CYBER THREAT INTELLIGENCE

Panorama 2024 de la menace cyber

12 min

2024 commence tout juste, et nous prévoyons une année qui devrait établir un certain nombre de précédents. Cet article de blog constitue notre évaluation de la menace et présente nos prédictions concernant l’année à venir. Ces prévisions s’appuient sur les tendances que nous avons décelées, dans le but de fournir des informations à tous les décideurs afin qu’ils puissent mettre en place des mesures proactives de protection.

En résumé :

  • Nous prévoyons une augmentation des cyberattaques qui visent à alimenter des opérations de guerre informationnelle. Ces attaques permettront d’amplifier des points de vue, acquérir et exploiter des données, entraver les efforts de contre-influence ou susciter la peur.
  • En 2024, nous nous attendons à ce que la frontière entre les groupes hacktivistes et les acteurs soutenus par des états soit de plus en plus floue.
  • Nous prédisons que les conflits en cours conduiront à des attributions plus directes et plus officielles des cyberattaques.
  • Nous nous attendons à ce que les chercheurs en cybersécurité fassent l’objet de diverses mesures de rétorsion et de dissuasion, sous forme de cyberattaques, d’actions en justice ou de campagnes de déstabilisation.
  • Nous prévoyons que l’intégration profonde et mal contrôlée des modèles d’IA des géants du numérique créera une surface d’attaque inédite, tandis que les spécialisations venues du monde de l’open source prendront de l’ampleur.
  • Les logiciels malveillants destructifs joueront un rôle essentiel, et nous prévoyons que les techniques traditionnelles de guerre électronique, telles que le brouillage, se généraliseront.
  • Compte tenu de la quantité et la maturité des logiciels malveillants et outils d’exploitation visant les plateformes mobiles, l’émergence d’un ver destructeur les touchant à grande échelle en 2024 ne nous surprendrait pas.

Davantage d’opérations de désinformation visant à influencer l’opinion publique (et davantage de cyberattaques à l’appui de ces opérations)

Comme le montrent de nombreux exemples récents, tels que Ghostwriter, la diffusion de fausses informations au sujet du COVID-19 et Doppelganger, le recours à des opérations d’influence exploitant les réseaux sociaux pour manipuler l’opinion publique est devenu une tactique courante pour atteindre des objectifs politiques et/ou géopolitiques. Certaines de ces opérations, dont GRIZZLY STEPPE et MacronLeaks, ont notamment été précédées ou soutenues par des cyberattaques. 

En 2024, nous prévoyons une augmentation significative des opérations de ce type liées aux événements majeurs de l’année. En particulier, les conflits en cours en Israël et en Ukraine, l’élection présidentielle américaine de 2024, les élections nationales russes et l’élection du Parlement européen, ainsi que les JO 2024 de Paris, compte tenu notamment de l’exclusion de la Russie suite à laquelle les observateurs anticipent des répercussions comparables à l’incident « Olympic Destroyer ».

Les hacktivistes servent d’extension aux capacités cyber des États

Nous nous attendons à ce que la distinction entre les groupes hacktivistes et les acteurs sponsorisés par des états continue de s’estomper en 2024. Les cas comme Anonymous Sudan (qui n’a aucun lien avec le groupe à l’origine de l’OpSudan de 2019 et collabore avec Killnet), menant soi-disant des « opérations indépendantes » contre des cibles occidentales, et les contre-mesures de « l’IT Army of Ukraine » ont conduit le Comité international de la Croix-Rouge à rédiger des lignes de conduites pour les « hackers civils ». Le hacktivisme est de plus en plus considéré comme une forme acceptable — voire approuvée et soutenue par des financements participatifs — d’engagement cyber. Cette perception est avantageuse pour les états, en particulier lors des conflits, car elle leur permet de s’appuyer sur une réserve importante de capacités, voire de conduire des opérations sous faux pavillon. Dans le même temps, elle complique les représailles, étant donné qu’elles peuvent être qualifiées d’initiatives indépendantes de civils et donc difficilement attribuables.

