Perspectives cybercécurité 2018 : Fortinet prévient contre les botnets intelligents,
des « swarms » dotés de capacités d’autoapprentissage
FortiGuard Labs, l'équipe de recherche en sécurité sur Internet de Fortinet, un célèbre fournisseur américain de solutions de sécurité, a publié ses prédictions pour l'année 2018. D'après les développements des chercheurs de la firme, les cybercriminels vont tirer parti des innovations en matière d’intelligence artificielle et d’automatisation afin d'extorquer les services commerciaux, mettre sur pied des « essaims » (swarms) d’objets connectés piratés et cibler les infrastructures critiques.
Situant le contexte dans lequel l'étude a été menée, Derek Manky, Global Security Strategist chez Fortinet déclare en effet que notre économie numérique est le berceau d’une innovation technologique qui, si elle crée des opportunités pour la cybersécurité, présente néanmoins de réels risques. « La prolifération des dispositifs connectés et l’hyperconnectivité actuelle nourrissent un environnement criminel particulièrement difficile à maîtriser. D’ailleurs, les cybercriminels tirent parti de l’automatisation et de l’intelligence artificielle à grande échelle, sur l’ensemble des vecteurs d’attaque. Les attaques comme WannaCry et NotPetya laissent présager des perturbations et des impacts économiques attendus dans un proche futur, avec, à la clé, la prise en otage de données et d’éléments de propriété intellectuels, voire la mise à l’arrêt des services commerciaux. Les frameworks de sécurité qui misent sur l’automatisation, une intégration étroite et une segmentation stratégique s’annoncent critiques pour déjouer les attaques intelligentes de demain », a souligné Derek Manky.
D'après les informations recueillies, les conclusions de l'étude menée par l'équipe des chercheurs de FortiGuard Labs mettent en évidence les différentes méthodes et stratégies que les cybercriminels vont mettre en œuvre prochainement. À cela s'ajoute également l'analyse de l’impact potentiel des cyberattaques sur l’économie globale.
« Sur les deux prochaines années, nous assisterons à des vecteurs d’attaques qui continueront à se développer, tandis que la visibilité et le contrôle sur les infrastructures actuelles devraient diminuer. La prolifération des équipements en ligne accédant aux informations personnelles et financières, et la mise en réseau de quasiment tous les objets (les multiples dispositifs de l’Internet des Objets, les infrastructures critiques des automobiles, des maisons et des bureaux, jusqu’aux villes connectées) ont créé de nouvelles opportunités pour les cybercriminels et autres assaillants », soutient Fortinet. Le spécialiste en sécurité ajoute que le marché de la cybercriminalité a tendance à adopter efficacement et rapidement les innovations les plus récentes en matière d’intelligence artificielle, cela dans l'optique de lancer des attaques toujours plus efficaces. Face à cette situation, les chercheurs en sécurité de Fortinet estiment que cette tendance devrait s'accroître en 2018.
Fortinet présente les principaux points consignés dans le rapport de FortiGuard Labs ci-après.
- L’avènement des Hivenets et Swarmbots autonomes
Fortinet estime que face à des attaques sophistiquées, il devient logique de s'attendre à ce que les cybercriminels remplacent leurs réseaux botnets par des hivenets, à savoir des clusters intelligents d’équipements piratés qui ciblent plus efficacement les vecteurs d’attaques. Les hivenets vont tirer avantage d’une compétence d’apprentissage autonome pour cibler les systèmes vulnérables à très grande échelle. Ils seront capables de communiquer entre eux et de prendre des décisions sur la base d’informations de veille en local qui sont partagées. De plus, les équipements piratés gagneront en intelligence et agiront sans instruction de la part de ceux contrôlant le botnet. Les hivenets pourront ainsi croître de manière exponentielle sous forme d’essaims (swarms), en multipliant leurs cibles et en empêchant les remédiations post-incident. Si les attaques n’utilisent pas encore la technologie swarm, cette dernière est néanmoins embarquée dans leur code : il est donc probable que, dans le futur, les assaillants intègrent un apprentissage autonome à ce type d’attaque. Des swarms d’équipements piratés identifieront et cibleront de manière simultanée différents vecteurs d’attaque, accélérant ainsi leurs exactions tout en en élargissant leur périmètre. Cette rapidité d’action pèsera lourdement sur la capacité à prédire les attaques, et donc à les combattre. FortiGuard Labs affirme avoir enregistré près de 2,9 milliards de tentatives de communication par des botnets sur seulement un seul trimestre de cette année, ce qui en dit long sur le danger potentiel des hivenets et des swarmbots.
- Le rançonnage des services commerciaux toujours plus lucratif
Selon Fortinet, l'année dernière a été marquée par une forte croissance de l'activité des ransomwares qui a été 35 fois plus importante ; cela à cause de la profilération des ransomworms et attaques similaires. Cette tendance, d'après les chercheurs, devrait se poursuivre avec comme prochaine cible de prédilection des ransomwares les fournisseurs de services cloud, cela dans l’objectif de générer toujours plus de revenus. « Les réseaux complexes et hyperconnectés des fournisseurs cloud constituent un talon d'Achille pour des centaines d'entreprises, d'administrations, d'infrastructures critiques ou d'acteurs des soins de santé. Nous nous attendons à ce que les cybercriminels capitalisent sur des technologies d'intelligence artificielle et les associent à des méthodes d’attaques multivectrices, cela afin d’analyser, de détecter et d’exploiter les faiblesses des environnements des fournisseurs de services cloud. Ces attaques, particulièrement rémunératrices pour les organisations criminelles, peuvent interrompre les services à l'intention de centaines d'entreprises, avec un impact final sur des dizaines ou des centaines de milliers de clients », soutient l'équipe des chercheurs en sécurité de Fortinet.
