Nous avons traversé une autre année dans la sécurité... et quelle année ce fut. Des attaques mondiales de ransomwares aux fuites contenant des milliards d'enregistrements, tout y est. La cybersécurité est un sujet d'actualité constant. Pas un mois ne se passe sans fuite majeure, attaque ou similaire.
Avez-vous remarqué tout ce qui s'est passé ? Il est difficile de suivre le rythme, même pour moi, et je regarde et lis les informations sur la sécurité tous les jours. Dans cet esprit, j'ai rassemblé et passé en revue l'année en matière de cybersécurité afin que vous puissiez vous asseoir et vous émerveiller de tout ce qui s'est spectaculairement mal passé.
La sécurité en 2017 a été ponctuée par une série d'événements sauvages et extrêmement mémorables. Beaucoup d'événements étaient si importants qu'ils ont touché presque tout le monde sur la planète. Certains ont détruit de grandes institutions tandis que d'autres concernaient des fuites de données vraiment étonnantes provenant d'institutions de confiance. Découvrons les événements majeurs qui ont façonné l'année.
En avril 2016, un groupe ténébreux (compris ?!) connu sous le nom de Shadow Brokers a annoncé qu'il avait piraté un serveur appartenant à une opération d'élite liée à la NSA connue sous le nom d'Equation Group. À l'époque, The Shadow Brokers offrait un petit échantillon d'outils et de données de piratage supposés de la NSA. Halloween et le Black Friday 2016 ont vu les Shadow Brokers tenter de vendre aux enchères leurs gains mal acquis, sans grand succès.
Ils recherchaient 750 BTC - d'une valeur d'environ 750 000 $ en janvier 2017, mais plus de 9 000 000 $ à un niveau record en décembre 2017. Au lieu de cela, ils ont reçu environ 18 000 $ de Bitcoin et ont publié la totalité des outils de piratage NSA, en ligne gratuitement. L'identité des Shadow Brokers reste inconnue. Il y a, cependant, de nombreuses spéculations selon lesquelles il s'agissait d'un groupe de piratage d'élite du gouvernement russe cherchant à surpasser ses homologues et à illustrer que l'attribution de piratages à l'État-nation est une entreprise dangereuse.
Que s'est-il passé ensuite ? Lisez la suite, mon ami.
Parmi les outils de piratage de The Shadow Brokers, il y avait un exploit connu sous le nom d'ETERNALBLUE (également stylisé EternalBlue). EternalBlue exploite une vulnérabilité connue (maintenant corrigée) dans le protocole Microsoft Server Message Block (SMB), permettant aux attaquants d'insérer des paquets spécialement conçus pour exécuter du code malveillant sur une machine cible.
La NSA a averti Microsoft que des pirates avaient compromis l'exploit EternalBlue. Microsoft a répondu en annulant les mises à jour de sécurité de février 2017, en corrigeant l'exploit et en déployant le tout en mars 2017. Avancez jusqu'en mai 2017 et l'attaque du rançongiciel WannaCry frappe, exploitant - vous l'avez deviné - EternalBlue et la vulnérabilité du protocole SMB. /P>
WannaCry a détruit 250 000 ordinateurs au cours des premières 24 heures, cryptant machine après machine, exigeant le paiement en Bitcoin pour la clé de cryptage privée requise pour déverrouiller chaque appareil. Le NHS du Royaume-Uni a été durement touché, obligeant certaines régions à fonctionner uniquement avec des services d'urgence. Telefonica, FedEx, Deutsche Bank, Nissan, Renault, le service ferroviaire russe, les universités chinoises et bien d'autres ont été directement touchés par WannaCry.
