1988 : naissance de la 1ère cyberattaque à grande échelle, quel chemin avons-nous parcouru depuis ?

A l'approche de la nouvelle année, je souhaite faire un bilan de l'évolution des cybermenaces depuis 1988, date à laquelle est apparue la 1ère cyberattaque à grande échelle, à nos jours.

En novembre 1988, le ver Morris a déclenché la première cyberattaque reconnue et signalée de logiciel malveillant, infectant à l'époque environ 5% de tous les ordinateurs connectés à Internet. Le logiciel malveillant, développé par l'étudiant Robert Morris pour estimer tout simplement l'étendue d'Internet, a infecté les machines ciblées à plusieurs reprises, provoquant leur ralentissement et leur plantage.

La Cour des comptes américaine a estimé que les dommages causés par ce ver étaient de l'ordre de 100 000 à 10 millions de dollars. Chaque ordinateur a nécessité deux jours de désinfection, en plus du temps d'arrêt causé par l'infection. Cela a conduit à la première condamnation aux États-Unis en vertu de la loi de 1986 sur la fraude et les abus informatiques, et à la création du premier Centre d'alerte et de réaction aux attaques informatiques (CERT). Quel chemin avons-nous parcouru depuis cette première cyberattaque à grande échelle ?

28 ans plus tard, les logiciels malveillants sont passés d'un incident isolé à une véritable épidémie. Près de 12 millions de nouvelles variantes de logiciels malveillants sont découvertes chaque mois. Cela signifie qu'une plus grande quantité de logiciels malveillants a été découverte durant les deux dernières années que durant les 26 années précédentes combinées.

Les logiciels malveillants modernes revêtent également de nombreuses formes : depuis les logiciels rançonneurs, qui font la une des actualités depuis ces trois dernières années, jusqu'aux menaces persistantes avancées ciblant les systèmes industriels critiques, et aux bots furtifs qui siègent silencieusement dans les réseaux et sont exploités par des criminels pour envoyer du spam, participer à des attaques par déni de service, dérober des données ou installer des logiciels malveillants supplémentaires dans les entreprises.

Ce que vous ne connaissez pas peut vous nuire

L'élément vraiment insidieux du paysage changeant des logiciels malveillants est l'augmentation du nombre de variantes inconnues. Celles-ci peuvent être des versions de logiciels malveillants existants légèrement modifiées pour se différencier de leurs « parents » et contourner les antivirus classiques reposant sur des signatures. Elles peuvent également revêtir la forme de variantes entièrement nouvelles et jamais vues auparavant, conçues pour cibler des vulnérabilités zero-day non encore identifiées dans les logiciels ou les appareils. Leur développement est toutefois un processus coûteux qui est généralement associé au piratage parrainé par des États.

Les logiciels malveillants inconnus sont une option particulièrement attrayante pour les cybercriminels. Ils leur permettent d'infecter plus d'ordinateurs et de réseaux avec peu d'efforts supplémentaires. En d'autres termes, ils améliorent l'efficacité des activités des criminels. La création de logiciels malveillants inconnus est plus facile et moins coûteuse que jamais pour les criminels. Retravailler du code malveillant existant, juste assez pour contourner des antivirus classiques à l'aide de boîtes à outils largement disponibles, ne prend que quelques minutes, et évite d'avoir à développer de toute pièce un tout nouveau type d'infection.

C'est cette facilité de développement qui a conduit à l'explosion des logiciels malveillants inconnus et qui provoque des cauchemars pour les entreprises. En moyenne, un logiciel malveillant inconnu est téléchargé toutes les 4 secondes en entreprise, par rapport à moins de deux par minute au cours des 12 mois précédents, soit une fréquence neuf fois supérieure. En comparaison, des logiciels malveillants connus sont téléchargés toutes les 81 secondes en entreprise. Le fait que 20 variantes inconnues soient téléchargées pour chaque variante connue unique montre à quel point le risque de contracter des infections de logiciels malveillants inconnus est réel pour toute entreprise.

Protections superposées

Pour se défendre contre cette avalanche persistante d'attaques connues et inconnues, les entreprises ont besoin de dépasser le stade de la couche de protection unique traditionnelle offerte par les outils antivirus classiques. Comme aucune technologie ne peut fournir une protection complète contre toutes les menaces, une approche multicouches combinant plusieurs méthodes de protection et de détection peut minimiser la réussite des attaques.

La combinaison et l'orchestration de technologies de protection, comprenant l'antivirus, l'antibots, l'antispam, la protection de la messagerie, le contrôle des applications, la prise en charge des identités et le pare-feu de nouvelle génération, sont le fondement d'une défense robuste.

Ces fondations devraient également intégrer la prévention des menaces en temps réel pour stopper les logiciels malveillants inconnus avant qu'ils ne touchent le réseau de l'entreprise. Elle se compose d'un bac à sable avancé et d'une technologie d'extraction des menaces. Les analyses du bac à sable avancé n'utilisent pas de signatures. Elles inspectent les fichiers entrants à l'aide de technologies de détection des éléments suspects au niveau du processeur, ce qui leur permet de déjouer toutes les techniques d'évasion intégrées dans les logiciels malveillants par leurs auteurs et de bloquer les infections potentielles. L'extraction des menaces fonctionne selon un principe simple : la majorité des logiciels malveillants est diffusée par email, dans des documents joints au format Word, PDF, Excel et ainsi de suite. Donc, du point de vue de la sécurité, il est préférable de supposer que toutes les pièces jointes sont infectées, et d'en extraire toutes les menaces potentielles avant de les transmettre aux utilisateurs, en leur donnant toutefois un accès rapide aux contenus dont ils ont besoin. Combinées ensemble, ces techniques empêchent l'écrasante majorité des variantes de logiciels malveillants inconnus d'infecter l'entreprise.

Grâce à des protections supplémentaires au stade post-infection, les entreprises peuvent limiter les dommages causés par les logiciels malveillants, même dans les rares cas où ils parviennent à vaincre les couches de défense. Des outils d'analyse sont en mesure d'identifier en quelques secondes une infection en cours et de prendre des mesures pour en atténuer l'impact, en hiérarchisant l'attaque pour aider les équipes informatiques à la résoudre rapidement, et en « revenant » même au besoin à une sauvegarde de la machine effectuée avant l'infection pour annuler les effets des logiciels malveillants.

En conclusion, 28 ans après le ver Morris, le paysage des logiciels malveillants a dépassé tout ce qui aurait pu être imaginé à l'époque. La grande différence est qu'en 1988, les entreprises étaient sans défense. Aujourd'hui, elles disposent de plusieurs couches de protection pour les aider à protéger leur réseau.

Etats-Unis / Réseaux