Nouveau rapport "État des lieux d Internet / Sécurité " : 2019 – Une année passée au crible

27 pages

Français

Nouveau rapport "État des lieux d'Internet / Sécurité " : 2019 – Une année passée au crible

Valentin - Akamai , Akamai

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

27 pages

Français

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

Avec une année 2020 qui s'annonce difficile pour les professionnels de la sécurité, il est temps de revoir ce que nous avons appris en 2019, notamment :
• les nouvelles vulnérabilités, les vecteurs d'attaque et les techniques d'évasion ;
• les écosystèmes criminels à l'origine de l'hameçonnage, du credential stuffing et d'autres attaques ;
• les surprenants piratages de cartes de paiement EMV ;
• les conséquences pour la sécurité de l'augmentation fulgurante du trafic des API Internet ; et
• l'impact de la santé mentale et des biais cognitifs sur les décisions commerciales et de sécurité.
Planifiez votre stratégie pour 2020 à l'aide des leçons les plus importantes tirées en 2019.

Sujets

sécurité informatique

Internet security

Computer security

Akamai Technologies

Informations

Publié par	Valentin
Publié le	20 janvier 2020
Nombre de lectures	4
Langue	Français
Poids de l'ouvrage	17 Mo

Extrait

[état des lieux d'internet] /sécurité

Volume 5, Numéro 6

Une année passée au crible

Table des matières 01Édito0212 mois de recherche Akamai 03Octobre 2018 03Novembre 2018 04Décembre 2018 / Janvier 2019 05Février 2019 07Mars 2019 07Avril 2019 08Mai 2019 08Juin 2019 10Juillet 2019 11Août 2019 11Septembre 2019 13Regard vers l'avenir14Annexe 24Sources

[état des lieux d'internet] / sécurité

Une année passée au crible : Volume 5, Numéro 6

Édito Martin McKeay Editorial Director

Alors que l'année 2019 touche à sa ﬁn, nous tenons à vous remercier, chers lecteurs, de rester ﬁdèles à nos mises à jour du rapport SOTI (État des lieux d'Internet / Sécurité) d'Akamai. Notre équipe et le rapport SOTI ont tous deux considérablement évolué cette année, et notre objectif est de continuer de grandir et d'évoluer dans les années à venir. Nous voulons que ce rapport constitue une ressource de référence privilégiée pour vos recherches.

Pourquoi Akamai publie le rapport SOTI et investigue la sécurité en général ?

D'un point de vue interne, le rapport SOTI et les recherches connexes sont d'excellentes ressources marketing. Des recherches de qualité permettent de bons retours, et ces témoignages positifs mettent en évidence ce qu'une entreprise considère comme important. D'une certaine manière, le type de recherche publié par une société dédiée à la sécurité est presque aussi important pour bâtir sa réputation que les types de produits qu'elle vend.

Pourquoi un groupe international de chercheurs croit-ilen la valeur de la recherche et de la publication ? La plupart des réponses individuelles que nous avons reçues peuvent se résumer en deux facteurs de motivation. Tout d'abord, être reconnu comme un leader et une source d'informations dans votre domaine est appréciable, qui que vous soyez. Deuxièmement, le travail réalisé par nos équipes est important. Le domaine de la sécurité est encore jeune et chaque information, chaque brin de sagesse qui contribue à enrichir les connaissances mondiales est précieux.

[état des lieux d'internet] / sécurité

Pour ce qui est de mon équipe (les rédacteurs, les experts en données, les éditeurs qui élaborent ce rapport et les autres), notre travail est notre passion. Ensemble, nous avons plus de quatre décennies d'expérience dans le domaine de la sécurité. Nous sommes conscients de tout ce qu'il nous reste à découvrir, même si ces zones d'ombre ne sont pas quantiﬁables. En travaillant avec nos chercheurs, nous pouvons faire la différence, en rendant leur travail accessible et intéressant pour vous.

À l'origine, le rapport SOTI était basé uniquement sur les attaques DDoS et les attaques contre les applications Web, mais nous l'avons fait évoluer pour qu'il couvre un large éventail de problèmes de sécurité urgents. Tandis qu'Akamai poursuit sa propre évolution en tant que société de sécurité, les types de données disponibles ne feront que croître. Nous avons déjà commencé à développer une trame pour 2020, dans tous les sens du terme.

