Cyberattaques et cybercriminalité : tendances émergentes

Les attaques de type ransomware au premier plan des menaces actuelles, suivies d’une augmentation massive du phishing, des bots malveillants et exploits

ENISA est une agence de connaissances spécialisées en sécurité cybernétique pour l’Europe, née en 2004 dans le but de conseiller le secteur privé et les États membres en ce qui concerne la prévention, la détection et les réponses aux problèmes de sécurité de l’information, moyennant la sensibilisation sur les réseaux.

En début d’année, ENISA a publié son rapport sur l’état des cybermenaces en 2017, le sixième paru à ce propos. Ce dernier est accompagné de nouveautés, dont la création du site web ETL, le premier rendez-vous dans le domaine du renseignement lié au cybercrime et le développement de la première version du CTI maturity model pour l’identification des défaillances sur les outils actuels afin de partager des informations sur les menaces, qui se poursuivra en 2018.

Le rapport constate que les tendances actuelles se distinguent par la complexité et la sophistication des cyberattaques, un plus grand anonymat des cyberpirates, la transformation d’infrastructures malveillantes aux fonctions démultipliées, la monétisation de la cybercriminalité comme motif principal des agents de menaces et l’éclatement dynamique de la guerre cybernétique dans le cyberespace.

Les attaques par ransomware (rançongiciel) sont au premier plan des menaces actuelles. Cette dernière année, on a détecté près de 4 millions d’échantillons de ransomware par jour. Par ailleurs, les grands moteurs de recherche comme Firefox ou Chrome s’efforcent de renforcer leur sécurité suite à l’apparition de 22 millions de nouveaux exemplaires de malware au premier trimestre 2017. Mac, Linux et Windows sont également des cibles de ransomware. Ce dernier a notamment subi, en 2017, une augmentation de 20% concernant ce type d’attaques avec un pic à 75% pour le seul mois de juillet. Le malware financier, pour une large part, dépend encore des attaques basées sur le net puisque elles recherchent les faiblesses sur les navigateurs.

Le virus WannaCry, qui a sévi le 12 mai 2017, illustre bien la manière dont le ransomware et les attaques par déni de service (DDoS) peuvent être combinés. Il y a eu une augmentation des tentatives d’extorsion par attaques DDoS, le prix de sauvetage oscillant entre 5 et 200 bitcoins. Celles-ci se sont notamment multipliées depuis la hausse de la valeur de cette monnaie virtuelle en juin 2017. Le secteur le plus touché a été l’industrie du jeu avec 80% des attaques. Au premier trimestre 2017, il y a eu une augmentation de 69,2% dans l’utilisation de logiciels malveillants et certains outils ont mis à profit le phishing sur des courriers électroniques pour transformer les dispositifs en bots.

Le phishing (hameçonnage) a augmenté en volume et sophistication. Il est largement utilisé comme amorce de cyberattaque et utilise l’ingénierie sociale pour obtenir des informations confidentielles de manière frauduleuse. D’après les enquêtes récentes, « une moyenne de 1,385 milliards de sites de phishing sont créés chaque mois », notamment dans la modalité spear-phishing (harponnage), dans 40% des cas, par courrier électronique contre des individus ou des entreprises spécifiques aux fins d’obtention d’argent ou de cyberespionnage.

Les exploit kits sont capables d’identifier des défaillances sur les navigateurs ou sur une application web et les exploiter automatiquement. Ils ciblent en général des compléments de navigateur comme Java et Adobe Flash. Pour l’heure, c’est la seule menace à propos de laquelle le rapport 2017 constate une baisse des attaques.

Le rapport conclus qu’en raison de ces nouvelles menaces, les futures technologies devront développer de nouveaux contrôles et indicateurs clé de rendement (KPI), dans le domaine du renseignement lié aux cybercrime, pour minimiser le risque des organismes. Par ailleurs, il souligne l’importance du développement de politiques techniques et légales sur ce phénomène changeant des cyberattaques et de la cybercriminalité.

_____

Aquest apunt en català / Esta entrada en español / This post in English

 

Internet des objets : quand les électroménagers deviennent la cible de cyberattaques

Avec une prévision de pas moins de 20 milliards de dispositifs connectés à Internet en 2020, l’Internet des objets est là pour rester. Bien que ses effets positifs s’avèrent incontestables, il n’en demeure pas moins que les menaces et les risques associés sont multiples et évoluent très rapidement.

