Nouveau rapport "État des lieux d

Nouveau rapport "État des lieux d'Internet / Sécurité " : 2019 – Une année passée au crible

-

Documents
27 pages
Lire
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Description

Avec une année 2020 qui s'annonce difficile pour les professionnels de la sécurité, il est temps de revoir ce que nous avons appris en 2019, notamment :
• les nouvelles vulnérabilités, les vecteurs d'attaque et les techniques d'évasion ;
• les écosystèmes criminels à l'origine de l'hameçonnage, du credential stuffing et d'autres attaques ;
• les surprenants piratages de cartes de paiement EMV ;
• les conséquences pour la sécurité de l'augmentation fulgurante du trafic des API Internet ; et
• l'impact de la santé mentale et des biais cognitifs sur les décisions commerciales et de sécurité.
Planifiez votre stratégie pour 2020 à l'aide des leçons les plus importantes tirées en 2019.

Sujets

Informations

Publié par
Publié le 20 janvier 2020
Nombre de lectures 1
Langue Français
Signaler un problème
[état des lieux d'internet] /sécurité
Volume 5, Numéro 6
Une année passée au crible
Table des matières 01Édito0212 mois de recherche Akamai 03Octobre 2018 03Novembre 2018 04Décembre 2018 / Janvier 2019 05Février 2019 07Mars 2019 07Avril 2019 08Mai 2019 08Juin 2019 10Juillet 2019 11Août 2019 11Septembre 2019 13Regard vers l'avenir14Annexe 24Sources
[état des lieux d'internet] / sécurité
Une année passée au crible : Volume 5, Numéro 6
Édito Martin McKeay Editorial Director
Alors que l'année 2019 touche à sa fin, nous tenons à vous remercier, chers lecteurs, de rester fidèles à nos mises à jour du rapport SOTI (État des lieux d'Internet / Sécurité) d'Akamai. Notre équipe et le rapport SOTI ont tous deux considérablement évolué cette année, et notre objectif est de continuer de grandir et d'évoluer dans les années à venir. Nous voulons que ce rapport constitue une ressource de référence privilégiée pour vos recherches.
Pourquoi Akamai publie le rapport SOTI et investigue la sécurité en général ?
D'un point de vue interne, le rapport SOTI et les recherches connexes sont d'excellentes ressources marketing. Des recherches de qualité permettent de bons retours, et ces témoignages positifs mettent en évidence ce qu'une entreprise considère comme important. D'une certaine manière, le type de recherche publié par une société dédiée à la sécurité est presque aussi important pour bâtir sa réputation que les types de produits qu'elle vend.
Pourquoi un groupe international de chercheurs croit-ilen la valeur de la recherche et de la publication ? La plupart des réponses individuelles que nous avons reçues peuvent se résumer en deux facteurs de motivation. Tout d'abord, être reconnu comme un leader et une source d'informations dans votre domaine est appréciable, qui que vous soyez. Deuxièmement, le travail réalisé par nos équipes est important. Le domaine de la sécurité est encore jeune et chaque information, chaque brin de sagesse qui contribue à enrichir les connaissances mondiales est précieux.
[état des lieux d'internet] / sécurité
Pour ce qui est de mon équipe (les rédacteurs, les experts en données, les éditeurs qui élaborent ce rapport et les autres), notre travail est notre passion. Ensemble, nous avons plus de quatre décennies d'expérience dans le domaine de la sécurité. Nous sommes conscients de tout ce qu'il nous reste à découvrir, même si ces zones d'ombre ne sont pas quantifiables. En travaillant avec nos chercheurs, nous pouvons faire la différence, en rendant leur travail accessible et intéressant pour vous.
À l'origine, le rapport SOTI était basé uniquement sur les attaques DDoS et les attaques contre les applications Web, mais nous l'avons fait évoluer pour qu'il couvre un large éventail de problèmes de sécurité urgents. Tandis qu'Akamai poursuit sa propre évolution en tant que société de sécurité, les types de données disponibles ne feront que croître. Nous avons déjà commencé à développer une trame pour 2020, dans tous les sens du terme.
Vous, chers lecteurs, êtes importants pour nous. Sans vous, ce rapport n'existerait pas. Nous vous remercions de votre intérêt pour notre travail et espérons que vous continuerez à trouver nos rapports utiles pour l'année à venir. Nous vous invitons à nous faire part de vos commentaires et de vos questions.
