Les points essentiels du rapport Security 360 : convergence des menaces et des attaques

Dans le précédent article de la série, nous avons abordé l'importance de la protection de la confidentialité des utilisateurs, cette préoccupation de cybersécurité qui est devenue une cible de choix des acteurs malveillants.

Nous poursuivons notre lecture de Security 360 : Rapport annuel sur les tendances de Jamf en nous penchant cette fois sur la tendance à la convergence des menaces et des attaques. Nous verrons comment l'enchaînement de différents types d'attaques crée de nouvelles menaces susceptibles de saper les pratiques de sécurité des organisations en contournant complètement les contrôles. Dans cet article, nous abordons :

• Qu'est-ce que la convergence ?
• Pourquoi est-ce aussi inquiétant ?
• En quoi cela peut-il nuire à ma stratégie de sécurité ?
• Quelques exemples
• Comment se protéger contre les menaces liées à la convergence ?

Lançons-nous !

Qu'est-ce que la convergence ?

Convergence noun

con·ver·gence

1 : décrit le fait de converger et de tendre vers l'union ou l'uniformité

Selon Merriam-Webster, la définition de « convergence » visible ci-dessus ne décrit qu'un des sens du terme parmi un large éventail de significations ayant trait à l'unification de deux ou plusieurs entités. Le quatrième sens se rapporte plus étroitement au sujet qui nous occupe : « the fusion de technologies, de secteurs ou d'appareils distincts en un tout unifié. »

Dans le domaine de la cybersécurité, CSO Online définit la convergence comme la « coopération formelle entre des fonctions de sécurité auparavant disjointes ».

Pourquoi la convergence des menaces est-elle aussi inquiétante ?

La convergence fait partie de ces expressions qui reviennent régulièrement dans notre secteur : quand des technologies ont été utilisées pendant un certain temps, elles trouvent un second souffle en se combinant à d'autres pour créer quelque chose d'innovant ou, au moins, répondre à un besoin nouveau.

Il suffit de penser à l'époque où l'accès à Internet a fusionné avec les fonctions standard des téléphones mobiles – appels, contacts et messagerie – pour créer le smartphone, qui associe toutes les fonctions traditionnelles à la navigation sur Internet, à l'e-mail et aux applications web. Cette convergence de deux technologies (Internet et téléphone mobile), a introduit ce qui allait devenir l'informatique mobile et révolutionner les usages personnels et professionnels des années à venir.

Mais après cette illustration très positive du concept de convergence, revenons à notre préoccupation d'aujourd'hui, qui en est un exemple des plus négatifs. Nous parlons de la convergence des technologies utilisées par des acteurs malveillant pour créer une nouvelle forme de menace ou concevoir une attaque inédite capable de compromettre une entreprise.

En quoi cela peut-il nuire à ma stratégie de sécurité ?

« En 2022, 0,02 % des appareils Android étaient rootés et 0,001 % des appareils iOS étaient jailbreakés. La même année, 0,004 % des utilisateurs et 0,3 % des entreprises avaient un appareil jailbreaké ou rooté au sein de leur parc. »

Et les chiffres de l'année précédente : un peu moins de 1 % des organisations étaient en possession d’un appareil jailbreaké ou rooté en 2021.

Les nouvelles tactiques malveillantes sont la parfaite illustration de la convergence des menaces et des attaques dans le domaine de la cybersécurité. En faisant un usage innovant et inédit de menaces et d'attaques traditionnelles, les pirates peuvent avoir un impact disproportionné sur les terminaux qui se connectent à l'infrastructure de votre organisation, et le taux de réussite des violations de données augmente. Et parce que la convergence donne une nouvelle vie à une technologie existante, comme nous l'avons vu, la stratégie de sécurité de votre entreprise peut s'avérer incapable de repousser une attaque combinée.

Que l'attaque convergente ait pénétré vos défenses en totalité ou en partie n'a aucune importance : elle a percé votre sécurité et compromis vos protections. L'ampleur des retombées de la violation variera considérablement d'une organisation à l'autre, en fonction de multiples facteurs :

• les impératifs de continuité des activités de l'entreprise
• les éventuelles exigences de conformité réglementaire
• la gravité des dommages subis par :
  • equipment
  • les données (données sensibles et vie privée des utilisateurs)
  • reputation
  • les opérations commerciales
  • les revenus

Quelques exemples

Malheureusement, plusieurs scénarios réels peuvent nous aider à comprendre à quel point il est essentiel de se protéger contre les menaces et les attaques convergentes. Parmi les exemples suivants, certains sont récents et d'autres ont près de trente ans.

Mais souvenez-vous de ce qu'est la convergence et de son objectif : créer du nouveau à partir de deux éléments connus et existants (ou plus). En d'autres termes, même les menaces et les attaques vieilles de plus de trente ans peuvent ressusciter sous la forme d'une « nouvelle menace convergente » capable de contourner les protections de sécurité modernes qui auraient su déjouer l'ancienne menace.

Pourtant, tout est étanche !

