Prévisions de cybersécurité 2024 : Changements dans le panorama des attaques

Richard De La Torre

Février 05, 2024

Prévisions de cybersécurité 2024 : Changements dans le panorama des attaques

Bienvenue dans notre série de prévisions sur la cybersécurité en 2024 ! Il s'agit de l’un de nos quatre articles d'experts dans lesquels nous dévoilons des prévisions clés sur les défis liés à la surface d'attaque, au paysage géopolitique, à l'IA et aux ransomwares. Vous pouvez également visionner notre webinaire à la demande qui couvre ces sujets et répond à vos questions sur ce que 2024 réserve à la cybersécurité.



Dans cet article de la série de nos prédictions 2024, nous allons explorer un thème commun à nos prédictions sur l'IA et les ransomwares : la plus grande fragilité de la barrière d'accès initiale pour les attaquants. Cela se traduit par une augmentation des endpoints compromis, et nous allons ainsi aborder les implications du point de vue de la surface d'attaque.

L'évolution constante des menaces pesant sur les endpoints

Les endpoints restent l'un des objectifs les plus importants pour les cybercriminels lors d'une attaque. Les endpoints constituent le premier vecteur d'entrée le plus courant, et c'est généralement là que se trouvent la plupart des données précieuses recherchées. Par conséquent, les attaques ciblant les endpoints vont s'intensifier, et cela se manifestera dans plusieurs domaines clés :

  • L'utilisation de fichiers légitimes: les cybercriminels veulent éviter d'être détectés une fois qu'ils ont compromis un système. L'un des moyens qu'ils utilisent pour perpétuer leurs attaques sans déclencher trop d'alarmes est de recourir à des techniques de type LOLBins (living off the land). Ce type d'attaque utilise des binaires existants (des programmes et des logiciels déjà installés sur un système) pour mener à bien une attaque, au lieu de s'appuyer sur l'exécution d'un logiciel malveillant distinct, qui peut être facilement identifié par les logiciels de sécurité, même les plus anciens. Nous avons surtout vu ce type d'exploitation des ressources sous Windows, où les attaquants utilisent PowerShell, WMI, le planificateur de tâches et d'autres services intégrés dans le système d'exploitation pour exécuter ou déclencher des scripts malveillants sur le terminal. Mais de plus en plus, les acteurs de la menace compromettent également les binaires sous Linux et macOS, tels que bash. Ces tactiques d'attaque se sont avérées efficaces et fructueuses, et nous continuerons à voir leur augmentation. C'est pourquoi il est essentiel d'utiliser des technologies EDR/XDR et des services MDR qui peuvent corréler les événements sur le réseau et aider à identifier le comportement associé à un incident de sécurité qui peut impliquer des LOLbins.

  • L'exploitation des pilotes (Bring Your Own Vulnerable Driver - BYOVD): L'accès élevé accordé aux pilotes dans un système en font une cible intéressante pour les cybercriminels. Ces derniers exploitent de plus en plus les pilotes vulnérables pour obtenir un accès privilégié aux systèmes, où ils peuvent ensuite utiliser cet accès pour contourner les solutions de sécurité, installer et déclencher des ransomwares, se déplacer latéralement dans le réseau et exfiltrer des données. À l'instar des LOLBins, l'exploitation des pilotes existants sur un système permet à l'attaquant de ne pas être détecté par les solutions de sécurité traditionnelles et souvent de contourner la protection par signature numérique de Microsoft. Nous avons vu, par exemple, le groupe de pirates informatiques Lazarus, basé en Corée du Nord, exploiter des pilotes appartenant à des logiciels d'authentification pour compromettre la sécurité d'une organisation qu'il ciblait. En 2024, on devrait assister à une recrudescence des attaques utilisant les vulnérabilités des pilotes pour compromettre les endpoints.

