2013

Prvisions en matire de scurit

Sommaire

Rsum 3 Nos prvisions 5 Les attaques continueront cibler les plates-formes Web lgitimes. Un nombre accru de menaces multi-plateformes ciblera les priphriques mobiles. Les malwares se multiplieront au sein des Application Stores officiels. On observera une rduction du nombre dincidents lis au piratage, grce la sensibilisation accrue des utilisateurs. Les cyber attaques dorigine tatique connatront une croissance notable. Les menaces sadapteront aux environnements virtuels. Les attaques de messagerie volueront pour atteindre des niveaux ingals.

5 6 8 9 1 0 1 1 1 2

Synthse 13

Rsum

Dbut 2012, une tude dIDC annonait que les outils bass sur les signatures (antivirus, pare-feu, outils de prvention dintrusion) ne sont efficaces que contre 30 50% des menaces actuelles. En outre, les clients sattendent voir lefficacit de ces outils dcliner progressivement au fil du temps. 1 Pour rpondre cette nouvelle situation, IDC recommandait alors aux entreprises denvisager un changement dapproche en matire de scurit afin de devenir plus proactif. 2 Alors que lanne touche sa fin, les recommandations dIDC demeurent plus que jamais dactualit. Or, une approche plus proactive en matire de scurit exige la prvision prcoce des menaces venir. Nous nous sommes donc appuys sur le travail des chercheurs de Websense Security Labs afin didentifier les principales menaces que vous risquez de rencontrer en 2013. A lissue dune analyse rigoureuse des tendances les plus rcentes (en matire de technologie, de scurit, de capacits de dtection et de menaces), nos chercheurs ont pu identifier les sept prvisions suivantes. Ces sept prvisions doivent vous servir revoir vos mesures de protection existantes, identifier vos failles scuritaires et prparer la mise en place de nouvelles mesures de scurisation. 1 Les attaques continueront cibler les plates-formes Web lgitimes. Outre les exploits dj connus et dirigs vers IIS et Apache, vous rencontrerez dsormais des centaines dattaques orientes vers les plates-formes de services et les nouveaux systmes de gestion de contenu.

2 Un nombre accru de menaces multi-plateformes ciblera les priphriques mobiles. Plus que la mobilit elle-mme, ce sont les nouveaux priphriques, les nouvelles infrastructures cloud et les nouvelles technologies qui seront particulirement vises. 3 4 Les malwares se multiplieront au sein des Application Stores officiels. Le succs des priphriques mobiles, du modle commercial des applications mobiles et plus gnralement le volume croissant dapplications creront de nouvelles zones de risque. Les actes de piratage russis seront en baisse. La sensibilisation accrue des utilisateurs et le renforcement des mesures prventives qui en dcoule entraineront une baisse du nombre dattaques russies, mme si ces attaques gagneront en sophistication.

1 2

Etude IDC Threat Intelligence Update, 14 fvrier 2012. Communiqu de presse IDC, 31 janvier 2012, (http://www.idc.com/getdoc.jsp?containerId=prUS23290912).

Rsum

5 6 7

Les cyber attaques dorigine tatique connatront une croissance notable. Dans le sillage de plusieurs affaires rcentes pouvant tre assimiles une vritable cyberguerre entre Etats, bon nombre de facteurs pousseront un nombre sans cesse croissant de pays adopter des stratgies et des tactiques de cyber attaques. Les menaces sadapteront aux environnements virtuels. Les fournisseurs de solutions rseau et de scurit sappuyant de plus en plus sur les machines virtuelles pour les applications, les serveurs et lisolation, les cybercriminels personnaliseront leurs attaques en consquence. Les attaques de messagerie volueront pour atteindre des niveaux ingals. Les algorithmes de gnration de domaine et dautres techniques mergentes contourneront les mcanismes de scurit actuels et les professionnels deviendront une cible privilgie. Les pices jointes malveillantes feront leur retour en force.

