Les failles détectées dans les systèmes d’information des entreprises ne sont pas suffisamment corrigées. C’est ce que souligne le Rapport Annuel sur la Sécurité 2015 de l’américain Cisco, fournisseur de technologies réseaux et de protection des systèmes d’information, publié le 20 janvier.
Tous les réseaux infectés
C’est d’autant plus préoccupant que tous les réseaux informatiques sont infectés par des logiciels malveillants, des malwares, annonce le rapport. Les cybercriminels s’arrangent désormais pour que l’utilisateur installe lui-même le logiciel malveillant.
Au quotidien, le travail de protection de base n’est pas assuré de manière systématique par les entreprises. 40% des failles de sécurité ne sont pas corrigées. Les cybercriminels profitent de cette faiblesse en matière de mise à jour des vulnérabilités connues sur les systèmes.
Plus de la moitié toujours vulnérables
Exemple de ce retard dans les mises à jour, alors que la faille « Heartbleed » a été découverte il y a plus de six mois, et qu’elle a permis de révéler une faille dans OpenSSL, 56 % des versions d’OpenSSL ont plus de quatre ans et sont toujours vulnérables car elles n’ont pas été mises à jour depuis la sortie du correctif.
De même, Internet Explorer est le navigateur le moins mis à jour avec seulement 10 % des versions installées mises à jour avec la dernière version connue, la version la plus courante datant de 31 mois par rapport à la version la plus récente. A comparer avec Chrome, le navigateur de Google, dont 64 % des versions sont à jour.
43 failles exploitées
Les systèmes informatiques présentent de nombreuses vulnérabilités. On en dénombre 6756 en 2014. Les cybercriminels n’ont ont exploité qu’une toute petite partie l’année dernière, soit 43 d’entre elles. Cela représente moins de 1% des vulnérabilités découvertes. Ce sont celles qu’il faut prioriser sur la liste de mises à jour des systèmes informatiques.
Dans le même temps, les criminels manoeuvrent afin d’utiliser des kits d’exploitation de failles moins utilisés afin de ne pas être détectés. Le top 3 des failles donnent lieu à des kits qui sont plus aisément détectés par les solutions de sécurité. Dès lors les hackers utilisent des kits pour les failles de rang suivant.
Silverlight à la hausse
Toujours selon Cisco, les failles Java sont en baisse de 34 % et les attaques Flash de 3 %. Les failles Silverlight de Microsoft ont été multipliées par 3 et les failles PDF ont augmenté de 7 %.
Les malwares Flash peuvent désormais interagir avec JavaScript pour cacher des vulnérabilités en partageant un « exploit » (un programme qui exploite une faille dans un logiciel) entre deux fichiers distincts : un Flash et un JavaScript. L’activité malveillante est alors plus difficile à détecter et à analyser. Cisco y voit la preuve de la professionnalisation des hackers.
Adobe et Microsoft visés
Les logiciels d’Adobe et Internet Explorer de Microsoft sont les programmes les plus vulnérables avec respectivement 19 % et 31 % des attaques observées.
Au final, l’enjeu des équipes sécurité est de faire face à des attaques de plus en plus ciblées et de mieux comprendre la menace pour détecter les signaux faibles sur leurs réseaux.
L’industrie pharmaceutique et la chimie sont les secteurs les plus touchés par la cybercriminalité. Les médias, l’industrie, le transport et la logistique et l’aviation complètent le top 5 des secteurs les plus attaqués. L’étude de Cisco a été menée auprès de 1700 entreprises dans 9 pays.
Le spam évolue
Le volume de spam a plus que triplé en 2014. Il est désormais plus ciblé et plus dangereux souligne Cisco dans son rapport annuel sur la sécurité. Le spam est envoyé à plus faible volume à partir d’un grand nombre d’adresses IP pour échapper aux outils de détection. Un nouveau type de spam est en train d’émerger, baptisé Snowshoe. Les spammeurs adaptent les messages à leur cible afin de réaliser du phishing, de façon à contourner les filtres anti-spam pour mieux tromper leurs victimes.
Le malvertising; ou publicités malicieuses, est une nouvelle technique utilisée par les cybercriminels en 2014 qui permet de diffuser des malwares au travers des navigateurs, tout en ne nécessitant pas de moyens importants mais permettant aux cybercriminels de se rémunérer grassement.
