Le point de vue des dirigeants

Gare aux malwares de vol d'identifiants

Pour ne pas rompre avec la tradition des bilans de fin d'année, j'ai profité des derniers jours de 2018 pour faire le point sur les menaces rencontrées au cours de l'année écoulée, principalement en Europe. En 2018, les entreprises et pouvoirs publics du Vieux Continent ont essuyé un feu nourri d'attaques perpétrées par des organisations cybercriminelles et autres services de cyberespionnage de puissances étrangères. Jusque-là, rien de nouveau. Ce qui change en revanche, c'est l'émergence d'une nouvelle menace dans pratiquement tous les secteurs d'activité. Vous avez dit "ransomware" ? Eh bien, non. Certes, la menace des ransomwares reste très présente, même si le nombre de cas détectés connaît une baisse constante depuis fin 2017.

Non, la menace qui a le vent en poupe est celle des malwares de vol d'identifiants. L'année dernière, ce type de malware a connu un vif succès chez les cybercriminels et autres types de hackers, tous vecteurs d'attaque confondus (pièce jointe dans un e-mail de phishing, distribution de malware via des kits d'exploit, etc.).

Le vol d'identifiants face aux autres malwares

D'après l'analyse des menaces recensées par notre Dynamic Threat Intelligence (DTI) entre le 1er janvier 2018 et le 31 décembre 2018, près de 50 % des menaces détectées en Europe entrent dans la catégorie de malware de vol d'identifiant (Figure 1). Ces chiffres se basent sur les détections effectuées par les solutions FireEye de protection des e-mails et des réseaux.


Figure 1 : Catégories de malwares détectés en Europe entre le 1er janvier 2018 et le 31 décembre 2018.

Le nouveau défi de l'Europe

Certes, les malwares de vol d'identifiants touchent les entreprises du monde entier. Mais pour l'Europe, et plus particulièrement les membres de l'Union européenne (UE), l'enjeu prend une toute autre envergure et doit être au cœur des préoccupations cette année. En cause, la focalisation des instances européennes sur les questions de digitalisation de l'économie. Les initiatives en ce sens se multiplient : droit à l'accès au haut-débit pour les citoyens de l'Union, prestations de service public sur Internet, capacité pour les entreprises et citoyens européens d'exercer des activités en ligne...


Graphique : Classement DESI 2018

L'envers du décor, c'est qu'une plus grande connectivité élargit aussi la surface d'attaque des cybercriminels. Plus grave encore, la numérisation des services publics pourrait ouvrir un véritable boulevard aux spécialistes du vol d'identifiants et compromettre la confidentialité des données transmises via les différents sites des administrations et collectivités.

Menaces potentielles

Auparavant, les malwares de vol d'identifiants semblaient cibler principalement les clients du secteur des services financiers. Toutefois, la prolifération de ce type de malware en 2018 pourrait bien les voir débarquer dans les différentes composantes des services publics comme l'administration, la santé, les systèmes de paie et autres domaines sensibles. À noter également :

  • Au cours de l'année 2018, on a constaté une hausse des volumes d'identifiants volés mis en vente sur le Darknet, ainsi que des soi-disant accès directs à des infrastructures d'entreprises.
  • Autrefois cantonnées aux services financiers, les grandes familles de malwares de vol d'identifiants se sont diversifiées au fil des années et ciblent désormais, entre autres, des sites d'e-commerce et de paris en ligne.
  • Pour un cyber-espion, il est plus facile d'acheter des accès directs à des identifiants volés ou à des infrastructures, que de passer par les étapes traditionnelles d'intrusion.

Dans notre  rapport M-Trends 2018, nous soulignons également un manque de maîtrise des fondamentaux dans beaucoup d'entreprises, principalement autour de la gestion des identités et des accès. En effet, sans authentification multifacteur, les attaquants ont le champ libre pour introduire un malware et collecter les identifiants qui leur permettront d'accéder aux systèmes protégés.

Ces dernières années, nous avons publié une quantité d'articles et de rapports sur les techniques employées par les hackers (du crime organisé aux services de cyber-espionnage) pour lancer des attaques à l'aide d'identifiants légitimes :

  • En 2014, nous publiions déjà nos observations de FIN4, un groupe à motivation financière pratiquant le spear-phishing pour voler des identifiants légitimes et ainsi accéder à des informations de fusion/acquisition extrêmement sensibles.
  • En octobre 2015, nous avons publié un rapport sur un groupe cybercriminel connu sous le nom de FIN5. Là encore, le groupe était parvenu à se procurer des identifiants légitimes pour pirater des systèmes de paiement et accéder aux informations de cartes bancaires.
  • En avril 2016, nous nous sommes intéressés à FIN6. Tout comme FIN5, ce groupe utilisait des identifiants légitimes pour tenter d'accéder aux données de cartes bancaires en mémoire sur des systèmes de point de vente.

Conclusion

Les ransomwares ont beau attirer l'attention des médias, il n'en demeure pas moins que les entreprises et les pouvoirs publics vont devoir prendre conscience de la menace que représentent les malwares de vol d'identifiants. C'est d'autant plus le cas en Europe où les mesures en faveur de la digitalisation de l'économie et des services publics se succèdent. L'UE ne peut plus se permettre de négliger l'importance des identifiants dans le cyberespace. Elle doit aujourd'hui reconnaître les risques posés par le vol d'identifiants dans toutes les communications, sensibles ou non.