Les fuites d’informations de la NSA, sources de cyberattaques plus furtives

Après WannaCry, le ransomware NotPetya montre que les cybercriminels exploitent massivement les outils des agences gouvernementales pour lancer des attaques ciblant un maximum de victimes.

Nous vivons une année phare pour les cybercriminels. En mai, Wikileaks a commencé à publier la documentation Vault7 relative aux outils de cyberguerre et de cyberespionnage utilisés par la CIA. En parallèle, le groupe de pirates Shadow Brokers a publié des informations sur les exploits utilisés par la NSA et comprenant notamment l'exploit Windows EternalBlue. Ce dernier a été très rapidement transformé en arme pour devenir le ransomware WannaCry qui a récemment fait une apparition fracassante sur Internet et qui continue de faire de nombreuses victimes. Le ransomware NotPetya qui a récemment fait surface en Europe de l'Est avant de se répandre au niveau mondial s'appuierait également sur EternalBlue pour infecter les machines.

Ces informations sont plutôt inquiétantes, mais ce qui est pire, c'est la révélation sur la manière dont la communauté du renseignement utilise des outils et des méthodologies pour trouver des vulnérabilités et créer des exploits. Cela rappelle la façon dont le principe d’interchangeabilité des pièces d’Eli Whitney et qui a marqué le début de la révolution industrielle. Les informations issues de ces fuites apportent un plan détaillé sur la façon de construire une fabrique semi-automatisée de logiciels malveillants. Ce mode d'emploi représente l’équivalent d’un saut quantique dans le domaine des techniques de piratage, et les cybercriminels n’ont pas trainé pour apprendre à s’en servir. Ces méthodologies d’agences de renseignement liées à des attaques très puissantes telles que FuzzBunch, Athena/Hera et OddJob sont toutes décrites avec des notes techniques, des instructions de montage et des commentaires expérimentaux. C'est l’équivalent d’un trésor pour quelqu'un qui cherche à construire un système similaire.

A quoi peut-on s’attendre ?

Des choses effrayantes. Au cours des 12 à 36 prochains mois, nous allons voir les cybercriminels de tous horizons utiliser ces techniques pour créer une nouvelle génération d'attaques. On peut s'attendre à :

- Des tempêtes régulières de logiciels malveillants : Les attaques du type de WannaCry seront la nouvelle norme. Les entreprises doivent se préparer à faire face à des attaques continues s'appuyant sur des exploits zéro day et capables de cibler toutes les applications et toutes les plateformes. Le rayonnement du côté obscur d'Internet va atteindre un nouveau niveau de toxicité.

- Des leurres parfaits : Avec l’exploitation du big data, de l'apprentissage machine et de moteurs de traitement du langage naturel, on peut s'attendre à ce que les emails de phishing et les faux sites web soient quasiment indiscernables des vrais. Les outils de traitement du langage naturel élimineront les formulations linguistiques maladroites qui permettent souvent d’écarter les faux sites. Il est déjà assez difficile pour nombre d’utilisateurs de discerner la réalité. Cela va être encore pire.

- Des attaques sans clic : Il ne faut pas uniquement imaginer avoir affaire à de nouveaux vers, mais aussi imaginer l'équivalent d'une attaque internet étendue aux services majeurs et même aux plateformes mobiles. Cela signifie que des attaques cibleront les principales plateformes applicative et que la simple utilisation d'une application client sur un téléphone pourra impliquer d’être touché par quelque chose de nuisible.

- Des attaques intraçables : des attaques seront lancées à partir de réseaux C&C qui n'ont jamais été vus avant et ne seront plus jamais revus. L'analyse des domaines pour les réseaux C&C malveillants deviendra un art obsolète. Les filtres de réputation IP deviendront inutiles.

Se préparer à l’assaut

Si on peut s’attendre à des attaques continues exploitant un grand nombre d'exploits zéro day, alors les entreprises vont avoir besoin de fortes capacités de détection intelligente des menaces (threat intelligence), de stratégies de réponse aux incidents et d’une solide stratégie anti-DDoS. Afin de faire face aux nouveaux types d’attaques, les organisations doivent dès à présent mettre en œuvre des mesures techniques et des solutions défensives plus avancées et être sûres d’appliquer les règles de base consistant à patcher et mettre à jour le plus rapidement possible.

Réseaux / Malware

Annonces Google