Dune manire gnrale, le volume global des attaques continuera augmenter mme si la taille moyenne des incidents aura tendance dcrotre. A partir du retour dexprience fourni par de nombreux clients dans le cadre de consultations prives, les auteurs de cette tude ont galement pu produire diffrents articles abordant dautres sujets comme la scurit mobile, la scurit des messageries et les exploits Java. Cette information complmentaire pourra aider les entreprises tablir des priorits et mieux penser leurs projets de scurisation dans ces domaines cls. Cette tude a t ralise en collaboration avec Websense Security Labs, dont les chercheurs se sont attachs tudier bien plus que les simples malwares, en sappuyant sur le rseau Websense ThreatSeeker Network. Lun des tout premiers rseau dinformation sur les menaces de sa catgorie, ThreatSeeker Network sappuie sur plus de 900 millions de priphriques rpartis dans le monde entier pour analyser chaque jour le contenu de 5 milliards de requtes. Les chercheurs de Websense Security Labs des rgions Amriques, Europe, Moyen-Orient, Afrique et Asie-Pacifique utilisent ce rseau pour suivre et analyser dans toute leur complexit les diffrentes attaques (Web, messagerie, vol de donnes, mdias sociaux, mobiles) intervenant dans le monde entier.

Nos prvisions
Prvision

Les attaques continueront cibler les plates-formes Web lgitimes.

Les administrateurs devront donc accorder plus dattention aux mises jour, aux correctifs et aux autres mesures de scurisation. Les cybercriminels ont besoin dune base virtuelle sur Internet pour excuter diffrents lments de leur attaque. Lutilisation de sites lgitimes leur permet de contrer plus facilement les mesures de scurit Web les plus courantes (comme par exemple les techniques danalyse de rputation). Ils ont trouv une source inpuisable de ressources Web exploitables dans les nouveaux systmes de gestion de contenu de type WordPress, phpBB, Mambo ou Joomla. La popularit croissante de WordPress en a fait une cible privilgie durant lanne 2012. Mais la taille de ce segment de march a plus que doubl en 2012, et lon compte aujourdhui plus de 1 000 solutions diffrentes proposes aux utilisateurs. Cet espace hautement concurrentiel favorise la frquence des mises jour de fonctionnalits. Ces mises jour introduisent souvent de nouvelles vulnrabilits, auxquelles les diteurs doivent ensuite rpondre en proposant des mises jour et des correctifs de scurit. Or, les clients de ces solutions sont en gnral plus attentifs au contenu qu la technologie et oublient frquemment dappliquer ces correctifs et ces mises jour. En exploitant les vulnrabilits de ce segment en plein essor, les cybercriminels parviennent dtourner tout ou partie des sites afin dhberger un malware, un faux cran dantivirus ou tout autre composant de leur attaque. Ces nouveaux systmes continueront attirer les cybercriminels tant que ce march et ses utilisateurs nauront pas atteint un degr de maturit suffisant. Les propritaires de ces sites doivent accepter de prendre leurs responsabilits en matire de maintenance de la scurit et les utilisateurs doivent de leur ct accepter et respecter des mesures de scurit Web renforces. En note de bas de page, le rapport Websense 2012 sur les menaces mentionnait que 8 sites Web compromis sur 10 rsident sur des htes compromis. Garantir un hbergement denvironnement Web scuris est donc indispensable au succs futur du commerce, de la culture et des communications en ligne.

Nos prvisions
Prvision

Un nombre accru de menaces multi-plateformes ciblera les priphriques mobiles.

Un nombre accru de menaces multi-plateformes ciblera les priphriques mobiles. Les exploits Web ciblent indiffremment les plates-formes PC, Mac, Android et iOS. Des malwares Java ciblant la fois des PC et des Mac ont t rcemment observs. De nombreux concepts de dtournement de HTML5 ont galement fait leur apparition. Mais le risque majeur pour 2013 implique les tlphones mobiles, qui ne sont utiliss quune fois sur cinq pour communiquer par tlphone. Principalement utiliss pour accder diverses formes de donnes, ces priphriques se connectent des services et des platesformes de toutes sortes. De nombreuses amliorations ont t apportes afin de permettre aux dveloppeurs lgitimes de produire plus facilement des applications capables de prendre en charge un plus large ventail de priphriques et de plates-formes. Malheureusement, ces amliorations bnficient galement aux cybercriminels, qui oprent dans des conditions similaires celles des dveloppeurs lgitimes et concentrent leur attention sur les plates-formes les plus profitables. Une fois ces barrires au dveloppement supprimes, de nouvelles menaces apparatront invitablement de faon plus frquente sur des plates-formes cibles secondaires. Les menaces mobiles seront galement capables dutiliser une gigantesque bibliothque de code conu lorigine pour dautres plates-formes (techniques dobscurcissement, attaques fragmentes, etc.). Ce qui pourrait permettre aux attaquants dintgrer quelques fonctionnalits uniques leur attaque, en sappuyant par exemple sur les services de golocalisation des priphriques mobiles.