C’est pourquoi l’ENISA (Agence européenne pour la sécurité des réseaux et de l’information) et Europol se sont alliées pour faire face à ses défis de sécurité aux côtés de partenaires du secteur privé, de la communauté de sécurité et de la police, de l’équipe de réponse aux incidents de sécurité informatique (CSIRT), du public et de l’école de police.

L’Internet des objets est un vaste écosystème, très diversifié, où les dispositifs et les services interconnectés collectent, échangent et traitent des données pour s’adapter dynamiquement à un contexte. Ce qui fait que nos caméras, téléviseurs, machines à laver et systèmes de chauffage deviennent « intelligents » et créent de nouvelles opportunités dans notre manière de travailler, d’interagir et de communiquer, tandis que les dispositifs réagissent et s’adaptent à nous.

Il est important de bien comprendre la nécessité de sécuriser ces dispositifs et développer et implanter des mesures de sécurité adéquates pour protéger l’Internet des objets contre les menaces cybernétiques. Au-delà des mesures techniques, l’adoption de l’Internet des objets a entraîné de nombreux défis juridiques et réglementaires, qui sont tout nouveaux et dont la portée est vaste et complexe. Pour affronter ces défis, la coopération entre différents secteurs et différents acteurs est fondamentale.

Afin de garantir pleinement les nombreux avantages de l’Internet des objets, le travail d’Europol s’associe à la volonté de tous les acteurs internationaux concernés pour aborder les défis liés à la sécurité et à la lutte contre l’utilisation illégale de ces dispositifs et faire en sorte que le cyberespace soit un lieu plus sûr en tout :

  • Il faut davantage de coopération et de participation de multiples groupements d’intérêts pour aborder l’interopérabilité ainsi que les problèmes de sécurité, notamment par le développement émergent de l’industrie 4.0, les véhicules autonomes et l’arrivée du 5G.
  • Vu que sécuriser le dispositif final peut s’avérer techniquement difficile et coûteux, il faut donc envisager de sécuriser l’architecture et l’infrastructure sous-jacente en créant un climat de confiance et de sécurité sur différents réseaux et domaines.
  • Il est nécessaire de créer des motivations plus fortes pour aborder les problèmes de sécurité liés à l’Internet des objets. Il faut donc trouver un équilibre optimal entre l’opportunité et le risque dans un marché où prédominent la grande évolutivité et le facteur temps en positionnant la sécurité comme un avantage commercial différenciateur.
  • Pour enquêter efficacement sur la criminalité associée à l’Internet des objets, la dissuasion est aussi un aspect qui exige une étroite coopération entre l’application de la loi, la communauté CSIRT, la communauté de sécurité et le pouvoir judiciaire.
  • Cela crée une urgence dans l’application de la loi afin de développer les capacités techniques et l’expérience nécessaire pour mener à bien la lutte contre la cybercriminalité associée à l’Internet des objets.
  • Ces efforts doivent être complétés par la sensibilisation des utilisateurs finaux quant aux risques de sécurité des dispositifs.
  • En mettant à profit les initiatives et cadres existants, il faut opérer une approche multidisciplinaire combinant et complétant les actions sur le plan législatif, régulateur et politique ainsi que technique afin de sécuriser l’écosystème de l’Internet des objets.

https://notesdeseguretat.blog.gencat.cat/2017/07/24/quines-son-les-principals-amenaces-i-tendencies-de-la-delinquencia-a-internet/

_____

Aquest apunt en català / Esta entrada en español / This post in English

 

 

 

 

 

 

2017, l’année où la cybercriminalité s’accélère

Entre fin 2016 et, en grande part, l’année 2017, il s’est produit une vague d’attaques cybernétiques sans précédent au niveau mondial, de par leur impact et leur degré de propagation. Elles suscitent une grande inquiétude publique, d’autant plus qu’elles ne sont qu’un petit échantillon parmi l’infinité de menaces cybernétiques existant aujourd’hui.

L’évaluation de la menace de criminalité organisée sur Internet (IOCTA) d’Europol identifie les principales menaces de cybercriminalité et donne des conseils clé pour faire face à ces défis.

