Dans les entreprises, la préparation de 2024 est déjà bien avancée. Alors qu’elles définissent leurs budgets et projets pour l’année à venir, de nombreuses questions en lien avec la cybersécurité restent toutefois en suspens. Comment les menaces vont-elles évoluer ? Quelles nouvelles attaques et techniques vont faire leur apparition ? Comment les entreprises doivent-elles faire évoluer leur stratégie de cybersécurité pour maintenir leur protection ? Voici trois tendances
En 2024, quelles menaces sur la sécurité des emails ?
1/ Sécurité de l’email : Les attaques de quishing (technique qui consiste pour les hackers à camoufler des liens ou des fichiers malveillants dans des QR codes) vont s’amplifier.
Ceci est lié au fait que les solutions de détection de phishing sont construites pour gagner du temps dans le traitement de l’email en priorisant l’analyse d’autres caractéristiques des emails, plutôt que d’activer la computer vision, qui demande beaucoup de mémoire et une puissance de calcul important.
Les algorithmes de computer vision sont entraînés pour reconnaître des comportements malveillants, notamment les URL obfusquées, les redirections, les images distantes, les images altérées, etc. Ils sont capables de détecter les liens et fichiers malveillants intégrés aux QR codes et de les analyser, rendant cette technique d’attaque obsolète. Vade a détecté une forte hausse des attaques de quishing en 2023, dont beaucoup ciblaient les utilisateurs de Microsoft 365. Un exemple a été signalé en novembre par leur équipe : une campagne de quishing apparemment liée à l’outil de Phishing-as-a-Service (PhaaS) Greatness.
2/ Spear Phishing & BEC (hameçonnage ciblé) : gare au phénomène de manipulation multiple par la double usurpation d’identité (plusieurs faux interlocuteurs) et de fausses conversations emails.
Si le spear phishing (ou hameçonnage ciblé) existe depuis de nombreuses années aux États-Unis, il est relativement récent en France et en Europe, et devrait rester très courant en 2024. Face à des utilisateurs de plus en plus efficaces pour repérer les tentatives d’usurpation, les hackers perfectionnent leurs approches. Ils vont jusqu’à créer des faux fils de conversation par email et intègrent la personne qu’ils souhaitent piéger à la conversation, en particulier sur les messageries professionnelles. Mieux, les chercheurs de Vade ont repéré un phénomène discret : l’usurpation indirecte de cabinets d’avocats demandant le paiement d’une facture pour éviter une action juridique. Cette attaque combine fraude à l’avocat et au président, et comme en règle générale, le cabinet d’avocats existe bel et bien, cela rend la menace plus crédible aux yeux de la victime.
Si on analyse des scénarios récents d’hameçonnage ciblé (spear phishing) du point de vue de l’ingénierie sociale, on peut dire qu’ils exploitent à deux voire plusieurs reprises le principe de manipulation par l’autorité. Tout d’abord avec le PDG, qui est l’autorité de l’entreprise, puis avec le cabinet d’avocats, l’autorité dans le milieu judiciaire.
Outre que cette technique exploite la notion d’autorité et donne une apparence logique au scénario, ce type d’attaque est particulièrement dangereux, car il passe tous les contrôles de sécurité (DKIM, DMARC, SPF) et n’usurpe pas forcément l’identité d’un expéditeur.
Vade a tout récemment repéré un fil de conversation (voir ci-dessous) qui semble se dérouler entre un véritable employé d’une entreprise et le représentant d’une organisation à but non lucratif. L’employé accepte de participer à un appel à financement et demande au représentant de l’ONG d’envoyer une facture à un de ses collègues. C’est ce que fait la soi-disant ONG, en transférant l’échange et en demandant un paiement.
Si l’attaque repose bien sur une usurpation, elle est indirecte. L’employé à priori responsable du don n’a jamais échangé avec la future victime, ce qui rend cette attaque de spear phishing particulière. Dans une attaque de spear phishing classique, les hackers se font passer pour un expéditeur connu du destinataire, en quil il a confiance
3/ Quelle sécurité pour l’IA générative ? Le risque de l’orchestration des attaques par l’IA.
Derrière la sophistication des attaques largement observée en 2023, le véritable danger dans l’IA réside dans sa capacité imminente à planifier et orchestrer des attaques. Si cette capacité venait à se concrétiser, l’IA pourrait concevoir et exécuter des attaques en temps réel en exploitant les informations et donc les vulnérabilités de tout un chacun et de toute entreprise, disponibles sur Internet. Et la menace se ferait de plus en plus dangereuse avec le temps, chaque échec offrant à l’IA une occasion d’apprendre et de s’améliorer en temps réel.
L’IA générative promet d’annihiler notre plus grand avantage sur les attaquants : le temps et les ressources nécessaires pour lancer des attaques sophistiquées. Si elle devient capable d’orchestrer des attaques, l’équilibre des forces en présence en serait considérablement modifié. Aujourd’hui, les hackers ont besoin de plusieurs semaines pour détecter nos vulnérabilités. Demain, avec l’IA, une seule personne pourrait potentiellement le faire en quelques secondes ou quelques minutes versus une équipe de hackers aujourd’hui. Comme pour le Ransomware-as-a-Service (RaaS) en 2014, nous voyons l’intérêt pour les LLM (Large Language Models) se développer sur le darknet. La menace est plausible.
Pour illustration de la partie 2/
Spear Phishing & BEC (hameçonnage ciblé) : gare au phénomène de manipulation multiple par la double usurpation d’identité (plusieurs faux interlocuteurs) et de fausses conversations emails.
Sur le fil de cette conversation ci-dessous, composé de quatre emails au total, seul le dernier est réel :