2010 : Tous les professionnels de l'informatique ou de la sécurité qui travaillaient dans le secteur à l'époque se souviennent certainement de Stuxnet. Premier WORM de ce type, il ciblait les logiciels vulnérables des interfaces SCADA permettant de contrôler les centrifugeuses utilisées dans le processus d'enrichissement de l'uranium.

Voilà pour la version courte. Si les détails vous intéressent, Wired a publié un excellent article qui retrace toute la chronologie de l'événement à l'intention de ceux qui souhaitent mieux comprendre comment un outil numérique a été utilisé à des fins de cyberguerre pour la première fois.

Pour résumer, les ordinateurs utilisés pour gérer l'équipement étaient « étanches », c'est-à-dire qu'ils étaient coupés de l'Internet. Et pourtant, grâce la convergence ingénieuse d'une menace physique (la clé USB) et d'un logiciel malveillant (Stuxnet), la première attaque ciblée de ce type a réussi. Prises isolément, aucune de ces deux menaces n'aurait pu aboutir.

La chaîne d'approvisionnement, un jeu de piste

2020 : Plus près de nous, l'attaque de la chaîne d'approvisionnement SolarWinds a eu une portée considérablement plus vaste. Présenté comme une mise à jour de routine, le véritable cauchemar s'est révélé après que 18 000 clients (selon les estimations) ont téléchargé et installé la mise à jour de routine. Et ces clients n'étaient pas des appareils, mais de véritables entreprises qui comptaient sur le logiciel Orion de SolarWinds pour surveiller et gérer leurs réseaux.

La mise à jour était en réalité un moyen de transmettre du code malveillant à Orion, code qui a ensuite été exploité pour mener une cyberattaque de plus grande envergure, comme l'explique NPR plus en détail.

Pour mener cette attaque, que l'on soupçonne d'être le fait d'un État-nation, des acteurs malveillants se sont appuyés sur plusieurs vecteurs de menace : ils d'abord ont compromis le réseau de SolarWinds et son système de compilation (utilisé pour fournir des mises à jour aux clients) et créé un cheval de Troie pour livrer le code malveillant aux clients au moment de la mise à jour (et ainsi infecté les systèmes présents sur leur réseau). Ils ont également installé des outils pour exploiter les systèmes et les réseaux des clients. Enfin, ils ont compromis des comptes de services cloud, ce qui leur a permis de lire des données confidentielles et sensibles (documents, e-mails) et d'élever leurs privilèges à des fins d'espionnage et d'exfiltration de données sensibles, confidentielles et classifiées.

Mais qui êtes-vous vraiment ?

1995 : Kevin Mitnick, le hacker vertueux, conférencier et évangéliste que nous connaissons aujourd'hui, se lance du haut de ses 16 ans en commettant le premier d'une longue série de délits informatiques qui allaient faire de lui un hors-la-loi aux yeux du ministère américain de la Justice (DOJ). Pendant les deux ans et demi qu'a duré sa cavale, le ministère de la Justice a comptabilisé les délits commis par Mitnick. Très souvent, celui-ci avait recours à des techniques de convergence avancées pour tenir ses poursuivants à distance.

Cet article n'ayant pas pour objet de couvrir chacun de ses crimes, disons simplement que c'est principalement par le biais de l'ingénierie sociale que Mitnick a obtenu des accès illicites – il se faisait passer pour un employé d'une entreprise de services publics afin d'obtenir l'accès physique à des lieux sécurisés. Il s'est également livré à l'usurpation de communications, en convainquant les réseaux cibles de lui accorder un accès, à l'exfiltration de logiciels et de données propriétaires, à l'interception de communications et d'e-mails, et à l'utilisation de téléphones cellulaires clonés pour dissimuler sa localisation et rester anonyme.

Se protéger contre les menaces convergentes

Nous connaissons désormais le danger stratégique que représente la convergence des menaces et des attaques, mais aussi les avantages que cette convergence a pu apporter aux technologies dans leur ensemble. Il n'est donc pas surprenant que la convergence des protections de sécurité jouent un rôle tout aussi important dans le cadre d'un programme cohérent de gestion des risques.

À l'instar d'une stratégie de défense en profondeur, qui s'appuie sur de multiples couches de contrôles pour intercepter les menaces les plus furtives, la convergence de toutes les fonctions et pratiques de sécurité – protocoles, alertes, rapports, surveillance, recherche des menaces, détection, réponse aux incidents, règles et workflows de correction – vise à intégrer et à organiser les priorités et les objectifs de l'entreprise selon trois axes :

• Communication
• Coordination
• Collaboration

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a élaboré le Guide d'action pour la convergence de la cybersécurité et de la sécurité physique. Cette ressource fournit des conseils de haut niveau aux organisations désireuse comprendre « les risques associés au cloisonnement des fonctions de sécurité, une description de la convergence dans le contexte des fonctions de sécurité organisationnelles, les avantages de la convergence, un cadre flexible pour aligner les fonctions de sécurité, et plusieurs études de cas. »