Marcus Hutchins, alias MalwareTech, a freiné l'épidémie mondiale de ransomware en enregistrant un nom de domaine trouvé dans le code source du ransomware. Le nom de domaine a agi comme un lien vers un gouffre pour les nouvelles infections. Plutôt que de crypter l'appareil, le ransomware est resté inactif. Plus tard dans le même mois, l'énorme botnet Mirai a tenté de DDoS le site de domaine kill-switch WannaCry pour redonner vie au ransomware (mais a finalement échoué). D'autres ont lancé des variantes de WannaCry conçues pour exploiter la même vulnérabilité.
Microsoft a directement accusé la NSA d'être à l'origine de l'incident en stockant des exploits critiques pour un certain nombre de systèmes d'exploitation et d'autres logiciels critiques.
Les violations de données se sont multipliées. Ils sont partout, affectent tout et vous obligent à changer vos mots de passe. Mais en juin 2017, le chercheur en sécurité Chris Vickery a découvert une base de données accessible au public contenant les détails d'inscription des électeurs pour 198 millions d'électeurs américains. Cela équivaut à presque tous les électeurs qui remontent à une dizaine d'années ou plus.
Les données, collectées et agrégées par la société de données conservatrice Deep Root Analytics, étaient hébergées sur un serveur Amazon S3 mal configuré. Heureusement pour Deep Root Analytics, la majorité des données étaient accessibles au public, ce qui signifie qu'elles contenaient des noms, des adresses, des affiliations à des partis, etc. Mais un pirate pourrait certainement trouver une utilisation à cette quantité d'informations personnelles pré-agrégées.
Vickery a déclaré:"C'est certainement la plus grande découverte que j'aie jamais faite. Nous commençons à aller dans la bonne direction en sécurisant ce matériel, mais cela va empirer avant de s'améliorer. Ce n'est pas le fond." Des temps inquiétants, en effet.
Rollup, rollup, la prochaine énorme brèche est là. La violation de données stupéfiante d'Equifax a attiré l'attention de presque tous les citoyens américains. Pourquoi? Parce que l'agence d'évaluation du crédit a subi une violation majeure, n'a pas divulgué les informations, a laissé les membres du conseil d'administration vendre des actions avant d'annoncer la violation et a exposé les antécédents de crédit détaillés de presque tous les citoyens américains à quiconque met la main sur les données.
Ça sonne mal, non ? C'était et c'est mal. Non content d'exposer les antécédents de crédit de centaines de millions de citoyens, Equifax a tâtonné à plusieurs reprises l'opération de nettoyage. Alors, que s'est-il passé ?
En décembre 2016, un chercheur en sécurité a déclaré à Motherboard, sous anonymat, qu'ils étaient tombés sur un portail en ligne destiné uniquement aux employés d'Equifax. Le chercheur a exploité un bogue de "navigation forcée" et a immédiatement eu accès aux dossiers de millions de citoyens américains. Le chercheur a informé Equifax de la vulnérabilité en tant que divulgation responsable. Gardez cette violation à l'esprit.
En septembre 2017, des rapports ont révélé qu'Equifax avait été victime d'une violation majeure de la cybersécurité - mais la violation avait eu lieu en mars 2017. La violation semblait provenir de la même vulnérabilité que celle précédemment détaillée à l'agence de crédit. Au même moment (toujours en septembre), Equifax a annoncé que le vol de données touchait 145 millions de consommateurs américains, ainsi qu'entre 400 000 et 44 millions de résidents britanniques et 8 000 Canadiens.
Les pirates ont récupéré des informations personnelles, notamment des noms complets, des dates de naissance, des adresses, des numéros de sécurité sociale et plusieurs autres types d'informations vitales, telles que des permis de conduire. En termes simples, il s'agit de l'une des pires fuites de données jamais vues.
Mais ça empire. Dans les jours qui ont suivi l'annonce, le site d'assistance et de récupération de compte d'Equifax a été marqué comme spam par OpenDNS et mis hors ligne, présumé être un site de phishing. Oh, et pour vérifier l'état de leur compte, les utilisateurs devaient entrer les six derniers chiffres de leur numéro de sécurité sociale - l'ironie n'était pas perdue. Ensuite, le site a commencé à renvoyer de fausses informations. De nombreux rapports d'utilisateurs saisissant des informations complètement fausses ont donné des résultats positifs, informant l'utilisateur que ses données avaient été perdues. Et puis un site de phishing est apparu, obscurcissant davantage les eaux déjà troubles.
