Cybersécurité - Innovations digitales et numériques

Terminé, les attaques informatiques lancées au hasard de la Toile par des gangsters de pacotille : place aux interventions ciblées et de grande envergure beaucoup plus rémunératrices, menées par des cyberpirates professionnels. Telle est la principale tendance observée par Symantec, qui a publié, hier, son rapport annuel 2013 sur le sujet. En amont, le cybergangster identifie l'entreprise à attaquer. Pour pénétrer son système informatique sans éveiller les soupçons, il repère sur le Web et les réseaux sociaux des salariés pouvant faire office de porte d'entrée. Dans le jargon, on appelle ça du « social engineering ». Il expédie, ensuite, des mails sur mesure (offres promotionnelles en adéquation avec la victime). « Un pirate envoie une vingtaine de messages, contre une centaine avant. C'est moins suspect », indique Laurent Heslault, directeur des stratégies de sécurité de Symantec.

Il n'y a pas si longtemps encore, les fautes de français ou d'accent étaient telles, les tournures de phrases tellement alambiquées, qu'on pouvait repérer l'arnaque très facilement. Ce n'est plus le cas : les pirates se sont très dangereusement professionnalisés. Ils emploient désormais des rédacteurs parfaitement francophones, secondés parfois par des juristes. Ils n'hésitent pas à capter de vrais logos pour authentifier leurs messages et poussent même parfois le vice jusqu'à rajouter les mentions légales d'usage, comme les références à la CNIL ! Même un oeil averti peut s'y laisser prendre.

http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=norton-report-2013

Le contrôle continu de l’utilisation des comptes à privilèges en temps réel permet une détection instantanée de toute activité malveillante ou des transgressions de règles de sécurité. Avec ces nouvelles méthodes, les entreprises bénéficient d’une visibilité accrue de l’activité sur les comptes sensibles pouvant aussi être complétée par la corrélation des informations contextuelles issues de toutes les ressources systèmes. Cette veille permanente et ciblée de l’activité sur les comptes à haut pouvoir facilite la prise de décision au sein des équipes de sécurité et permet ainsi de limiter les dépenses de sécurité et d’anticiper des vols de données aux conséquences parfois catastrophiques. »

Si d'autres chercheurs ont présenté des méthodes pour contourner certaines mesures d'EMET, l'équipe de DeMott revendique une méthode pour contourner toutes celles de la dernière version 4.1. Elle a synthétisé ses travaux dans un rapport de recherche et a fourni préalablement ses résultats à Microsoft. D'ailleurs, Jared DeMott indique que la firme de Redmond devrait s'inspirer des travaux des chercheurs dans la version 5 d'EMET.

Cependant, il explique qu'EMET souffre d'un problème plus profond pour arrêter efficacement les attaques. L'utilitaire fonctionne au niveau de l'espace utilisateur et non au niveau du  noyau, souligne le rapport. « Notre étude montre que les technologies qui fonctionnent au même niveau que l'exécution du code malveillant peuvent généralement être contournées, car il n'y a pas d'avantages supérieurs sur ce terrain comme c'est le cas pour la protection du kernel ou d'un hyperviseur », constate le responsable. Microsoft reconnaît que si son outil est un obstacle supplémentaire pour rendre les attaques plus difficiles, il ne garantit pas que les failles ne puissent pas être exploitées. Pour Bromium, EMET reste un bon produit pour son prix, c'est-à-dire gratuit. La vraie question n'est pas de savoir si l'outil de sécurité peut être contourné, mais quelle est la valeur des données à protéger. « Pour une entreprise ayant des données critiques, EMET ne bloquera par des attaques ciblées », concluent les chercheurs.