Prévisions cybersécurité – Dossier spécial en partenariat avec Abbakan. Les rédactions de Solutions-Numériques et Solutions-Channel ont demandé à Abbakan – Ingram Micro Security, un grossiste expert en cybersécurité, de consulter ses fournisseurs spécialisés en cybersécurité pour réaliser un tour d’horizon des grandes tendances du marché en 2023.
Voici celles d’Arnaud Lemaire, Solutions Engineering Manager chez F5, société de services applicatifs et de sécurité multicloud.
Prédiction n° 1 Les API fantômes entraîneront des violations imprévues
Les interfaces de programmation d’applications (API) explosent en popularité. La convergence des applications mobiles, le partage de données entre les organisations et l’automatisation croissante des applications ont tous contribué à 1,13 milliard de demandes effectuées en 2021 via l’outil de développement Postman. Cependant, 48 % des personnes interrogées dans le rapport Postman State of the API ont admis avoir traité des incidents de sécurité des API au moins une fois par mois.[i]
Comme pour tous les aspects de la cybersécurité, il est impossible de sécuriser ce dont vous ignorez l’existence. Et, selon Shahn Backer, architecte de solutions senior F5 et consultant cloud et API, les API fantômes représentent un risque croissant qui entraînera probablement des violations de données à grande échelle dont l’organisation victime ne savait même pas qu’elles étaient possibles.
« Aujourd’hui, de nombreuses organisations ne disposent pas d’un inventaire précis de leurs API et cela conduit à un nouveau vecteur de menace connu sous le nom d’ « API fantôme ». Les organisations disposant d’un processus de développement d’API mature maintiennent un inventaire des actifs appelé inventaire des API, qui idéalement contiennent des informations sur tous les points de terminaison d’API disponibles, des détails sur les paramètres acceptables, des informations d’authentification et d’autorisation, etc. Cependant, de nombreuses organisations n’ont pas d’inventaire d’API, et pour d’autres, les API en production bénéficiant d’un développement continu dériveront loin de leur définition d’origine dans l’inventaire. Par conséquent, dans les deux cas, il existe des API exposées sur lesquelles les organisations n’ont aucune visibilité. Ces API sont connues sous le nom d’API fantômes et je m’attends à voir de nombreuses applications piratées via des API dont les organisations n’ont très même pas conscience. »
Prédiction #2 L’authentification multifacteur deviendra inefficace
Dans notre rapport Phishing and Fraud 2020, nous avons montré comment les attaquants utilisaient des proxys de phishing en temps réel pour contourner les systèmes d’authentification multi facteur (MFA). Bien que nous recommandions toujours fortement de mettre en œuvre des solutions MFA pour tous les utilisateurs, de nombreuses organisations ne parviennent pas à comprendre les limites d’un deuxième facteur lorsqu’un attaquant utilisant l’ingénierie sociale est suffisamment motivé. Les faux sites utilisés dans les attaques par proxy de phishing en temps réel ont vu les attaquants collecter le code PIN MFA commun à 6 chiffres et l’utiliser eux-mêmes pour s’authentifier sur le site Web cible réel. Étant donné que les attaques se produisaient en temps réel, la méthode de MFA utilisée faisait peu de différence : messages SMS, applications d’authentification mobile et même jetons matériels. Aucun n’a été en mesure de contrecarrer les proxies de phishing en temps réel. Depuis 2020, nous avons également signalé la tendance croissante des techniques de contournement MFA, des attaques de réutilisation de session aux logiciels malveillants mobiles capables de voler des codes MFA.
Dans un effort pour réduire les frictions de MFA, de nombreuses nouvelles solutions s’appuient sur les notifications push. Lorsqu’un utilisateur tente de se connecter à un système, plutôt que de lui demander de saisir manuellement le code MFA, les solutions modernes envoient une notification push au téléphone enregistré de l’utilisateur lui demandant d’approuver ou de refuser la tentative de connexion.