L’évaluation de la menace de criminalité organisée sur Internet en 2017 offre une étude approfondie des événements clé, des changements et des menaces émergentes de cybercriminalité au cours de l’année dernière. Celle-ci s’appuie sur la contribution des États membres de l’UE, du personnel expert d’Europol et de partenaires de l’industrie privée des secteurs financier et académique. Le rapport met l’accent sur les événements les plus importants dans plusieurs domaines de cybercriminalité :

  • Ransomware (logiciel malveillant de rançonnage) a éclipsé la plupart des autres cyberattaques lors de campagnes mondiales frappant aléatoirement ses victimes dans différents secteurs industriels et privés.
  • Les premières attaques sérieuses se sont produites par botnets (logiciels malveillants) utilisant des dispositifs d’Internet des Objets (IdO) infectés.
  • Les filtrages de données continuent à propager de grandes quantités d’informations, avec plus de 2 milliards de dossiers associés à des citoyens de l’UE, rendus publics sur une période de 12 mois.
  • Le Darknet reste un espace transversal clé favorisant la criminalité dans différents domaines. Il donne accès, entre autres choses, à l’offre de médicaments et de nouvelles substances psychoactives ; à la vente d’armes à feu utilisées dans des attentats terroristes ; à des données de paiement pour commettre toute sorte de fraudes ; et à de faux documents utilisés pour l’escroquerie, la traite des êtres humains et l’immigration illégale.
  • Les criminels utilisent à outrance le Darknet et autres plateformes en ligne pour partager et distribuer des contenus liés à l’exploitation sexuelle des enfants et y participer avec des victimes potentielles, bien souvent en essayant de contraindre et racketter sexuellement des mineurs vulnérables.
  • La fraude au paiement affecte presque toutes les industries et les secteurs les plus touchés sont la vente au détail, l’aéronautique et le logement.
  • Les attaques directes aux réseaux bancaires visant à manipuler des soldes de cartes de crédit, prendre le contrôle de distributeurs automatiques de billets ou virer des fonds directement, que l’on qualifie d’intrusions aux systèmes de paiement, constituent l’une des menaces émergentes dans ce domaine.

Malgré la recrudescence des menaces et des défis, on a assisté l’année dernière à quelques succès opérationnels importants dont le démantèlement de deux des grands marchés du Darknet, AlphaBay et Hansa, la neutralisation du réseau Avalanche ou encore l’action mondiale contre les fraudeurs aériens.

L’IOCTA se veut proposer une série de recommandations pour l’application de la loi et pour planifier en conséquence une réponse efficace et concertée à la criminalité cybernétique.

  • L’application de la loi doit continuer à cibler les acteurs qui développent et fournissent des outils et des services d’attaques cybercriminelles responsables de ransomware, trojans bancaires et autres logiciels malveillants et les fournisseurs d’outils d’attaques DDOS, services antirétroviraux et botnets.
  • La communauté internationale doit continuer à encourager des rapports de confiance avec des partenaires publics et privés, des communautés de sécurité CERT, etc., pour être à même de fournir une réponse rapide et coordonnée face à une attaque cybernétique mondiale.
  • Les États membres de l’UE devraient continuer à soutenir et à élargir leur engagement à l’égard d’Europol dans le développement de campagnes paneuropéennes de prévention et de sensibilisation.
  • Dans leurs investigations sur l’exploitation sexuelle des enfants en ligne, les États membres de l’UE doivent se munir de ressources suffisantes pour lutter contre ce type de criminalité.
  • La menace croissante de la criminalité cybernétique requiert une législation ciblée permettant la présence et l’application active de la loi dans un environnement en ligne. L’absence d’une telle législation conduit à la perte de leaderships investigateurs.

Tous les détails sont disponibles sur 2017 Internet Organised Crime Threat Assessment (IOCTA) : IOCTA 2017 website  | IOCTA 2017 PDF version

L’IOCTA a été présenté lors de la séance annuelle de la Conférence sur la cybercriminalité Europol-INTERPOL, tenue à La Haye les 27-29 septembre 2017.

