Des rançongiciels chers et dangereux
Les criminels qui installent des rançongiciels chiffrent les données d’un système informatique et exigent une rançon des organisations ou individus attaqués pour les récupérer. Une étude de l’Alliance pour la confiance en ligne de l’Internet Society estimait cette année que ces attaques auraient coûté 8 milliards de dollars en 2018 seulement.
Selon un rapport de la firme Symantec, les rançongiciels seraient toutefois en baisse de 20 % en 2019. Cette statistique en masque une autre : les entreprises, elles, ont plutôt connu une hausse de 12 %.
« Les premiers rançongiciels fonctionnaient un peu comme du spam. Les criminels envoyaient des courriels à tout le monde en espérant que quelqu’un morde à l’hameçon. Ce n’était pas très complexe », explique Kurt Baumgartner, chercheur principal en sécurité chez l’entreprise de sécurité informatique Kaspersky.
On observe toutefois une sophistication de plus en plus importante, où les criminels ciblent des organisations comme des villes, des hôpitaux et des entreprises. « Un individu ne va payer que 300 ou 400 dollars pour récupérer ses données. Ces organisations payent parfois des millions, en partie à cause des compagnies d’assurances qui le leur permettent », ajoute Kurt Baumgartner.
Pour le chercheur, il s’agit d’une erreur de payer autant. « Ça rend le crime attrayant et ça entraîne un effet boule de neige », estime-t-il.
« Ce n’est pas qu’il y aura plus de rançongiciels en 2020, mais les attaques seront plus importantes », soutient aussi David Masson, directeur national de la firme de cyberdéfense Darktrace pour le Canada.
Les infrastructures ciblées
« Les rançongiciels qui ciblent aujourd’hui les réseaux informatiques vont aussi toucher les réseaux d’infrastructures », prédit David Masson. Pour cet ancien officier du renseignement au Canada (SCRS) et en Angleterre (MI5), les bâtiments connectés et les villes intelligentes représentent de nouveaux points de contact permettant aux criminels de lancer leurs attaques.
Dans un rapport de 2018 sur les cybermenaces nationales, le Centre canadien pour la cybersécurité estimait justement qu’il était « fort improbable » qu’un État étranger perturbe volontairement les infrastructures essentielles du Canada s’il n’y avait aucun climat d’hostilité à l’échelle internationale, mais que « l’introduction d’un plus grand nombre de dispositifs connectés à Internet rendait les fournisseurs d’infrastructures essentielles plus susceptibles d’être la cible d’auteurs de cybermenaces moins sophistiquées, tels que les cybercriminels ».
« Après tout, on peut amasser beaucoup plus d’argent en attaquant une infrastructure que le réseau informatique d’une bibliothèque », explique David Masson.
Ces attaques pourraient d’ailleurs être facilitées par une autre tendance que l’on observe déjà, le « cybercrime comme un service », où des acteurs plus importants louent leurs services ou leurs outils à d’autres criminels.
L’apprentissage machine entre les mains des cybercriminels
L’apprentissage machine est utilisé dans des industries de tout acabit, et les cybercriminels ne font pas exception. Reste toutefois à voir jusqu’à quel point cette technologie sera adoptée en 2020.
« En 2020, nous allons voir une attaque entièrement propulsée par l’apprentissage machine, qui pourra se déplacer dans un réseau sans être détectée et sans la participation d’un humain », prédit David Masson de Darktrace. Pour ce dernier, l’adoption de l’intelligence artificielle par les cybercriminels pourrait notamment leur permettre d’effectuer des attaques importantes, qui étaient autrefois réservées aux États-nations dotés de grandes ressources.
Kurt Baumgartner est pour sa part plus tempéré. « C’est difficile pour l’instant d’amasser des données sur l’utilisation d’intelligence artificielle par les attaquants », note-t-il. Le chercheur de Kaspersky concède toutefois que l’apprentissage machine a beaucoup de potentiel pour certaines tâches, comme l’identification des cibles à attaquer.
Pour ce dernier, il est cependant clair que les cybercriminels utiliseront des outils développés à l’aide d’intelligence artificielle. Avec les élections américaines de 2020, il faut par exemple s’attendre à de nombreux abus en lien avec les hypertrucages et les modifications de photos et de vidéos. « De nombreuses technologies de pointe reliées à l’apprentissage machine peuvent être utilisées pour créer une histoire qui peut être dommageable à un individu », rappelle-t-il.
De nouveaux sommets pour les faux pavillons
Les pirates camouflent de mieux en mieux leurs traces lors d’attaques informatiques en tentant de jeter le blâme sur d’autres. La sophistication des false flags a d’ailleurs atteint de nouveaux sommets en 2018, avec l’attaque Olympic Destroyer contre les Jeux olympiques d’hiver à Pyeongchang.
« Nous allons voir de plus en plus d’attaques sous faux pavillons. Et pas seulement pour éviter le blâme et l’attribution, mais comme une forme d’attaque en elle-même », prédit Kurt Baumgartner de Kaspersky.
Les faux pavillons ne serviront donc pas qu’à mettre les chercheurs sur des fausses pistes, mais aussi à activement porter le blâme sur un adversaire, une façon de faire une pierre deux coups avec une attaque.
Les menaces de 2019 toujours bien réelles
Malheureusement, les menaces de 2020 ne remplaceront pas celles de 2019, rappelle pour sa part Masarah Paquet-Clouston, chercheuse pour l’entreprise de sécurité informatique GoSecure.
« Il faut encore s’attendre à des fuites de données importantes », prédit la chercheuse. Pour cette dernière, la présence de vieux systèmes informatiques continuera notamment de causer des ennuis. « Ces systèmes ne peuvent pas faire face aux attaques sophistiquées », explique-t-elle. L’utilisation de mots de passe faibles représentera aussi toujours un risque important.
« Tant que ces vulnérabilités ne seront pas réglées, elles pourront encore créer des gros problèmes », se désole Masarah Paquet-Clouston.
Même si des cybercriminels évolueront en 2020, d’autres continueront d’exploiter les failles présentes, qui sont toujours beaucoup trop nombreuses.
