Une vague significative d’attaques contre les appareils mobiles

Le rapport mené par Orange Cyberdefense révèle aujourd'hui que le nombre de cyberattaques contre les entreprises privées et publiques a augmenté de 13 % au cours des 12 derniers mois.

Cette nouvelle édition du Security Navigator souligne un point important : le type de menace le plus couramment signalé au cours de la période d’analyse concerne les malwares (ou logiciels malveillants), y compris les ransomwares. 38 % des incidents de sécurité confirmés sont classés dans la catégorie “malware”, soit une augmentation de 18 % par rapport à 2020. Parmi les principales tendances ayant trait à ce type de menace, ils observent :

• Une diminution de l’activité confirmée des “downloaders” (programme malveillant qui télécharge et exécute d’autres logiciels malveillants sur les systèmes infectés) en novembre et décembre 2020 après la neutralisation du botnet Trickbot par les forces de l’ordre, et en janvier et février 2021, immédiatement après la neutralisation d’Emotet.

Une corrélation inverse entre la rigueur des mesures de confinement mises en œuvre lors de la pandémie de Covid-19 et le volume d’activité des “downloaders” et des ransomwares : plus ces mesures étaient strictes, moins ce volume était important, contrairement à l’hypothèse établie selon laquelle le télétravail favoriserait l’augmentation du nombre d’attaques.

Les grandes entreprises doivent faire face à deux fois plus (43 %) d’incidents malware avéré par rapport aux entreprises de taille moyenne.

Le paysage des menaces évolue également par le fait que des hackers « étatiques » très compétents basculent dans la cybercriminalité, y exploitant leur expérience et leur vision stratégique. Une transition générationnelle s’opère au sein des organisations étatiques. La dispersion de savoir-faire militaire au sein des groupes d’attaquants est sans doute la pire nouvelle pour 2022. Heureusement, un grand nombre de cyberguerriers rejoignent les forces défensives apportant leur expérience et leurs méthodes de combat. Dans cette confrontation numérique qui concerne chacun d’entre nous, les principes de la guerre s’appliquent :

• Concentration des forces sur les actifs les plus critiques de l’entreprise par une bonne compréhension et connaissance des vulnérabilités et de la menace.
• Économie de moyens en ne tentant pas de tout faire soi-même, en recourant à des spécialistes.
• Alliances fortes pour mutualiser les capacités critiques et les renseignements afin que la combinaison des forces dépasse la simple somme de ses constituantes.

Le mobile

Le Security Navigator rapporte également que les systèmes d’exploitation mobiles comme iOS et Android, utilisés dans un contexte professionnel, sont une cible de plus en plus privilégiée par les cyber-attaquants. Selon les prédictions d’Orange Cyberdefense, les attaques ciblant les appareils mobiles continueront sur cette trajectoire ascendante. Cette tendance devra donc être surveillée de plus près par les professionnels de la sécurité compte tenu de l’importance des plates-formes mobiles et de leurs techniques modernes et essentielles pour la protection des accès (notamment via l’authentification multifacteur MFA) dans les environnements cloud des entreprises.

Le système d’exploitation mobile iOS d’Apple a fait l’objet de 2 fois plus d’avis au cours des trois premiers trimestres 2021 que durant les trois trimestres précédents. Il nous semble évident que la vague de vulnérabilités et d’attaques à son encontre qui se sont produites ces derniers mois a requis l’application urgente de correctifs par nos utilisateurs. Un grand nombre de vulnérabilités paraissent émerger d’un “complexe cyber-militaire” omniprésent, prêt à investir massivement pour accéder aux smartphones d’individus présentant un “intérêt” politique aux yeux de certains gouvernements.

Comme nous le verrons plus loin, l’effet fâcheux de la convergence de ces trois facteurs semble être que la gestion des vulnérabilités des téléphones mobiles deviendra une priorité dans le domaine de la sécurité des entreprises. Très peu d’avancées ont eu lieu dans ce domaine à ce jour : Orange Cyberdefense invite les lecteurs à prendre en considération cette dynamique émergente et à investir dès aujourd’hui dans des stratégies qui prennent en compte ce vecteur de menace.

Sans mot de passe

En mars 2021, Microsoft a annoncé généraliser sa procédure d’authentification sans mot de passe pour les utilisateurs commerciaux, mettant cette fonctionnalité à disposition des entreprises partout dans le monde. Leurs clients peuvent désormais retirer le mot de passe de leur compte Microsoft et opter pour l’application Microsoft Authenticator. Une clé de sécurité ou un code de vérification envoyé sur mobile ou par e-mail pour se connecter à leurs applications et services (dont Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc.). Très efficace, comme Authy, cela devient indispensable sur mobile !

Il ne fait aucun doute que d’autres fournisseurs de services Cloud et de services d’identification leur emboiteront bientôt le pas. C’est un gain évident et précieux en matière de sécurité, mais aussi une transformation systémique du paysage des menaces. En effet, ce futur « sans mot de passe » implique inévitablement de faire du mobile des utilisateurs une composante phare du « périmètre » sécuritaire des entreprises.

1. Orange Cyberdefense prévoit que ces facteurs systémiques convergent bientôt :
   Les dépenses gouvernementales dans le domaine du piratage de mobiles alimenteront encore davantage ces capacités de hacking qui ne se limiteront plus au complexe cyber-militaire,
2. Davantage d’éditeurs adopteront (heureusement) le paradigme « sans mot de passe »
3. Les téléphones mobiles seront alors perçus comme des éléments clés du périmètre sécuritaire.

Aussi, l’application de correctifs et la supervision des mobiles gagneront en importance au fur et mesure que les mots de passe pour authentification céderont du terrain.