Rémi Cohen, responsable du renseignement sur les cybermenaces du bureau du RSSI de F5 : « L’ingénierie sociale ne disparaît pas et les attaques sur MFA, également connues sous le nom d’attaques à la bombe MFA, ne feront qu’augmenter en fréquence et en efficacité. Ces attaques à la bombe MFA visent à ennuyer les victimes en les inondant de tant de demandes d’authentification qu’elles approuvent la demande de notification soit par accident, soit par frustration. Ce type d’attaque présente un risque immédiat pour les entreprises car les employés sont le vecteur de menace le plus vulnérable aux attaques d’ingénierie sociale. Parallèlement à cela, le MFA est un contrôle de sécurité clé utilisé pour empêcher l’accès non autorisé aux actifs critiques. Souvent, les entreprises négligent le danger causé par les mots de passe piratés ou n’enforcent pas une politique de mots de passe complexes, car elles compensent avec d’autres mécanismes comme le MFA. Les kits de phishing compatibles MFA et les bombardements MFA mettent à mal cette posture et mettent en avance l’importance des mots de passe, de la défense en profondeur et du passage à une architecture de confiance zéro où d’autres facteurs sont pris en compte pour la sécurité d’une entreprise ou d’un individu. »
Une grande partie du paysage de la cybersécurité est une course aux armements entre les défenseurs et les attaquants. Les méthodes d’authentification ne font pas exception.
Ken Arora, ingénieur émérite du Bureau du CTO de F5, réfléchit à ce que l’avenir réserve au MFA : « Les attaquants s’adaptent aux solutions MFA en utilisant une combinaison de techniques, y compris le typo squatting, la prise de contrôle de compte, l’usurpation d’appareil MFA et l’ingénierie sociale. En conséquence, les défenseurs des applications et des réseaux se penchent sur la suite.
L’authentification biométrique est considérée avec un certain scepticisme car les empreintes digitales, par exemple, ne peuvent pas être modifiées si nécessaire. Au lieu de cela, les comportements, généralement des comportements spécifiques à l’utilisateur, sont plus difficiles à usurper, en particulier à grande échelle. Cela peut inclure des artefacts comportementaux banals, tels que le navigateur utilisé et la géolocalisation, des comportements spécifiques à l’application (modèles de navigation dans un site, temps d’attente) et le comportement de l’utilisateur (vitesse du double-clic, modèles de mouvement de la souris, taux de frappe). »
Melissa McRee, responsable principale de l’équipe de création de rapports d’analyse des menaces anti-fraude (TAR), avait ceci à ajouter : « L’analyse des modèles et la détection des anomalies sont appliquées aux comportements des utilisateurs pour détecter les activités suspectes depuis le milieu des années 2010, sous le nom d’UBA (User Behavioral Analytics). Nous pourrions être prêts à faire un bond en avant en termes d’efficacité à mesure que les capacités de traitement rattrapent suffisamment les données pour permettre une évaluation en temps réel plus complexe. »
À court terme, la solution de passe-partout de l’Alliance FIDO promet peut-être la première méthode vraiment efficace pour atténuer les attaques d’ingénierie sociale, puisque la clé cryptographique utilisée pour authentifier les utilisateurs est basée sur l’adresse du site Web qu’ils visitent.[ii] Il reste à voir à quelle rapidité cette nouvelle technologie sera adoptée par les utilisateurs.
Prédiction #3 Problèmes de dépannage
Prédire les incidents de sécurité avec les déploiements cloud peut sembler une évidence, mais comme la fréquence des failles pour les applications cloud continue d’augmenter et que l’ampleur de ces failles peut être énorme, nous pensons qu’il vaut la peine de le répéter. Comme nous l’avons souligné dans le rapport 2022 sur la protection des applications, la majorité des incidents cloud sont liés à des erreurs de configuration, généralement un contrôle d’accès trop large. Ainsi, les informations des ingénieurs du centre d’opérations de sécurité (SOC) F5, qui voient et aident à remédier aux violations des applications cloud, ajoutent une perspective unique sur les raisons pour lesquelles tant de problèmes existent.
Ethan Hansen, ingénieur F5 SOC qui se concentre sur la sécurisation de l’infrastructure cloud native pour les clients, partage son expérience : « Que ce soit par accident ou à des fins de dépannage, de nombreux utilisateurs du cloud ont du mal à configurer correctement le contrôle d’accès, tant au niveau de l’utilisateur que du réseau. À plusieurs reprises en 2022, le F5 SOC a vu des utilisateurs créer des utilisateurs de service « temporaires », puis leur attribuer des autorisations très larges, soit via des politiques IAM intégrées, soit via des politiques en ligne. Ces utilisateurs « temporaires » sont souvent créés dans le but de résoudre des problèmes ou de faire fonctionner une application qui repose sur un utilisateur ou un rôle spécifique.