- Malware polymorphe de nouvelle génération
L'équipe de Fortinet FortiGuard prédit que l'année 2018 sera également marquée par une rapide genèse de malwares qui seront entièrement conçus par des machines et sur la base d’une détection automatique de vulnérabilités et d’analyses complexes de données. Si le malware polymorphe n’est guère nouveau, il devrait néanmoins fortement évoluer. L’intelligence artificielle devrait permettre la mise en œuvre de processus définis par la machine pour éviter toute détection. Face à l'évolution naturelle d’outils déjà existants, les assaillants seront capables d’affiner leurs exploits aux spécificités de chaque faiblesse identifiée. Les malwares sont déjà capables d’utiliser les modèles d’apprentissage pour contourner la sécurité en place et produire plus d’un million de variantes de virus par jour. Mais, à ce jour, cette perspective est basée seulement sur un algorithme et il est difficile d'évaluer précisément le résultat. FortiGuard Labs annonce avoir enregistré 62 millions de détections de malwares sur un trimestre en 2017 et déclare que sur ce volume, il a été recensé près de 17 000 variantes liées à plus de 2500 malwares différents. Pour le spécialiste en sécurité, l’automatisation croissante des malwares rendra cette situation encore plus critique sur l’année à venir à savoir 2018.
- Les infrastructures critiques en première ligne
« Les fournisseurs d’infrastructures critiques continuent à être des cibles privilégiées. Ces organisations opèrent des réseaux essentiels qui protègent des services et des informations critiques. Cependant, la majorité des infrastructures critiques et des réseaux industriels sont fragiles, puisqu’ils ont été conçus pour fonctionner de manière cloisonnée. Mais les attentes des collaborateurs et du grand public pour une réponse toujours plus rapide à leurs besoins ont commencé à faire évoluer ces réseaux, avec notamment le besoin d'une sécurité dédiée à des environnements conçus à l'origine pour être isolés. Face à l’importance de ces réseaux et aux conséquences potentiellement dévastatrices des piratages ou d’indisponibilités, les opérateurs d’infrastructures critiques se retrouvent désormais sous le feu d’organisations criminelles ou terroristes, voire d’états. L’audace des assaillants et la convergence des technologies opérationnelles et d’information rendent la sécurité des infrastructures d’autant plus critique pour 2018 et au-delà », affirme Fortinet.
- Le Darkweb et la cyberéconomie criminelle à l’origine de nouveaux services automatisés
Sur ce point, l'équipe de Fortinet met en évidence le fait que le Darkweb évolue au rythme des mutations de la cybercriminalité, et par conséquent il faut s'attendre à une émergence de nouvelles offres de services au sein du Darkweb, cela d'autant plus que les fournisseurs d’outils de Crime-as-a-Service s’orientent vers des technologies d'automatisation. Poursuivant son argumentaire, elle déclare : « nous assistons déjà à des services évolués proposés sur les marchés du Darkweb et utilisant l'apprentissage automatique (machine learning). À titre d’exemple, un service nommé FUD (Fully Undetected) permet aux développeurs de soumettre leur code logiciel et leur malware à ce service d’analyse, et ce, contre rémunération. Ils reçoivent, en retour, un rapport leur indiquant la propension des outils de sécurité de différents éditeurs à détecter ce malware. Pour accélérer le développement de malwares, nous assisterons à l’utilisation du machine learning, capable de modifier le code à la volée sur la base de ce qui a été détecté en laboratoire, accentuant ainsi la furtivité des menaces. Les outils de sandbox tirent également parti du machine learning pour identifier des menaces inconnues et créer des mesures de protection en temps réel. Il est possible que cette approche soit automatisée et utilisée dans l’autre sens pour cartographier les réseaux, identifier de nouvelles cibles, déterminer les points faibles de ces cibles et même modéliser une cible pour mener une tentative d’intrusion virtuelle, une étape préliminaire à l’exécution d’une attaque personnalisée en environnement réel. »
Face à cette situation, Fortinet estime qu'il est primordial de garder une longueur d’avance sur les menaces. C'est donc en ces termes que le fournisseur de solutions de sécurité s'est exprimé : « Les cybercriminels jouent la carte de l’innovation en matière d’automatisation et d’intelligence artificielle, pour ainsi disposer d’outils qui pèseront lourdement sur l’économie numérique. Les solutions de sécurité doivent être bâties autour de technologies de sécurité étroitement intégrées, d’une veille décisionnelle sur les menaces et de frameworks de sécurité configurables en temps réel. La sécurité se doit d’être ultra performante, avec une prise en charge automatisée des incidents, une veille sur les menaces et des capacités d’autoapprentissage : c’est à ce titre que les réseaux sauront prendre des décisions efficaces et de manière autonome. Cette approche, si elle renforce la visibilité et des fonctions centralisées de gestion, permet également une segmentation stratégique pour intégrer en profondeur la sécurité au sein des infrastructures réseau. L’identification, le confinement et la prise en charge des équipements piratés sont ainsi accélérés. Cette sécurité s’attache également à lutter contre les attaques, sur différents écosystèmes, des endpoints et modules réseau en local et jusqu’au cloud. Enfin, les principes de base d’une sécurité pertinente doivent être intégrés dans nos protocoles de sécurité fondamentaux. Ce point est souvent oublié, mais il reste néanmoins essentiel pour limiter les conséquences délétères qu’il s’agit précisément de maîtriser. »
Source : Fortinet
Et vous ?
Que pensez-vous de ces prédictions de Fortinet ?
Partager