La sécurité IT est souvent assimilée à un jeu de saute-moutons : alors que les pirates cherchent constamment de nouvelles manières de pénétrer les réseaux, les solutions de sécurité doivent évoluer à l'unisson. A cet égard, il est donc important de regarder vers l'avenir, à savoir les nouvelles technologies et leurs impacts.

5G

Pour Rik Ferguson, vice-président de la recherche en sécurité chez Trend Micro, la 5G constitue le défi majeur pour l'avenir de la cybersécurité, comme il l'a déclaré lors de la conférence CloudSec de Londres. " Il s'agit d'une technologie transformationnelle, a-t-il expliqué. Celle-ci va ouvrir la voie à une toute nouvelle génération d'applications. " Les entreprises et les fournisseurs de télécoms attendent avec impatience cette technologie qui va offrir davantage de bande passante et une latence plus faible, sans parler des perspectives en termes de réseaux 'software defined' et de 'slicing'. De telles fonctions vont permettre l'émergence de drones et de voitures autonomes par exemple, Ferguson évoquant d'ailleurs un véritable boom des appareils connectés intelligents qui, chose importante, devront être tous sécurisés.

La 5G est une technologie transformationnelle" Rik Ferguson

Alors que de tels 'appareils' connectés en réseau sont aujourd'hui déjà difficiles à sécuriser, quid s'ils connaissent une croissance exponentielle ? " Il faudra imaginer comment rendre tous ces équipements visibles. Et comment les gérer, alors qu'ils n'auront sans doute pas été conçus pour être gérés. Or il sera impossible d'installer un logiciel supplémentaire sur tous ces appareils ", dixit Ferguson. Et de citer l'exemple de l'éclairage urbain : si une ville compte par exemple 100.000 pylônes lumineux, ce seront alors 100.000 adresses IP dont il faudra éviter qu'ils ne fassent partie d'un 'botnet' ainsi que 100.000 cartes SIM susceptibles d'être piratées.

" Les réseaux deviendront très volatiles et 'software defined'. La sécurité devra pouvoir en tenir compte, explique-t-il encore. N'oubliez pas par ailleurs que vous avez affaire à un autre type d'utilisateurs. L'IoT est largement synonyme de communication 'machine-to-machine', ce qui signifie que le réseau doit pouvoir supporter des utilisateurs non humains. Par ailleurs, il est question de volumes gigantesques de données. Comment faire pour les stocker et comment les effacer ensuite de manière sécurisée ? "

Caméras omniprésentes

Un aspect qui semble moins inquiéter Trend Micro est celui des appareils espions. " Une TV intelligente dotée d'une Webcam n'est pas aussi fréquente qu'on le pense, précise Robert McArdle, chercheur en cybercriminalité chez Trend Micro. Les gens ne l'utilisent pas. Nous avons précisément toutes sortes d'applis, dont WhatsApp, pour éviter de devoir communiquer en face-à-face. Il n'y a donc pas vraiment de demande pour ce type d'interaction par le biais d'un grand écran. "

Il s'interroge en outre sur le point de savoir ce que l'on pourrait faire avec les images prises par une telle caméra intelligente. " Pensez-vous que des pirates pourraient vous espionner sur base de cette vidéo ? Dans ce cas, vous réagissez comme un pirate, pas comme un criminel. Si quelqu'un passe des heures à visionner des images dont personne ne pourrait avoir honte, il convient d'abord de se demander de qui il peut s'agir. N'oubliez pas que ces caméras vulnérables ont en général été achetées sur l'Internet, de sorte que ces personnes peuvent venir de n'importe où. Il faudra donc d'abord trouver ces utilisateurs, puis leur envoyer un message d'intimidation dans leur langue sans se mettre soi-même en danger. Il s'agit d'un modèle commercial particulièrement boiteux. "

McArdle ajoute qu'une fois infecté, ce type d'appareil peut facilement être utilisé dans une attaque DDoS. " Dans ce cas, on n'est confronté qu'à une seule victime, alors que la grande majorité des gens dont l'appareil a été piraté n'a pas la moindre idée d'avoir être espionné. "