Une année passée au crible : Volume 5, Numéro 6
1
12 mois de recherche Akamai
[état des lieux d'internet] / sécurité
Une année passée au crible : Volume 5, Numéro 6
2
Les articles importants des 12 derniers mois
Bienvenue dans le sixième rapport sur l'État des lieux d'Internet / Sécurité (SOTI) de l'année. Puisque la fin de l'année 2019 approche, nous souhaitons revenir sur les recherches effectuées par Akamai au cours des 12 derniers mois. Du début du mois d'octobre 2018 à la fin du mois de septembre 2019, nous accordons une attention particulière aux recherches menées par la Security Intelligence Response Team (SIRT) d'Akamai. Nous mettons également en évidence une sélection des actualités les plus importantes qui ont affecté le secteur de la sécurité l'année dernière.
Bien qu'il puisse sembler cliché de dire que cette année a été intéressante, cela reste vrai. Plus que jamais, les témoignages sur la sécurité sont devenus de plus en plus importants et font désormais partie des informations disponibles au grand public. Avec la perspective des prochaines élections aux États-Unis, la sécurité devrait jouer un rôle encore plus important dans l'année à venir.
Octobre 2018
Quel mois ! Tout a commencé par une violation de données qui a touché des millions de personnes sur Facebook. Peu de temps après, Bloomberg a publié un article portant sur les piratages de la chaîne d'approvisionnement de l'État-nation.Tous les fournisseursmentionnés dans l'article, ainsi que le Département de la sécurité intérieure des États-Unisont nié ces accusations, mais Bloomberg a fermement maintenu ses positions.
Octobre a également été un mois chargé pour nos équipes de sécurité. Ryan Barnett d'Akamai a publié un article de blog sur lesen-têtes de réponse de sécuritéet les raisons pour lesquelles les chefs d'entreprise et les responsables de la sécurité ne doivent pas les négliger. Le lendemain, Larry Cashdollar a publié unexamen du kit d'hameçonnage Luis, incluant certaines de ses techniques d'évasion.
Larry Cashdollar a également révélé lavulnérabilité du chargement de fichiers dans l'outil jQuery File(CVE-2018-9206). Bien que le problème ait été résolu, les forks du code et l'utilisation recyclée ont diffusé son
[état des lieux d'internet] / sécurité
impact sur d'autres bases de code. Cela signifie que le problème avait le potentiel d'affecter 7 800 projets. Dans une mise à jour de sa publication originale, Larry Cashdollara testé 1 000 projets forkés à l'aide du code jQueryet a découvert que 970 d'entre eux étaient vulnérables.
Avec la perspective des prochaines élections aux États-Unis, la sécurité devrait jouer un rôle encore plus important dans l'année à venir.
Novembre 2018
Novembre a commencé avec l'annonce selon laquelle la Bibliothèque du Congrès et le Bureau américain des droits d'auteur avaientajouté des exemptions au DMCA (Digital Millennium Copyright Act). Une exemption permet aux chercheurs d'exposer des défauts logiciels sans crainte de poursuites pénales. Cette nouvelle a été suivie par des rapports indiquant qu'environ60 millions de cartes de paiement américaines avaient été compromisesentre 2017 et 2018, et que 93 % d'entre elles étaient compatibles EMV.
À peu près au même moment, Kaan Onarlioglu d'Akamai a publié un article de blogtraitant des évaluations de vulnérabilité de tierssur l'Akamai Intelligent Edge Platform et de l'existence de résultats faux positifs susceptibles d'entraîner une confusion. Peu après, Ryan Barnett a publié un rapport détaillé sur les mesures à prendre pourse protéger contre les attaques de Magecart. Or Katz a quant à lui publié un rapport détaillé sur une technique d'hameçonnage présentant78 variantes différentes. Le logiciel Magecart reste une menace importante en cette fin d'année 2019, en grande partie à cause des vulnérabilités présentes dans le logiciel et dans des plug-ins tiers utilisés sur de nombreux sites.
Une année passée au crible : Volume 5, Numéro 6
3
Décembre 2018 / Janvier 2019
À la fin de l'année 2018, les équipes de publication et de recherche ont également finalisé le premier rapport État des lieux d'Internet / Sécurité pour l'année 2019, publié le 30 janvier. Pour les chercheurs comme pour les criminels, la majeure partie de décembre a été l'occasion de prendre des vacances.
