Internet des objets, vols de données et rançons ont été au programme de la conférence du Clusif sur la cybercriminalité qui a marqué 2014.
1 internaute sur 6 dans le monde serait touché par le vol de mot de passe et certaines sociétés en profiteraient pour jouer sur la peur avec la méthode marketing du FUD (Fear, Uncertainty ang Doubt). Trop d’exagération indique le Clusif qui a rappelé certains cas de ce type : iCloud, cigarette électronique, TF1… Les risque liés à l’Internet des objets (montres ou vêtements connectés, voitures par exemple) créent de leur côté de véritables menaces, avec un piratage des interfaces Web, plus que les objets eux-mêmes. Mais la sécurité de ces objets fait souvent défaut : chiffrement inefficace et protocoles vulnérables. 70 % d’entre eux seraient ainsi vulnérables.
Ransomwares et attaques crypto
Les attaques avec demandes de rançon se sont multipliées : celles dédiées ou ciblées (Sony par exemple, Domino’s Pizza ou encore Xbox Live), et les autres plus généralistes avec des malwares répondant aux noms de CrypLockers ou de GameOverZeus. Ces attaques sont la hausse et devraient perdurer.
Les vulnérabilités sont également fait beaucoup parler d’elles, à commencer par Heartbleed et ShellShock, dans le domaine des logiciels libres. Les développeurs devront dans le futur s’atteler à plus de sécurité. Et de façon générale, les attaques des composants crypto se sont accélérées, en particulier avec TSL/SSL.
La sophistication des attaques et l’absence de leur repérage est aussi un sujet de préoccupation, notamment dans les banques : attaques de distributeurs de billets, de systèmes d’information des distributeurs avec des méthodes de spearphishing pour modifier les paramètres de sécurité.
Les préjudices pour l’entreprise sont importants, même s’ils restent difficilement chiffrables. La gendarmerie l’estime à 4 millions d’euros par mois. Usurpation d’identité, comptes clients, utilisation de numéros de cartes bancaires, atteintes à la vie privée sont des escroreries fréquentes.
Pour 2015, le Clusif prévoit tout autant de cybercrimes, avec des accents sur le m-paiement et les cartes sans contact, sans parler dy cyberterrorisme.