Ajoutant l'insulte à l'injure, le membre du Congrès Barry Loudermilk a présenté un projet de loi à la Chambre des représentants des États-Unis qui supprimait essentiellement les protections des consommateurs directement en relation avec les activités menées par les agences de crédit américaines. Le projet de loi tentait également d'annuler tous les dommages-intérêts punitifs. Loudermilk avait précédemment reçu 2 000 $ lors du cycle électoral de 2016 d'Equifax.
Aucun groupe de piratage n'a encore fourni de données. Lorsqu'ils le font, cependant, vous pouvez être sûr que les données auront un prix élevé.
Ce ne serait pas une année dans la cybersécurité sans une entrée de WikiLeaks. En mars 2017, WikiLeaks a publié un trésor de documents de la CIA composé de 7 818 pages Web, avec 943 autres pièces jointes. Lorsqu'on lui a demandé leur authenticité, l'ancien directeur de la CIA, Michael Hayden, a déclaré que la CIA "ne fait aucun commentaire sur l'authenticité, le contenu ou les prétendus documents de renseignement".
D'autres responsables, actuels et anciens, ont confirmé l'authenticité des documents. D'autres ont comparé la fuite de CIA Vault 7 aux outils de piratage divulgués par la NSA via The Shadow Brokers. Que contenait l'abri 7 ?
Les documents sont essentiellement un catalogue très détaillé d'outils de piratage et d'exploits puissants. Parmi les trésors se trouvent des instructions sur la compromission de Skype, des réseaux Wi-Fi, des documents PDF, des programmes antivirus commerciaux, du vol de mot de passe et bien plus encore.
La société de cybersécurité Symantec a analysé les outils et a trouvé plusieurs descriptions correspondant à des outils "utilisés dans des cyberattaques contre au moins 40 cibles différentes dans 16 pays différents" par un groupe connu sous le nom de Longhorn. L'analyse par Symantec des délais de développement de certains outils et de leur utilisation contre des cibles spécifiques a confirmé l'authenticité du contenu de Vault 7 et son lien direct avec la CIA.
Ces cinq événements ont probablement été les révélations les plus importantes et les plus choquantes de l'année. Mais ce ne sont pas les seuls événements majeurs. Il y a eu plusieurs violations de données impliquant des chiffres ahurissants ; la décharge de River City Media contenait à elle seule 1,4 milliard de comptes de messagerie, d'adresses IP, de noms complets, etc.
Le chiffre ci-dessous est tout simplement stupéfiant, mais représente 56 % en enregistré dossiers perdus ou volés depuis que j'ai rédigé le dernier rapport de fin d'année.
Ou que diriez-vous du NHS du Royaume-Uni? Le service national de santé grinçant a subi son pire événement de violation de données en mars 2017. Une divulgation accidentelle a révélé les données médicales privées de 26 millions de dossiers, représentant 2 600 pratiques de santé à travers le pays. Ou la soi-disant Big Asian Leak, une base de données de pirates contenant plus d'un milliard d'enregistrements volés à plusieurs grandes entreprises technologiques chinoises ? Celui-là a à peine fait la une des journaux en dehors de l'Asie et des cercles de cybersécurité.
Si vous souhaitez en savoir plus sur les chiffres importants derrière chaque violation, je vous suggère de parcourir l'index des niveaux de violation. Alternativement, cette liste Identity Force est également complète.