Nous assistons souvent à des configurations dans lesquelles ce correctif « temporaire » est devenu permanent, et l’annulation des changements devient alors beaucoup plus difficile. En plus de cela, s’ils utilisent des informations d’identification fixes à long terme au lieu d’informations d’identification à court terme, il est également possible que ces informations d’identification soient volées ou divulguées d’une manière ou d’une autre. »
Prédiction #4 Les bibliothèques de logiciels open source deviendront la cible principale
Tout comme l’économie mondiale dans laquelle nous vivons tous, les logiciels deviennent de plus en plus interdépendants. De nombreuses applications et services sont créés à l’aide de bibliothèques open source, mais peu d’organisations peuvent détailler avec précision chaque bibliothèque utilisée. Au fur et à mesure que les défenseurs améliorent le « périmètre » des applications (c’est-à-dire les applications Web et les API destinées au public), les acteurs de la menace se tourneront naturellement vers d’autres vecteurs. De plus en plus, un vecteur privilégié est l’utilisation de code, de bibliothèques et de services tiers au sein d’une application. Jusqu’à 78 % du code des bases de code matérielles et logicielles est composé de bibliothèques open source et n’est pas développé en interne.[iii] En tant qu’auteur de menaces, si vous saviez que plus des trois quarts du code d’une application était conservé dans des bibliothèques open source, il serait logique de cibler ces référentiels de code.
Ces dernières années, nous avons été témoins d’un nombre croissant de méthodes dans lesquelles les bibliothèques présentent des risques pour les organisations qui en dépendent:
- Les comptes de développeur ont été compromis, généralement en raison de l’absence de MFA, ce qui a entraîné l’insertion de code malveillant dans des bibliothèques largement utilisées et des extensions de navigateur Web Google Chrome.
- Les attaques par chevaux de Troie et de typo squatting, dans lesquelles les acteurs de la menace développent des outils qui semblent utiles ou qui ont des noms très similaires aux bibliothèques largement utilisées
- Code destructeur et autre code malveillant délibérément inséré par le véritable auteur d’une bibliothèque comme une forme d’hacktivisme ou de protestation politique
Ken Arora réfléchit à ce que tout cela signifie pour l’avenir du développement d’applications : « De nombreuses applications modernes exploitent le logiciel en tant que service (SaaS), comme l’authentification centralisée, les bases de données en tant que service ou la prévention des fuites de données (DLP). Si un attaquant peut compromettre la base de code du logiciel open source (OSS) ou une offre SaaS qui est consommée par une application, l’attaquant a alors un pied « à l’intérieur » de l’application, contournant les défenses du périmètre telles que les pares-feux d’applications Web et les passerelles API.
Ce pied peut ensuite être exploité par des mouvements latéraux sous différentes formes (remote shell, surveillance, exfiltration de données). La conséquence en est que les développeurs de logiciels voudront une plus grande visibilité sur les composants logiciels qui composent une application et, plus particulièrement, une nomenclature logicielle (SBoM) qui énumère tous les composants logiciels. Cela permettra au consommateur du produit logiciel de déterminer plus rapidement et plus efficacement si des vulnérabilités découvertes affecteront le produit. »
Aaron Brailsford, ingénieur principal en sécurité de l’équipe de réponse aux incidents de sécurité (SIRT) de F5, convient que les SBoM sont indispensables, mais note qu’ils apporteront une énorme quantité de travail aux organisations : « Je pense que l’adoption généralisée des SBoM va déterrer une énorme dette technologique. Je ne pense pas que la découverte de cela rendra les produits ou les systèmes intrinsèquement moins sûrs, mais je pense que cela va mettre en lumière la manière quelque peu aléatoire dont l’industrie développe actuellement les produits. Les entreprises vont devoir faire de lourds investissements internes pour mettre à jour les anciens systèmes et corriger ou atténuer un grand nombre (très grand – des milliers) de vulnérabilités, envisager de commencer avec une table rase pour une nouvelle génération de produits, ou les deux. Il y a, bien sûr, toujours la possibilité que les clients apprennent simplement à accepter un grand nombre de vulnérabilités non corrigées dans les produits qu’ils ont choisis, car ils sont tous très nombreux. Je suis pour un changement radical, pas pour l’apathie. »
Nous avons demandé à Ken ce qu’il considérait comme la solution aux risques posés par les bibliothèques tierces : « Pour les vulnérabilités non divulguées / zero-day, la meilleure chance de détecter l’attaquant est d’avoir une visibilité sur le trafic interne” est-ouest “entre les composants logiciels et les services” à l’intérieur “de l’application, ainsi que sur la manière dont ces composants interagissent avec la plate-forme sous-jacente (IaaS). Aujourd’hui, ces interactions sont capturées par CSPM (infra), CWPP (e-w) et ADR (app layer); ces marchés distincts devront se regrouper pour fournir la vue globale requise pour détecter les menaces intra-application avec une grande efficacité et un faible taux de faux positifs. »
Prédiction #5 Les ransomwares vont se développer sur la scène géopolitique
Il n’est pas exagéré d’affirmer que le cryptage des logiciels malveillants atteint désormais des niveaux épidémiques. Mais il ne s’agit pas uniquement de “chiffrer les données pour avoir un impact”, comme le cadre MITRE ATT&CK fait référence aux ransomwares.[iv] L’année dernière, nous avons constaté que, y compris les variétés non chiffrées, les logiciels malveillants étaient la principale cause de violation de données pour les organisations américaines en 2021. L’accent est mis sur l’exfiltration (le vol) de données. Une fois qu’ils ont mis la main dessus, ils ont alors plusieurs façons de monétiser leurs efforts.
