Histoire de l’année 2020.. La grande migration des cybermenaces vers les protocoles de bureau à distance
En 2020, par la force des choses, la population mondiale a parachevé voire accéléré sa transformation numérique, ici pour adapter son activité professionnelle là pour faciliter sa vie quotidienne. Ce nouveau mode de vie lié au confinement et aux impératifs de protection sanitaire a contraint les entreprises à adapter leurs réseaux informatiques. Il a aussi favorisé l’émergence de nouvelles menaces et même contribué au renforcement de celles qui existaient déjà. Si cela ne signifie pas nécessairement que le nombre total d’attaques abouties a augmenté en 2020, leur redistribution sur de nouveaux segments porteurs est claire.
Les chercheurs de Kaspersky ont constaté une croissance de 242 % des attaques par force brute sur les protocoles de bureau à distance (RDP) par rapport à 2019 et 1,7 million de fichiers malveillants uniques déguisés en applications pour la communication d’entreprise sont apparus. Cela dénote de la volonté des attaquants de cibler les utilisateurs qui travaillent à domicile.
Chiffre de l’année : près de 360 000 nouveaux fichiers malveillants par jour ont été détectés par Kaspersky, soit une augmentation de 5,2 % par rapport à l’année précédente. Cette tendance à la hausse est principalement due à une forte croissance du nombre de chevaux de Troie et de portes dérobées (respectivement +40,5 % et +23 %).
Un nouveau mode de travail pour de nouvelles vulnérabilités.
Le passage accéléré au télétravail a créé de nouvelles vulnérabilités que les cybercriminels ont exploitées. Le volume de données issues d’entreprises a augmenté de même que le recours à des services tiers pour échanger des données ainsi que l’utilisation de réseaux Wi-Fi potentiellement non sécurisés par les collaborateurs se sont généralisés.
Autre casse-tête pour les équipes de sécurité informatique, la hausse du nombre d’utilisateurs d’outils d’accès à distance. L’un des protocoles les plus connus pour accéder aux stations de travail ou aux serveurs Windows est le protocole RDP, propriété de Microsoft. Le nombre d’ordinateurs mis à disposition et potentiellement mal configurés a augmenté au cours de la première vague de confinement, augmentant de fait le nombre de cyber-attaques. Parmi les différents types d’attaques, on note les attaques par force brute qui visent à craquer un mot de passe ou un nom d’utilisateur, via un processus d’essais et d’erreurs pour, in fine, espérer deviner juste. Une fois cet accès deviné, cette méthode d’attaque permet d’obtenir l’accès au RDP et par extension au réseau informatique à distance.
Depuis le début du mois de mars, le nombre de détections Bruteforce.Generic.RDP a grimpé en flèche, si bien que le nombre total de détections au cours des onze premiers mois de 2020 a été multiplié par 3,4 par rapport au nombre d’attaques du même type en 2019. En France, 176 millions d’attaques sur des protocoles de bureau à distance ont été détectées entre janvier et novembre 2020. En 2019, au cours de la même période de 11 mois, Kaspersky n’en avait détecté que 51 millions.
Les outils de communication, autres vecteurs de vulnérabilités.
Outre les attaques RDP, les cybercriminels ont également tiré parti de la multiplication des communications en ligne. Toujours entre janvier et novembre de cette année, Kaspersky a détecté 1,66 million de fichiers malveillants uniques diffusés sous l’apparence d’applications de messagerie et de conférence en ligne populaires, généralement utilisées dans le cadre professionnel. Une fois installés, ces fichiers chargent principalement des logiciels publicitaires (Adware), ces programmes qui inondent de publicité indésirable les appareils des victimes et qui recueillent leurs données personnelles pour les utiliser à des fins détournées. Un autre groupe de fichiers déguisés en applications d’entreprise sont les « téléchargeurs » (ou « downloader » » en anglais), des applications non malveillantes à première vue, mais pourtant capables de télécharger d’autres applications non demandées, ce qu’on appelle des chevaux de Troie. Ainsi, le pourcentage de chevaux de Troie détectés par Kaspersky en 2020 a augmenté de 40,5 % par rapport à l’année précédente.
« Cette année a été riche en enseignements. Le passage au tout numérique n’a pas été aussi simple que l’on pouvait l’imaginer, et surtout, nous pensions à tort évoluer dans un monde numérisé. Les cybercriminels se sont eux aussi intéressés au travail à distance et ont cherché à tirer profit de sa démocratisation. Certes, ces nouveaux modes de travail ont été rapidement assimilés ce qui a permis au monde de continuer à vivre. Pourtant, nous savons maintenant qu’il reste beaucoup de pédagogie à faire sur l’utilisation responsable de la technologie, notamment autour du partage des données », commente l’équipe du GReAT de Kaspersky.
