Automobile, Énergie, Média, Ransomware ?
Lorsque l’on pense aux secteurs verticaux, on ne pense peut-être pas instantanément à la cybercriminalité. Pourtant, chaque mesure prise par les gouvernements, les clients et les entrepreneurs privés crie à la normalisation de ces menaces comme une nouvelle verticale.
Ransomware a tous les traits de la verticale économique classique. Un écosystème florissant d’assureurs, de négociateurs, de fournisseurs de logiciels et d’experts en services gérés.
Cette branche de la cybercriminalité examine une réserve de butin qui compte pour des billions de dollars. L’industrie de la cybersécurité est trop heureuse de fournir des services, des logiciels et des assurances pour s’adapter à cette nouvelle normalité.
Le lobbying intense des assureurs en France a conduit le ministère des Finances à donner un avis positif sur le remboursement des rançons, contre l’avis même de la branche cybersécurité de son gouvernement. Le marché est si vaste et juteux que personne ne peut entraver « le développement du marché de la cyberassurance ».
Aux États-Unis, Colonial Pipeline demande des réductions d’impôts sur les pertes subies par la campagne de rançongiciels de 2021 dont ils ont été victimes. Mais attendez… dans quelle mesure le gouvernement (et, par extension, chaque contribuable) parraine-t-il indirectement la cybercriminalité ?
Tous les gouvernements et les compagnies d’assurance oublient un simple fait dans cette équation : l’impunité. Un État-nation peut se permettre de couvrir les risques et de rembourser les pertes s’il peut faire respecter la loi et l’ordre. C’est la définition même d’une nation : un monopole sur les forces armées pour assurer la protection de la propriété de chacun. Ce système rencontre une limite dans le cyberespace puisque la grande majorité des cybercriminels ne sont jamais retrouvés et encore moins jugés.
La possibilité d’attaques aériennes contre n’importe quelle cible rend extrêmement difficile l’obtention d’une assignation internationale pour analyser chaque piste.
Tant que l’industrie de la cybersécurité (et par extension l’économie) obtient une part équitable de cette terrible opportunité cauchemardesque, vous pouvez vous attendre à ce que les ransomwares deviennent la nouvelle norme.
Et au fait, arrêtez de l’appeler un nouveau vecteur d’attaque, c’est tout sauf ça. Les moyens utilisés par les cybercriminels pour s’introduire par effraction sont les mêmes qu’il y a dix ans : exploits, ingénierie sociale, manigances Web et force brute de mot de passe, pour n’en nommer que quelques-uns.
Une industrie à courte vue pleurera
Sur le papier, ce fantastique marché de la cyberassurance est un créateur de richesse générationnelle. Bien sûr, mais saviez-vous que la plupart des dernières failles importantes ont été rendues possibles grâce à une technique incroyable appelée « réutilisation des informations d’identification » ?
Non? Eh bien, laissez-moi vous dire pourquoi vous pleurerez très bientôt et pourquoi la plupart des entreprises devraient souscrire à ce type d’assurance avant que leur coût ne soit multiplié par dix.
En termes simples, la réutilisation des informations d’identification consiste à acheter des informations d’identification légitimes à de vrais utilisateurs et… à les réutiliser. Pourtant, vous ne comprenez peut-être pas le véritable impact de cela. Laissez-moi vous expliquer mieux.
Présentation de Robert, 50 ans, comptable travaillant dans l’équipe du directeur financier de « Big Juicy corp à qui j’ai vendu un contrat ». Robert doit payer un loyer, une assurance maladie et une pension, sans parler du fait qu’il déteste les tripes de Big Juicy. Maintenant, Robert est contacté par une source anonyme, lui disant qu’il obtiendra 2 bitcoins s’il donne son vrai login et mot de passe VPN… Ou s’il clique sur un lien qu’il a reçu par e-mail… Robert n’a plus qu’à attendre 24 heures et dire à l’IT services quelqu’un a volé son ordinateur portable dans le métro.
Comment se défendre contre la menace interne ? La police d’assurance de Big Juicy est un pourcentage de son chiffre d’affaires, les cybercriminels le savent. Ils peuvent ajuster le prix de la loyauté de Robert pour dire… 10 % de ce qu’ils attendent de la couverture d’assurance ? Ces 2 bitcoins peuvent aussi valoir 10 ou 20 si Robert travaille pour SpaceX ou Apple.
