Points de vue

Les pirates informatiques donnent le rythme de la sécurité

Kevin Townsend, 11 septembre 2019

Les criminels ont toujours une longueur d'avance, mais nous pouvons les poursuivre avec des lois et des outils de sécurité pour protéger les consommateurs.

Dans le domaine de la cybersécurité, les méchants ont presque toujours une longueur d'avance sur les gentils. Cela peut s’expliquer par plusieurs raisons mais par essence, la sécurité est réactive et la bataille est asymétrique.

D’abord, les entreprises de sécurité réagissent pour que les attaques survenues ne puissent plus se reproduire, en comblant les failles par exemple. Mais elles ne peuvent pas savoir en quoi consistera la prochaine attaque, ni d’où elle proviendra. Elles cherchent constamment à anticiper les futures attaques pour compliquer la tâche aux criminels, mais les attaques sont des quantités inconnues jusqu'à ce qu'elles se produisent. Les gens et les entreprises de sécurité ont à peine le temps de remédier à un type d'attaque que les criminels sont déjà passés à un autre mode opératoire.

Ensuite, il existe une asymétrie entre les attaquants et les défenseurs. Chaque ordinateur est confronté à des milliers de criminels, allant des pirates d’élite d’État-nation au crime organisé, en passant par les pirates novices qui utilisent des outils loués pour des services criminels. Le défenseur doit vaincre chacun des attaquants, tandis qu'il suffit d’un seul attaquant pour vaincre un défenseur.

Outils des attaquants

Les attaquants disposent de trois outils principaux : les vulnérabilités zero day, le dark Web et le biais d'optimisme (ou « optimisme comparatif »).

Zero day : tous les logiciels comportent des bugs. Ceux-ci se traduisent généralement par des vulnérabilités. Une vulnérabilité zero day est une vulnérabilité qui a été détectée mais qui n’a pas encore été corrigée par l’éditeur.

Lorsque les criminels les découvrent, ils les exploitent. On ne peut pas se protéger contre les attaques zero day. On ne peut que les découvrir et les atténuer le plus rapidement possible.

Le dark Web : le dark Web est un terrain de jeu pour les cybercriminels. On l’appelle « dark » (« sombre ») parce qu’on ne peut pas bien le voir : il n’est pas accessible via les navigateurs standards et est en quelque sorte invisible des utilisateurs lambda. Il est complété par des discussions chiffrées de bout en bout entre des criminels, des acheteurs et des vendeurs de cyber-actifs criminels.

Sur le dark Web, les criminels partagent et vendent des informations. Il peut s’agir de tutoriels de piratage, de logiciels malveillants ou encore d'accès à des systèmes. Cela comprend des millions d’identifiants volés à des utilisateurs (cela vaut la peine de vérifier si vos propres identifiants en font partie).

Le biais d’optimisme : le biais d’optimisme est considéré comme un instinct de survie biologique. C’est ce qui nous fait penser que, même s’il arrive des catastrophes, elles n’arrivent qu’aux autres. En temps de guerre, il permet à des individus de devenir des héros, contre toute attente. En temps de paix, il donne un faux sentiment de sécurité qui peut conduire à de la paresse.

On sait bien que, partout dans le monde, des milliers de pirates s'introduisent dans des ordinateurs, mais on ne s'imagine pas être leur prochaine victime. Et même si c'est le cas, ils échoueront. Le biais d’optimisme nous porte à croire que nous n’avons pas besoin de prendre de mesures spéciales pour nous protéger. Nous avons donc tendance à ne pas le faire.

Équilibrer la balance

Même si on ne peut jamais échapper aux répercussions d'attaques réussies, nous pouvons et devons limiter leur réussite, aussi bien chez soi qu’au travail. Nous disposons de trois armes : la règlementation législative, les mesures d'atténuation que fournit le secteur de la sécurité et notre propre préparation et réponse aux incidents.

Législation : la réglementation législative et organisationnelle a pour objectif premier de forcer les entreprises à contrer le biais d'optimisme et à défendre correctement leurs systèmes.

Son objectif secondaire (quoique peu efficace) est de punir les cybercriminels identifiés pour dissuader les autres de s’adonner à la cybercriminalité.

À cela s’ajoutent les bons conseils fournis par des entreprises de sécurité comme Avast et par des organisations gouvernementales. Celles-ci proposent des stratégies de meilleures pratiques pour compliquer la tâche aux attaquants.

Secteur de la sécurité : le secteur de la sécurité vise à protéger les ordinateurs et les systèmes informatiques. S'il lui est presque impossible de devancer les attaquants, il fait un très bon travail en les suivant de près. Dès qu'une nouvelle attaque est détectée à un endroit, le secteur développe des défenses pour l'empêcher de se produire ailleurs. C'est pour cette raison qu’il faut utiliser les outils de sécurité disponibles et s'assurer qu'ils sont toujours à jour.

