Attaques Étatiques, exploitation de vulnérabilités critiques, spear SMShishing, MFA et cyber-assurances… Quelles cybermenaces et tendances cybersécurité pour 2022 ?

La récente vulnérabilité très critique Log4Shell rappelle aux entreprises que les risques de cyberattaques sont réels, concernent tout le monde et doivent être pris en compte pour éviter une catastrophe économique. Pour être capables de se protéger de cybermenaces toujours plus nombreuses, les entreprises doivent savoir à quoi elles s'exposent. Dans cet optique, nos chercheurs ont souligné plusieurs tendances de fond et cybermenaces auxquelles nous devons nous attendre pour 2022 :

Log4Shell, l’arbre qui cache la forêt !

La vulnérabilité Log4Shell, détectée dans le sous-logiciel Java Log4J, est présentée comme la faille de la décennie. Ce statut est mérité. La vulnérabilité est très facilement exploitable, elle expose les produits des plus gros éditeurs de logiciels du monde et donc une majorité des entreprises. La vulnérabilité existe semble-t-il depuis 2017 et nous ne savons pas à quel point elle a pu déjà être exploitée. Et même si les entreprises patchent leurs systèmes, il est difficile de savoir si une compromission n’a pas déjà eu lieu. Pire encore, nombre d’entreprises n’ont même pas encore réalisé qu’elles étaient vulnérables. Nous vivons actuellement une véritable course contre la montre avec les attaquants qui cherchent à exploiter Log4Shell. De nombreuses attaques ont déjà vu le jour mais nous pouvons craindre des attaques bien plus graves dans les prochaines semaines et mois, notamment de type supply chain.

Log4Shell est certes d’un niveau de criticité rare, mais il faut savoir que rien qu’en 2021, pas moins de 20 000 vulnérabilités ont été identifiées et ce nombre croît chaque année. Sans trop s’avancer, nous pouvons prédire – pour 2022 mais aussi pour les 10-15 prochaines années – que de nouvelles vulnérabilités critiques seront régulièrement exploitées par des attaquants. Malheureusement, en matière d’informatique comme ailleurs, la productivité prime. Le développement des logiciels et autres applications doit être rapide pour une mise sur le marché tout aussi rapide et cela se fait largement au détriment de la sécurité. Le problème expose gravement les entreprises. En 2022, verrons-nous s’engager un débat ainsi que la prise de mesures d’incitation pour concevoir des produits plus sécurisés ? Rien n’est moins sûr.  

Les menaces mobiles parrainées par des États se répercutent dans le monde de la cybercriminalité

Les malwares mobiles existent bel et bien, en particulier sur la plateforme Android, mais ils n'ont pas encore atteint la même ampleur que les malwares ciblant les PC traditionnels. La raison ? Les mobiles sont conçus dès le départ avec un mécanisme sécurisé (un démarrage sécurisé par exemple), ce qui rend plus difficile la création de menaces « zero-touch » qui ne nécessitent pas d'interaction avec la victime. Cependant, de graves vulnérabilités exploitables à distance existent et sont bien plus difficiles à identifier.

Parallèlement, les appareils mobiles constituent une cible très attrayante pour les cyberattaquants parrainés par des États, notamment car ils contiennent souvent des informations sensibles. Par conséquent, les groupes offrant leurs services aux États, sont principalement responsables d'une grande partie des menaces et des vulnérabilités sophistiquées visant les appareils mobiles, comme le récent logiciel espion mobile Pegasus.

Il est clair que dans les prochains mois, ces attaques sophistiquées ciblant les mobiles, sous l’impulsion des attaquants Étatiques, vont se multiplier.   

Le Spear SMSishing s'attaque aux plateformes de messagerie

Le hameçonnage par texto, connu sous le nom de SMSishing, n'a cessé d'augmenter au fil des ans. À l'instar de l'ingénierie sociale par email, il a commencé par des messages d'appât non ciblés envoyés à de grands groupes d'utilisateurs, mais il a récemment évolué vers des textes plus ciblés qui se font passer pour des messages de personnes connues de la victime. Parallèlement, les usages de plateformes de communication au format texte court ont également évolué.

Les utilisateurs, en particulier les professionnels, ont pris conscience de l'insécurité des SMS en clair. Nombreux sont ceux qui ont décidé de transférer leurs messages texte professionnels vers des applications alternatives comme WhatsApp, Facebook Messenger, Teams ou Slack.