Sa conclusion ? " Vous n'avez rien de spécial. Très peu de gens sont suffisamment intéressants pour un pirate professionnel. L'IoT sera certes utilisé pour pénétrer un réseau et donc pirater des données d'entreprise. Une caméra à 20 $ n'est guère sécurisée et lorsque l'on travaille de chez soi, il suffit de protéger son ordinateur portable et non l'ensemble de son réseau. " Et d'évoquer une problématique de type 'bring your own device' inversée. " Au lieu d'intégrer toutes sortes d'appareils mobiles potentiellement infectés sur le réseau d'entreprise, on en arrive à un réseau d'entreprise qui s'ouvre aux environnements possiblement non sécurisés de télétravailleurs. Votre infrastructure doit s'y adapter. Si vous ne parvenez pas à sécuriser un utilisateur qui travaille depuis une conférence sur le piratage au départ d'un café Starbucks, c'est que votre modèle de sécurisation n'est pas bon. "

Très peu de gens sont suffisamment intéressants pour un pirate professionnel" Robert McArdle

Rançongiciel 'deepfake'

Si McArdle se fend d'un long plaidoyer contre les risques d'abus d'images de caméras pour rançonner une personne, il n'en met pas moins en garde contre un autre type de piratage, à savoir les 'deepfakes'.

L'idée sous-jacente est qu'un pirate réalise une vidéo de type 'deepfake' au départ d'images que le pirate trouve simplement sur les réseaux sociaux. C'est ainsi qu'un 'geek' quelque peu malveillant peut par exemple créer une vidéo porno ou encore coller la tête d'un politicien sur une personne errant en rue. Cette vidéo pourra ensuite être utilisée pour faire chanter la personne en question, sachant que ce type d'images, si elles sont crédibles, pourraient ruiner une carrière. Et une rançon pourrait être versée pour éviter que ladite vidéo ne soit jamais publiée en ligne.

" Songez à Nancy Pelosi, la démocrate américaine dont une vidéo pirate avait été diffusée en ligne la montrant avec une bande son ralentie, faisant penser qu'elle était ivre ou sénile. Il ne s'agissait même pas d'une vidéo 'deepfake', mais ses conséquences ont été particulièrement dommageables, note Robert McArdle. Les gens ne vont pas vérifier à deux fois si la vidéo est vraie, de sorte qu'un politicien est tenté de verser la rançon dans un tel cas. Pour lui, le dommage est irréparable, que la vidéo soit vraie ou non. "

McArdle estime encore que les rançongiciels 'deepfake' ciblent spécifiquement les adolescents, parce que ceux-ci se trouvent à un moment de leur vie où ils attachent beaucoup d'importance à leur image publique et qu'ils chargent beaucoup d'images d'eux-mêmes. Or comme ces évolutions se traduisent par une hausse du nombre de suicides parmi les jeunes et que le sentiment général sur ces pratiques est toujours plus grand, il est d'autant plus important de rester attentif lorsqu'une vidéo d'un camarade de classe est diffusée.

Remarquons que McArdle évoque surtout les risques qui pourraient survenir dans le futur et semble faire peu de cas des risques d'ores et déjà existants. Or selon une enquête du cabinet néerlandais Deeptrace, les 'deepfakes' sont apparus depuis 2 ans environ déjà sur les forums publics et doublent en nombre d'année en année. L'enquête révèle également que ces 'deepfakes' sont à 96% du porno et que la principale victime n'est pas le politicien ou l'adolescent, mais bien la femme.

Intelligence artificielle

Et il ne faudrait pas oublier l'intelligence artificielle. Dans le bras de fer entre experts en sécurité et pirates potentiels, l'IA devrait jouer un rôle, estiment Ferguson et McArdle. Ceux-ci évoquent notamment le 'thread modelling' qui vise à prévoir les menaces. " Chacun réfléchit de manière différente et lorsqu'un problème survient, différentes personnes vont donc rechercher différentes solutions. Cela vaut également pour l'IA ", estime Ferguson. Ainsi, un algorithme pourrait parfaitement tenter de pénétrer un système selon des techniques auxquelles l'on ne penserait pas forcément, mais qu'une autre IA pourrait très bien déceler. Par ailleurs, l'intelligence artificielle pourrait trouver des vulnérabilités auxquelles des humains n'auraient pas pensé. " Une fois que des pirates mettent en oeuvre l'IA, il est possible de rendre les attaques plus rapides et plus efficaces, remarque Ferguson. En effet, les attaques se feront à la vitesse de l'ordinateur, les tactiques pourront être adaptées à la vitesse de la machine et le code utilisé pourra également comprendre le contexte dans lequel les attaques évoluent. Dès lors, l'attaque pourra être adaptée en temps réel à l'évolution des circonstances. "