Toujours sûr de cette assurance ou que la normalisation de Ransomware est un angle vers un profit plus important ? Eh bien, je suis à court d’assurance et à long bitcoin alors.
Une autre asymétrie entre riches et pauvres
Le problème ici n’est pas fondamentalement Big Juicy Corp. Ils mettront intelligemment l’assurance et les coûts de leur défense sur le compte approprié dans le bilan. Leur profit sera un peu diminué, mais au final, c’est en quelque sorte le contribuable qui couvrira les pertes d’une moindre collecte d’impôts.
Mais les hôpitaux ? Je ne parle pas des cliniques privées qui coûtent des millions par an, un peu comme Cyberpunk Traumateam le décrit. Non, les vrais hôpitaux gratuits pour tous qui n’ont qu’un seul rôle : la santé de tous. En France, où j’habite, ce sont des joyaux que les gouvernements successifs tentent de démanteler, avec un certain succès. Ils sont gravement sous-financés et ne peuvent déjà pas faire face à leurs dettes et entretenir leur infrastructure informatique obsolète. Une fois qu’ils sont violés, cependant, ils sont le sujet de conversation de la ville. Combien valent vos données de santé ? Probablement pas grand-chose. Sinon, pourquoi Apple et Samsung investiraient-ils autant dans leur collecte, vraiment ?
Et qu’en est-il des ONG, des OBNL, des petites entreprises, des médias, des sites de commerce électronique, etc.
On pourrait penser qu’ils sont sous le radar. Absolument pas. Ils sont moins défendus, nécessitent moins d’investissements et génèrent moins de profits, mais bon, les cybercriminels doivent aussi gravir les échelons.
Du périmètre extérieur aux frontières inconnues
Au-delà de la réutilisation des informations d’identification, le périmètre informatique externe est également devenu plus complexe que jamais. L’appareil Android des tout-petits est truffé de logiciels malveillants, mais connecté au même réseau Wi-Fi domestique à partir duquel vous travaillez.
Le VPN est devenu partout la norme, et soudain des exploits inédits apparaissent partout sur le darknet pour les violer. L’authentification à deux facteurs est si complexe à utiliser que bon… désactivons-la, au moins pour le patron.
Sysadmin avait déjà du mal à migrer vers le système de virtualisation de nouvelle génération. Pourtant, ils deviennent tous des SecOPS à temps partiel et ont besoin de connaître les conteneurs, les machines virtuelles, les nouveaux protocoles et qui a utilisé un SaaS externe sans en avertir le service informatique, car c’est « tellement super utile, on s’en fout s’il l’a fait ». t été audité ». Quel espace reste-t-il pour former l’équipe, et leur expliquer que « mot de passe » n’est en fait pas un mot de passe et que n’importe qui peut envoyer un e-mail depuis neil@moon.com ?
Et… au fait… Une détection de comportement sur votre périmètre extérieur peut vous dire que Robert devrait se connecter depuis Détroit et non Dubaï, Delhi ou Moscou.
Crowdsourcing de l’effort
Bienvenue à l’ère du darwinisme numérique, où les plus adaptés survivront.
Avons-nous, en tant qu’humanité, déjà remporté une victoire majeure comme faire face à une pandémie, envoyer des gens sur la lune ou inventer des dispositifs informatiques complexes, sans travail d’équipe ? Sans la division du travail ?
Alors pourquoi la cybersécurité serait-elle le meilleur terrain pour adopter l’attitude solitaire et gagner ?
Eh bien, alerte spoiler, ce n’est pas le cas.
Il y a une issue : un effort collectif et participatif.
Si vous voulez vaincre une armée de cybercriminels, adoptons une bonne vieille tactique classique et ayez une armée plus grande et mieux équipée (l’histoire récente nous a montré que cette dernière est tout aussi importante).
À l’instar de la surveillance de quartier, l’open source permet de mutualiser l’effort, de faire équipe et de détecter toutes les adresses IP malveillantes dans le monde. Pour dissuader tout mauvais comportement, comme un troupeau numérique. Tout le monde peut participer à l’effort et aider ceux qui n’ont pas de budget à mieux défendre ce qui nous est précieux : des médias libres, des hôpitaux sûrs et des ONG sûres.
Les réseaux open source et participatifs peuvent briser cette boucle de la mort à laquelle participent les cybercriminels et les industries de la cybersécurité.
Noter – Cet article est rédigé et contribué par Philippe Humeau, PDG et co-fondateur de CrowdSec.