Avant la sortie du rapport SOTI, Larry Cashdollar a publié un article de blog centré sur lavulnérabilité ThinkPHP (CVE-2018-20062), qu'il a découverte lors de ses recherches sur les attaques par écrémage (« skimming ») de Magecart. Lukasz Orzechowski a donné suite à cette publication en réalisant un article de blogsur une expérienceréalisée avec des outils de traduction assistée par ordinateur (TAO). Traduire une langue est difficile, en particulier lorsqu'il s'agit de traduire un script informatique contenant du langage technique.
État des lieux d'Internet / Sécurité : Volume 5, Numéro 1
Attaques applicatives et DDoS
Ce numéro est consacré en partie à la santé mentale, avec un dossier signé Amanda Berlin. Depuis janvier, le nombre d'ateliers proposés par Mental Health Hackers lors de conférences sur la sécurité a augmenté aux États-Unis.
Nous avons étudié en détail un incident qui, au premier abord, ressemblait à une attaque DDoS massive, avec plus de 4 milliards de requêtes sur plus de 15 582 adresses IP. Pourtant, « l'attaque qui n'en était pas une » s'est révélée être une application défectueuse.
Nous avons également exploré le sujet des bots de commerce de détail et la façon dont les applications tout-en-un (AIO) peuvent avoir un impact considérable sur les ventes et les promotions en ligne. Bien que tous les bots ne soient pas mauvais, les problèmes présentés par certains dépassent de beaucoup leurs avantages.
En bref
• Les problèmes de santé mentale représentent une perte de chiffre d'affaires de plus de190 milliards de dollarspar an pour les entreprises américaines.
• Il arrive parfois qu'une « attaque » ne soit pas tout à fait ce qu'elle semble être à première vue. Les experts du SOCC (Security Operations Control Center) d'Akamai ont constaté l'impact qu'ont eu 4 milliards de requêtessur un site Web majeur et ont recherché la véritable cause de ce phénomène.
[état des lieux d'internet] / sécurité
Les bots représentent de grosses rentrées d'argent pour les pirates informatiqueset ils évoluent constamment pour contourner les nouvelles défenses. Un pirate a proposé de rémunérer à hauteur de 15 000 dollars des développeurs ayant de l'expérience dans le ciblage des défenses d'entreprises spécifiques.
Une année passée au crible : Volume 5, Numéro 6
4
Février 2019
Le mois de février était morne, tout comme le fil des actualités. Il y a tout de même eu quelques histoires intéressantes, notamment le cas d'une personne qui a intenté un procès contre Apple, accusée d'imposer l'authentification à deux facteurs aux comptes utilisateur.
Une lettre de notification d'incident déposée auprès du bureau du procureur général du Vermont [PDF] a également attiré l'attention. L'incident en question était une attaque de credential stuffing qui visait les utilisateurs de TurboTax plutôt qu'une violation des systèmes Intuit. Les exemples comme ceux-ci sont l'une des raisons pour lesquelles l'authentification multifactorielle et le credential stuffing ont été des thèmes suivis par Akamai tout au long de l'année 2019. Une autre raison réside dans le volume considérable d'attaques de credential stuffing qu'Akamai continue d'observer.
Juste avant la publication du deuxième numéro du rapport SOTI ce mois-là, Larry Cashdollar a publié un article de blog examinant l'utilisation de Google Translate dans les attaques d'hameçonnage contre Facebook. Petit conseil : n'essayez pas d'hameçonner nos chercheurs, ils gagnent leur vie en décelant les modèles étranges et inhabituels.
Akamai a suivi les thèmes de l'authentification multifactorielle et du credential stuffing tout au long de l'année 2019.
État des lieux d'Internet / Sécurité : Volume 5, Numéro 2
Attaques sur le commerce de détail et trafic d'API
C'était la première fois de l'année qu'Akamai étudiait en profondeur nos données sur le credential stuffing. À la création de ce rapport, Akamai avait observé 10 milliards de tentatives de credential stuffing contre le secteur du commerce de détail entre mai et décembre 2018. Le rapport examinait également les bots AIO du secteur du commerce de détail, la sécurité des API et les éventuels problèmes IPv6.
[état deslieuxd'internet] / sécurité
Uneannée pase au crible :Volume5,Numéro6
5
200 M
100 M
Tentatives de connexions malveillantes quotidiennes De janvier à septembre 2019
Tentatives de connexions malveillantes (en millions)
0 M Jan. 2019
Févr. 2019
Mars 2019
Avr. 2019
Mai 2019
Segment de marché
Autres
Juin 2019
Juil. 2019
Vente au détail
Août 2019
Sept. 2019
Fig. 1(Mise à jour du graphique publié dans le numéro 2) – Le credential stuffing continue de cibler le secteur du commerce de détail, avec 16,5 milliards de tentatives au cours des neuf premiers mois de 2019, contre 11,5 milliards au cours des neuf derniers mois de 2018
En bref
• Dans tous les secteurs (pas seulement le commerce de détail), Akamai a détecté près de 28 milliards de tentatives de credential stuffing entre mai et décembre 2018.