Aditya Sood, directeur principal de la recherche sur les menaces au bureau du CTO de F5, a récemment découvert une tendance croissante des rançongiciels ciblant directement les bases de données : « La cybercriminalité organisée et les adversaires des États-nations continueront de développer leurs tactiques de rançongiciels et nous nous attendons à ce qu’ils se concentrent, en particulier, sur les infrastructures critiques. Les attaques de ransomware contre les bases de données cloud augmenteront considérablement au cours de l’année à venir, car c’est là que résident les données critiques, pour les entreprises comme pour les gouvernements. Contrairement aux logiciels malveillants traditionnels qui cryptent les fichiers au niveau du système de fichiers, les rançongiciels de base de données sont capables de crypter les données dans la base de données elle-même. »
David Arthur, architecte des solutions de sécurité F5 pour la région Asie-Pacifique, estime que les escroqueries qui aboutissent à des infections de ransomwares réussies seront le principal moteur pour attirer la pression politique : « Les attaquants vont multiplier leurs tentatives pour monétiser les données de violation directement auprès de la personne concernée par le biais de divers types d’escroqueries et de fraudes en aval (par exemple, en demandant de nouvelles cartes de crédit). Ces escroqueries deviennent de plus en plus crédibles et, bien qu’elles contiennent encore des erreurs évidentes pour l’observateur averti, seront probablement assez efficaces ; le gain vaudra certainement la peine pour les attaquants. Du point de vue de l’attaquant, si le vol des informations personnelles du client ne peut pas être monétisé en extorquant l’organisation violée (par exemple, demander une rançon, menacer de divulguer la propriété intellectuelle, etc.), alors leurs cibles se déplaceront vers l’individu. »
Les rançongiciels créent de graves problèmes opérationnels pour les entreprises et ont un impact sur la vie privée depuis des années, et très peu est fait au niveau politique pour le combattre. Les exceptions se produisent lorsque l’infrastructure critique (IC) est impactée. Peu de temps après l’attaque du pipeline colonial en juin 2021, le président américain Joe Biden aurait fait pression sur le président russe Vladimir Poutine pour qu’il agisse sur le nombre de gangs de rançongiciels qui semblent opérer depuis la Russie, apparemment en toute impunité. Appliquer une pression géopolitique – ainsi que légiférer sur l’utilisation de la crypto-monnaie, car elle est à l’origine de nombreux cybercrimes – semble être une technique beaucoup plus efficace pour lutter contre cette épidémie que les contrôles techniques. Il semble donc raisonnable de prédire que d’autres pressions politiques ne viendront que si (ou plutôt, quand) une autre nation subit un impact sérieux et très médiatisé sur un domaine de son CI.
Conclusion
Il est rare que les chercheurs sur les menaces révèlent des tendances dans le comportement des attaquants qui modifient radicalement l’orientation et les priorités des RSSI et autres responsables de la sécurité. Nos prévisions pour 2023 ne font probablement pas exception. Bon nombre de nos observations d’activités malveillantes nous enseignent que les attaquants n’apportent des modifications significatives à leurs opérations que lorsqu’ils y sont contraints par l’amélioration des contrôles de sécurité que nous utilisons tous, tels que MFA. Ce que cela suggère, c’est que nous avons besoin que quelque chose de radical se produise. Ni les améliorations progressives de la technologie ni la pression géopolitique à elles seules ne sont susceptibles de faire une différence significative dans la plupart des attaques auxquelles nous sommes confrontés, en particulier celles qui ciblent directement l’utilisateur final. Là où il y a de l’argent à gagner à partir d’escroqueries, de fraudes et d’autres formes d’ingénierie sociale, l’élément criminel trouvera un moyen d’exploiter les choses à son avantage.
[i] https://www.postman.com/state-of-api/executing-on-apis/#executing-on-apis
[ii] https://fidoalliance.org/passkeys/
[iii] https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/rep-ossra-2022.pdf