Les cybercriminels malveillants suivent les utilisateurs légitimes. Par conséquent, nous commençons à voir une augmentation des rapports de messages malveillants ressemblant à des SMS d'harponnage sur des plateformes de messagerie comme WhatsApp. Recevoir un message WhatsApp de son PDG demandant de l'aider pour créer un compte pour un projet sur lequel il travaille, cela devrait immédiatement être perçu comme une arnaque. Le réflexe : appeler ou contacter son patron par un autre moyen de communication pour vérifier qu'il est bien à l’origine du message.  

En bref, nous nous attendons à voir les messages de phishing ciblés sur de nombreuses plateformes de messagerie doubler en 2022.

Sans MFA, l’authentification sans mot de passe est vouée à l’échec

C'est officiel. Windows n'a plus de mot de passe ! Nous pouvons nous réjouir de l'abandon des mots de passe seuls pour la validation numérique. A l’inverse, les connexions Windows sont toujours soumises à une authentification unique... Signe que les erreurs de l’histoire ne sont pas toutes intégrées. Windows 10 et 11 permettront désormais de configurer une authentification sans mot de passe, en utilisant des options telles que Hello (la biométrie de Microsoft), un jeton matériel Fido ou un email avec un mot de passe à usage unique (OTP).

Même si nous pouvons féliciter Microsoft pour cette initiative audacieuse, il faut que chacun intègre que tous les mécanismes d’authentification à un facteur sont un mauvais choix. De la même manière, la biométrie n'est pas infaillible. Les chercheurs et les attaquants ont en effet déjoué à plusieurs reprises divers mécanismes biométriques. Certes, la technologie s'améliore mais les techniques d'attaque évoluent aussi (surtout dans un monde de médias sociaux, d'impression 3D, etc.). En général, les jetons matériels constituent également une option à facteur unique solide, mais nous avons vu qu'ils n'étaient pas non plus invincibles. Et soyons clairs, les courriels en texte clair avec une authentification à l'aide du mot de passe à usage unique (OTP) sont tout simplement une mauvaise idée.

La seule solution solide pour valider l'identité numérique est sans doute l'authentification multifacteur (MFA). Microsoft (et d'autres) aurait pu vraiment résoudre ce problème en rendant le MFA obligatoire et facile dans Windows.

En résumé, nous pouvons prévoir que l'authentification sans mot de passe de Windows décollera en 2022, mais nous nous attendons à ce que les pirates et les chercheurs trouvent des moyens de la contourner.

Les entreprises augmentent leur cyber-assurance malgré la flambée des coûts

Depuis l’explosion des ransomwares en 2013, les assureurs de cybersécurité ont réalisé que les coûts de remboursement pour couvrir les clients contre ces menaces ont augmenté de façon spectaculaire. Le taux de sinistre augmente considérablement et les primes de polices d’assurance autonomes également. Par conséquent, les assureurs augmentent les exigences en matière de cybersécurité pour leurs clients, et désormais, non seulement le prix de l'assurance a augmenté, mais les assureurs vérifient activement la sécurité des clients avant d'offrir une couverture liée à la cybersécurité.

En 2022, les entreprises qui n’ont pas mis en place les protections appropriées, y compris l'authentification multifacteur (MFA) sur les accès à distance, risquent tout simplement de ne pas obtenir de cyberassurance ou alors à des prix très élevés. À l'instar d'autres réglementations et normes de conformité, ce nouvel accent mis par les assureurs sur la sécurité et l'audit incitera les entreprises à améliorer leurs défenses en 2022.

Pour se protéger des cyberattaques, il faut être informé et conscient des risques qui nous ciblent. C’est le message positif : Les entreprises peuvent vraiment mieux se préparer si elles comprennent les enjeux, le fonctionnement des attaquants et si tout le monde se sent concerné (en s’appropriant les technologies de protection telles que le MFA par ex).  

Dans ce volet nouvelles approches, nous pouvons aussi souligner les bienfaits de l’approche Zero Trust – dont le principe est de supposer que l’entreprise est déjà compromise et donc de concevoir des réseaux de manière à limiter les capacités de déplacement de l’attaquant vers des systèmes plus critiques - qui offre une réponse de cybersécurité efficace.

En incitant les entreprises à mieux se protéger, les cyber-assureurs jouent aussi un rôle important, même si leur objectif personnel peut paraître discutable. Quoiqu’il en soit, tout ce qui va dans le sens de la défense est bon à prendre. Alors en 2022, voulons-nous subir ou agir ?