• Il est possible que l'utilisation du protocole IPv6 soit sous-estimée selon l'analyse d'Akamai. Cela laisse penser, à tort, que le protocole IPv6 ne nécessite pas autant de surveillance.
[état des lieux d'internet] / sécurité
• Une analyse du réseau ESSL d'Akamai a révélé une répartition du trafic entre API et HTML de 83 et 17 % sur notre réseau de diffusion de contenu (CDN) sécurisé. Il s'agit d'une augmentation significative par rapport à la même enquête réalisée en 2014.
Une année passée au crible : Volume 5, Numéro 6
Oct. 2019
6
Mars 2019
Lorsque l'on étudie les tentatives de credential stuffing, l'un des thèmes clés est l'utilisation de mots de passe faciles à deviner ou faibles. De plus, un trop grand nombre d'utilisateurs recyclent leurs mots de passe sur plusieurs réseaux et services. Début mars, on a beaucoup parlé du service de téléphonie Xfinity Mobile de Comcast, dontle code PIN par défaut était 0000 sur les comptes clients. Cette info avait été diffusée peu après que le rappeur Kanye West avait été vu en train de définir le mot de passe de son iPhone X sur « 000000 ».
En dehors de l'actualité, Jonathan Respeto d'Akamai a publié un article de blog sur l'utilisation des programmes Capture the Flagpour promouvoir la formation continue au sein du SOCC.
Avril 2019
Le mois d'avril est arrivé et, alors que l'équipe se remettait de la RSA Conference, des nouvelles portant surtrois vulnérabilités zero day dans WordPressont commencé à se propager en ligne, entraînant la compromission d'un certain nombre de sites Web. Les chercheurs d'Akamai constatent souvent que les criminels utilisent des sites Web compromis pour héberger des kits d'hameçonnage. Cela contribue également à faciliter l'évasion : un site Web légitime, mais compromis n'est pas susceptible d'éveiller les soupçons ou de déclencher des alarmes de défense des points de terminaison.
Concernant d'autres actualités sur la vulnérabilité, Larry Cashdollar a publié un article de blog mettant en garde contreplusieurs vulnérabilités dans Magento. La recommandation, publiée pour attirer l'attention sur le problème, identifiait plus de 30 vulnérabilités sur la plateforme, dont une qui avait une preuve de concept fonctionnelle au moment de l'article. Plus tard dans le mois, la chercheuse Yael Daihes a publié avec Craig Sprost un article de blog surl'ajout de données DNS réelles à des modèles d'apprentissage approfondisafin d'en améliorer l'efficacité.
État des lieux d'Internet / Sécurité : édition spéciale sur les médias
Le « credential stuffing » — Attaques et économies
Datée du 8 avril 2019, cette édition spéciale du rapport SOTI a été publiée en ayant à l'esprit les médias, public de la conférence NAB (National Association of Broadcasters). Patrick Sullivan d'Akamai a présenté les données et les informations du rapport lors du sommet NAB sur la cybersécurité et la protection du contenu.
L'un des points les plus intéressants de ce rapport était que trois des plus grandes attaques de credential stuffing contre les services de streaming en 2018 (qui varient entre 133 millions et 200 millions de tentatives) ont eu lieu peu de temps après le signalement de violations de données. Cela signifie que les pirates ont essayé de tirer parti d'identifiants obtenus récemment.
[état des lieux d'internet] / sécurité
Une année passée au crible : Volume 5, Numéro 6
7
Mai 2019
Parmi les points forts du mois de mai, citons les correctifs de Cisco qui ont résolules graves vulnérabilités de routeurs et les difficultés liées au ransomware de Baltimore, ainsi que les efforts de reprise qui ont suivi. Les ransomware ont été un thème récurrent au cours de l'année dernière et leur utilisation ne semble pas faiblir.
Amiram Cohen d'Akamai a publié, avec des recherches supplémentaires menées par Or Katz, un examen détaillé du kit d'hameçonnage 16Shopqui cible les utilisateurs d'Apple. Le kit lui-même est sophistiqué, constamment mis à jour et utilise un certain nombre de techniques d'évasion. L'équipe de recherche sur les menaces d'Akamai a également publié unarticle de blog sur le Cipher Stunting, une menace croissante qui implique la randomisation des signatures SSL/TLS dans le but d'échapper à la détection.
