Madame Irma : les tendances de la sécurité en 2015

Même si elle s’est fait un peu taper sur la boule de cristal suite à ses prédictions pas toujours justes Madame Irma a décidé de revenir en 2015 et de vous offrir une compilation des analyses de quelques professionnels de la profession. L’année 2015 sera-t-elle différente ? Quelles seront les tendances de la sécurité vues par les analystes ou les éditeurs, Madame Irma vous dévoile tout.

les moyens de paiement dans le viseur

Clairement c’est la tendance forte d’après Bitdefender, Trend Micro, Sophos ou Symantec. Les nouveaux moyens de paiement mobiles sans contacts, sur une carte bancaire ou liés au téléphone, sont dans le collimateur des pirates.

En 2015, ces attaques devraient encore rester marginales et l’espérance de gains est faible, mais le concept devrait faire ses preuves. En effet, pourquoi déployer les grands moyens pour attaquer une banque alors que l’on peut, avec des moyens plus modestes et surtout moins de risques, frapper directement au portefeuille électronique ? Kaspersky souligne l’utilisation d’APT pour dérober directement l’argent ou effectuer des virements et étend la menace aux systèmes de délivrance de tickets (comme ceux des réseaux de transport).

chantage et extorsion

De nombreux analystes et éditeurs ont constaté en 2014 une augmentation des tentatives d’extorsion et de chantage. Comme le montre l’intervention de Gérôme BILLOIS lors du dernier panorama du Clusif, ces menaces peuvent prendre plusieurs formes : vol de données avec demande de paiement de rançon, chiffrement de données avec des outils de type Cryptolocker ou Cryptowall, menace d’attaque DDOS… D’après Proofpoint ce type de menace devrait être la plus importante en 2015.

l’internet des objets : des zombies dans les frigos ?

L’année 2014 a été celle du Proof of Concept. 2015 sera-t-elle celle des frigos zombies ? Rien n’est moins sûr mais de nombreux éditeurs relèvent que les objets connectés intéressent de plus en plus les pirates. Même si leur utilisation semble limitée pour l’instant à des réseaux impliqués dans des DDOS, Sophos relève que l’absence de composante sécurité (l’absence de système de mise à jour par exemple) sur de nombreux objets connectés les rend particulièrement attractifs. On devrait donc voir émerger en 2015 des attaques sur les IoT avec potentiellement des menaces concernant la vie privée (smart tv etc..) Allons-nous passer en 2015 du proof of concept à la menace de masse ? Certains le pensent, la menace n’est pas à négliger.

open source ou porte ouverte

Les prévisionnistes ont retenu les leçons de 2014. Alors que le sujet n’était même pas évoqué l’an dernier, quasiment tous les éditeurs ou analystes (Kaspersky, Trend Micro, …) relèvent maintenant le risque provenant des codes sources ouverts qui ne nécessitent pas d’être cassés pour révéler des vulnérabilités. Alors un nouveau Heartbleed ou ShellShock en 2015 ? C’est tout à fait possible ! Espérons juste qu’il n’y en aura pas autant qu’en 2014, car patcher des parcs entiers de serveurs ou d’appliances n’est pas une sinécure pour une entreprise ou pour un opérateur !

les mobiles bougent encore

On parle une fois de plus des vulnérabilités sur les mobiles, même si ce sujet semble moins passionner les éditeurs que les années précédentes, à l’exception notable de la partie paiement !
On retrouve donc classiquement les alertes concernant Androïd avec le développement de kits d’exploit spécialement développés selon Trend Micro.
Bit Defender prédit également la création de vrais botnets mobiles et des attaques de spear phishing sur mobiles. A lire également sur ce sujet les prédictions de PaloAlto.

des pépins pour Apple ?

Kaspersky estime que, en raison de son succès grandissant, Apple pourrait être victime d’attaques sur son système d’exploitation : les pirates pourraient tirer partis des failles ouvertes par les utilisateurs désactivant volontairement les sécurités du système pour utiliser des logiciels piratés. La menace pourrait prendre la forme de malwares intégrés à des logiciels populaires et destinés à créer un réseau de machines infectées. Un botnet uniquement constitué de Macs ce serait classe non ? Enfin, pour revenir au premier thème abordé dans cet article, Kaspersky estime que le lancement du système Apple Pay sur mobile pourrait valoir à la firme à la pomme des attaques directes ciblant son système de paiement.

l’authentification en question

Dans ses prédictions Symantec pense que l’authentification à deux facteurs pourrait enfin se généraliser si les réticences des utilisateurs face à la « complexité » de ces solutions sont levées. Ces réticences font dire à WatchGuard que le couple identifiant / mot de passe n’est pas près de mourir à court terme ! Toujours concernant l’authentification, l’analyste du Sans Institute relève que la confiance dans les certificats pourrait s’effriter du fait du nombre de certificats compromis. Les certificats MD5 pourraient devenir rapidement obsolètes.

mes prédictions à moi ?

Allez, je me risque à en faire une, quitte à me faire tancer à la fin de l’année ! Je pense que les DNS vont jouer un rôle de plus en plus important, soit comme victimes directes des attaques, soit comme vecteur. Cette tendance était déjà relevée par Cisco dans son  rapport de mi année 2014, et soulignée par le Sans Institute dans ses prédictions pour 2015.

conclusion

Les éditeurs ont tiré les leçons de cette très riche année 2014 notamment concernant les menaces liées aux logiciels libres ! Pour le reste, on retrouve en ce début d’année beaucoup de menaces déjà annoncées l’an dernier (et pas forcément réalisées).

Si 2014 a été l’année des failles provenant des logiciels libres et des Proof of Concept sur les objets connectés, 2015 pourrait être l’année de l’industrialisation. Néanmoins, de nombreux éditeurs comme Proofpoint ,Sophos ou Symantec notent une évolution profonde des règlementations au niveau des états pour aider à lutter contre la cyber malveillance.

Et vous qu’en pensez-vous ? Quelles sont vos prédictions pour 2015 ?

Philippe

Crédit photo : © Pete Saloutos