Sécurité web : Que retenir de 2018 ?

Web Security 2018 Year In Review2018 vient de se terminer, et nous avons décidé de revenir sur cette année. De toutes les nouvelles qui ont fait les titres, nous en avons résumé 8 éléments principaux. Voici notre Year in Review (ou Rétrospective) de la sécurité web 2018.

 

1/ Tellement de fuites de données

Les chiffres pour 2018 ne sont pas encore connus, mais déjà sur le seul premier semestre, 944 fuites de données ont été répertoriées (source). Malgré une sensibilisation croissante à la cybersécurité, les incidents de sécurité sont multiples.

Dans certains cas, les données compromises sont allées au-delà des « classiques » pertes de l’email / du mot de passe / du numéro de carte bancaire. On peut citer la fuite de données de Marriott qui incluait des numéros de passeports, celle de Aadhaar des données biométriques… L’impact est majeur pour les personnes dont les données ont été compromises, et pour l’image des entreprises concernées.

2/ Les ransomwares fauteurs de troubles

Les rançongiciels ou ransomwares ciblent autant les entreprises que les organisations publiques. Le risque est connu après les campagnes de WannaCry / NotPetya de 2017, et il est toujours présent.

Certaines organisations ont eu des temps difficiles lors d’attaques de ransomwares. Par exemple, la ville d’Atlanta a été bloquée pendant 5 jours, l’aéroport de Bristol pendant 2 jours (et les images de tableaux blancs pour remplacer les écrans d’affichages ont fait les titres), le nouveau téléphérique de Moscou pendant 2 jours également, etc.

 

3/ La tendance des attaques liées aux cryptomonnaies

Comme les cryptomonnaies étaient populaires et leurs prix ont continué de monter, elles étaient de plus en plus attractives pour les attaquants malveillants. Certaines attaques ont ciblé les portefeuilles ou les marketplaces pour récupérer immédiatement l’argent, tandis que d’autres attaques étaient les malwares cryptominers, qui minent de l’argent pour l’attaquant. Les cryptominers ont même dépassé les ransomwares au premier semestre 2018 (Skybox Report Vulnerability Threat Trends 2018 Mid-Year Update, p. 11).

Si le cours des cryptomonnaies continue de baisser en 2019, les attaques liées devraient baisser rapidement.

 

4/ L’ingénierie sociale, principal vecteur d’attaque

Même si presque tout le monde connaît le phishing ou les attaques téléphoniques, la plupart des personnes pensent soit que ces attaques seront faciles à repérer et ils ne les craignent pas, soit que ces attaques sont trop sophistiquées pour être utilisées largement et donc ne leur arriveront jamais.

Alors qu’au contraire, les attaques utilisant des méthodes d’ingénierie sociale sont de plus en plus répandues et ont un taux de succès impressionnant pour les attaquants. Proofpoint estime qu’environ 95 % des attaques web incorporent désormais des éléments d’ingénierie sociale (Le facteur human – 2018, p. 14)

 

5/ Deux évolutions de sécurité web pour les internautes

HTTPS devient le protocole de communication de référence. Chrome affiche depuis juillet les sites en HTTP comme « non sécurisé », ce qui accélère l’adoption de HTTPS.

L’authentification double facteur (2FA) est largement proposé par les sites web, soulignant l’importance des identifiants de connexion. Cependant, cela prend du temps pour que les utilisateurs adoptent cette méthode d’authentification.

 

6/ L’identification biométrique n’est pas infaillible

Les systèmes d’authentification utilisant les empreintes digitales, les voix ou les visages sont souvent présentés comme « la » solution sécurisée d’authentification. Cependant, des chercheurs en sécurité informatique ont démontré que ces systèmes peuvent être trompés par des moules de doigts, en rejouant les voix ou par des copies 3D de visages. Des MasterPrints sont actuellement à l’étude, qui correspondraient à un grand nombre d’empreintes digitales.

 

7/ Le RGPD est entré en vigueur

Même si le RGPD (Règlement Général sur la Protection des Données) est appliqué officiellement depuis le 25 mai, la démarche de mise en conformité est encore en cours pour de nombreuses entreprises. Entre-temps, les premières amendes ont déjà été données à un hôpital portugais et à un fournisseur de réseau social en Allemagne.

Des lois similaires sont à l’étude dans d’autres pays ; par exemple, la Californie a déjà adopté sa loi pour la protection des données des consommateurs (Privacy Consumer Act).

 

8/ La cybersécurité est de plus en plus un sujet législatif

Les autorités réglementaires se saisissent de plus en plus de la question cybersécurité. En 2018, nous avons vu :

  • la loi CLOUD Act aux États-Unis, qui facilitent pour les autorités l’accès à des données et aux contenus de communications détenues par des compagnies américaines, sans considérer le lieu de stockage ;
  • la loi Assistance and Access Act en Australie, qui oblige les entreprises informatiques de créer une possibilité pour les autorités d’accéder aux données chiffrées ;
  • la directive NIS (Network and Information System) et le RGPD dans l’Union européenne, qui élèvent le niveau global de cybersécurité.

 

Voyons désormais ce que 2019 nous réserve. Mais surtout, nous vous souhaitons une année 2019 sécurisée !