Nos prvisions
Prvision

Pour les trois principales plates-formes utilises dans le monde, la menace pesant sur les priphriques mobiles augmenterait de la faon suivante :
Windows 8 : la volont de Microsoft de produire une plate-forme de dveloppement extrmement conviviale servira les intentions des cybercriminels, et les vulnrabilits seront exploites grande chelle. Si le produit rpond rellement aux attentes annonces, la menace pesant sur les priphriques mobiles Microsoft sera la plus importante. Android : du fait de louverture de la plate-forme, les techniques dattaque utilises sur les PC continueront sappliquer avec une parfaite efficacit cette plate-forme. Les efforts accrus de Google pour minimiser la difficult de prise en charge par les dveloppeurs de nouvelles versions du systme dexploitation Android et limportance des parts de march dtenues par Android gnreront en 2013 un nombre accru de cybermenaces. iOS : plate-forme moins ouverte, iOS posera moins de problmes en termes de vulnrabilits. Cependant, tant donn la forte pntration de ce systme dexploitation dans les environnements professionnels, les directions informatiques devront considrer cette plate-forme comme une victime de choix pour les attaques cibles.

Utilisation des Smartphones

Navigation Internet Rseaux sociaux Musique Jeux Appel tlphonique

Nombre de minutes par jour

24.81 17.49 15.64 14.44 12.13

Nos prvisions
Prvision

Les librairies applicatives mobiles officielles hbergeront plus de malwares en 2013

Les librairies applicatives mobiles officielles hbergeront plus de malwares en 2013. Le nombre dapplications hberges par Apple et Android approche le milliard. En outre, de plus en plus de dveloppeurs produisent des applications mobiles, encourags par le succs commercial des librairies applicatives et par les simplifications apportes par les diteurs de systmes dexploitation mobiles au dveloppement sur leur plate-forme. Les vieilles applications sont mises jour avec de nouvelles fonctionnalits, les priphriques sont dots de nouvelles capacits, et tous ceux qui gotent au succs lancent sur le march un nombre sans cesse croissant dapplications. En consquence, les librairies applicatives officielles ont t submerges par un volume sans cesse plus important dapplications tester et valider. Les cybercriminels conoivent galement de nouvelles mthodes leur permettant dviter la dtection en sappuyant la fois sur des techniques traditionnelles et nouvelles pour masquer leur vritable intention et leur comportement rel. Ces nouvelles mthodes permettent aux applications malicieuses de passer au travers des processus de validation actuels. De mme, les utilisateurs continueront accorder aveuglment toutes les permissions demandes par les applications, au mme titre quils acceptent les contrats de licence sans en lire les clauses ou quils cliquent dans les botes de dialogue dinstallation sans se mfier des consquences potentielles. Lutilisation de priphriques dbrids et d Application Stores non officiels devrait continuer faire peser un risque significatif, notamment aux entreprises mettant en uvre des stratgies BYOD (pratique consistant autoriser les employs connecter leur quipement mobile au rseau de lentreprise). Les directions informatiques devront adopter des stratgies et des solutions permettant dinterdire lutilisation des priphriques dbrids et de surveiller les communications entrantes et sortantes afin de dtecter toute activit malveillante. Afin de limiter les risques, il est fortement conseill aux clients Websense dinterdire galement laccs aux sites placs dans la catgorie marchs mobiles non autoriss .

Nos prvisions
Prvision

La sensibilisation accrue des utilisateurs entrainera une rduction du nombre des incidents lis au piratage.
Les entreprises prennent de plus en plus conscience quelles peuvent devenir les cibles des pirates mme dans le cadre dvnements ou de structures sans rapport direct avec elles. Mme un simple don un groupe soutenant une personne, une politique, un gouvernement ou une activit commerciale impopulaire peut suffire provoquer une attaque. Rendues prudentes par la mdiatisation dvnements rcents ayant touch des victimes sans mfiance et faiblement protges, les entreprises ont significativement investi dans le dploiement de stratgies et de solutions leur assurant une meilleure dtection et prvention. Le niveau de protection se renforant, peu de pirates possderont les comptences suffisantes pour pntrer un rseau cible et semer la dvastation souhaite sans courir de gros risques. De fait, si le nombre total dactes de piratage informatique devrait significativement baisser, leur sophistication va vraisemblablement saccrotre sensiblement. Les attaques basiques de type dni de service devraient perdurer au mme niveau quen 2012, mais leur taux de russite devrait dcrotre, les entreprises ayant entre temps parfaitement peru la ncessit de renforcer leurs mesures dfensives.