  • Hétérogénéité au sein de Windows: Microsoft a présenté le sous-système Windows pour Android aux initiés en octobre 2021, et a autorisé les scripts Python dans Microsoft Office en 2023. Ces nouvelles fonctionnalités permettent ainsi d'exécuter des applications non natives sous Windows. En soi, ces ajouts introduisent un tout nouvel ensemble de codes et de vulnérabilités potentielles dans Windows. Chaque nouveau logiciel augmente la surface d'attaque, c'est-à-dire le nombre total de points ou de "vecteurs d'attaque" qu'un attaquant peut tenter d'exploiter. En ciblant à la fois les systèmes Windows et Android, les cybercriminels ont davantage d'occasions de détecter des faiblesses. Pour aggraver le problème, l'utilisation du sous-système Android sous Windows implique souvent le chargement latéral d'applications. Comme nous l'avons déjà signalé, les cybercriminels « aiment » infester les APK (exécutables Android) de tiers avec des logiciels malveillants. La prise en charge des scripts Python ouvre la voie à des attaques supplémentaires visant les utilisateurs de Microsoft Office. Nous avons déjà commencé à voir des logiciels malveillants qui exploitent l'index des paquets Python (PyPl). Pour se protéger contre ces menaces, les utilisateurs doivent s'abstenir de charger des applications sur les systèmes Android et s'en tenir à l'installation de logiciels disponibles uniquement via Google Play ou le portail de leur entreprise.

  • Le contournement des outils EDR: Les solutions de détection et de réponse sur les endpoints (EDR) ont gagné en popularité en 2023, fournissant aux organisations des informations précieuses sur les menaces de sécurité ciblant leurs terminaux. Pour contrecarrer la menace croissante de la détection par les outils EDR, les attaquants ont développé une série de techniques pour contourner leur détection. Ils y parviennent en modifiant le code en mémoire, en neutralisant les crochets (hooks) en mode utilisateur, en désactivant complètement le service AMSI (Antimalware Scan Interface, service qui permet aux solutions de sécurité d'analyser le code exécuté sur les systèmes Windows à la recherche de menaces), en utilisant des exploits du noyau, en manipulant les journaux d'audit utilisés par les EDR, et bien plus encore. La popularité croissante de l'EDR va de pair avec l'adoption de techniques de contournement de celui-ci par les cybercriminels. Les organisations doivent mettre en œuvre une technologie de défense en profondeur qui utilise plusieurs couches de sécurité qui se complètent et se chevauchent. Cette technologie comprend des capacités de protection des processus qui renforcent les endpoints contre la falsification des DLL et combine la sécurité en mode utilisateur et en mode noyau avec des heuristiques pour identifier et empêcher les techniques de contournement des EDR.

Menaces croissantes liées au cloud

Les charges de travail dans le cloud et l'infrastructure cloud sont devenues essentielles à l'épine dorsale opérationnelle des organisations du monde entier. Cette dépendance critique à l'égard des environnements cloud s'accompagne d'un profil de risque accru, car des menaces émergentes pèsent sur ces écosystèmes cloud. 2023 a vu une augmentation des cyberattaques ciblant les architectures natives du cloud, telles que les plateformes d'orchestration de conteneurs comme Kubernetes. Les attaquants ont continué à exploiter les vulnérabilités de services largement utilisés, et ont de plus en plus abusé des mauvaises configurations au niveau des charges de travail du cloud. Il est essentiel de comprendre ces menaces émergentes pour que les organisations puissent renforcer leurs défenses et s'assurer que leur parcours dans le cloud en 2024 reste sécurisé et résilient.

  • Azure et Azure AD dans le viseur: L'année dernière a vu une augmentation de la disponibilité d'outils open-source particulièrement utiles pour la gestion, la surveillance et la sécurisation des charges de travail dans les clouds publics, notamment pour Microsoft Azure®. Ces outils offrent un large éventail de fonctionnalités, de l'automatisation de l'infrastructure à la surveillance des performances. Nous prévoyons que les cybercriminels chercheront à détourner bon nombre de ces outils pour obtenir des accès non autorisés aux charges de travail cloud. En se connectant aux interfaces de programmation d'applications (API) utilisées par ces outils, ou en exploitant des pilotes vulnérables, les attaquants seront en mesure d'exposer la sécurité des environnements cloud avec lesquels ces outils sont interfacés. Grâce à cette exposition, ils pourront accéder à Azure AD et créer des comptes avec un accès élevé qui leur permettra d'affaiblir les défenses des organisations (par exemple en désactivant l'authentification multifactorielle) ou de manipuler les infrastructures d'administration existantes comme Intune™ pour exécuter des logiciels malveillants sur les hôtes. Les solutions de détection et de réponse étendues (XDR) qui offrent une protection pour les charges de travail dans le cloud et les plateformes d'identité peuvent aider à découvrir les comportements associés à une mauvaise utilisation de ces outils.

