Vladimir Ovchinsky : L'ONU se prépare-t-elle à la cyber-guerre passée ? (Club d'Izborsk, 1er avril 2021)
Vladimir Ovchinsky : L'ONU se prépare-t-elle à la cyber-guerre passée ?
1er avril 2021
Du 6 au 8 avril 2021, le Centre des Nations Unies à Vienne accueillera la dernière réunion du groupe d'experts chargé de réaliser une étude complète sur la cybercriminalité. Les réunions précédentes ont eu lieu en 2018, 2019 et 2020. L'objectif de la réunion finale est d'adopter une liste consolidée de conclusions et de recommandations sur la cybercriminalité qui sera soumise à la Commission pour la prévention du crime et la justice pénale.
Lorsque les auteurs ont examiné de près le projet de liste récapitulative (publié sur le site web de l'Office des Nations unies contre la drogue et le crime en janvier 2021), ils se sont souvenus de la célèbre phrase de Winston Churchill selon laquelle "les généraux se préparent toujours aux guerres passées". Dans ce cas, les "généraux" - les experts de l'ONU - se préparent à la dernière cyber-guerre.
Dans le grand projet (28 pages), généralement bon, seul un petit paragraphe dit que "l'ONUDC devrait promouvoir la recherche pour identifier de nouvelles formes et de nouveaux modèles d'actes répréhensibles ... y compris l'expansion de l'Internet des objets, l'adoption des technologies de blockchain et de crypto-monnaie, et l'utilisation de l'intelligence artificielle combinée à l'apprentissage automatique." Et pas un mot de plus à ce sujet. Rien du tout n'est dit sur la technologie 5G, sur l'informatique quantique. Et pourtant, la quatrième révolution industrielle fait rage depuis plusieurs années. Toutes ces technologies sont étroitement liées à la cybercriminalité. Ce projet aurait pu être écrit il y a 10 ou 20 ans. Mais le temps fait inexorablement des ajustements.
Ainsi, FortiGuard (l'un des leaders mondiaux des solutions de sécurité informatique intégrées et automatisées) a évalué les stratégies que les cybercriminels utiliseront en 2021 et au-delà.
Au cours des dernières années, les rapports de la société ont abordé des questions telles que l'évolution des ransomwares, les risques d'une présence accrue des entreprises numériques et le ciblage des technologies convergentes, en particulier celles qui font partie de systèmes intelligents tels que les bâtiments intelligents, les villes et les infrastructures critiques. La société s'est également penchée sur l'évolution des logiciels malveillants morphiques, le potentiel sérieux des attaques basées sur les essaims et l'utilisation de l'intelligence artificielle (IA) et de l'apprentissage automatique comme cyber-armes. Certaines d'entre elles ont déjà été mises en œuvre et d'autres sont en bonne voie.
L'avantage intelligent est la cible
Au cours des dernières années, le périmètre traditionnel du réseau a été remplacé par plusieurs environnements périphériques, les réseaux étendus, les environnements multi-clouds, les centres de données, les travailleurs à distance, l'Internet des objets (IoT), etc. Chacune d'entre elles comporte des risques qui lui sont propres. L'un des avantages les plus importants pour les cybercriminels dans tout cela est que, bien que toutes ces frontières soient interconnectées, de nombreuses organisations ont sacrifié la visibilité centralisée et le contrôle unifié au profit de la productivité et de la transformation numérique. Par conséquent, les cybercriminels cherchent à faire évoluer leurs attaques autour de ces environnements et chercheront à exploiter les possibilités de vitesse et d'évolutivité.
Les chevaux de Troie évoluent pour cibler la périphérie
Si les utilisateurs finaux et leurs ressources domestiques sont déjà des cibles pour les cybercriminels, les attaquants sophistiqués les utiliseront comme tremplin pour d'autres cibles à l'avenir. Les attaques contre les réseaux d'entreprise lancées à partir du réseau domestique d'un travailleur distant, en particulier lorsque les habitudes d'utilisation sont clairement connues, peuvent être soigneusement coordonnées afin de ne pas éveiller les soupçons. À terme, les logiciels malveillants avancés peuvent également détecter des données et des tendances encore plus précieuses grâce à de nouveaux chevaux de Troie d'accès à la périphérie (EAT) et effectuer des actions invasives, telles que l'interception de requêtes provenant du réseau local pour compromettre des systèmes supplémentaires ou introduire des commandes d'attaque supplémentaires.
