Un mot de passe peut valoir jusqu’à 500 dollars. C’est ce que les chercheurs ont découvert, en montrant comment un groupe de hackers nord-coréens a ciblé des employés de haut niveau de sociétés bancaires, de construction et de commerce depuis 2019. Le pari des cybercriminels est de cibler les cadres, directeurs et membres de conseils d’administration d’entreprises qui, malgré le poste élevé qu’ils occupent, n’ont pas les compétences numériques et la “malveillance” cybernétique nécessaires pour protéger leurs activités en ligne. Et il est facile d’imaginer ce que l’on peut faire avec le mot de passe d’un directeur de banque ou d’une multinationale pharmaceutique.
Malgré ce qui ressort chaque jour des attaques de phishing contre les consommateurs ordinaires qui utilisent des applications de paiement en se sentant protégés par la réputation des entreprises avec lesquelles ils interagissent, ce qui se passe, c’est que les escrocs à la recherche de gros sous apprennent à choisir leurs cibles. Rami Efrati, le co-fondateur de la cyberdirection israélienne, déclare : “Le phishing joue également un rôle important dans le paysage criminel en raison de l’utilisation occasionnelle des réseaux sociaux par lesquels les attaquants identifient les personnes ayant un rôle décisionnel, étudient leur comportement et les volent de façon mesquine”.
Un exemple de la façon dont des cibles plus complexes sont choisies est celui que vient de découvrir le groupe d’analyse des menaces de Google. Dans ce cas, la cible des pirates est constituée d’autres pirates, travaillant comme chercheurs en informatique, chefs de la cybersécurité ou testeurs de pénétration. L’appât est un blog auquel ils demandent à se joindre afin de partager les vulnérabilités “Zero days” (les failles encore inconnues des produits commerciaux) avec les “exploits” (c’est-à-dire les outils pour les exploiter), après avoir gagné leur confiance suite à une demande de collaboration transmise par de faux comptes sur Twitter ou LinkedIn. Cela est également arrivé à des chercheurs italiens qui, une fois qu’ils ont reçu le “paquet informatique” avec le code à évaluer ensemble afin de travailler dessus, ont découvert qu’il contenait des logiciels malveillants.
Des vols de plus en plus sophistiqués et des vols numériques. Mais cela ne signifie pas que les voleurs numériques abandonneront leurs cibles traditionnelles, en particulier celles qui, pendant la pandémie, se sont avérées être parmi les plus vulnérables, comme les sociétés pharmaceutiques, les centres de santé et la chaîne d’approvisionnement en médicaments. C’est la thèse d’Efrati : “Ils seront une cible prioritaire pour les hackers et les nations à la recherche de brevets, de données et d’informations liées à la production de vaccins, mais aussi pour nuire à leur développement, semer le chaos et exiger des rançons via des ransomware”.
Les chercheurs de CybergON, l’unité commerciale de cybersécurité de la société italienne Elmec Informatica, en sont également convaincus. En dressant une sorte de carte des risques pour 2021, ils ont identifié les problèmes auxquels les spécialistes et les responsables des infrastructures et des applications devront faire face. Dans leur liste de mauvaises habitudes à éliminer, ils incluent le fait que plus de la moitié des utilisateurs réutilisent des mots de passe qui ont déjà fait l’objet d’une violation de données ; que les entreprises ne se sont pas organisées pour mettre à jour leurs systèmes et qu’elles insèrent encore des noms d’utilisateurs et des mots de passe dans les applications informatiques et que les niveaux d’accès aux activités des entreprises ne sont pas encore compartimentés pour réduire les risques. Enfin, qu’ils ne disposent pas toujours de sauvegardes à l’épreuve des rançons et qu’ils sécurisent rarement les journaux, c’est-à-dire les traces d’accès que les intrus effacent immédiatement si une machine est compromise.
Almanach des menaces. Dans son “almanach des menaces”, CybergON rappelle que la cybercriminalité, définie par le Forum économique mondial de Davos comme la troisième plus grande économie du monde, pourrait coûter au total environ 10 millions de dollars par seconde tout au long de 2021, selon les données du Centre de cybersécurité du Surrey. Et ce faisant, ils citent Warren Buffett, le multimillionnaire qui a récemment déclaré que la cybercriminalité est le problème numéro un de l’humanité. Une réflexion évidente : une cyber-attaque est capable de paralyser une organisation, une ville ou une nation entière et pour cela “doit être considérée comme une arme nucléaire”.
Les dommages causés par les seules attaques par rançon atteindront 20 milliards de dollars d’ici 2021, selon la société. Aussi parce que la surface dite d’attaque augmentera de manière exponentielle : d’ici 2023, en effet, le nombre d’appareils connectés au réseau triplera, tandis que la sécurité de la technologie 5G qui mettra en réseau les foyers et les bureaux à domicile n’est pas encore bien définie.
Il n’est pas facile de dire si ces prévisions se révéleront exactes au million près, à la fois parce que les entreprises et les groupes de réflexion mesurent les risques différemment, et parce que la criminalité opère clandestinement et que toutes les entreprises ne sont pas prêtes à signaler les dommages et les cyberattaques : mais ce qui est certain, c’est que les voleurs de données seront toujours en alerte. Si les données et les informations sont de l’or dans la société numérique, il suffit de penser que la capitalisation des données des dix premières entreprises mondiales atteindra bientôt 200 zettaoctets (10 à 21 octets). Tant d’or dans tant de voûtes, c’est un peu comme du miel pour les ours.
Ils tirent donc la sonnette d’alarme : d’ici 2025, il y aura 100 zettaoctets de données sur le cloud, soit environ la moitié de la capacité de stockage mondiale. Ainsi, l’identité numérique et les facteurs d’authentification qui la régissent deviendront la véritable architecture de la sécurité des organisations. Rien qu’en 2021, l’industrie de la cybersécurité devra protéger 300 milliards de mots de passe. Sommes-nous vraiment prêts ?
