En 2012, l'industrie de la sécurité prévoit une hausse des cyberattaques, mais aussi l'arrivée de logiciels malveillants de plus en plus sophistiqués pour mener des opérations d'espionnage informatique. Les deux dernières années ont été marquées par l'augmentation brutale du nombre de cyberattaques. Celles-ci ont utilisé comme vecteurs des logiciels malveillants qui ont permis aux pirates de s'introduire dans les systèmes informatiques d'agences gouvernementales, de sociétés liées à la défense nationale, d'entreprises classées au Fortune 500, d'associations de défense des droits de l'homme et autres institutions, pour y voler des données sensibles. « Je suis absolument convaincu que cette tendance va se poursuivre en 2012 et au-delà , » a déclaré Rik Ferguson, directeur de recherche sur la sécurité et la communication chez Trend Micro. « Cela fait plusieurs siècles que les activités d'espionnage profitent des technologies de pointe pour effectuer des opérations secrètes. Cette forme d'espionnage, qui tire profit de l'Internet, n'a pas commencé en 2011, et ne va pas prendre fin en 2012, » a-t-il ajouté.
Des menaces, comme le ver Stuxnet, qui a infligé un retard de plusieurs années au programme nucléaire iranien, ou son successeur, Duqu, ont surpris l'industrie de la sécurité par leur niveau de sophistication. Selon ces mêmes experts, ce ne sont que des précurseurs, et ils s'attendent à d'autres malware encore plus sophistiqués en 2012. « La probabilité de voir d'autres menaces de ce type dans un proche avenir est élevée, » a déclaré Gerry Egan, directeur spécialisé dans les réponses en sécurité, chez Symantec. « Duqu a été utilisé pour voler des documents importants à des entreprises qui fabriquent des systèmes de contrôle industriel, ce qui laisse craindre de futures opérations de sabotage industriel, à l'image de ce qu'a réalisé Stuxnet, » a expliqué le responsable de Symantec. « Il est très probable que de nouvelles variantes de Duqu vont provoquer des dommages début 2012, » a aussi déclaré Jeff Hudson, PDG de Venafi, un vendeur de solutions de cryptage et de gestion de certificats pour les entreprises. « Nous devons nous mettre en état d'alerte pour protéger nos actifs et mieux nous préparer pour résister à ces menaces. »
Vers un état de cyberguerre froide
Cependant, malgré Stuxnet et Duqu, les experts en sécurité ne croient pas que le monde soit attentif à la cyberguerre qui se déroule sur les réseaux. « Pour qu'une contre-offensive soit qualifiée de « guerre », il faut un état de conflit déclaré. Or, de mémoire, cela n'a jamais été le cas pour une cyberguerre, » a déclaré le professeur John Walker, membre du Conseil consultatif sur la sécurité à l'ISACA, une entreprise de certification des professionnels de l'informatique. « Cependant, si nous devions considérer la question sous l'angle des « cyberconflits », alors cela serait très différent. Car il s'agit bien là d'un déploiement offensif de capacités dans une forme ou une autre en appui à un objectif politique ou militaire », a-t-il ajouté. Des pays comme les États-Unis, le Royaume-Uni, l'Allemagne, la France, la Chine et l'Inde ont formé des équipes spécialisées et crée des centres d'opérations dont l'objectif est de défendre le gouvernement contre les cyberattaques et de riposter, si nécessaire. Toutefois, la plupart du temps, il est quasiment impossible de déterminer avec certitude quel pays mène, par Internet interposé, des opérations hostiles et ce n'est pas le seul problème. « Tous les pays sont confrontés à la question des représailles, » a déclaré Gerry Egan par courriel. « Si un acte flagrant de cyberguerre a lieu, comment peut-on riposter contre le pays d'où est partie l'attaque et dans quelle mesure ? Qu'est-ce qu'une réponse proportionnelle ? »
Des attaques comme Stuxnet et Duqu pourraient très bien déboucher sur de grands cyberconflits dans le futur, mais pour l'instant les entreprises et les gouvernements devraient se préoccuper davantage du cyberespionnage, qui utilise souvent pour ses attaques de simples outils d'exfiltration des données. Ces bouts de malwares simplistes, mais efficaces, connus dans l'industrie de la sécurité sous le terme de menaces persistantes avancées (APT), sont généralement répandus à l'aide d'outils d'ingénierie sociale. Opération Aurora, Shady RAT, GhostNet, Night Dragon et Nitro : toutes sont des attaques APT lancées au cours des deux dernières années. Elles ont affecté des centaines d'entreprises dans le monde entier. Et le nombre d'attaques APT devrait grimper en flèche en 2012. Pour se défendre contre ces attaques, il faut d'une part former régulièrement les salariés à ces risques, mais aussi des technologies de protection plus agressives, comme celles basées sur les listes blanches, sur le File Reputation pour la détection antivirale proactive ou encore la surveillance du comportement des applications. « Dans beaucoup d'entreprises, l'utilisateur est encore le maillon faible de la sécurité, et c'est la raison pour laquelle c'est lui qui est ciblé en premier, » a déclaré Rik Ferguson. « La formation joue encore un rôle important dans la sécurité d'une entreprise, mais il faut une formation continue pour que cela soit efficace. »
Eduquer et responsabiliser les utilisateurs
« Jusqu'ici, nous avons beaucoup mieux réussi en corrigeant les logiciels qu'en éduquant les utilisateurs, » a déclaré Amichai Shulman, directeur technique de l'entreprise de sécurité Imperva. « Dans l'armée, j'ai passé beaucoup de temps à essayer de former des gens sur la sécurité de l'information. Cela n'a pas fonctionné dans ce contexte, et cela ne fonctionnera pas ailleurs. » Il faudrait un changement dans les paradigmes de protection. « Il faudrait aussi plus de contrôles à la source. Par exemple, autoriser ou non les applications à lire certaines informations, détecter des comportements suspects - l'accès à données sensibles à une heure inhabituelle ou de gros transferts de fichiers. C'est une partie de la solution, » a déclaré le CTO d'Imperva.
Des technologies capables de vérifier la réputation d'un fichier, sa date de création et sa popularité, avant de lui permettre d'être exécuté sur un système, peuvent également être utilisées pour bloquer les APT conçues pour échapper aux méthodes traditionnelles de détection anti-malware. « Il ne fait aucun doute que les grandes entreprises doivent être beaucoup plus conscientes des risques potentiels des programmes malveillants, » a déclaré Jeff Hudson. « Si cette question n'est pas à l'ordre du jour du conseil d'administration de votre entreprise, alors c'est une grande négligence de sa part, » a-t-il conclu.