Nos prvisions
Prvision

Les cyber attaques dorigine tatique connatront une croissance notable.

Les Etats menant dores et dj de vritables cyberguerres ne limiteront sans doute pas leurs efforts en 2013. Mais leurs actes seront dsormais connus de tous, mme sil demeurera trs difficile de discerner prcisment qui aura fait quoi. En clair, sil peut tre impossible pour certains de devenir une nouvelle superpuissance nuclaire, pratiquement tous les pays pourront financer les ressources humaines et techniques permettant la mise en uvre de cyber attaques. La facilit daccs aux menaces et malwares existants les plus sophistiqus permettra aux cybercriminels de gagner un temps prcieux. Et si laccs au code dattaques passes comme Stuxnet, Flame, Shamoon ou autre ntait pas suffisant, il existe sur le march noir des exploits et des ressources qui sont bien plus faciles acheter que le plutonium enrichi. En fait, ceux qui utiliseront ces ressources externes seront parfaitement positionns pour mettre en uvre des attaques de type zero day , facilites par lutilisation dexploits souvent mis jour plusieurs fois par semaine. Les attaques cibles visant des objectifs militaires, politiques et mme commerciaux se multiplient depuis quelques temps. En 2013, les Etats seront sans doute mieux protgs que la plupart des structures, car ils bnficieront non seulement de linformation recueillie via Internet, mais galement de celle provenant des rseaux despionnage classiques. Pour scuriser leurs rseaux, les Etats devront comprendre le cycle complet de menace multi niveaux et sassurer que leurs mcanismes de dfense existants font le maximum chaque niveau potentiel de lattaque. Des exercices pousss rguliers portant sur lensemble du cycle de menace les aideront identifier les failles scuritaires. Cette identification des failles permet daffecter les ressources et les budgets limits aux points faibles les plus stratgiques.

10

Nos prvisions
Prvision

Les menaces sadapteront aux environnements virtuels.

Lorsque les mesures de protection uniquement bases sur la signature ont commenc savrer moins efficaces, les diteurs de solutions de scurit ont investi dans les mthodes danalyse comportementale, donnant naissance au large ventail de techniques disolation bien connues aujourdhui. En gnral, ces techniques excutent le fichier suspect dans un environnement virtuel o son comportement est suivi afin de dtecter toute indication ventuelle dintention malveillante et de fournir le cas chant un nouveau schma de dfense ou une nouvelle signature permettant de protger les utilisateurs. Mais les cybercriminels ont dcouvert plusieurs faons de contourner facilement ce type de dfenses passives. Prenons lexemple de Flame. Ce malware se contentait de ne rien faire durant plusieurs minutes, dpassant largement le dlai au lissus duquel la plupart des solutions utilisant le sandboxing cessent de rechercher tout indice de comportement malveillant. Mme les solutions sappuyant sur une technologie de sandboxing en arrireplan ne parvenaient pas dtecter Flame. Dautres mthodes de contournement des mesures de scurit sont plus complexes et essayent de dtecter la prsence ventuelle dun environnement virtuel, afin de dterminer si lattaque doit continuer ou sil est prfrable de simuler une activit normale. Un nombre croissant dentreprises sappuyant sur des environnements virtuels pour hberger leurs applications stratgiques et prendre en charge leurs oprations critiques, les attaques adoptent de nouvelles mthodes afin dviter la dtection tout en identifiant au passage les actifs les plus prcieux. Cette approche implique de dterminer tout dabord si lenvironnement est bien virtuel, et si cest le cas, sil sagit dun simple serveur virtuel dentreprise ou au contraire dun systme de scurit par isolation. Certaines mthodes cherchent identifier spcifiquement ces systmes disolation, tout comme certaines attaques passes visaient prcisment les diteurs dantivirus. Si ces attaques savrent complexes et relativement nouvelles, elles nen reprsentent pas moins une nouvelle source de revenu pour les fournisseurs dexploits qui ont les moyens dans la R&D ncessaire et bnficient dune demande croissante en faveur de ce type dattaques complexes.

