Chaque année, les experts Stormshield se plient à l’exercice de l’analyse des tendances structurantes pour l’année à venir. Quelles seront les grandes questions qui vont agiter le monde de la cybersécurité en 2020 ? Comme l’année passée, nous nous sommes penchés sur les chiffres de la cybersécurité en 2019, sur certains signaux faibles, sur les dernières analyses du secteur ainsi que sur les convictions de nos experts. Projection dans les tendances de la cybersécurité en 2020, avec 4 hypothèses et autant de scénarios de cybermalveillance, qui pourraient façonner cette nouvelle année. Un papier garanti sans boule de cristal.
Vers un phishing à plusieurs vitesses ?
Les signaux faibles de 2019
En 2019, la part du phishing a progressé dans les principaux vecteurs de cybermalveillance (d’après un rapport de Microsoft, publié en fin d’année). Et « les méthodes de phishing employées interpellent par leur niveau de sophistication », avec des fausses pages 404 ou encore des fausses pages indexées dans Google… En octobre, un article publié sur le blog de Kaspersky faisait même état de campagnes de phishing déguisées en entretiens d’évaluation !
Entre 2017 et 2018, les recherches associées au mot « deepfake » ont été multipliées par 1 000 sur le moteur de recherche Google. De fait, la menace est devenue tangible en 2019. En septembre, une entreprise anglaise a été victime d’une arnaque au président, après qu’un employé a effectué un virement de 200 000 livres à un prestataire hongrois. Ce dernier pensait avoir reçu par téléphone un ordre du CEO, mais il s’agissait en fait d’un deepfake réalisé à partir d’un enregistrement de voix. Autre exemple, en images cette fois-ci, avec une vidéo diffusée au mois de novembre qui montrait des images de Donald Trump annonçant la fin de l’épidémie de sida dans le monde. Fausse alerte : il s’agissait en fait d’une campagne de l’association Solidarité Sida, basée sur un deepfake là encore. À côté de ces deux faits divers, Google a fait savoir que le déploiement de Duplex, une intelligence artificielle qui passe des appels de manière autonome, allait être accéléré. Alors, 2020 sera-t-elle l’année du social engineering à la sauce deepfake ?
Les scénarios possibles
L’introduction des deepfakes dans l’arsenal de la cybermalveillance est un véritable challenge technique de prévention et de sécurité. Et la plupart des experts s’arrachent les cheveux face à la complexité de cette menace. Au fur et à mesure que les outils pour en concevoir se démocratisent, il est très probable que l’année 2020 verra se multiplier les campagnes de phishing basées sur des deepfakes. Cette technique sera d’ailleurs l’une des plus scrutée en 2020, notamment à la faveur de l’élection présidentielle américaine de novembre. Comment ça marche ? Concrètement, un deepfake pourrait être utilisé pour hameçonner (dans le cadre de campagne de phishing ou de spear-phishing). On peut par exemple imaginer un deepfake audio, sous la forme d’un appel d’un membre du Comex expliquant qu’il va envoyer un fichier PDF et qu’il faut le regarder de toute urgence. À peine le temps de cliquer dessus que le ransomware est installé…
La menace d’un « deepfake-as-a-service » qui permettrait d'accroître l’efficacité des campagnes de cyberattaques est donc sérieuse. À tel point qu’un rapport du cabinet Forrester indique que les coûts générés par des attaques par deepfake pourraient atteindre 250 millions de dollars en 2020. Néanmoins, la création d’un deepfake crédible semble extrêmement complexe et onéreuse. Et c’est précisément ce facteur coût (versus celui de la création d’un simple ransomware) qui permet de nuancer l’explosion attendue des deepfakes-as-a-service. Les équipes du journal Le Monde ont essayé, et elles ont abandonné : trop complexe et trop cher pour le vulgum pecum. En sera-t-il autant pour des cyber-criminels dotés de moyens plus élevés, comme ceux par exemple d’un État ? Ou alors de petits génies indépendants ? Tout ceci laisse à penser que l’année 2020 devrait alors être celle du phishing à plusieurs vitesses, avec des campagnes simples – jouant sur la crédulité des cibles via des techniques pourtant connues – et des campagnes plus complexes – usant des dernières technologies pour duper les plus aguerris.
