2014, l’année de tous les dangers

Les attaques contre la grande distribution sont certainement ce que l’on retiendra le plus de cette année 2014. Deux grandes enseignes ont fait la une des journaux pendant plusieurs jours, et pour de mauvaises raisons : Home Depot et Target.

Ce mois-ci, Home Depot a divulgué les détails de l’enquête. Il semble que les cybercriminels aient  commencé par accéder au périmètre du réseau de Home Depot grâce à l’utilisation de l’identifiant et du mot de passe d’un vendeur tiers. Ensuite, les attaquants ont trouvé une faille pour permettre une élévation de leurs privilèges et ont ainsi accédé aux POS (point of sale) de l’enseigne afin d’y déployer un malware personnalisé.

Les attaques contre Home Depot et Target ont permis aux cybercriminels de subtiliser au total près  de 170 millions de données clients, incluant les informations bancaires, les noms, numéros de téléphone et adresses e-mails des clients. Bien entendu, les pertes pour les deux enseignes sont colossales – y compris celle de la confiance des clients.

 Il va sans dire que ces attaques ont jeté un froid dans le monde de la grande distribution, et ont fait prendre conscience à de nombreuses enseignes que n’importe qui pouvait être attaqué – nous nous concentrons sur Home Depot et Target, mais d’autres enseignes ont été attaquées en 2014, comme Michaels et Neiman Marcus Group.

D’une manière plus générale, deux menaces ont également marqué l’année : Heartbleed et Shellshock. Le premier était une faille dans des versions d’Open SSL, utilisé pour le chiffrement des protocoles SSL, tandis que le deuxième était une vulnérabilité liée à la manière dont Bash analyse les variables d’environnement.

A la fois pour Heartbleed et Shellshock, des patchs et des corrections ont rapidement été apportés, mais le plus long a été pour les administrateurs systèmes de les appliquer.

Cette année, riche en évènements, nous permet de tirer deux enseignements prioritaires :

• La cybersécurité ne peut pas, plus que jamais, être prise à la légère. Il a été rapporté que des entreprises de sécurité avaient recommandé à Home Depot de renforcer ses défenses, l’enseigne ayant été victime de cyberattaques mineures en 2013, mais rien n’avait été mis en place – et il est assez rare d’avoir une seconde chance.
• Personne n’est à l’abri d’une cyberattaque. Outre Home Depot et Target, ces dernières semaines le PlayStation Network et Sony Pictures ont été piratés. Même les stars hollywoodiennes sont des cibles (cf le « fappening ») !

Être conscient des cyber-risques, c’est bien. Mener des actions pour améliorer sa cyber-sécurité, c’est mieux : les entreprises doivent s’assurer d’avoir un anti-malware et antivirus à jour. Il faut bien garder en tête que certaines des attaques récentes ont impliqué des malwares spécifiques. Les scénarios de menaces évoluent constamment, il faut donc que les entreprises soient informées des derniers bulletins de sécurité et de vulnérabilités.