Le géant des télécoms Américains Verizon sponsorise depuis maintenant cinq ans son Data Breach Investigation Report annuel. Ce rapport est l'un des plus sérieux disponibles sur la délinquance informatique, se distinguant notamment par une méthodologie transparente (et rigoureuse).
Cette année, le DBIR a été réalisé en coopération avec les forces de police de 5 pays : les Etats-Unis, le Royaume-Uni, l’Australie, les Pays-Bas et l’Irlande. Il se base sur 855 intrusions confirmées qui ont compromis 174 millions d’enregistrements dans 36 pays différents pendant l’année 2011.
Les analystes de Verizon dégagent deux grandes tendances :
Premièrement, l’explosion du « hacktivisme ». Les hackers se revendiquant de causes politiques ou sociales n’ont été responsables que de 2% des intrusions, mais ont compromis 58% des données dans l’étude. Ces quelques attaques de grande ampleur ont donc occasionné la majorité des fuites de données.
Deuxièmement, l’accélération de ce que les analystes nomment « l’industrialisation » de la cyber-délinquance. Ils évoquent des groupes de délinquants crapuleux organisés, qui attaquent en masse essentiellement des PME pour récupérer des informations monétisables, principalement des numéros de cartes bancaires. Ils donnent en exemple un groupe arrêté en Europe de l’Est, qui travaillait 3 jours par semaine et réalisait une vingtaine d’intrusions.
En plus de ces grandes tendances, les attaques contres les systèmes d’information peuvent également être motivées par l’espionnage, la vengeance personnelle ou la soif de reconnaissance. Mais ces attaques sont moins nombreuses que les attaques crapuleuses et concernent moins de données que le « hacktivisme ».
Le DBIR met en évidence que les menaces pesant sur les grandes et les petites structures sont très différentes. Il y a également de grandes différences entre secteurs. Ainsi, l’industrie représente moins de 1% des intrusions en nombre mais 45% en volume de données compromises, reflétant un nombre très faible d’attaques de très grande ampleur.
La catégorie d’entreprises la plus souvent ciblée est la restauration. De façon plus générale, l’hôtellerie a connu 54% des intrusions constatées, mais représente un pourcentage très faible des enregistrements compromis. À l’autre extrême, les services d’information n’ont été victime que de 3% des intrusions étudiées, mais représentent 52% des données compromises.
Les intrusions proviennent à 98% de sources externes ; le personnel de l’organisation n’est en cause que dans 4% des intrusions (et moins de 1% en volume de données), tandis que les partenaires ne sont à l’origine que d’un nombre anecdotique d’intrusions. À noter que la méthodologie de Verizon fait que les catégories ne sont pas exclusives, il est donc normal que le total dépasse 100%. Si une intrusion est réalisée par une personne extérieure avec l’aide d’un complice interne, elle sera répertoriée comme externe et interne.
Les analystes précisent que le nombre anecdotique d’attaques liées aux partenaires reflète une méthodologie qui ne s’intéresse qu’à l’origine des intrusions. En effet, les cas où un partenaire a involontairement facilité une attaque ne sont pas recensés. En lisant entre les lignes, néanmoins, on serait tenté de voir une mise en garde voilée contre les risques de l’externalisation de l’IT.
Ils vont même jusqu'à dire que "la sécurité laxiste de partenaires [...] est un catalyseur dans de nombreuses intrusions".
Au niveau des moyens utilisés pour les intrusions, Verizon constate que le hacking a servi dans 82% des intrusions, les malwares ont servi dans 69% des intrusions, et les vecteurs physiques (« skimming » des cartes bancaires essentiellement) dans 10%. En volume de données le trio de tête est légèrement différent : les malwares et le hacking ont servi dans 95% et 99% des cas, et les vecteurs sociaux (manipulation de personnes) dans 37% des cas. Encore une fois, ce sont des catégories non exclusives.
On en conclut donc que les attaques d’envergure mettent plusieurs moyens en jeu, reflétant une complexité considérable. Il faudrait également en conclure qu’aucune faille ne peut être ignorée, même si elle est inexploitable en fonctionnement normal car elle peut devenir le maillon faible dans la chaîne.
À noter aussi que le vol des identifiants reste la méthode la plus employée, et que la méthode la plus courante pour obtenir les identifiants est le keylogger. De quoi justifier, peut-être, les restrictions sur les installations de logiciels pesant sur les postes de nombreux salariés.
À noter également, seuls 4% des organisations ayant eu des informations bancaires compromises respectaient le standard PCI DSS, mis en place par l’industrie des cartes de paiement.
Pour illustrer le type d’attaques commises régulièrement par les cyber-délinquants, les analystes livrent une étude de cas aux Etats-Unis. Dans une grande chaine de restaurants franchisés, des serveurs de point de vente fonctionnaient sans antivirus ni firewall. De plus, ces serveurs servaient également aux employés pour consulter leurs mails personnels. Au moins 25 restaurants ont été compromis séparément avec des keylogger, qui permettaient ensuite aux cyber-délinquants de se connecter sur une interface d’administration accessible par le web afin de voler des numéros de cartes bancaires.
Ce cas est donc typique de cyber-délinquants professionnels qui s’en prennent de préférence à des systèmes faiblement sécurisés pour récupérer des informations lucratives.
Les analystes mettent toutefois en garde contre des biais possibles de leur étude, qui ne comprend que des cas confirmés d'intrusions. Il est probable que certains types d'intrusions, comme celles qui aboutissent aux fraudes bancaires, soient plus souvent detectés que d'autres, par exemple l'espionnage industriel.
Verizon Data Breach Investigation Report
Partager