« L’un des plus grands défis de 2020 a été la prise de conscience des dangers potentiels en ligne. Ce n’est pas la hausse soudaine de la demande de services en ligne, à des fins professionnelles ou personnelles, qu’il faut retenir mais l’apparition de nouveaux utilisateurs qui jusqu’à présent n’étaient pas exposés au numérique, par choix, et se sont avérés naturellement moins informés sur ce qui peut se passer en ligne. Ce groupe d’individus s’est avéré être l’un des plus vulnérables : leur niveau de sensibilisation aux dangers en ligne était très faible. Il semble que nous ayons été confrontés à un grand défi de pédagogie au niveau mondial et nous espérons que cela a contribué à accroitre le niveau de sensibilisation à la cybersécurité auprès des utilisateurs traditionnels », ajoute l’équipe du GReAT de Kaspersky.
Le travail à domicile va perdurer et Kaspersky recommande aux employeurs et aux entreprises de suivre les conseils ci-dessous pour rester informer des éventuelles questions de sécurité informatique lorsque leurs salariés travaillent à distance :
· Permettre l’accès à votre réseau par le biais d’un VPN d’entreprise et, si possible, activer l’authentification multi-facteurs pour rester protégé des attaques RDP.
· Utiliser une solution de sécurité d’entreprise dotée d’une protection contre les menaces réseau, telle que Kaspersky Integrated Endpoint Security. La solution comprend également une fonctionnalité d’inspection des journaux pour configurer les règles de surveillance et d’alerte en cas de force brute et d’échec des tentatives de connexion.
· S’assurer que les employés disposent de tout ce dont ils ont besoin pour travailler en toute sécurité depuis leur domicile et qu’ils savent qui contacter en cas de problème informatique ou de sécurité.
· Prévoir une formation de base de sensibilisation à la sécurité. Cette formation peut être dispensée en ligne et porter sur des pratiques essentielles, telles que la gestion des comptes et des mots de passe, la sécurité des points d’accès et la navigation sur le web. Kaspersky et Area9 Lyceum proposent un cours gratuit pour apprendre à travailler en toute sécurité depuis son domicile.
· Veiller à ce que les appareils, les logiciels, les applications et les services soient tenus à jour.
· S’assurer d’avoir accès aux dernières informations sur les menaces afin de renforcer votre solution de protection. Par exemple, Kaspersky propose un flux de données gratuit sur les menaces liées à COVID-19.
· En plus des terminaux physiques, il est important de protéger les charges de travail sur le cloud et l’infrastructure des bureaux virtuels. Ainsi, Kaspersky Hybrid Cloud Security protège l’infrastructure hybride des points d’extrémité physiques et virtuels, ainsi que les charges de travail, qu’elles soient exécutées sur site, dans un centre de données ou sur un cloud public. Il prend en charge l’intégration avec les principales plateformes de cloud computing telles que VMware, Citrix ou Microsoft, et facilite la migration des postes de travail physiques vers les postes de travail virtuels.
Bien que les entreprises aient une grande responsabilité dans la sécurité des appareils et des réseaux d’entreprise, Kaspersky propose également les recommandations suivantes aux utilisateurs pendant leur temps de travail à domicile :
· S’assurer que le routeur prend en charge et fonctionne correctement lorsqu’il transmet le Wi-Fi à plusieurs appareils simultanément, même lorsque plusieurs travailleurs sont en ligne et que le trafic est intense (comme c’est le cas lors de l’utilisation d’outils de vidéoconférence).
· Définir des mots de passe forts pour votre routeur et votre réseau Wi-Fi. L’idéal serait de combiner lettres minuscules et majuscules, chiffres et ponctuation.
· Quand cela est possible, travailler que sur des appareils fournis par votre employeur. Le fait de placer des informations sur l’entreprise sur des appareils personnels peut entraîner des problèmes de sécurité et de confidentialité.
· Ne pas partager les détails de la session de travail avec quelqu’un d’autre, même si cela semble une bonne idée.
· Protéger les dispositifs personnels grâce à une solution de sécurité fiable telle que Kaspersky Security Cloud qui protège la vie privée, les données et les actifs financiers grâce à un ensemble complet d’outils et de fonctionnalités, notamment un VPN, la protection des paiements, le nettoyage des PC, le blocage des accès non autorisés aux webcams, le cryptage des fichiers, le stockage des mots de passe, le contrôle parental et bien d’autres encore.
Communiqué