L’équipe mondiale de recherche d’ESET dévoile les principaux risques pour 2015
Bratislava – ESET®, pionnier, depuis plus de deux
décennies de la protection proactive, a publié une compilation des
principales tendances en cybercriminalité ainsi que des prévisions pour 2015.
Ces points importants sont développés en détail dans le rapport d’ESET sur les ‘Tendances
et Prévisions 2014 en Cybercriminalité et Malware Android‘, qui sera publié
tout prochainement sur WeLiveSecurity.com. Alors que l’an dernier tout se
concentrait sur la protection de la vie privée sur Internet et les malwares sur
Android, de nouveaux secteurs de risques en sécurité informatique émergeront en
2015.
Augmentation des attaques ciblées En 2015, les attaques ciblées deviendront encore plus sophistiquées. Souvent appelées APT (Advanced Persistant Threats), elles sont différentes des cyberattaques traditionnelles. Conçues pour attaquer des victimes spécifiques et pour être silencieuses, les attaques ciblées peuvent être cachées et non détectées dans des réseaux insuffisamment sécurisés.
“Le vecteur des attaques ciblées profite généralement des attaques d‘ingénierie sociale”, explique Pablo Ramos, chef du laboratoire de recherche ESET en Amérique Latine. “C’est alors que la manipulation psychologique est utilisée pour pousser les victimes potentielles à commettre certaines actions ou à divulguer des informations confidentielles. Les attaques peuvent également être des ‘zero-day exploits’ profitant de vulnérabilités nouvellement découvertes dans un système d’exploitation ou un application particulière. ”
Au cours de 2014, le blog We Live Security d’ESET a publié un certain nombre d’analyses approfondies concernant les attaques ciblées, telles que BlackEnergy campaign et Operation Windigo .
Les systèmes de paiement en ligne attirent plus de malware
Comme de plus en plus de personnes adoptent les systèmes de paiement en ligne pour les biens ou les services, ces systèmes deviennent encore plus attrayants pour les concepteurs de malware intéressés par les gains financiers.
2014 a vu la plus grande attaque connue à ce jour en matière de paiement digital, quand un pirate a récolté plus de 600.000 dollars US en Bitcoins et Dogecoins en utilisant un réseau de machines infectées.
ESET a signalé les attaques effectuées en mai contre le site Dogevault, où les utilisateurs du très populaire portefeuille électronique ont signalé des retraits non autorisés de leurs comptes avant que le site ne soit obligé d’être mis hors ligne suite à la destruction des données du site par les attaquants. On estime que 56.000 dollars US ont été volés aux utilisateurs du portefeuille en ligne.
Nous avons aussi vu des attaques de force brute telles que Win32/BrutPOS , qui ont essayé d’accéder aux comptes protégés par un mot de passe en les bombardant de mots de passe populaires afin d’obtenir un accès à distance – un rappel général en faveur de l’utilisation de mots de passe forts et uniques.
L’Internet des choses – de nouveaux jouets pour les pirates
Alors que de nouveaux appareils se connectent à internet et stockent plus de données, ils deviennent un vecteur d’attaque attrayant pour les cybercriminels. Au cours de 2014, nous avons trouvé plus de preuves de la hausse de cette tendance. Lors de la conférence Defcon, on a vu les attaques sur les voitures en utilisant le dispositif ECU, ou sur la voiture Tesla qui a été piratée afin d’en ouvrir les portes alors qu’elle roulait.
Des attaques et des concepts ont aussi été montrés sur différents appareils reliés à la télévision, sur des Smart TV, sur des systèmes biométriques sur smartphones, sur routeurs – sans mentionner les Google Glasses.
C’est un domaine émergent pour la cybercriminalité qui restera un secteur de concentration pour l’industrie de la sécurité. Alors que cela pourrait prendre des années avant de devenir une menace grave, il faut agir dès à présent afin de mieux prévenir ce type d’attaques.
Plus d‘information
Le rapport complet est disponible sur WeLiveSecurity.com. Plus d’information peut également être trouvée sur ESET’s WeLiveSecurity.com blog.
ESET a aussi publié un webinar sur le thème the security lessons learned in 2014. Ce webinar a pour but d’aider les entreprises à adapter leur sécurité pour l’année à venir.