La 5G peut permettre des attaques en essaim avancées
La compromission et l'exploitation des nouveaux appareils compatibles avec la 5G ouvriront la voie à des menaces plus sophistiquées. Les cybercriminels progressent dans le développement et le déploiement d'attaques en essaim. Ces attaques utilisent des dispositifs détournés divisés en sous-groupes, chacun ayant des compétences spécifiques. Ils ciblent les réseaux ou les dispositifs en tant que système intégré et échangent des données en temps réel pour affiner leur attaque au fur et à mesure de sa progression. Les techniques d'essaimage nécessitent une grande puissance de calcul pour permettre à chaque robot d'essaimer et de partager efficacement les informations dans l'essaim de robots. Cela leur permet de découvrir rapidement les vulnérabilités, de les partager et de les corréler, puis de modifier leurs techniques d'attaque pour mieux exploiter ce qu'ils découvrent.
Avancées dans les attaques d'ingénierie sociale
Les appareils intelligents ou autres systèmes domestiques qui interagissent avec les utilisateurs ne seront plus seulement des cibles d'attaques, mais aussi des conduits pour des attaques plus profondes. L'utilisation d'informations contextuelles importantes sur les utilisateurs, notamment leurs habitudes ou leurs informations financières, peut rendre les attaques d'ingénierie sociale plus efficaces. Les attaques plus intelligentes peuvent avoir beaucoup plus d'impact que la désactivation des systèmes de sécurité, des caméras ou le détournement d'appareils intelligents ; elles peuvent permettre la mise en place de rançongiciels et l'extorsion de données supplémentaires ou des attaques furtives avec des informations d'identification.
De nouvelles façons pour les ransomwares de cibler les infrastructures critiques
Les rançongiciels continuent d'évoluer et, à mesure que les systèmes informatiques s'intègrent davantage aux systèmes d'exploitation, en particulier les infrastructures critiques, les données, les appareils et, malheureusement, les vies seront encore plus menacés. L'extorsion, la diffamation et la détérioration sont déjà devenues des outils du commerce des ransomwares. À l'avenir, des vies humaines seront menacées lorsque les appareils et les capteurs à la périphérie de l'OT, qui incluent les infrastructures critiques, seront de plus en plus ciblés par les cybercriminels sur le terrain.
Les innovations en matière de performances informatiques viseront également
D'autres types d'attaques visant les performances de calcul et les innovations en matière de communication au profit des cybercriminels ne sont pas loin non plus. Ces attaques permettront aux attaquants de couvrir de nouveaux territoires et obligeront les défenseurs à devancer les cybercriminels.
Progrès en matière de cryptomining
La puissance de calcul est importante si les cybercriminels veulent étendre leurs attaques futures grâce à l'IA et aux capacités d'apprentissage automatique. Après tout, en compromettant les périphériques en raison de leur puissance de calcul, les cybercriminels seront en mesure de traiter d'énormes quantités de données et d'en savoir plus sur la manière et le moment où les périphériques sont utilisés. Cela pourrait également accroître l'efficacité du cryptomining. Les ordinateurs infectés qui sont détournés en raison de leurs ressources informatiques sont souvent détectés parce que l'utilisation du CPU affecte directement l'expérience des utilisateurs finaux sur leur poste de travail. La compromission des dispositifs secondaires a pu être beaucoup moins visible.
Propagation des attaques depuis l'espace
La possibilité de connecter des systèmes satellitaires et des télécommunications en général peut constituer une cible attrayante pour les cybercriminels. À mesure que les nouveaux systèmes de communication se développent et commencent à reposer davantage sur un réseau de systèmes satellitaires, les cybercriminels peuvent cibler et suivre cette convergence. Par conséquent, le piratage des stations de base des satellites et la propagation ultérieure de ces logiciels malveillants par les réseaux de satellites pourraient donner aux attaquants la possibilité de cibler potentiellement des millions d'utilisateurs connectés à n'importe quelle échelle ou de mener des attaques DDoS qui pourraient entraver les communications vitales.