Attribution plus directe des cyberattaques

L’agence de renseignement militaire ukrainienne a, il y a peu, reconnu ouvertement avoir mené une cyberattaque contre le service des impôts russe, en rupture totale avec la discrétion dont font généralement preuve les attaquants. Cette autoattribution, associée à la tendance plus générale du « name and shame », laisse entrevoir un avenir où l’on hésitera moins à dénoncer publiquement les auteurs de cyberattaques. En outre, le processus d’attribution peut être facilité lors des conflits, car les intérêts et des parties prenantes sont souvent explicites. Le fait que l’Ukraine revendique ouvertement la responsabilité d’attaques contre la Russie, que ces actions soient indépendantes ou non, suscite un débat sur le concept de « réponse proportionnée » pour les entités visées.

Les acteurs affiliés à des états exercent des représailles contre les chercheurs et entreprises du domaine de la cybersécurité

Les capacités du secteur privé en matière de cybersécurité ne cessent de progresser, conduisant à la découverte d’opérations sophistiquées qui vont parfois jusqu’à soutenir des objectifs militaires en temps de guerre. Cela revient, pour des entités privées, à entraver des actions régaliennes. En outre, leurs activités peuvent être considérées comme une participation aux missions étatiques (surtout en temps de guerre) en protégeant des ressources critiques, voire en blanchissant des informations fournies par les services de renseignement. Lorsque les défenseurs dévoilent les cyberattaques, ils réduisent à néant des mois d’efforts et des investissements importants fournis par les attaquants lors du développement de ces opérations offensives.

Par conséquent, les états (ou les acteurs qu’ils sponsorisent) risquent de cibler de plus en plus les organisations et les chercheurs du monde de la cybersécurité, en particulier pendant les périodes de tension accrue. Des incidents notables, tels que l’affaire Triangulation, l’intrusion chez FireEye et, plus récemment, chez Microsoft par NOBELIUM, ainsi que l’inscription d’experts en cybersécurité sur la liste des persona non grata du gouvernement ukrainien en 2023, illustrent déjà cette tendance à considérer les sociétés et chercheurs du domaine comme des cibles légitimes en matière de contre-espionnage. À l’avenir, nous prévoyons davantage de mesures de rétorsion contre ces entités : cyberattaques, actions en justice, stratégies de dissuasion et opérations psychologiques.

Montée en puissance des attaques destructrices et retour du brouillage

Nous assistons à une recrudescence des logiciels malveillants destructifs, de plus en plus utilisés comme armes non cinétiques lors des conflits. Ces attaques à motivation politique, qu’elles soient le fait d’acteurs étatiques, de groupes hacktivistes ou de criminels, soulignent l’importance de comprendre les motivations des attaquants pour pouvoir les attribuer avec précision.

D’autre part, la guerre Russo-Ukrainienne a attiré l’attention sur l’utilisation stratégique des drones pour la projection de forces et la surveillance, minimisant ainsi l’exposition de la ligne de front. En Europe, les services d’ordre ont recours aux drones pour surveiller les foules et procéder à des arrestations, en particulier lors de rassemblements majeurs tels que les prochains Jeux olympiques. Comme les drones font de plus en plus partie intégrante de la vie quotidienne et des conflits militaires, nous prévoyons une intensification des efforts pour découvrir et exploiter des techniques de prise de contrôle ou de brouillage des drones. Cette résurgence de la guerre électronique traditionnelle pourrait rendre ces méthodes plus accessibles et plus répandues.

Davantage d’attaques visant les appareils non surveillés (type SOHO)

Parce qu’ils sont moins défendus, difficiles à patcher et mal gérés du point de vue de la cybersécurité, certains appareils intéressent particulièrement les attaquants : en prendre le contrôle leur permet de disposer d’une infrastructure d’attaque sur des temps longs, ou de points d’entrées dans des périmètres ciblés. 

Ces équipements incluent les appareils dits « SOHO » (small office/home office), les pare-feu et les routeurs. De nombreux rapports publics (au sujet, par exemple, d’APT31, APT28, LuoYu ou Volt Typhoon) démontrent que des appareils SOHO compromis ont déjà été utilisés comme infrastructure proxy par des APT. Nous nous attendons à ce que de nouvelles découvertes démontrent une exploitation massive de ces appareils.

Un premier ver pour smartphones

Des vulnérabilités critiques ont par le passé été incorporées dans des wipers et des ransomwares, leur conférant des capacités d’autoréplication, ce qui a entraîné des incidents de grande ampleur comme WannaCry et NotPetya. 

