Les cybercriminels progressent au milieu de la pandémie

Alors que la pandémie de coronavirus perturbe, voire interrompt, le travail de millions de personnes à travers le monde, elle a parallèlement nourri celui des cybercriminels.

Pour tous ceux qui exercent dans le secteur de la sécurité, il n'est malheureusement pas surprenant que les hackers cherchent des moyens de profiter du désordre engendré par cette urgence planétaire. Mais, outre les rançongiciels, à quel genre d'attaques informatiques sommes-nous confrontés, et comment pouvons-nous riposter ?

Les attaques contre les infrastructures de télétravail

Le passage au télétravail a exigé une adaptation rapide de la part des entreprises : la transformation numérique, généralement planifiée et exécutée sur plusieurs années, s’est produite ici en quelques heures à peine.

L’usage des VPN a littéralement explosé afin de faciliter le télétravail du jour au lendemain, et dans la course en vue d’opérer cette transformation aussi vite que possible, la sécurité est souvent reléguée au second plan par les développeurs. Les auteurs d’attaques sophistiquées ne le savent que trop bien : nous avons déjà pu voir des assaillants appartenant au groupe DarkHotel lancer des attaques contre des agences gouvernementales chinoises en exploitant une faille des serveurs VPN SSL de Sangfor, utilisés pour fournir un accès à distance aux réseaux du gouvernement et des entreprises.

Aucun gouvernement ni aucune entreprise n’est à l’abri de ce cyberproblème : la tendance actuelle des organisations à adopter de nouveaux outils sans disposer d’une visibilité totale sur leurs infrastructures permet aux assaillants de cibler la chaîne logistique sans la moindre difficulté. La semaine dernière, un logiciel de sécurité basé sur l’IA a détecté une attaque menée contre une société française de services financiers alors que celle-ci effectuait la transition vers le télétravail. Cette attaque est véritablement un signe des temps : comme de nombreuses organisations, ce cabinet utilisait de nouveaux services cloud pour faciliter le télétravail, offrant aux hackers de nouvelles technologies à exploiter.

Lorsque l’ensemble des effectifs bascule en télétravail, évaluer la légitimité de chaque nouvelle connexion cloud est une tâche insurmontable pour les humains. Dotée d’une compréhension de la « nouvelle norme » de l’entreprise, l’IA a pu identifier une série de connexions suspectes à l’un des services cloud, depuis des endroits inhabituels, empêchant l’attaque de se dérouler avant qu’une grave fuite de données ne puisse survenir. Sans cette visibilité sur la nouvelle infrastructure cloud, les assaillants auraient pu réussir à s’infiltrer dans l’organisation, ce qui se solde souvent par une interruption d’activité ou le versement d’une forte rançon.

Le « Zoom-bombing »

Les préoccupations entourant la confidentialité et la sécurité des outils tiers de visioconférence, comme Zoom, ne sont pas nouvelles ; cependant, du jour au lendemain, ces plateformes sont devenues omniprésentes, laissant peu de temps aux organisations pour s’assurer qu’elles sont convenablement sécurisées.

On a signalé dans le monde entier le cas d’individus indésirables qui se joignent à des visioconférences dans le seul but de les perturber et de harceler les participants. Des rapports ont également révélé que l’on a découvert plus de 500 000 comptes de visioconférence proposés à la vente sur le Dark Web, l’Internet clandestin.

Du point de vue de l’employé, il existe des moyens de réduire les risques : un mot de passe protégeant les réunions, l’utilisation de nouveaux numéros à composer pour chaque appel, etc. Mais dans le même temps, les entreprises sont tenues d’avoir recours aux meilleures solutions technologiques pour se protéger contre les inévitables failles et contre les pirates informatiques. 

Il devient nécessaire d’utiliser des technologies telles que l’IA pour surveiller en permanence leurs nouvelles technologies et leurs systèmes numériques, et riposter automatiquement contre les « hacktivistes » potentiels et autres acteurs malveillants, afin d’éviter d’autres violations de données et de confidentialité. 

