Dans son rapport de sécurité annuel « 2016 Security Roundup : A Record Year for Enterprise Threats », Trend Micro, fait le point sur les principaux incidents survenus l’année dernière.
Pour la société, « 2016 s’est véritablement imposée comme l’année de l’extorsion en ligne. Le nombre de cyber-menaces a en effet atteint un sommet historique en 2016, avec des attaques de type BEC (Business Email Compromise) gagnant en popularité parmi les cybercriminels cherchant à extorquer de l’argent aux entreprises. »
D’autre part, Trend Micro a constaté une croissance de 748 % des nouvelles familles de ransomware qui a conduit à des pertes évaluées à 1 milliard de dollars pour les entreprises du monde entier.
Les attaques Apple augmentent et celles de Microsoft baissent
En 2016, Trend Micro et son programme Zero Day Initiative (ZDI) ont dévoilé un total de 780 vulnérabilités. Parmi elles, 678 ont été identifiées grâce au programme « bug bounty » de la ZDI, vérifiées puis signalées à l’entreprise affectée. Comparées aux vulnérabilités décelées en 2015, les failles Apple ont progressé de 188 % tandis que celles de Microsoft ont reculé de 47 %. En outre, l’utilisation de nouvelles vulnérabilités dans les kits d’exploitation a diminué de 71 %, notamment grâce au démantèlement en juin 2016 du groupe de cybercriminels à l’origine de l’Angler Exploit kit.
Parmi les points marquants du rapport : il est à noter la montée en puissance des ransomware qui sont passés de 29 à 246 au cours de l’année 2016, une croissance portée principalement par leur rentabilité. Bien que les individus et les entreprises soient encouragés à ne pas payer la rançon, les gains des cybercriminels sont estimés à près de 1 milliard de dollars ; une recrudescence des arnaques de type BEC – A l’instar des ransomware, les arnaques de type BEC ont été très lucratives en 2016, générant en moyenne 140 000 dollars de pertes pour les entreprises dans le monde. Ces arnaques mettent par ailleurs en lumière l’efficacité des techniques d’ingénierie sociale utilisées par les cybercriminels pour cibler les entreprises ; la diversité des vulnérabilités comme le montre le programme ZDI de Trend Micro, qui a identifié en 2016 un nombre record de vulnérabilités, la plupart détectées au sein d’Adobe Acrobat Reader DC et WebAccess d’Advantech. Les deux applications sont largement utilisées dans les entreprises et les systèmes SCADA (Supervisory Control And Data Acquisition). Autre fait marquant, la fin du kit d’exploitation Angler, après arrestation de 50 cybercriminels. Autrefois prédominant, il s’est progressivement évanoui jusqu’à disparaître complètement. Bien que d’autres kits d’exploitation aient bien entendu profité de l’absence d’Angler pour voir le jour, l’exploitation de nouvelles vulnérabilités au sein des kits d’exploitation a baissé de 71 % à la fin de l’année 2016.
Quid des chevaux de Troie bancaires et malware ATM ? Ces attaques se sont diversifiées au cours des dernières années, octroyant aux cybercriminels un accès à des informations personnellement identifiables (PII) et aux identifiants utilisés pour s’introduire dans les réseaux des entreprises. En octobre 2016, certains hackers ont su tirer avantage de la faible sécurité des objets connectés pour lancer une attaque par déni de service (DDoS) qui a pris en otage près de 100 000 périphériques IoT et mis hors ligne des sites tels que Twitter, Reddit et Spotify pendant plusieurs heures.
Reste un cas significatif, celui de la fuite de données chez Yahooh. La société a vécu la plus grande violation de données de l’histoire en août 2013, 1 milliard de comptes utilisateurs ayant été affecté. Cet incident de sécurité de grande envergure n’a pourtant été divulgué que récemment, trois mois après que des rapports aient fait état d’une nouvelle fuite de données en septembre 2016, impliquant 500 millions de comptes supplémentaires. Ces événements soulèvent la question du partage d’informations et de la responsabilité des entreprises envers leurs clients au regard de la sécurité des données utilisateurs. Comme quoi, la norme GRPD est bien attendue.