La menace de l'informatique quantique
Du point de vue de la cybersécurité, l'informatique quantique pourrait constituer un nouveau risque si elle peut, à l'avenir, remettre en question l'efficacité du cryptage. L'énorme puissance de calcul des ordinateurs quantiques pourrait rendre certains algorithmes de cryptage asymétrique résolubles. Par conséquent, les organisations devront se préparer à passer à des crypto-algorithmes résistants aux quanta en utilisant le principe de crypto-flexibilité pour garantir la protection des informations actuelles et futures. Le cybercriminel moyen n'a pas accès aux ordinateurs quantiques, mais dans certains États-nations, une menace possible pourrait se concrétiser si l'on ne se prépare pas dès maintenant à la contrer en adoptant la crypto-flexibilité.
L'intelligence artificielle sera la clé
Ces tendances prometteuses en matière d'attaques devenant progressivement une réalité, ce ne sera qu'une question de temps avant que les ressources concernées ne deviennent une marchandise et ne soient disponibles en tant que service du darknet ou dans le cadre de boîtes à outils open source. Par conséquent, une combinaison minutieuse de technologies, de personnes, de formations et de partenariats sera nécessaire pour se protéger contre de telles attaques de cybercriminels à l'avenir.
L'évolution de l'IA est essentielle pour se protéger contre les nouvelles attaques à venir. L'IA devra évoluer vers la prochaine génération. Cela nécessite l'utilisation de nœuds d'apprentissage automatique locaux dans le cadre d'un système intégré similaire au système nerveux humain. Les technologies dotées d'une IA avancée capable de voir, d'anticiper et de contrer les attaques devront devenir une réalité à l'avenir, car les cyberattaques du futur se produiront en quelques microsecondes. Le rôle principal des humains sera de veiller à ce que les systèmes de sécurité disposent de suffisamment d'informations pour non seulement contrer activement les attaques, mais aussi pour les anticiper afin de les prévenir.
Les tactiques, techniques et procédures des acteurs de la menace, sous la forme de leurs scénarios, peuvent être introduites dans les systèmes d'IA pour détecter les schémas d'attaque. De la même manière, lorsque les organisations éclairent les cartes de chaleur des menaces actuellement actives, les systèmes intelligents seront en mesure de cacher de manière proactive les cibles du réseau et de placer des pièges attrayants sur les chemins d'attaque. Les experts de Forbes estiment que l'utilisation de l'IA est particulièrement utile pour s'attaquer à deux vecteurs clés du courrier électronique : le courrier électronique lui-même et les applications. Dans un premier temps, l'IA et l'apprentissage automatique peuvent être utilisés pour le courrier électronique afin de mettre fin aux attaques qui se font passer pour des demandes et des mises à jour qui vous incitent à cliquer ou à partager des informations d'identification. Plus récemment, les professionnels de la cybersécurité ont commencé à utiliser l'IA pour apprendre des modèles de courrier électronique afin de déterminer quand un compte de messagerie a été compromis et est utilisé pour envoyer des attaques à d'autres victimes. Pour les applications dont l'interface est en ligne, les bots répondent constamment aux demandes d'informations actualisées sur l'application. De nombreux attaquants utilisent des bots pour trouver un accès non autorisé aux applications. Des millions de ces bots tournent en permanence sur l'internet et l'IA est utilisée pour déterminer ceux qui sont malveillants et ceux qui ne le sont pas.
L'IA s'avérera importante pour résoudre les problèmes liés à l'adoption du cloud. Les ressources étant souvent créées et fermées en quelques heures, voire en quelques minutes, il est devenu difficile pour les équipes chargées de la sécurité informatique de gérer ces autorisations dans le nuage, c'est-à-dire de savoir qui est autorisé à accéder aux charges de travail dans le nuage, quand et pendant combien de temps. Les outils traditionnels ne sont souvent pas applicables dans ces nouveaux environnements. Cependant, la technologie de l'IA peut aider à détecter les risques d'accès dans les environnements Infrastructure-as-a-Service (IaaS) et Platform-as-a-Service (PaaS) en détectant les identifiants humains et machines dans les environnements en nuage, puis en évaluant leurs droits, rôles et politiques.
