Rétrospective : 10 événements marquants autour de la Cybersécurité en 2015

Sécurité de l'information
Rétrospective : 10 événements marquants autour de la Cybersécurité en 2015

L’année 2015 est déjà derrière nous, et on ne pourra pas nier qu’elle fut très riche en événements liés à la Cybersécurité. Rien qu’aux États-Unis, plus de 750 fuites de données importantes ont été listées, et tous les secteurs sont touchés. Et je peux sans trop me tromper annoncer que 2016 nous réserve encore plus de surprises.

Mais revenons tout d’abord sur 2015 avec une petite rétrospective de dix événements qui ont marqué cette année :

Voitures connectées : une sécurité pas très rassurante

Avec le développement de véhicules de plus en plus intelligents et embarquant de véritables ordinateurs, il fallait s’attendre à ce que des failles de sécurité soient identifiées. Pouvoir démarrer sa voiture à distance en hiver pour en chauffer l’habitacle tout le monde en rêve, mais quid des possibilités pour une personne malveillante de détourner les communications ? C’est notamment ce qu’ont réussi à démontrer des chercheurs en sécurité en contrôlant à distance une Jeep Cherokee, y compris les fonctions vitales comme le moteur ou les freins (plus de détails dans notre article de blog à ce sujet).

Depuis le problème a été corrigé (par l’intermédiaire de clés USB envoyées par la poste aux clients…) mais nul doute que des vulnérabilités similaires se reproduiront dans le futur, que ce soit chez ce constructeur ou d’autres. L’informatique n’est pas leur métier initial, mais il faudra bien trouver une solution !

TV5 Monde : une attaque très médiatique

En avril 2015 la chaine TV5 Monde subissait une cyberattaque, l’empêchant de diffuser pendant plusieurs heures. Les comptes Twitter et Facebook ainsi que les sites internet de la chaine ont également été visés, avec la diffusion de messages de propagande djihadiste. L’analyse à posteriori a démontré qu’il s’agissait d’une attaque relativement basique, basée sur un email frauduleux contenant un cheval de Troie et pour lequel 3 journalistes seraient tombés dans le panneau. De plus la 1ère intrusion daterait de janvier 2015, il aura donc fallu attendre des signes évidents de l’attaque pour la détecter.

Depuis un rapport parlementaire a permis de quantifier plus précisément les répercussions de cette cyberattaque, qui s’élèvent notamment à 4,8 millions € rien que pour l’année 2015.

Ashley Madison : un hack très sulfureux

Voilà une fuite de données qui a été énormément médiatisée, pour la simple et bonne raison qu’elle concernait un site de rencontres adultères. Les clients d’Ashley Madison recherchaient probablement la discrétion en s’inscrivant sur ce site, pourtant toute la base client et ses 37 millions de membres se sont retrouvés dans la nature. L’analyse des données a notamment permis de voir qu’un bon nombre de clients utilisaient leur adresse mail professionnelle pour s’y connecter, ou encore avoir quelques statistiques sur les mots de passe utilisés (toujours aussi peu robustes et prédictibles…).

On aurait pu croire que cet incident causerait la fin du site, et bien c’est plutôt l’inverse puisque depuis Août 2015 pas moins de 4 millions d’abonnés se sont inscrits sur le site… Voilà qui pourrait pousser les hackers à récidiver.

Invalidation de Safe Harbor : une décision qui ne surprend pas

Le 06 octobre 2015, le couperet tombe : la Cour de Justice de l’Union Européenne (CJUE) invalide le « Safe Harbor ». Cette décision remet donc en question la sécurité des données personnelles transférées aux États Unis, une problématique qui se posait déjà pour de nombreuses entreprises européennes depuis plusieurs années. L’utilisation de plus en plus fréquente du Cloud sous de nombreuses déclinaisons (stockage, SaaS, PaaS, …) rend ce sujet particulièrement sensible aujourd’hui.

Comme nous l’indiquions dans notre article de blog, pour l’instant pas de panique, il est plus sage d’attendre des directives précises de la CNIL.

L’App Store d’Apple touché à plusieurs reprises : une sécurité remise en cause

Contrairement à son équivalent sur Android (Google Play), l’App Store d’Apple avait jusqu’à présent été relativement épargné et ses utilisateurs pouvaient y télécharger des applications sereinement. Mais le malware du nom de « Xcode.ghost », diffusé par l’intermédiaire d’une version malveillante de l’IDE d’Apple, a permis d’infecter plusieurs centaines d’applications de ce store, permettant alors à l’attaquant de récupérer un certain nombre de données à l’insu des utilisateurs, et même des développeurs des applications concernées !