L’exploitation de l’anxiété : la multiplication des « fearware »

Les cybercriminels qui élaborent des attaques par mail cherchent constamment à innover : ils se renseignent sur leurs cibles pour personnaliser leurs e-mails et inciter les destinataires à ouvrir les messages puis à cliquer sur des pièces jointes ou des liens malveillants. Il n’est donc pas surprenant qu’ils exploitent les inquiétudes suscitées par le COVID-19 dans leurs récentes campagnes.

De nombreux hackers rédigent des e-mails de phishing extrêmement réalistes, des « campagnes de fearware », qui semblent provenir des autorités sanitaires, mais qui contiennent un logiciel malveillant capable de voler les données de l’utilisateur ou de détourner son matériel. Au mois d’avril, plus de 60 % des e-mails malveillants bloqués par le logiciel du leader en cybersécurité utilisant l’IA avaient trait au COVID-19 ou tentaient de tromper les employés en faisant référence au télétravail. 

Cela pose des problèmes de sécurité particuliers : les outils classiques de sécurité des e-mails bloquent les attaques par phishing déjà connues, mais chaque e-mail de fearware est unique. 

Même s’il faut toujours former le personnel aux dangers du phishing, on ne peut se contenter de jeter davantage d’humains dans une bataille qui s’avère de plus en plus être un combat de machines. L’IA sera décisive pour détecter et stopper ces attaques hautement ciblées.

Le piratage des hôpitaux 

Malgré les promesses faites en mars par certains groupes de hackers, selon lesquelles il n’y aurait « aucune attaque sur les systèmes de santé » durant la crise du COVID-19, les attaques menées contre les hôpitaux n’ont montré aucun signe de ralentissement. 

Le 13 mars, l’hôpital universitaire de Brno, en République tchèque, victime d’une cyberattaque, a été forcé d’éteindre tous ses ordinateurs. Venant s’ajouter à d’autres, cela a poussé INTERPOL à adresser une mise en garde aux établissements de santé concernant les attaques par rançongiciel, conçues pour bloquer l’accès à leurs systèmes critiques pour tenter de leur extorquer de l’argent. Ces attaques pourraient avoir une incidence directe sur la capacité des hôpitaux à assurer des soins.

Cela confirme ce que nous savons déjà sur les cybercriminels : ils font preuve d’un opportunisme impitoyable, et ne reculeront devant rien pour réaliser un gain financier.

Alors que les professionnels de la santé sont particulièrement occupés à dispenser des soins vitaux aux patients, ils sont hélas considérés comme des proies faciles. Pour des centaines d’hôpitaux à travers le monde, la cybersécurité basée sur l’IA est indispensable pour filtrer les e-mails malveillants hautement nuisibles, afin que les travailleurs-clés puissent se concentrer sur l’accomplissement de leurs tâches.

Une nouvelle ère de défense

En ces temps imprévisibles, de trop nombreuses organisations ignorent ce qui se passe dans leurs propres systèmes, sans parler du risque que pourraient introduire des logiciels tiers ou des périphériques non autorisés.

Cette pandémie a inauguré une nouvelle ère de la cyberdéfense, dans laquelle l’apprentissage automatique non supervisé se révèle fondamental dans la lutte quotidienne contre les hackers qui profitent de la situation. L’activité numérique est aujourd’hui totalement métamorphosée, et c’est précisément la capacité de l’IA non supervisée à constamment apprendre et réajuster sa compréhension de la « norme » de l’environnement numérique qui la rend suffisamment puissante pour défendre les nouvelles technologies sur lesquelles s’appuient désormais les entreprises. Pour les équipes de sécurité débordées chargées de défendre leurs entreprises de plus en plus distribuées contre les attaques, l’IA riposte en leur nom, réagissant aux menaces émergentes, même lorsque les équipes de sécurité sont en pause.

Il ne fait guère de doute que le défi de la cybersécurité est devenu une course aux armements. Tandis que les assaillants s’arment de nouveaux outils, il est l’heure, pour nos entreprises et nos institutions publiques, d’adopter l’innovation de l’IA, en commençant par la cyberdéfense.