L'IA sera davantage intégrée dans les systèmes d'authentification. Dans le contexte de la gestion des accès privilégiés (PAM), nous savons que l'authentification multifactorielle (MFA) adaptative est un exemple où plusieurs facteurs d'authentification, combinés à la prise en compte du comportement dynamique de l'utilisateur, peuvent réduire considérablement le risque dans les décisions d'authentification. En 2021, cela pourrait conduire à une utilisation plus fréquente de l'IA pour déterminer des évaluations des risques en temps réel et arrêter les menaces au stade de l'authentification avant qu'elles ne puissent causer de réels dommages.
Une transparence accrue des participants au programme open source sera essentielle en 2021, et l'utilisation de l'IA et de l'apprentissage automatique sera un catalyseur pour éliminer ceux qui ont des intentions malveillantes.
L'IA a également la possibilité de contribuer à mieux promouvoir la protection de la vie privée et à améliorer les technologies dans ce domaine. L'apprentissage fédéré est l'un de ces exemples qui a pris de l'ampleur ces derniers temps, car il permet de répondre aux exigences strictes de nombreuses réglementations mondiales en matière de protection de la vie privée tout en permettant l'utilisation des données comme outil stratégique de soutien aux entreprises.
Avec l'IA, la sécurité et les opérations informatiques seront mieux intégrées. Les algorithmes de sécurité modélisent des modèles historiques de comportement et détectent les anomalies et les écarts par rapport à ces modèles en temps quasi réel. Grâce à l'IA, ce processus peut être automatisé pour bloquer les attaquants en temps quasi réel.
Par exemple, un pirate tente d'accéder ou de pénétrer dans un pare-feu. Ce phénomène est détecté soit par un changement dans la quantité de données, soit par un changement dans la localisation de l'utilisateur qui tente d'y accéder. Plusieurs caractéristiques peuvent être utilisées pour classer cet accès particulier comme normal, pirate ou non sécurisé. Une fois ce phénomène détecté, il peut être transmis à un système d'automatisation / IA pour bloquer l'adresse IP de cette région ou de cette gamme particulière.
L'IA sera la clé du renforcement de la sécurité dans le monde distant. La sécurité est une priorité de gestion absolue pour toute organisation qui s'est engagée dans la voie de la transformation numérique, mais son importance n'a fait qu'augmenter en raison de la pandémie. Avec autant de points d'extrémité dispersés dans le monde, alors que les employés peuvent travailler à distance où qu'ils soient, les vulnérabilités se multiplient. La principale tendance que nous verrons en 2021 et au-delà est l'application de l'IA aux mesures de sécurité, car les humains seuls ne peuvent pas surveiller, contrôler et vérifier chaque point de terminaison pour protéger de manière adéquate ou efficace l'entreprise moderne.
La gestion des identités deviendra plus rationnelle à mesure que nous analyserons les modèles et les anomalies afin d'automatiser les demandes d'accès, d'identifier les utilisateurs à risque et d'éliminer les processus manuels et fastidieux de recertification.
La montée des attaques contre la chaîne d'approvisionnement
L'écosystème numérique s'est développé en réponse à l'évolution des besoins pendant la pandémie. Les experts réunis au Forum économique mondial (WEF) en mars 2021 ont souligné l'augmentation des cyberattaques contre les chaînes d'approvisionnement numériques vulnérables (les recommandations des Nations unies citées plus haut sont également muettes sur cette tendance).
Les organisations devraient revoir leurs procédures d'évaluation des risques et élargir la portée de leur stratégie de cybersécurité.
Au cours de la pandémie, un nouveau modèle opérationnel a émergé, basé sur diverses activités de restructuration, des initiatives de numérisation accélérées, des modèles de partenariat alternatifs et une concentration accrue sur les activités principales. À mesure que les organisations changent, il est important de réfléchir et de traiter les risques qui peuvent survenir dans le cadre de ces changements majeurs.
Parmi ces défis, il est essentiel de protéger le nouvel écosystème numérique qui sous-tend cette transformation contre les cyberattaques et l'effondrement de nos infrastructures d'information.
La pandémie a montré que le crime organisé est impitoyable lorsqu'il s'agit d'exploiter des événements à des fins de gain financier. C'est pourquoi nous avons assisté à un flux constant de cyberattaques très médiatisées contre des entreprises privées, des gouvernements et des plateformes de médias sociaux tout au long de 2020.