Même s’il concernait en particulier le marché chinois, c’était la 1ère attaque d’une telle envergure, et Apple a réagi rapidement en proposant de nouvelles instructions aux développeurs. En outre, si la firme à la Pomme est restée relativement discrète sur les conséquences de cette attaque et sur le nombre précis d’applications touchées, cela n’a pas empêché de voir sa réputation sérieusement entachée. Voir notre article de blog pour plus de détails sur ce sujet.

Talk Talk : une énorme fuite de données chez cet opérateur de télécom britannique

Voilà qui n’est pas sans rappeler les nombreux déboires de notre opérateur national, à savoir Orange. L’opérateur britannique Talk Talk a subi une cyberattaque générant une fuite de données concernant pas moins de 4 millions de clients. Il s’avère que les coupables seraient des adolescents de 15 et 16 ans, ce qui est loin d’être une surprise, car les hackers sont souvent jeunes, ce qui ne les empêche pas d’être très doués.

On a appris depuis que l’attaque a coûté au moins 35 millions de £ à l’opérateur, mais on ne connaît toujours pas les vulnérabilités qui ont été exploitées pour exposer ces données.

CIA : même le directeur s’est fait piéger

On aurait pu penser que John Brennan, directeur de la CIA, était un exemple à suivre en termes de bonnes pratiques liées à la cybersécurité. Mais c’est plutôt l’inverse, car il s’est fait hacker son compte email par un jeune hacker de moins de 20 ans, avec une facilité plutôt déconcertante. Cette attaque nous apprend notamment que le directeur de la CIA avait pour habitude de transférer régulièrement des mails de son compte professionnel vers son compte personnel ! Une mauvaise pratique que l’on retrouve parfois chez nos clients, mais que l’on ne pensait pas retrouver chez une telle personnalité, qui doit manipuler des données très sensibles à longueur de journée. Espérons que ça lui fera au moins une bonne leçon …

Vtech : des millions de comptes piratés

On savait déjà que la sécurité des objets connectés laissait clairement à désirer, et l’attaque subie par Vtech fin 2015 n’est qu’un exemple parmi d’autres de cette situation. Le fabricant de jouets mondialement connu a en effet subi une fuite de données qui concernaient pas moins de 5 millions de comptes adultes, et 6,4 millions de comptes d'enfants. Inutile de vous dire que ça a fait beaucoup de bruit, surtout à quelques jours de Noël. L’incident a même obligé Vtech à fermer temporairement sa plateforme Explora Park, qui sera remise en service à une date non définie.

Vu l’explosion du marché des objets connectés, il faut malheureusement s’attendre à voir des attaques similaires en 2016…

Règlement européen relatif à la protection des données personnelles : enfin publié !

Nous en avons parlé régulièrement sur ce blog, et il était attendu par de nombreuses entreprises Européenne : la version finale du texte de compromis du règlement européen relatif à la protection des données personnelles a été publiée le 16 décembre 2015. Nous vous préparons une analyse un peu plus détaillée de ce texte et de ses conséquences, mais une mesure ressort particulièrement : les sanctions pourront aller jusque 4% du CA global de l’entreprise concernée, ce qui pour des géants comme Google pourrait représenter plusieurs milliards de dollars d’amende ! Voilà qui va sans nul doute inciter les entreprises à se conformer à ce texte.

Juniper : une backdoor identifiée

On pensait que 2015 nous avait déjà dévoilé toutes ses surprises, mais c’était sans compter une dernière révélation quelques jours avant la fin de l’année : Juniper annonçait avoir découvert une backdoor dans ScreenOs, touchant donc de nombreux produits de cet éditeur très reconnu dans le monde de la sécurité et dont les équipements sont utilisés dans le monde entier. Des mises à jour ont très rapidement été publiées, mais le mal est fait et il est probable qu’elles ne seront pas appliquées immédiatement.

L’origine de cette backdoor est encore incertaine, certains parlent de la NSA, mais d’autres indices pointent vers la Russie ou la Chine. Quoi qu’il en soit cela remet en cause une fois de plus la confiance que l’on peut accorder à des équipements pourtant essentiels dans la sécurité. Cisco a d’ailleurs annoncé récemment avoir mené un audit de code sur tous ses équipements, une réaction plutôt saine.

Timothé Coulmain, Consultant Sécurité, Advens