Vers une généralisation des cyberattaques sur les entreprises agro-alimentaires ?
Les signaux faibles de 2019
En avril 2019, le géant français Fleury Michon faisait les frais d’une cyberattaque réussie, et gelait ses opérations pendant cinq jours. En décembre 2019, la marque italienne de produits traiteur Fratelli Beretta puis celle des bières belges Busch étaient à leur tour bloquées par le rançongiciel Maze. L’industrie agro-alimentaire semble plus que jamais dans l’œil du cyclone, et suscite les convoitises des cyber-attaquants de tous bords.
En parallèle, la sensibilisation du public face aux enjeux de composition des aliments s’accroît, et les consommateurs deviennent plus exigeants. Un chiffre : 92% des utilisateurs Yuka reposent les produits lorsqu’ils sont mal notés sur l’application (d’après la co-fondatrice Julie Chapon, citant une étude d’impact dans un article de septembre 2019 sur Forbes).
Les scénarios possibles
Un secteur hypersensible, une chaîne de production en grande partie automatisée et une assurance-qualité qui est l’un des piliers de l’industrie : tous les éléments sont réunis pour que l’agro-alimentaire continue à être une industrie à haut risque pour les années à venir.
Que ce soit de la part d’un acteur étatique (en réponse à un conflit ouvert) ou d’un cyber-terroriste (pour atteindre les populations en rendant des produits alimentaires dangereux pour la santé), il est très probable d’assister en 2020 à des cyberattaques encore plus fréquentes envers les acteurs majeurs de l’industrie agro-alimentaire. Et les pires scénarios de cybermalveillance sont possibles. Comme ceux où une attaque très ciblée viendrait jouer sur la programmation de l’une ou l’autre des machines ou conduirait à faire tourner à vide certains des composants industriels provoquant une usure prématurée. L’enjeu ? Saboter les installations industrielles visées. Comment ? Avec une bonne vieille clé USB ou une campagne de phishing pour infecter un poste avant de passer par le réseau. Si certains géants ont déjà envisagé ce scenario et ont mis en place des protections efficaces (via une segmentation des réseaux par exemple), ils sécurisent ainsi leurs actifs. En revanche, les acteurs de cette industrie de taille moyenne ou petite semblent plus vulnérables à ce genre de cyberattaques – avec des pertes financières importantes et un impact catastrophique sur l’image de marque.
Les malwares de demain sont-ils déjà en place ?
Les signaux faibles de 2019
« La cybercriminalité de masse se développe », soulignait Guillaume Poupard, le directeur général de l’ANSSI, dans une interview accordée à Libération où il revenait sur les évolutions de l’année 2019. De fait, cette année 2019 aura vu la propagation de cyberattaques massives et complexes. On pense par exemple aux ransomwares qui ont affecté la chaîne M6 et le CHU de Rouen en France, ou encore aux attaques liées à LockerGoga et Ruyk.
En mars 2019, le cas de l’attaque américaine sur une centrale électrique au Venezuela illustrait bien cette cybercriminalité de masse, organisée parfois à un niveau étatique.