Les responsables politiques et les chefs d'entreprise ont pris conscience de l'interdépendance mondiale de nombreuses fonctions critiques et de la nature du risque posé par les chaînes d'approvisionnement transfrontalières. La pandémie a rendu réels ces vagues risques opérationnels et systémiques et a fait réfléchir les gens.
Les attaques contre les chaînes d'approvisionnement ne sont pas nouvelles. Mais dans un nouveau monde hautement numérisé et interconnecté, elles prennent de plus en plus d'importance. Les attaques fréquentes suscitent des inquiétudes quant à la capacité des organisations commerciales à rester résilientes.
Un thème commun à toutes ces attaques est la présence de fournisseurs tiers de matériel, de services ou de logiciels. Les personnalisations qui comprennent le passage rapide à de nouveaux environnements et la dépendance à l'égard de fournisseurs tiers sont courantes dans les infrastructures complexes.
Les fournisseurs tiers se concentrent sur l'objectif ultime, à savoir obtenir plus de résultats. Les méthodes et la durée du compromis varient, mais il existe des modèles communs. Il s'agit notamment de l'utilisation de problèmes de déploiement rapide, de la découverte de vulnérabilités dans les outils de gestion de la sécurité alors que les entreprises passent rapidement aux nouvelles technologies.
Des leçons peuvent être tirées de secteurs tels que le pétrole et le gaz, où la sécurité humaine est une priorité et où les hypothèses sont constamment remises en question. Cela commence par l'affirmation que l'on ne peut pas supposer que quelque chose fonctionnera en cas d'incident majeur. Il s'agit d'une culture de la résilience qui devrait être présente dans toutes les organisations. Il s'agit d'une question de résilience opérationnelle globale, et pas seulement de systèmes informatiques et de sécurité.
Dans un avenir où les environnements seront hautement numérisés et évolutifs, la résilience sera probablement primordiale et non négociable et pourra dépendre de la stabilité de la chaîne d'approvisionnement de bout en bout. Toutefois, elle nécessitera également un changement d'approche en matière de protection des données.
La chasse aux capacités de manipulation de la cybersécurité, à l'automatisation des processus manuels de sécurité, à une plus grande intégration avec les principaux flux de travail informatiques et à de nouveaux modèles de services et de prestations gérés se poursuivra. La sécurité des tiers peut également nécessiter de nouveaux modèles pour une gestion et une évaluation plus dynamiques des risques, notamment un meilleur suivi des charges dans la chaîne d'approvisionnement.
Au cours des dernières années, des entreprises ont commencé à proposer des services d'évaluation des risques basés sur le balayage des services Internet d'une entreprise, la surveillance des divulgations de données dans les coins sombres d'Internet et l'alerte des clients sur le fait qu'un fournisseur peut avoir un problème potentiel dont ils ne sont pas conscients ou que le fournisseur n'a pas encore divulgué.
À l'heure où l'externalisation des services non essentiels à l'entreprise s'accélère, il convient de se poser la question suivante : prêtez-vous vraiment suffisamment attention à votre dépendance à l'égard de tiers qui font désormais partie intégrante de votre sécurité et de votre pérennité en tant qu'entreprise ?
Pour l'avenir, les organisations ne doivent pas se contenter de penser aux pare-feu, aux logiciels antivirus et aux politiques de remédiation, mais envisager des approches de sécurité qui partent du principe que le succès d'une entreprise repose sur sa réputation - en définitive, la manifestation de la confiance.
Cette façon de penser conduit à intégrer la sécurité dans les produits et les services, mais surtout à protéger les clients et les partenaires de la chaîne d'approvisionnement, qui deviennent de plus en plus importants. Cela souligne la confiance qu'ils accordent au partage de leurs données les plus sensibles.
Aucune organisation n'est une île, et nous faisons tous partie d'un monde de plus en plus interconnecté.
l y a une vraie guerre dans le cyberespace. Seuls ceux qui sont proactifs peuvent gagner.
Et Churchill a raison.
Vladimir Ovchinsky
Vladimir Semyonovich Ovchinsky (né en 1955) est un célèbre criminologue russe, major général de la police à la retraite et docteur en droit. Avocat honoré de la Fédération de Russie. Ancien chef du bureau russe d'Interpol. Membre régulier du Club Izborsk.
Traduit du russe par Le Rouge et le Blanc.