Ces scénarios catastrophes ont été rendus possibles, en partie, par la divulgation d’outils et codes d’exploitation appartenant à des acteurs supposés étatiques (par exemple, la fuite de données orchestrée par ShadowBrokers), qui ont ensuite été réutilisés par d’autres entités. Nous sommes préoccupés par le fait que l’écosystème regorge de capacités avancées d’infection pour les plateformes mobiles, comme l’illustrent les publications relatives à la société NSO Group. Cela soulève le risque qu’une vulnérabilité zéro-clic soit divulguée publiquement ou en privé, avant d’être exploitée par des acteurs malveillants pour disséminer un ver destructif sur les smartphones du monde entier.

L’essor des modèles d’IA en libre accès et l’élargissement de la surface d’attaque correspondante

L’année 2023 a été marquée par le séisme de l’IA, dont ChatGPT fut l’épicentre.

Ces grands modèles de langage sont en cours d’intégration dans tous types d’outils, produits et services du quotidien, ce qui rendra délicat leur contrôle rétroactif. Il devient de plus en plus évident que ces modèles introduisent une surface d’attaque encore inconnue, semblable à celle des logiciels SaaS traditionnels. Après l’émergence des attaques par injection de prompt, qui permettent à des tiers de donner des instructions arbitraires (voire de faire divulguer des données) aux chatbots, nous nous attendons à ce que de nouvelles classes de vulnérabilités soient découvertes et exploitées au cours de l’année à venir.

Bien que les géants de la technologie soient très investis dans le domaine, la communauté open source apporte également des contributions substantielles et travaille à l’élaboration d’outils qui sont mis gratuitement à la disposition du grand public. Cette communauté progresse à grande vitesse avec la publication de spécialisations des modèles de fondation, et 2024 pourrait être l’année où les passionnés commenceront à déployer des systèmes personnalisés de type ChatGPT sur des serveurs et des ordinateurs personnels, et éventuellement sur des smartphones.

La menace ransomware en constantes adaptation et progression

Les forces de l’ordre, la coopération internationale, les compagnies d’assurance et les entreprises reconnaissent de plus en plus la gravité de la menace des ransomwares et intensifient leurs efforts pour la combattre. De l’autre côté, les cybercriminels font preuve d’une volonté et d’une flexibilité apparemment inépuisables en s’adaptant constamment à la pression croissante exercée sur leurs activités malveillantes, et en surmontant la plupart des obstacles.

De la réorganisation des gangs à la réactivation de botnets, en passant par des modèles d’affiliation innovants, de nouvelles techniques d’extorsion, un savoir-faire en progrès constant et le contournement des solutions de sécurité, l’écosystème lucratif du ransomware continue de faire des dégâts.

Dans un contexte d’inflation mondiale, de sanctions économiques contre états, entreprises et particuliers, ainsi que de guerres et de conflits politiques permanents, les incitations à utiliser le modèle du ransomware comme outil de dissuasion, comme source de revenus ou comme arme destructrice sont plus nombreuses que jamais.

Nous nous attendons à ce que la menace ransomware continue de s’étendre, en introduisant potentiellement de nouvelles méthodes d’extorsion, tels que le signalement des fuites de données aux autorités et la menace d’amendes RGPD. Ces progrès et innovations pourraient élever les groupes de ransomware à un niveau comparable à celui des attaquants affiliés aux états.

Les infrastructures critiques en ligne de mire et la nécessité de cadres juridiques

Avec l’attaque du système KA-SAT survenue dès le premier jour, le conflit entre l’Ukraine et la Russie a illustré la vulnérabilité des infrastructures de communication par satellite, et le fait que les conséquences associées peuvent s’étendre bien au-delà du théâtre des conflits.

Cette situation est d’autant plus préoccupante que certaines infrastructures mondiales (en particulier les systèmes de communication) sont à « double usage » : elles servent à la fois à des fins civiles et militaires, devenant ainsi des cibles militaires potentiellement légitimes au regard du droit de la guerre. Ce raisonnement expose les infrastructures mondiales essentielles — notamment celles ayant trait à l’énergie et aux communications — à des perturbations majeures dès qu’un conflit éclate.

Les cadres juridiques nationaux existants pour la protection des infrastructures critiques pourraient s’avérer inadéquats pour faire face à de tels risques. Nous prévoyons que les états et les organisations internationales réévalueront la protection des infrastructures critiques à la lumière de ces évolutions. Cela pourrait passer par la mise en place de traités transnationaux ou, à l’inverse, une plus grande attention portée à la protection des infrastructures locales.