Cybercriminalité : ce que 2014 nous a appris
 livre son panorama de la cybercriminalité issu du travail d'un groupe d'experts. Un panorama complet qui permet de passer en revu)
Chaque début d'année, le CLUSIF (Club des la Sécurité de l'Information Français) livre son panorama de la cybercriminalité issu du travail d'un groupe d'experts. Un panorama complet qui permet de passer en revue l'émergence de certains phénomènes dans le monde du cybercrime et de dessiner les tendances de l'année à venir.
Les objets connectés, une tendance lourde qui ouvre la porte à de nouvelles menaces
Les objets connectés se sont imposés dans notre vie quotidienne. Trackers d'activités, domotique, applications en santé, régulation énergétique… ces nouveaux équipements sont conçus pour faciliter notre vie quotidienne mais les cybercriminels n'ont pas manqué de s'emparer de ce nouveau moyen de s'introduire dans nos données personnelles.
En effet, la sécurité n'est pas la première priorité des concepteurs de ces objets : dans la course à la concurrence, la priorité est donnée à la simplicité et la mise sur le marché se fait souvent dans la précipitation sans vérifier les bases de la sécurité. 70% des objets connectés seraient vulnérables !
Or ces nouveaux équipements donnent directement accès à des données à haute valeur ajoutée, pouvant ouvrir notre maison, donnant accès à nos intérieurs (l'exemple des milliers d'images de caméras de vidéosurveillance livrées sur le net dernièrement a frappé les esprits).
2015 devrait donc voir se multiplier les attaques via des objets connectés : attaques physiques, chantages, sabotages, espionnage industriel… la sécurisation des objets connectés devient un enjeu de sécurité majeur.
Cyberescroqueries, rançonnage et arnaques au président : les entreprises deviennent des cibles privilégiées
L'affaire Sony Pictures révélée en novembre dernier a mis à jour le développement d'attaques cybercriminelles extrêmement bien organisées et qui n'hésitent pas à cibler des entreprises emblématiques.
Les experts pensent que les pirates se sont introduits dans le système d'information de Sony Pictures en début d'année 2014. Ils en extraient plus de 110 To de données. Le 21 novembre, la demande de rançon est formulée. Face au refus de Sony d'accéder à leur demande, les pirates mettent leur menace à exécution : le 22 novembre l'attaque est lancée sur le système d'information de Sony effaçant l'ensemble des postes de travail Windows et 75% du contenu des serveurs.
Les préjudices de cette attaque sont énormes et impactent l'ensemble de l'organisation.
Pertes financières avec la mise en ligne de 5 films inédits, révélation d'informations personnelles sur 47000 employés causant plaintes et poursuites judiciaires contre la firme, perte de contrôle sur les comptes sociaux, divulgation d'informations stratégiques à la concurrence sans parler du déficit d'image… L'affaire impacte même la diplomatie mondiale avec la mise en cause de la Corée du Nord.
Aujourd'hui les auteurs n'ont toujours pas été démasqués et nul ne sait si Sony Pictures se relèvera de ce terrifiant épisode.
Domino's pizza , Nokia, Microsoft sont parmi les entreprises qui ont révélé en 2014 avoir été victimes de cette pratique cybercriminelle appelée "rançon de masse" mais combien qui se sont tues pour ne pas ternir leur image ?
Et selon les experts du CLUSIF, cette pratique est amenée à se développer…tout comme la fraude au président, une vieille arnaque remise au goût du jour à la sauce cyber.
Ces 3 dernières années, ce sont 300 millions d'euros qui ont été ainsi détournés. La sensibilisation des salariés reste aujourd'hui la seule parade à ces détournements de fonds qui peuvent être extrêmement sophistiqués dans les détails.
Cybercriminalité, des faits réels mais aussi beaucoup d'exagérations
2014 a eu son lot d'attaques cybercriminelles avérées mais également de fausses révélations parfois montées en épingle par des sociétés spécialisées en sécurité informatique. L'illustration la plus saisissante en a été le cas Cybervor :1,2 milliards de mots de passe volés par un gang de hackers russes. Sauf que le vol en question concernait des informations désuètes et qu'il donné lieu à une exploitation mercantile de la part de la société Holden Security qui proposait contre rémunération de vous indiquer si vous aviez été touché par la fuite…
Autres exemples : les photos de stars volées et la sois disant faille de sécurité d'Icloud jamais prouvée ou le piratage des 1,9 millions de données clients de TF1
Bref, les experts du CLUSIF nous mettent en garde : sachons conserver notre capacité de recul et d'analyse face à des annonces démesurées et sans fondement avant de nous en faire l'écho.
