installations pétrolières de l'Arabie saoudite.

Un tour d'horizon des tendances de la cybersécurité en 2021, ne pourrait dignement faire l’impasse, pour conclure, sur l'ampleur massive de la brèche « SolarWinds », qui a permis l’attaque extrêmement sophistiquée de pirates informatiques ayant permis à des assaillants de s'infiltrer dans de très nombreuses branches du gouvernement américain. Cette intrusion allant même jusqu’à impacter l'agence américaine des armes nucléaires elle-même. Une seule chose semble certaine à l’heure actuelle : l’ampleur de l’agression est d’ores et déjà totalement inédite, puisqu’elle pourrait bousculer la situation géopolitique mondiale. Car « Sunburst » ne concerne pas que les États-Unis en l’occurrence, loin de là. Depuis le 15 décembre dernier, les outils utilisés par les hackers ont été mis hors d’état de nuire. Mais le bilan final de l’attaque est loin d’être définitif et de très nombreuses questions demeurent quant à la finalité exacte de la campagne de cyber espionnage. Pour revenir aux éléments factuels dans cette affaire, « Sunburst » est le nom donné par l’entreprise de cybersécurité « FireEye » à une cyberattaque dont elle a été elle-même la victime. Il s’agit en réalité d’un programme malveillant qui a été inséré dans le logiciel de gestion de réseau « Orion », édité par l’entreprise américaine « SolarWinds ». Orion étant utilisé par plus de 33 000 organisations à travers le monde, parmi lesquelles on retrouve de très nombreux organismes gouvernementaux et les plus grandes entreprises américaines.

Dans le jargon, « Sunburst » est considéré comme un véritable cheval de Troie : il pénètre le réseau de la cible sous une apparence inoffensive et sans faire de dégâts apparents. Une fois dans la place, il aide à déployer d’autres programmes, qui vont accomplir la mission projetée par les pirates. « Sunburst » va alors installer une « backdoor » (autrement dit, une porte arrière dérobée), qui servira de « pont » entre le système de la cible, et un serveur de commande tenu par les pirates eux-mêmes. Grâce à ce subterfuge, les hackers peuvent activer des logiciels malveillants sur le réseau ciblé depuis leurs dispositifs, et récupérer des informations confidentielles dans le sens inverse. Très concrètement, les agresseurs ont mis en place « Sunburst » grâce à une supply chain attack. Autrement dit, ils sont parvenus à accéder physiquement aux serveurs responsables des mises à jour d’Orion, et à insérer en son sein un programme malveillant dans son contenu. Nous avons naturellement affaire ici à une prouesse technique parfaitement inédite et qui impacte très gravement la confiance dans l’ensemble du système : des subterfuges très avancés ont été activés pour que ni les clients de « SolarWinds », ni « SolarWinds » elle-même n’ont pu détecter la présence malveillante et ourdie du cheval de Troie injecté dans le système. Résultat des courses : toutes les mises à jour d’Orion, signées et déployées officiellement par « SolarWinds » entre les mois de mars 2020 et juin 2020, contenaient l’attaque « Sunburst ». A ce jour, au moins 18 000 clients auraient ainsi téléchargé ce cheval de Troie. Et au moment où nous rédigeons ces lignes, la façon dont les pirates se sont introduits sur le serveur de mise à jour de « SolarWinds » n’est pas encore connue.

Au nombre des victimes connues on trouve toutes des branches du gouvernement américain : le département du commerce, le Trésor, le département de la sécurité intérieure, celui des affaires étrangères, celui de l’énergie. Et cela sans compter sur les deux géants de la cybersécurité que sont le géant Microsoft et FireEye. Mais depuis la révélation de l’affaire, cette liste non exhaustive s’agrandit chaque jour… Au demeurant, c’est l’intégralité du gouvernement américain que les agresseurs ont infiltré, afin de faire de mener cette opération de cyber-espionnage inédite. Le prochain locataire de la Maison-Blanche, Joe Biden en personne, a déjà déclaré qu’il ferait de la cybersécurité une priorité absolue dès le début de son mandat électif. Fin décembre, personne ne sait véritablement quelles informations les pirates ont réellement dérobées, ni même si celles-ci ont été exploitées. L’ampleur du vol ainsi que la qualité des informations dérobées pourraient elles aussi s’avérer parfaitement inédites.