L’intelligence artificielle (IA) fait partie du futur de la sécurité, mais l’apprentissage automatique supervisé suit toujours le comportement actuel de l’attaquant. Les véritables IA, sous la forme de réseaux de neurones conçus pour se comporter comme le cerveau humain, sont en cours de développement. Cela pourrait conduire les défenses à « penser » de la même manière que les attaquants, et donc à bloquer les attaques avant même qu'elles ne se produisent.

Réponse aux incidents : la réponse aux incidents est un concept relativement nouveau basé sur l’acceptation qu’on ne peut pas empêcher le piratage. Comme vous ne pouvez pas l’arrêter (et cela ne veut pas dire que vous ne devriez pas essayer), il faut détecter les attaques le plus tôt possible et prendre les mesures nécessaires pour les contenir et les éliminer.

Pour cela, les entreprises disposent de nombreuses options : l’analyse comportementale du réseau (pour détecter les attaques), la gestion des accès privilégiés et la segmentation (pour contenir les attaques).

Pour détecter et bloquer les actes malveillants, les ordinateurs personnels doivent largement s’appuyer sur leurs défenses anti-malware. Les meilleurs, comme Avast, font très bien leur travail mais d’autres ne sont pas infaillibles. Par exemple, si un nouveau ransomware a été introduit via une vulnérabilité zero day, le mal a été fait avant qu’on ne puisse l’arrêter.

Pour les logiciels malveillants tels que les ransomwares, la réponse aux incidents a un sens légèrement différent. La clé est en cours de préparation. Il faut donc stocker, de préférence hors ligne, des sauvegardes de tous les fichiers importants et sensibles.

Se défendre

Alors, si on ne peut pas arrêter les pirates, à quoi bon essayer ? Bonne question. Si nous ne faisions pas tout ce qui est en notre pouvoir pour protéger nos ordinateurs, il y aurait beaucoup plus de victimes. La question est, que peut-on faire ?

Pour commencer, on peut suivre un bon principe de prévention du crime : le maintien de l'ordre physique par la conception environnementale. Ce principe a été développé pour la conception de nouveaux bâtiments. Si vous concevez un bâtiment où les cambrioleurs auront du mal à s'introduire, ils n'essaieront même pas d’entrer. Ils se contenteront d’une cible plus facile.

Il en va de même pour les ordinateurs et les systèmes informatiques : si vous rendez la tâche difficile et coûteuse aux malfaiteurs, leur retour sur investissement sera si faible qu’il n’en vaudra pas la peine. Cela ne vaut pas toujours pour les entreprises de grande valeur, car elles sont attaquées par des gangs d’États-nations ou des gangs criminels disposant de ressources importantes. Toutefois, cela fonctionne presque toujours avec les attaquants opportunistes. La plupart des pirates qui ciblent les domiciles appartiennent à cette catégorie.

Vous avez deux armes principales à votre disposition : les outils de sécurité et la façon dont vous agissez. Les outils sont importants car les entreprises de sécurité se consacrent à suivre le rythme des attaquants. S'ils ne peuvent jamais garantir de tout protéger à tout moment, ils peuvent arrêter la grande majorité des attaques. Commencez par un bon anti-malware pour grand public.

Mais aucun outil ne peut compenser un mauvais comportement. C’est là que le biais d’optimisme devient dangereux. Si vous pensez que vous n’êtes pas une cible potentielle et baissez votre garde, le simple fait de cliquer sur un lien malveillant suffira.

Vous devez comprendre comment fonctionnent tous vos appareils connectés et en quoi ils vous exposent à des attaques car chacun d'entre eux constituent un point d'entrée pour les pirate.

L'évolution du foyer connecté introduit une multitude d'appareils connectés. Tout ce qui communique avec Internet peut être piraté via Internet. Et tout ce qui est contrôlé via une application peut être piraté via l'application. Ce qui est difficile, c’est de concevoir qu’Alexa ou notre réfrigérateur connecté soient des points d’entrée potentiels pour les pirates. Mais ils le sont bien et ils doivent être protégés. Nous nous sommes penchés sur les dangers que peuvent présenter les appareils connectés ici.

Au-delà de l’utilisation d’outils de sécurité pour protéger nos ordinateurs, nous devons aussi nous montrer responsables. Le phishing est et restera certainement la cause principale de tous ces piratages. Les criminels sont des experts en ingénierie sociale et sont maîtres dans l’art de nous persuader de cliquer sur les liens malveillants ou d’ouvrir des pièces jointes malveillantes. Aucun outil de sécurité ne peut stopper une attaque que nous laissons nous-mêmes s’introduire dans notre ordinateur.

Il faut faire preuve d’autodiscipline en prenant le temps de réfléchir avant de cliquer.

Nous n’allons pas arrêter les pirates ou éradiquer le piratage. Les malfaiteurs auront toujours une longueur d’avance. Mais si nous sommes bien préparés, nous pouvons nous rapprocher tellement d’eux que leurs chances d'entrer dans nos ordinateurs et téléphones seront minimes.


Les articles « Points de vue » du blog Avast représentent les opinions des auteurs et ne reflètent pas nécessairement les points de vue de la société.