Les faits chiffrés à froid sont les suivants :les attaques de logiciels malveillants et de rançongiciels sont en constante augmentation. À l'échelle mondiale, il existe également davantage de variantes de logiciels malveillants et de rançongiciels. Le blog G-DATA Security estime qu'il y a plus de 27 000 nouveaux spécimens de logiciels malveillants chaque jour -- C'est toutes les 3,2 secondes. Leur étude semestrielle a révélé qu'un spécimen de logiciel malveillant sur cinq a été créé en 2017. (Lisez notre guide sur la façon de supprimer la majorité d'entre eux !)
Cette année, le ver de rançon WannaCry décrit plus tôt a complètement faussé le paysage des infections. Un récent rapport Sophos [PDF] a expliqué que si "Cerber a été la famille de ransomwares la plus prolifique... sa puissance a été éclipsée pendant quelques mois... lorsque WannaCry a pris d'assaut la planète sur le dos d'un ver." D'autres vecteurs d'attaque, comme les publicités malveillantes, le phishing et le spam avec des pièces jointes malveillantes, ont également connu une augmentation considérable.
D'autres souches extrêmement virulentes, telles que Petya/NotPetya/GoldenEye, ont augmenté le niveau d'attaque du ransomware en cryptant le Master Boot Record, en forçant un redémarrage pour activer le processus de cryptage, en exécutant une fausse invite de commande CHKDSK pour déguiser le processus et en exigeant une rançon substantielle pour décrypter le système.
Par exemple, une tactique courante de malvertising (connue sous le nom de cryptojacking) redirige l'utilisateur vers un site exécutant un mineur de crypto-monnaie en arrière-plan. Dans certains cas, même après avoir fermé l'onglet incriminé, le script d'extraction de crypto-monnaie continue de s'exécuter. Dans d'autres cas, il suffit de verrouiller une page Web et d'émettre une rançon aux utilisateurs peu méfiants, ou de forcer le téléchargement de kits d'exploitation malveillants sur l'appareil.
Au troisième trimestre 2017, Kaspersky Lab a constaté que 59,56 % du trafic mondial de messagerie était du spam, soit une hausse de 1,05 % par rapport au trimestre précédent. Parmi ces spams, Symantec estime qu'un sur 359 contient une pièce jointe malveillante, tandis que les e-mails, en général, restent le mécanisme de diffusion n° 1 pour les logiciels malveillants.
"Aucun autre canal de distribution ne s'en rapproche :pas de sites Web compromis contenant des kits d'exploitation, pas de technologies de partage de fichiers en réseau comme SMB, pas de campagnes publicitaires malveillantes qui incitent les utilisateurs à cliquer sur des bannières publicitaires. En fait, un utilisateur est presque deux fois plus susceptible de rencontrer des logiciels malveillants via e-mail que de tomber sur un site Web malveillant."
Non seulement la quantité de logiciels malveillants, de ransomwares, de spams et similaires a augmenté, mais notre confidentialité générale diminue à une époque de surveillance croissante. Au tournant de l'année, nous étions encore en train de composer avec le colossal Yahoo! violation de données. Je ne l'ai pas inclus dans cette revue annuelle car la majorité des informations sont arrivées en décembre 2016 -- après avoir rédigé la revue de l'année dernière, mais surtout, avant 2017.
Le long et le court de celui-ci est ceci :Yahoo! a subi plusieurs violations de données tout au long de 2016, entraînant la fuite de milliards de dossiers individuels. C'était si mauvais qu'il a presque détruit l'énorme fusion Yahoo/Verizon. Cependant, les statistiques suivantes sont post-Yahoo, mais pré-Equifax et les fuites d'inscription des électeurs, alors gardez cela à l'esprit.
En janvier 2017, Pew Research a rapporté qu'"une majorité d'Américains (64 %) ont personnellement subi une grave violation de données et une part relativement importante du public manque de confiance dans les institutions clés - en particulier le gouvernement fédéral et les sites de médias sociaux - pour protéger leurs informations personnelles." Étant donné que la fuite d'Equifax a révélé 145 millions de citoyens et que la fuite de l'inscription des électeurs a révélé 198 millions d'enregistrements, je suis prêt à parier que ce pourcentage a considérablement augmenté.
