Cybersécurité: quelles menaces pour 2024?
Comme de coutume en fin d’année, Kaspersky a sorti sa boule de cristal pour dépeindre le paysage des menaces persistantes avancées (APT) qui occupera les CISO ces prochains mois. Au menu, entre autres: attaques à la supply chain, spear-phishing dopé à la GenAI, piratages étatiques ou encore hacking en tant que service.
A quels types de menaces persistantes avancées (APT) les entreprises doivent-elles s'attendre en 2024? La firme de cybersécurité russe Kaspersky a livré ses prédictions annuelles en la matière, détaillant un certain nombre de manœuvres passablement sophistiquées et inédites, qui ont commencé à être observées ces derniers mois.
Attaques à la supply chain
Les pirates considèrent toujours davantage les intégrateurs, développeurs ou éditeurs comme des intermédiaires (à l’insu de ceux-ci). Les hackers malveillants cherchent à les utiliser comme points d'entrée pour atteindre l'infrastructure et les données de leurs cibles ultimes. Kaspersky cite l'exemple récent d'Okta, dont le service de support a été piraté, compromettant les données de nombreux clients. «Les motivations de ces attaques peuvent varier, allant du gain financier au cyber-espionnage, ce qui renforce la nature inquiétante de cette menace. Par exemple, le fameux groupe APT Lazarus a perfectionné ses capacités d'attaque de la chaîne d'approvisionnement», expliquent les analystes.
GenAI et spear-phishing
Les acteurs de la menace créent leurs propres chatbots dopés à la GenAI basés sur des solutions licites. Par exemple, le modèle de langage open-source GPTJ aurait servi de base à WormGPT, un modèle de langage spécifiquement créé à des fins malveillantes. Ce type de modèles (citons aussi xxxGPT, WolfGPT, FraudGPT, DarkBERT) sont attrayants pour les attaquants car ils n'ont pas les restrictions de contenu des solutions légitimes. Cette évolution va probablement faciliter la production en grande quantité de messages de spear-phishing (hameçonnage ciblé), qui servent souvent de point de départ à des attaques de type APT ou autres.
Davantage de menaces sur les systèmes MFT
Les solutions MFT (logiciel de transfert de fichiers managé) sont désormais essentielles aux opérations des entreprises et stockent une pléthore de données sensibles, telles que les dossiers financiers, les informations sur les clients et la propriété intellectuelle. Mais elles sont de ce fait également au centre de l'attention des cybercriminels, en particulier des opérateurs de ransomware. On se souvient de la faille touchant la solution Moveit, rapidement exploitée par le gang Clop: une seule vulnérabilité pouvait être utilisée pour voler des informations confidentielles, interférer avec les opérations commerciales et exiger une rançon. De l’avis de Kaspersky, les menaces qui pèsent sur les systèmes MFT devraient s'aggraver à l'avenir.
Appareils mobiles et objets connectés toujours plus ciblés
Bandes organisées de cyberpirates, hacktivistes et hackers agissant pour le compte d'Etats pourraient toujours plus avoir recours à l’exploitation de failles se logeant dans différents devices. En particulier dans les produits iOS. Mais aussi dans les objets connectés et autres appareils domotiques dits intelligents, souvent lacunaires en termes de mises à jour et de configurations sûres. Les chercheurs de Kaspersky citent l’exemple d’une méthode «silencieuse» de diffusion des exploits: des vulnérabilités ont été subtilement envoyées par iMessage et activées sans que l'utilisateur n'ait à intervenir.
Nouveaux réseaux de botnets
Les prochains mois pourraient voir l’émergence de nouveaux réseaux de botnets à grande échelle, en mesure de lancer des attaques ciblées. Ces réseaux de PC zombies présentent de l'intérêt pour les organisations APT car il est difficile pour les cibles de déterminer l'identité et les motivations des attaquants, font observer les analystes. Qui ajoutent: «En outre, les réseaux de zombies basés sur des appareils ou des logiciels grand public, ou ceux appartenant à des organisations légitimes, masquent commodément la véritable infrastructure des attaquants. Ils peuvent servir de serveurs mandataires, de centres C2 (commande et contrôle) intermédiaires et, en cas de mauvaise configuration du réseau, de points d'entrée potentiels dans les organisations».
Les rootkits de Kernel ont la cote
Microsoft a tenté de réduire la prévalence des rootkits et des attaques de bas niveau en introduisant de nouvelles fonctions de sécurité telles que l'architecture Secure Kernel dans les dernières versions de Windows. Toutefois, ces mesures n'empêchent pas les acteurs de la menace d’exécuter avec succès leurs logiciels malveillants dans le mode noyau des ordinateurs ciblés. Dans ce contexte, Kaspersky anticipe que les certificats EV et les certificats de signature de code volés deviennent largement disponibles sur le darknet.
Piratages étatiques en hausse
La dimension cybernétique est devenue une composante par défaut de tous les conflits. Et iI faut s'attendre à ce que cette tendance s’accentue, avec une hausse des cyberattaques menées par des acteurs parrainés par un Etat. Celles-ci devraient toucher non seulement les infrastructures critiques, les agences gouvernementales et les armées du monde entier, mais aussi les entreprises de médias. Les principaux objectifs des cyberpirates étatiques seront l'espionnage à long terme, l'endommagement des infrastructures informatiques et le vol de données. Les chercheurs s'attendent également à ce que les efforts de cyber-sabotage se multiplient.
Deepfake et hacktivisme
Le hacktivisme est un autre exemple de l'utilisation de la technologie dans un contexte de conflit. Selon les prévisions de la firme de cybersécurité russe, 2024 verra un pic de ce type d'activisme, axé sur la désinformation (entre autres à l’aide de technologies de deepfake toujours plus accessibles). Mais aussi via des attaques DDoS, le vol ou la destruction de données, ou encore via du vandalisme sur des sites web.
Hacking en tant que service
Une autre tendance en cybersécurité qui pourrait marquer les prochains mois concerne la multiplication probable des offres de piratage à la location (hack-for-hire). Ces services se spécialisent dans la pénétration des systèmes et dans le vol de données. Ces cyber-mercenaires, à l'image de DeathStalker, font publiquement la promotion de leurs services. Plutôt que de fonctionner comme une APT classique, cette menace est dirigée et se focalise par exemple sur les cabinets d'avocats et les institutions financières, offrant des services de piratage et servant de courtier en informations.