Cybersécurité 2019 Year in Review

Pour commencer au mieux 2020, nous avons choisi de revenir un instant sur 2019. Ce fut une année avec de trop nombreuses cyberattaques, qui ont fait les titres de la presse généraliste et spécialisée.
Nous en avons tiré 5 éléments significatifs : voici notre year in review (ou récapitulatif) cybersécurité 2019. 

1/ Des fuites de données chroniques

La plupart des fuites d’information passent inaperçues jusqu’au jour où un chercheur en sécurité découvre les données exposées.
Dans ce laps de temps, les données exposées peuvent être trouvées et exploitées par des attaquants. Comme les victimes ignorent que leurs données ou leurs identifiants ont été compromis, elles ne peuvent pas retirer les données exposées ni se protéger, ce qui est un problème pour les entreprises comme pour les particuliers.
Ces données exposées peuvent être utilisées dans d’autres attaques, que ce soit pour obtenir un accès supplémentaire dans une entreprise, pour accéder à une autre cible ou pour une vaste campagne de spam ou de phishing.

Tout au long de l’année, des fuites de données ont été révélées, mais une en particulier a marqué l’année : 
la Collection#1, publiée en janvier 2019 par Troy Hunt, était un énorme ensemble d’adresses email et de mots de passe provenant de milliers de sources différentes : plus d’un milliard d’uniques combinaisons emails – mots de passe.

2/ De si nombreuses bases de données non sécurisées

Bien que les fuites de données soient liées à diverses vulnérabilités, les bases de données mal configurées ou ouvertes ont constitué un problème majeur en 2019 et ont été impliquées dans de nombreuses fuites des données importantes, comme celle de Capital One, de Verifications.io, et bien d’autres.
Une base de données non sécurisée a même exposé des données personnelles de toute la population de l’Équateur.

Comme les services et les instances cloud sont de plus en plus utilisés, leur configuration doit être surveillée de près et régulièrement. La sécurité du cloud est l’une des principales priorités des entreprises.

3/ L’escalade de ransomware

En 2019, les attaques par ransomware ont atteint une nouvelle ampleur. Elles visent non seulement les entreprises, mais aussi toute organisation, comme les écoles, les hôpitaux (par exemple en France, en Australie, en Alabama…), les organismes d’État ou les villes (Baltimore, Nouvelle-Orléans …).
De nombreuses attaques réussies de ransomware ont forcé les entreprises et organisations à arrêter leurs opérations pendant quelques jours ou ont dû passer à des processus papier ou manuels pour continuer leur activité.

Cette année, une variante dans la stratégie des attaquants était de menacer leur victime de publier leurs données si elle refusait de payer la rançon (par exemple le ransomware MegaCortex). Entre le risque d’amendes liées aux réglementations sur la protection des données personnelles et le fait d’avoir des informations stratégiques révélées à ses concurrents, il est compréhensible que des organisations puissent vouloir payer la rançon.

Cependant, il n’y a pas de garantie que les attaquants donnent les clés de chiffrement ou qu’ils ne mettront pas une vulnérabilité pour un accès ultérieur, mais cela soutient sûrement la croissance des attaques ransomware. 

4/ Les attaques d’ingénierie sociale se renouvellent en continu

Les attaques d’ingénierie sociale ont été un problème majeur en 2019 et le seront encore cette année. Toujours réinventées, elles s’appuient sur différentes techniques combinant connaissances informatiques et compétences relationnelles.

Le phishing est l’attaque la plus courante et de nombreuses personnes sous-estiment ses possibilités, car ils pensent qu’ils repéreront facilement ces attaques. Cependant, il y a toujours de nouveaux scénarios et astuces. L’an dernier, une « tendance » a été, par exemple, d’envoyer un lien malveillant via un service de partage de fichiers connu, afin de contourner la protection du courrier électronique.

D’autres attaques visaient à obtenir ou à modifier des informations bancaires. Par exemple, des appels affichant le bon numéro de téléphone de la banque ont été effectués pour inciter les gens à donner des informations confidentielles, de sorte que les attaquants pouvaient ensuite réinitialiser un mot de passe pour accéder à un compte ciblé.

Les scénarios d’ingénierie sociale n’ont pour limite que l’imagination des attaquants, c’est pourquoi la sensibilisation du personnel (par exemple avec des scénarios réalistes personnalisés) est la clé pour protéger les entreprises.

5/ L’IoT attaqué

La croissance du marché des objets connectés s’est poursuivie en 2019, mais leur sécurité reste encore toujours un peu en retard.
Les informations sur les serrures et les sonnettes connectées qui pouvaient être déverrouillées virtuellement, les caméras connectées qui pouvaient être activées via internet et pouvaient espionner leurs propriétaires, les jouets intelligents et les montres qui suivaient leurs utilisateurs… ont été nombreuses.

À mesure que l’industrie et les applications de l’Internet of Things gagnent en maturité, leur niveau de sécurité doit se renforcer et gagner en maturité également, afin de protéger les entreprises comme les clients.