En ce qui concerne la surveillance, seulement 13% du public américain déclare qu'il n'est "pas du tout probable" que le gouvernement surveille leurs communications. Ceci, après la réduction significative de la portée de capture des métadonnées NSA, est révélateur. Près de 80% des adultes américains de moins de 50 ans pensent que leurs communications sont suivies. Cependant, dans la tranche des plus de 50 ans, ce chiffre tombe à environ 60 %.
La voici, la bonne nouvelle que vous attendez. Le nombre total de sites d'hameçonnage est passé d'un sommet de plus de 450 000 au deuxième trimestre 2016 à environ 145 000 au deuxième trimestre 2017. C'est l'heure des fêtes !
Pas si vite! Le nombre total de sites d'hameçonnage a considérablement diminué, mais la variété des méthodes de phishing a augmenté. Au lieu d'utiliser simplement des e-mails appâtés, les malfaiteurs déploient leurs armes malveillantes sur les messageries instantanées et autres plates-formes de communication.
Les faux billets d'avion, les escroqueries aux bons de supermarché, les cafés gratuits, les meubles, les billets de cinéma et bien plus encore ont figuré sur WhatsApp, SnapChat et d'autres messageries instantanées.
À ce stade, vous pensez probablement "S'il vous plaît, laissez-le finir." Eh bien, vous avez de la chance ! Vous avez atteint la fin de cet examen approfondi mais entièrement sombre de la cybersécurité en 2017. Pour résumer :à mesure que les menaces augmentent, leurs dégâts s'aggravent, coûtent plus cher et ont des implications plus larges.
Rester en sécurité en ligne n'est pas entièrement facile. Mais cela ne doit pas non plus être une corvée. Il y a un seul facteur d'interconnexion entre chaque attaque. Vous l'avez deviné ? C'est vrai :c'est le facteur humain. L'éducation aux compétences de base en cybersécurité atténue une quantité phénoménale de problèmes potentiels.
La confidentialité et la sécurité sont une notion qui s'éloigne lentement à mesure que nous avançons en 2018. La technologie crée une commodité insondable, mais le coût est difficile à récupérer une fois perdu. Les citoyens recherchent de plus en plus de nouvelles solutions pour protéger leur vie privée. Ou, à tout le moins, gérer les données qu'ils abandonnent. Les solutions d'exploitation des données gagnent du terrain, visant à rendre le pouvoir aux utilisateurs en tant que créateurs de données. Plusieurs startups blockchain feront des tentatives audacieuses tout au long de 2018 et au-delà pour atteindre cet objectif. (Ainsi que ceux qui modifieront également notre relation avec les agences de crédit.)
Mais en réalité, nous devons accepter que la vie privée telle que nous la connaissions a disparu depuis longtemps. Chaque internaute se trouve au sommet d'une montagne de données agrégées. Internet (et avec lui, les mégadonnées) s'est développé plus rapidement que d'autres technologies qui changent le monde. Malheureusement, les utilisateurs sont pris dans le bourbier.
Comme le dit le gourou du cryptage Bruce Schneier, "Les gens ne testent pas leur nourriture pour les agents pathogènes ou leurs compagnies aériennes pour la sécurité. Le gouvernement le fait. Mais le gouvernement n'a pas réussi à protéger les consommateurs des sociétés Internet et des géants des médias sociaux. Mais cela viendra. Le seul moyen efficace de contrôler les grandes entreprises est par le biais d'un grand gouvernement."
Il n'est pas trop tard pour vous renseigner et informer votre entourage. Cela fera presque certainement une différence. Et vous n'avez pas à dépenser des milliers de dollars pour être en sécurité, mais cela pourrait vous faire économiser cela plus tard. Un bon point de départ est notre guide pour améliorer votre sécurité en ligne.
Avez-vous été victime d'une faille de sécurité en 2017 ? Dites-le nous dans les commentaires.