A l’image de l’expert Cédric Thevenet, Vice-Président, Deputy Group Chief Cybersecurity Officer chez Capgemini, les spécialistes considèrent pour le moment très prudemment que derrière cette opération, agissent un, ou plusieurs groupes de pirates d’élite très expérimentés, qui rentrent dans la catégorie des « Advanced Persistent Threat », ou APT. Mais tout cela pourrait encore évoluer. Contrairement à la vaste majorité des organisations cybercriminelles, les « APT » n’ont pas pour objectif direct le gain financier. Ces intelligences malveillantes sont plutôt spécialisées dans la collecte et les actions de déstabilisation et de captation d’informations confidentielles. Le corolaire de cette énorme puissance de feu en matière de moyens humains et financiers, est que ces groupes ne peuvent qu’être commanditées ou soutenues par un État. Et quatre pays sont les plus souvent cités derrière ce type d’action intrusive : la Russie, la Chine, la Corée du Nord et Iran. Cependant, l’attribution précise d’une attaque est particulièrement complexe sur le plan technique, et peut-être en outre totalement brouillée de surcroit par les enjeux géopolitiques, auxquels s’ajoutent les risques inhérents de crise diplomatique. Ceci explique en outre pourquoi dans la plupart des cas, les états n’appuient pas l’attribution effectuée par les entreprises privées. Dans le cas qui nous occupe, l’attribution de l’attaque semble affiliée à un « APT » à la solde du gouvernement russe. Et notamment « APT29 » : un groupe bien connu des spécialistes sous le nom de « Cozy Bear ». Nous l’avions déjà évoqué dans de précédents articles pour ATLANTICO. « APT29 » avait en outre précédemment lancé une campagne d’attaque contre l’administration Obama il y a quelques années, parmi leurs faits d’armes les plus relayés. Les autorités russes, par le biais de leur représentation diplomatique aux États-Unis ont naturellement dénoncé toutes ces accusations portées pour l’heure par les médias américains. Si l’administration Trump n’a pas encore nommé officiellement la Russie comme l’opérateur en action derrière ces attaques, l’équivalent de notre ministre des Affaires étrangères et ancien Directeur de la CIA, Mike Pompeo, a de son côté déclaré à l’occasion d’une émission de télévision : « Je pense que nous pouvons dès maintenant dire assez clairement que ce sont les Russes qui ont orchestré cette manœuvre ». Cette opération de cyber-espionnage, et que certains considèrent déjà en coulisses comme une véritable action de cyberguerre, pourrait être à ce jour la plus importante de l’histoire et mener à une crise diplomatique particulièrement grave.

Les victimes potentielles ne sont naturellement pas confinées au seul territoire américain : elles se retrouvent en réalité aux quatre coins du monde, et notamment en Europe. Le géant Microsoft a instamment  déclaré que les pirates ont exploité le cheval de Troie « Sunburst » pour s’en prendre à  plusieurs de ses clients situés en Espagne, en Belgique ou encore en Grande-Bretagne. Malgré la déclaration à la SEC, quelques questions n’ont pas été levées. « SolarWinds » n’a pas précisé comment les pirates sont parvenus à entrer sur son système. La firme indique simplement que Microsoft l’a informée que son compte Office 365 a été compromis, et qu’elle enquête pour savoir si les pirates s’en sont servis pour dérober des données clients. En revanche, elle ne s’est pas exprimée sur un éventuel lien entre la compromission des emails et l’accès à l’infrastructure responsable des mises à jour d’Orion. Et si cette attaque représente naturellement un véritable danger pour les clients de « SolarWinds », elle menace également la survie de l’entreprise américaine. Le chiffre d’affaires d’Orion représente près de la moitié de son revenu global. Cela revient à dire que si l’attaque détourne les clients de son produit-phare, le groupe pourrait connaîtrait dans la foulée de ces révélations un désastre financier très conséquent. En France, le Cert (Centre gouvernemental de veille, d’alertes et de réponse aux attaques informatiques) a émis un bulletin d’alerte, et les entreprises concernées travaillent déjà à la résolution de l’incident dans les meilleurs délais. Pour l’instant, aucune organisation française n’est encore citée nominativement, mais cette situation pourrait naturellement évoluer dans les jours à venir selon de nombreux experts. Tous les yeux sont naturellement rivés sur les suites probables de cette attaque informatique. De quoi alimenter en expectatives et en suspense, les premières semaines d’une année 2021 qui s’annoncent d’ores et déjà très riche en rebondissements sur le plan géopolitique et cyber.