En novembre 2019, une étude révélait ainsi que certaines failles et vulnérabilités sont utilisées depuis plus de dix ans par les cyber-attaquants, et continuent d’être exploitées aujourd’hui. Dans certains cas, les entreprises concernées savent où se trouvent les vulnérabilités de leur système, mais elles n’ont pas les moyens de remplacer les applications concernées. Ce cas de figure est souvent fréquent dans le secteur médical qui utilise des applications qui ne sont supportées que sur des anciens systèmes d’exploitation. Dans le domaine industriel, certains composants informatiques sont conservés alors même qu’ils sont obsolètes, ce qui accentue le risque d’être touché par une attaque « plantée » il y a plusieurs années. Et, dans ce contexte, la question se pose : l’ancienneté des failles démultiplie-t-elle leur potentiel de nuisance ? 2020 devrait se charger de nous apporter des réponses…
Les scénarios possibles
De la même manière que certains virus sont présents, à l’état dormant, dans le corps humain pendant des années, certaines attaques sont déjà installées de longue date dans les systèmes d’information sensibles. Il est dès lors facile de se projeter dans un scénario où des secteurs clés (santé, agro-alimentaire, industries énergétiques) pourraient être infectés par des malwares déjà en place depuis des années.
Et il est relativement aisé d’imaginer un scénario catastrophe ici. Que se passerait-il pour une grande firme internationale si au milieu de la nuit, toutes ses usines de production à travers le monde se retrouvaient simultanément bloquées ? Les machines ne tournent plus pendant des semaines entières, la production est au point mort et tous les biens périssables finissent par être jetés. Une image catastrophique dans les journaux télévisés et une ruine financière certaines. La cause ? Une campagne de phishing discrète et réussie il y a plusieurs années, qui a conduit à l’infection des différents réseaux de l’entreprise par un malware dormant. Propagé ensuite en local sur des postes qui tournent encore sur une vieille version de Windows, ce malware est activé à distance. Puisqu’il est déjà propagé dans tous les postes, il n’est même pas possible de débrancher les câbles en urgence. Écran noir pour tout le monde.
Vers un grand retour des hacktivistes ?
Les signaux faibles de 2019
Si depuis 2015, les attaques hacktivistes auraient chuté de 95%, les récentes actualités mondiales témoignent d’une montée en puissance de causes à défendre : la dénonciation de la non-action du Premier ministre australien face aux incendies, les révoltes à Hong Kong contre le gouvernement chinois, la contestation en France face au projet d’intégration de la reconnaissance faciale dans les services publics…
En décembre 2019, à l’occasion du mouvement contre la réforme des retraites en France, le site du Medef a ainsi subi une attaque DDoS, qui l’a rendu inaccessible pendant plusieurs heures.
Un peu plus tôt, en novembre 2019, le hacker Phineas Fisher lançait son bug bounty perso contre les entreprises pétrolières et les institutions capitalistes.
Les scénarios possibles
Et si l’année 2020 marquait le grand retour d’attaques hacktivistes de grande ampleur, en écho avec la multiplication des mouvements sociaux ? Il est probable que des militants d’un genre nouveau (des grévistes-hacktivistes ou « Grhacktivistes ») pourraient utiliser leurs talents pour porter un message politique. Face à un désaccord entre les syndicats et plutôt que de s’introduire dans les locaux, pourquoi ne pas les bloquer informatiquement ? Plutôt que de bloquer physiquement les portes des dépôts de bus, pourquoi ne pas verrouiller les grilles à distance ? Et face à des lignes de métro automatiques qui roulent encore, un petit tour sur le réseau informatique devrait faire l’affaire. Appliquer les mêmes mécanismes à certains organes de presse ou à des lieux qui symbolisent le pouvoir permettraient également d’amplifier la voix des manifestants ou la visibilité de leurs actions.
Dans un autre registre, d’autres scenarii peuvent voir le jour comme un premier, lié à la cause vegan, où un hacktiviste parviendrait à supprimer l’intégralité de la viande de certains plats préparés. Ou un autre, où un groupe de hackers pirate une grande plateforme de distribution pour faire parvenir des biens de consommation courante aux personnes dans le besoin, dans un esprit « Robins des bois 2.0 ».
Autant de scénarios et de futurs possibles pour les tendances cybersécurité 2020 – à suivre de très près. Et celles de 2021 ?