PSD2

En marge de la conférence, nous avons demandé à Robert McArdle son point de vue, et celui de son entreprise, face à la PSD2, la directive européenne autorisant des tiers (comme une appli ou une boutique Web) à traiter eux-mêmes des paiements sans faire appel à des banques. " Vos données quittent le périmètre de la banque, explique à ce sujet McArdle. En tant que client, je décide seul si un tiers peut effectuer des paiements en mon nom et la banque doit s'y soumettre. "

La première question est de savoir si cela signifie qu'un tiers malveillant peut fonder une société pour obliger des personnes à effectuer des paiements. C'est possible, estime McArdle, mais ce qui risque plutôt d'arriver, c'est qu'un tiers légitime, par ex. une appli de paiement, soit piraté. Les banques disposent de systèmes très performants de détection des fraudes. C'est ainsi que si je me connecte soudainement à ma banque depuis l'Asie du Sud-Est et que j'étais à Londres une heure plus tôt, la banque le détectera. Les organismes bancaires utilisent de très bonnes solutions de détection des fraudes et collectent de très nombreuses données. Mais si j'ai une appli et qu'un pirate l'utilise pour transférer de l'argent, la banque n'y verra que du feu. Celle-ci n'a en effet qu'un nombre limité de données sur ce tiers. Les cibles seront donc ces tiers qui ne disposent souvent pas des mêmes protections qu'une grande banque. "

Les compagnies d'assurances ambiguës face aux rançongiciels ?

L'un des orateurs les plus écoutés lors de la CloudSec était Theresa Payton, l'ex-CIO de la Maison-Blanche (sous George Bush junior) qui, dans son discours, a notamment plaidé pour plus de confiance dans sa propre sécurité et pour ne pas écouter forcément les conseils des assureurs. " Il est frustrant de constater que les compagnies d'assurances ont tendance à inciter les victimes de rançongiciel à verser la rançon réclamée. Un assureur regarde ce que peut coûter une réponse à un incident et une analyse et peut constater que le montant est plus élevé que celui de la rançon elle-même dans la mesure où de nombreuses entreprises ne sont pas vraiment préparées. "

Du coup, ces entreprises et organisations financent toutefois aussi les criminels, poursuit Payton. Elles considèrent que les pirates savent généralement très bien ce qu'ils font et qu'ils réclament une rançon qui est souvent quelque peu inférieure à ce que coûterait la récupération des données en question. Il s'agirait d'ailleurs de l'une des explications du succès croissant des rançongiciels : le modèle commercial aurait fait ses preuves.

Entre-temps en Belgique

Comment évolue entre-temps Trend Micro dans notre pays ? Croissance, est le terme cité en premier par Steven Heyde, directeur général du Benelux. " Je pense que nous avons doublé les équipes ces 3 dernières années, ce qui montre que les opportunités existent sur le marché. " En Belgique, le principal moteur de la croissance est et reste le cloud, ajoute-t-il. " Au niveau du cloud et de la sécurité des centres de données, le défi majeur est la grande diversité des infrastructures des clients. Nous sommes en effet confrontés à 'un peu de tout'. On trouve à la fois du cloud privé et public ainsi qu'une très grande variété de systèmes d'exploitation et d'applicatifs. La difficulté principale consiste à pouvoir surveiller et contrôler toutes ces infrastructures. Notre département cloud et datacenter a doublé ces 2 dernières années et force est de constater que les clients ont besoin de personnel pour gérer ces infrastructures hybrides. On reste trop souvent dans le bricolage. "

Steven Heyde
Rik Ferguson
Theresa Payton