W3C SVG

Résumé du Microsoft Digital Defense Report 2020

Feb 9, 2020

En ce début d’année, nous déclarons souvent des prémonitions sur les tendances à venir dans le domaine de la cyber sécurité. Quelles sont les nouvelles attaques que nous allons rencontrer ? Y-a-t-il un nouveau domaine qui sera touché ? Est-ce que nous verrons de vieilles attaques resurgir…? Malheureusement dans cet exercice divinatoire, nous oublions souvent de regarder en arrière. Dans cet exercice de mémoire, je pense qu’il est important de regarder les rapports des acteurs globaux Amazon, Google, Microsoft ou OVH pour le made in France. En effet, ce sont des entreprises qui vont voir presque toutes les attaques visant le particulier à la multinationale, du phishing à l’APT.

Microsoft a sorti un rapport en septembre 2020 qui présente les événements qu’ils ont pu rencontrer avec des indicateurs. Je vous propose un rapide résumé de ce rapport un peu tardif. Si vous souhaitez le télécharger, il est accessible en suivant ce lien

Le rapport commence avec les classiques attaques par phishing. Le point le plus intéressant est la rapide contextualisation des attaques sur le thème du COVID. Jouant sur la peur de l’inconnue de cette crise, le taux de conversion a été légèrement plus important que sur les phishing classiques. Pour se protéger contre ces attaques, la sensibilisation des collaborateurs reste la meilleure solution. Si vous avez une petite équipe informatique, je vous conseille de mettre en place une boite mail permettant de collecter toutes les remontées d’alertes de vos collaborateurs. Je conseille vivement de mettre en place un bouton sur Outlook pour remonter l’alerte, le SOC de Société générale propose un plugin à implémenter. Toutes les mesures de contrôles des mails entrants sont également nécessaires. Dans le rapport nous apprenons également que Microsoft a une équipe dédiée à la détection au au démantèlement des campagnes de phishing avec l’aide des forces de l’ordre de plusieurs pays pour clôturer les serveurs malveillants.

La seconde attaque la plus courante est le ransomware. Cependant cette année les attaques ont été plus pernicieuses, avec une phase d’infiltration préalable au déploiement massif du ransomware. Durant cette phase, les attaquants en profitent pour extraire les données pour demander une rançon supplémentaire afin d’éviter une publication des données volées sur le net. Ils mettent en place également des moyens de rester dans le SI à travers la création de comptes dans l’AD ou l’installation de backdoor. La défense contre un ransomware est plus difficile à mettre en place. Cependant il est indispensable d’avoir des solutions de sauvegarde de vos données pour pouvoir relancer votre activité rapidement. Il est intéressant de noter que les attaquants déclenchent les ransomware pendant des périodes critiques pour le business ; que ce soit en fin de semaine, pendant les soldes sur un site de e-commerce, ou lors de la publication de communications obligatoires.

Microsoft rencontre également de nombreux problèmes sur les IOT (Internet Of Things). Il y a des vagues de compromission sur ces appareils qui sont faiblement sécurisés. La première cause est l’utilisation du mot de passe par défaut ! Une fois les appareils compromis, ils vont servir comme pions dans des attaques par Ddos ou bien à miner des cryptomonnaies. Je pense que l’article oublie de citer des attaques plus ciblées sur les systèmes industriels, par exemple les centrales électriques ou bien les pacemaker, qui ont pourtant des impacts bien plus importants.

Dans la sécurisation de son système informatique, il faut également prendre en compte son environnement. Par exemple, il y a de nombreuses mises à jour malveillantes sur des outils open source. En général cela provient d’une non validation par les pairs du pull request, ou bien d’une compromission du compte du mainteneur qui n’a pas mis en place l’authentification forte. Cette dernière attaque est déclinée avec les systèmes infogérés où ce sont les comptes de votre prestataire informatique qui sont visés afin de vous atteindre.

Le dernier sujet que je trouve intéressant est l’utilisation du machine learning dans l’écosystème cyber. Seules les attaques sur les systèmes de ML et l’utilisation du ML dans les SOC ont été abordées. J’aurais bien aimé avoir un point sur l’utilisation du ML dans les attaques des systèmes :(

Le rapport aborde également le sujet des fake news, des trojans bancaires et des APT. Ce sont des sujets tellement spécifiques que je ne les aborderai pas.

Ce que je retiendrai de ce rapport :

  • la contextualisation des attaques à l’actualité,
  • les attaques usuelles restent majoritaires même si ce ne sont pas celles qui font les titres des journaux,
  • l’IOT va devenir un problème de fond sur internet,
  • l’IA en particulier le Machine Learning sont les sujets des 5 prochaines années. il est temps de se former dessus ;)