  • La montée en puissance des vers natifs du cloud: L'adoption accrue du DevOps dans le cloud et la popularité croissante des plateformes de conteneurs telles que Kubernetes, Docker, OpenShift, etc. ont élargi la surface d'attaque potentielle pour les cybercriminels. Ces derniers continueront d'exploiter les mauvaises configurations de ces environnements cloud pour accéder aux organisations. Nous nous attendons à une augmentation des vers natifs du cloud qui font proliférer les logiciels malveillants dans l'ensemble des environnements cloud. Exploitant la nature même de ces plateformes imbriquées, ces vers ont le potentiel de causer beaucoup de dégâts en très peu de temps. Nous avons assisté à l'émergence d'une variété autoreproductrice de ces vers, utilisée pour des schémas de minage de cryptomonnaies, et des imitateurs ne manqueront pas de suivre. Les entreprises utilisant des technologies cloud doivent faire appel à des services de type CSPM (Cloud Security Posture Management) afin d'identifier et de résoudre ces configurations qui peuvent les exposer à ces nouvelles menaces.

Surfaces d'attaque ´émergentes : les nouvelles frontiéres

Les endpoints et les charges de travail dans le cloud resteront les principales cibles des cyberattaques en 2024, mais il faut s'attendre à ce que les cybercriminels élargissent la façon dont ils ciblent ces actifs.

  • Les applications de communication: 2024 verra la montée en puissance des attaques utilisant des applications de communication comme Slack® et Teams. Leur nature « décontractée », souvent non contrôlée, en fait des cibles de choix pour l'infiltration. En 2023, des rapports ont fait état d'une vulnérabilité de Teams™ qui permet aux attaquants d'envoyer des fichiers malveillants à des victimes peu méfiantes via la plateforme. La propagation du malware DarkGate via Skype® et Teams™ a connu un pic important. En raison de la nature des outils concernés, ils continueront à servir de vecteur d'attaque. Les organisations doivent employer une sécurité multicouche sur leurs endpoints qui inclut une protection réseau efficace capable d'intercepter le transfert de fichiers malveillants sur ces plateformes.

  • Interactions entre utilisateurs et appareils non supervisés: Alors que les employés reviennent à une pratique de travail hybride, les cybercriminels visent à déplacer les interactions des utilisateurs vers des environnements moins contrôlés en utilisant différents appareils et plateformes. 70% des incidents étudiés par l'équipe MDR de Bitdefender en 2023 proviennent d'appareils non gérés, ce qui montre clairement l'efficacité du ciblage de ces équipements. La manière dont ces appareils sont ciblés continuera d'évoluer en 2024. Les entreprises doivent rester vigilantes face aux attaques de phishing utilisant des QR codes, ou celles impliquant l'utilisation de numéros de téléphone ou de comptes détournés pour initier des discussions qui conduisent à l'exposition de données sensibles des utilisateurs. Les organisations doivent appliquer des politiques rigoureuses en matière d'appareils personnels afin de prévenir les menaces provenant de l'utilisation d'appareils non gérés, et les employés doivent être encouragés à installer une sécurité mobile robuste capable de détecter les messages malveillants.

  • Les langages de programmation agnostiques: Les attaquants aiment ratisser aussi large que possible lorsqu'ils développent leurs attaques. En 2023, nous avons assisté à une intensification des attaques écrites dans des langages de programmation agnostiques comme Rust, Go et Swift. Rust s'est imposé comme un choix populaire en raison de sa sécurité, de sa fiabilité et de sa rapidité. Parallèlement à l'utilisation de ces langages agnostiques, nous avons également constaté une augmentation de l'utilisation de cadres open-source tels que Havok et Sliver, utilisés par les groupes cybercriminels dans les connexions de commande et de contrôle. Les avantages pour les attaquants consistent à pouvoir compromettre tous les systèmes d'exploitation.