11

Nos prvisions
Prvision

Les attaques de messagerie volueront pour atteindre des niveaux ingals.

Les attaques continueront voluer en 2013, et leurs consquences affecteront principalement ceux qui ne seront pas parvenus adapter leurs stratgies de scurisation de messagerie aux nouvelles menaces. Les pices jointes malveillantes font leur retour. Les malwares diffuss par le biais de pices jointes dclinaient rgulire ment depuis 1999, suite lapparition des solutions bases sur la rputation et de diverses autres mthodes de protection. Pourtant, cette mthode dattaque connaitra un regain de popularit en 2013, du fait de ltonnant succs rencontr par un pic dattaques de ce type en 2012. Les cybercriminels lavaient vraisemblablement dclench dans le but de vrifier la vracit de dclarations danalystes qui prtendaient que les dfenses traditionnelles ntaient dsormais plus capables que de dtecter de 30 50% des menaces mergeantes. Spcialement conus pour contourner les dfenses grce un algorithme de gnra- tion de domaine ou des techniques avances dobscurcissement des menaces, les emails malveillants gnrs par un robot seront plus nombreux. Ils seront plus nom breux galement sappuyer sur des exploits. Utiliss la fois pour des attaques massives et des attaques cibles, ces techniques reprsenteront galement un risque accru pour dautres plates-formes de messagerie (IM, rseaux sociaux, applications mobiles, etc.). Ladoption dune protection proactive passera par la rvaluation des dfenses axes sur les premires phases de ce type dattaques (filtres antispam, par exemple) et de lampleur des mesures de protection en temps rel mises en uvre lorsque les utilisateurs cliquent sur des liens Web embarqus pouvant cacher une attaque de type point-of-click . Les attaaques de messagerie cibleront de plus en plus les professionnels. - Les deux-tiers des attaques par hameonnage interviennent les lundi et les mardi, cest--dire les deux jours de la semaine pendant lesquels les employs sont gnralement le moins concentr. De ce fait, le pourcentage de chance pour quun employ ne dtecte pas la prsence dun email malveillant est accru. - Les systmes de scurisation des messageries sont conus pour analyser les messages lors de leur rception par le serveur et non lors de leur ouverture par le destinataire. Un attaquant peut donc viter toute dtection en compromettant une page Web via lenvoi dun message contenant un lien vers cette page Web.

12

Rsum

La scurisation des informations savre chaque jour plus complexe, et 2013 ne fera pas exception. La prsente tude a pour but de fournir la fois des informations contextuelles et des prvisions, afin daider les personnels affects la scurit valuer leurs dispositifs de protection existants et mettre en place des plans daction visant renforcer leurs dfenses et sadapter aux menaces futures. Cette tude a galement pour but de sensibiliser aux risques induits par lutilisation de technologies mergeantes comme les priphriques mobiles. Elle permettra en outre de sensibiliser tous ceux qui ont tort interprt les dfaillances de lattaque I love You et dautres virus rcents comme le signe dun dclin du risque de cyber attaque. Enfin, cette tude est essentiellement axe sur les principales volutions attendues en 2013. Il est donc important de conserver lesprit que ces prvisions nannoncent pas le remplacement des menaces, mais bien lapparition de nouvelles menaces qui viennent sajouter larsenal fourni des cybercriminels. Certaines constituent un nouveau type dattaque, dautres ne sont quun composant utilis dans le cadre dattaques combines plusieurs niveaux. Pour en savoir plus sur lefficacit de votre stratgie de dfense actuelle et sur votre capacit rsister aux futures attaques, nous vous recommandons de revoir les diffrentes tapes dune attaque dans le rapport Websense 2012 sur les menaces. Vous y dcouvrirez quune attaque peut tre stoppe nimporte quelle tape de sa progression et que ladoption dune stratgie complte de dfense vous permettra de garantir la prsence effective des mesures de protection indispensables.

2012 Websense, Inc. Tous droits rservs. Websense et le logo Websense sont des marques dposes de Websense, Inc. aux Etats-Unis et dans plusieurs pays. Toutes les autre marques sont la proprit de leurs propritaires respectifs.

13