Vous pouvez consulter les entrées du blog aux IOCTA précédents sur :

IOCTA 2015 https://notesdeseguretat.blog.gencat.cat/2016/05/23/la-delinquencia-organitzada-a-internet/

IOCTA 2016 https://notesdeseguretat.blog.gencat.cat/2016/11/02/proposta-de-prioritats-operacionals-en-la-delinquencia-a-internet/

https://notesdeseguretat.blog.gencat.cat/2017/05/03/com-prevenir-un-atac-de-ransomware/

_____

Aquest apunt en català / Esta entrada en español / This post in English

 

La polémique sur les centres d’internement des étrangers se poursuit

La controverse sur le bien-fondé des centres d’internement des étrangers (CIE) est revenu à la une de l’actualité en avril dernier lorsque le ministre de l’Intérieur, Juan Ignacio Zoido, a annoncé à la réunion plénière du Sénat l’ouverture de trois nouveaux centres à Madrid, Algesiras et Malaga.

Si la Mairie de Barcelone avait déjà demandé à plusieurs reprises la fermeture du CIE de Barcelone ces dernières années, c’est aujourd’hui l’Observatoire du système pénal face à l’immigration, l’Institut andalou de criminologie de Malaga et l’université de cette même ville qui publie aujourd’hui un rapport demandant la fermeture des huit centres d’internement existant en Espagne et l’abandon de l’ouverture de ceux annoncés par le ministre.[1]

Cette polémique ne fait que relancer un débat très animé au niveau de l’Union européenne : la gestion des flux migratoires (et de réfugiés) respectant les principes démocratiques des États membres et de l’Union même. Entre autres mécanismes prévus pour gérer les étrangers sans permis de séjour en attente du résultat de la procédure d’expulsion, on a créé des centres d’internement qui, sans être réellement des prisons, permettraient de confiner, sans liberté de mouvement, les individus en séjour irrégulier sur le territoire national d’un État membre, en attendant l’issue de la procédure administrative (ou pénale) décrétant l’expulsion ou, au contraire, l’autorisation de séjour dans le pays concerné.

L’Union européenne avait essayé d’implanter les mesures nécessaires pour contenir l’immigration moyennant la Directive relative aux normes et procédures communes applicables dans les États membres pour le retour des ressortissants de pays tiers en séjour irrégulier,[2] qui a donné lieu à une nouvelle réforme de la législation sur les étrangers en Espagne et, quelques années plus tard, à un règlement de fonctionnement des CIE.[3] Quoi qu’il en soit, ces réformes législatives n’ont pas bénéficié d’un large consensus, notamment dans les pays du sud de l’Europe, sujets à d’importants flux migratoires provenant d’Afrique et abandonnés à leur sort par leurs partenaires du nord de l’Europe. Les mauvaises conditions dans ces centres ainsi que la restriction des droits qu’ils impliquent (la directive permet jusqu’à 180 jours de privation de liberté ; jusqu’à 60 jours pour la loi espagnole), ont provoqué des manifestations réitérées dans le temps, tant d’associations de défense des droits de l’homme que de professionnels travaillant auprès des individus affectés et de certains groupes politiques.

Le rapport présenté à Malaga début juillet, exigeant la fermeture de tous les CIE, avance, entre autres critiques, qu’en 2016 seuls 29% des individus internés dans ces centres ont été expulsés. C’est-à-dire que 71% d’entre eux ont été remis en liberté, ce qui, aux yeux des signataires, revient à utiliser ces centres comme une deuxième prison, sans aucun motif justifié (souvent au seul grief de séjour irrégulier). Cette situation n’a fait que se dégrader de façon alarmante au fil du le temps puisqu’en 2013 déjà, 52,5% des individus internés finissaient par être expulsés ; en 2014, ce chiffre tombait à 47,5% puis à 41,4% en 2015, avec encore douze points de moins pour l’année dernière. Autrement dit, si le but des centres est de faciliter l’expulsion des étrangers, leur efficacité (compte tenu que le nombre d’individus internés n’a pas augmenté) est en train de chuter vertigineusement.

[1]Vid. https://ocspi.wordpress.com/2017/06/22/razones-para-el-cierre-de-los-cie/

[2] Vid. http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32008L0115

[3] Vid. https://www.boe.es/buscar/doc.php?id=BOE-A-2014-2749

_____

Aquest apunt en català / Esta entrada en español / This post in English