Juin 2019
Le mois de juin est généralement très chargé pour les actualités sur la sécurité, et cette année n'a pas fait exception à la règle. Parmi ces actualités, nous citerons les attaques perpétréescontre des plug-ins WordPress, les violations de données et les incidents impliquant des logiciels malveillants de points de vente (PDV) dans102 restaurants Checkers and Rally's dans 20 États. Sur une note plus légère, une étude défendant l'idée queles préjugés cognitifs ont un effet sur les décisions de sécuritéa été publiée.
Larry Cashdollar et Steve Ragan ont commencé le mois en publiant des articles de blog sur l'identification des vulnérabilités dans les kits d'hameçonnage, qui, si elles sont exploitées, pourraient entraîner des problèmes supplémentaires pour les administrateurs de serveurs. Or Katz, l'un des intervenants de la conférence Edge World d'Akamai, a également publié des articles sur lestechniques d'évasion des kits d'hameçonnageetl'analyse des pratiques d'hameçonnage. Larry Cashdollar a également publié deux articles supplémentaires ce mois-là. Le premier, publié le 13 juin, traitait 26 vecteurs d'infection dans laversion d'Echobotla plus récente (à l'époque). À la fin du mois, il a publié un article surun bot nommé Silexqui verrouille les systèmes une fois qu'ils sont infectés.
État des lieux d'Internet / Sécurité : Volume 5, Numéro 3
Attaques Web et abus visant l'industrie
du jeu vidéo
Cette édition du rapport SOTI s'est centrée sur l'industrie du jeu vidéo et l'économie criminelle qui gravite autour. Les jeux vidéo sont une cible populaire et les criminels disposent de plusieurs vecteurs pour cibler les joueurs et les entreprises à l'origine des jeux les plus en vogue du Web. Selon le rapport, les données indiquent que 12 milliards d'attaques de credential stuffing ont visé les sites Web de jeux vidéo entre novembre 2017 et mars 2019. Dans l'ensemble des secteurs, plus de 55 milliards d'attaques de credential stuffing ont été perpétrées dans le même laps de temps. Comme le souligne le rapport, les applications Web étaient également des cibles privilégiées, avec des attaques d'injection SQL (SQLi) représentant près des deux tiers de l'ensemble des attaques contre les applications Web.
[état des lieux d'internet] / sécurité
UneUnaennaénenépeaspsaéseséaeuacuricbrlieb:leV:olVuolmuem5e,5N,uNmuérmoér6o 6
8
Juin 2019
Attaques quotidiennes contre les applications Web De janvier à septembre 2019
Vecteur SQLi LFI Cro PHPi RFI Autres
9
Mai 2019
Avr. 2019
Févr. 2019
Attaques d'applications (en millions)
• La principale menace en matière de risques liés aux applications Web réside dans les attaques SQLi, qui représentent près de deux tiers de l'ensemble des attaques.
0 M Jan. 2019
Mars 2019
Oct. 2019
Sept. 2019
Autres
Jeu
Attaques d'applications (en millions)
Mars 2019
Attaques quotidiennes contre les applications par vecteur De janvier à septembre 2019
20 M
10 M
30 M
Segment de marché
Juil. 2019
Avr. 2019
Juin 2019
Mai 2019
Août 2019
Fig. 3– Les attaques SQLi représentent 77 % de toutes les attaques contre les applications jusqu'à présent en 2019 et génèrent plus de 3,1 milliards d'alertes sur la plateforme d'Akamai
En bref • Akamai a observé 55 milliards d'attaques de credential stuffing sur une période de 17 mois, dont 12 milliards ciblaient directement l'industrie du jeu vidéo.
[état des lieux d'internet] / sécurité
Oct. 2019
Août 2019
Juil. 2019
Sept. 2019
Une année passée au crible : Volume 5, Numéro 6
• Dans l'ensemble, les États-Unis restent la principale source de credential stuffing, suivis par la Russie. Cette dernière est cependant la première source en ce qui concerne les données associées au secteur du jeu vidéo.
0 M Jan. 2019
10 M
Févr. 2019
20 M
30 M
Fig. 2– Bien que les entreprises du jeu vidéo ne soient la cible que d'un petit pourcentage des attaques enregistrées par Akamai, elles ont tout de même fait l'objet de plus de 35 millions de tentatives au cours des neuf premiers mois de 2019