  • Exploiter les vulnérabilitiés des processeurs: L'année 2023 a vu la découverte de plusieurs vulnérabilités importantes au niveau des processeurs, telles que le Redundant Prefix Issue (CVE-2023-23583) et le Gather Data Sampling (CVE-2022-40982) d'Intel, et les vulnérabilités Inception (CVE-2023-20569) et ZenBleed (CVE-2023-20593) d'AMD. Ces vulnérabilités peuvent permettre aux cyberattaquants de faire fuiter des informations sensibles au-delà des limites des privilèges, voire de mener des attaques DoS sur les systèmes compromis. En raison de leur nature, ces bugs sont difficiles à résoudre et nécessitent souvent une mise à jour du système d'exploitation ou du microcode. Dans de nombreux cas, il peut être nécessaire de recompiler complètement les applications. Bien que nous n'ayons pas encore vu d'attaquants exploiter ces défauts, il est possible que des groupes cybercriminels ciblent ces vulnérabilités en 2024.

  • Les conflits mondiaux entraînent une augmentation de l'hacktivisme: Avec le développement des conflits dans le monde, nous pouvons nous attendre à une recrudescence de la cybercriminalité, qu'elle soit soutenue directement ou tactiquement par des acteurs parrainés par des États ou par des groupes non affiliés ayant des intérêts nationalistes. La cyberguerre reste un outil efficace pour atteindre des objectifs politiques, sociaux ou nationaux. Ces objectifs peuvent consister à perturber des infrastructures critiques, à dérober des données sensibles ou à influencer l'opinion publique. Ces deux dernières années ont vu une augmentation significative des attaques contre des infrastructures critiques perpétrées par des groupes soupçonnés d'être parrainés par des États. Compte tenu des conflits actuels au Moyen-Orient, dans les pays baltes et dans d'autres territoires, ces types d'incidents ne feront qu'augmenter en fréquence et en portée en 2024. Compte tenu de la « passion » qui sous-tend nombre de ces types d'attaques, on peut s'attendre à un certain degré d'imprévisibilité dans leur exécution.

Conclusion

À l'horizon 2024, le paysage de la cyberguerre est en train de subir un changement sismique, sous l'effet de l'intégration accélérée des outils d'intelligence artificielle (IA), de l'attention accrue portée aux environnements cloud et de l'expansion de la surface d'attaque due à l'hétérogénéité des plateformes et des pratiques de travail. Il est clair que si les défis sont considérables, il y a aussi des raisons substantielles d'être optimiste. Les progrès technologiques qui ont encouragé les cyberattaquants permettent également aux défenseurs de disposer d'outils plus robustes et plus sophistiqués. Les gouvernements, les organisations et les experts en cybersécurité collaborent de plus en plus, partagent leurs connaissances et leurs ressources pour garder une longueur d'avance sur les menaces. Cet effort collectif témoigne de la résilience et de l'adaptabilité de la communauté de la cybersécurité.

Les organisations qui se concentrent sur la préparation sont celles qui ont le plus de chances de traverser avec succès cette période de turbulences. À l'horizon 2024, les organisations doivent adopter un plan directeur comprenant des capacités efficaces de prévention, de protection, de détection et de réponse, qui ne constituent pas seulement des éléments d'une stratégie de cybersécurité saine, mais les piliers mêmes sur lesquels repose leur résilience.



Plongez dans le panorama des cybermenaces de 2024 ! Notre webinaire à la demande, Prédictions 2024 : L'évolution des ransomwares, les réalités de l'IA et la mondialisation de la cybercriminalité, va au-delà de cet article, avec des discussions en direct sur ces différents sujets.

Contact an expert

tags


Auteur


Richard De La Torre

My name is Richard De La Torre. I’m a Technical Marketing Manager with Bitdefender. I’ve worked in IT for over 30 years and Cybersecurity for almost a decade. As an avid fan of history I’m fascinated by the impact technology has had and will continue to have on the progress of the human race. I’m a former martial arts instructor and continue to be a huge fan of NBA basketball. I love to travel and have a passion for experiencing new places and cultures.

Voir toutes les publications

Actualités Les + populaires

FOLLOW US ON SOCIAL MEDIA


SUBSCRIBE TO OUR NEWSLETTER

Don’t miss out on exclusive content and exciting announcements!

Vous pourriez également aimer

Marque-pages


loader