Vous, chers lecteurs, êtes importants pour nous. Sans vous, ce rapport n'existerait pas. Nous vous remercions de votre intérêt pour notre travail et espérons que vous continuerez à trouver nos rapports utiles pour l'année à venir. Nous vous invitons à nous faire part de vos commentaires et de vos questions.

Une année passée au crible : Volume 5, Numéro 6

12 mois de recherche Akamai

[état des lieux d'internet] / sécurité

Une année passée au crible : Volume 5, Numéro 6

Les articles importants des 12 derniers mois

Bienvenue dans le sixième rapport sur l'État des lieux d'Internet / Sécurité (SOTI) de l'année. Puisque la ﬁn de l'année 2019 approche, nous souhaitons revenir sur les recherches effectuées par Akamai au cours des 12 derniers mois. Du début du mois d'octobre 2018 à la ﬁn du mois de septembre 2019, nous accordons une attention particulière aux recherches menées par la Security Intelligence Response Team (SIRT) d'Akamai. Nous mettons également en évidence une sélection des actualités les plus importantes qui ont affecté le secteur de la sécurité l'année dernière.

Bien qu'il puisse sembler cliché de dire que cette année a été intéressante, cela reste vrai. Plus que jamais, les témoignages sur la sécurité sont devenus de plus en plus importants et font désormais partie des informations disponibles au grand public. Avec la perspective des prochaines élections aux États-Unis, la sécurité devrait jouer un rôle encore plus important dans l'année à venir.

Octobre 2018

Quel mois ! Tout a commencé par une violation de données qui a touché des millions de personnes sur Facebook. Peu de temps après, Bloomberg a publié un article portant sur les piratages de la chaîne d'approvisionnement de l'État-nation.Tous les fournisseursmentionnés dans l'article, ainsi que le Département de la sécurité intérieure des États-Unisont nié ces accusations, mais Bloomberg a fermement maintenu ses positions.

Octobre a également été un mois chargé pour nos équipes de sécurité. Ryan Barnett d'Akamai a publié un article de blog sur lesen-têtes de réponse de sécuritéet les raisons pour lesquelles les chefs d'entreprise et les responsables de la sécurité ne doivent pas les négliger. Le lendemain, Larry Cashdollar a publié unexamen du kit d'hameçonnage Luis, incluant certaines de ses techniques d'évasion.

Larry Cashdollar a également révélé lavulnérabilité du chargement de ﬁchiers dans l'outil jQuery File(CVE-2018-9206). Bien que le problème ait été résolu, les forks du code et l'utilisation recyclée ont diffusé son

[état des lieux d'internet] / sécurité

impact sur d'autres bases de code. Cela signiﬁe que le problème avait le potentiel d'affecter 7 800 projets. Dans une mise à jour de sa publication originale, Larry Cashdollara testé 1 000 projets forkés à l'aide du code jQueryet a découvert que 970 d'entre eux étaient vulnérables.

Avec la perspective des prochaines élections aux États-Unis, la sécurité devrait jouer un rôle encore plus important dans l'année à venir.

Novembre 2018

Novembre a commencé avec l'annonce selon laquelle la Bibliothèque du Congrès et le Bureau américain des droits d'auteur avaientajouté des exemptions au DMCA (Digital Millennium Copyright Act). Une exemption permet aux chercheurs d'exposer des défauts logiciels sans crainte de poursuites pénales. Cette nouvelle a été suivie par des rapports indiquant qu'environ60 millions de cartes de paiement américaines avaient été compromisesentre 2017 et 2018, et que 93 % d'entre elles étaient compatibles EMV.

À peu près au même moment, Kaan Onarlioglu d'Akamai a publié un article de blogtraitant des évaluations de vulnérabilité de tierssur l'Akamai Intelligent Edge Platform et de l'existence de résultats faux positifs susceptibles d'entraîner une confusion. Peu après, Ryan Barnett a publié un rapport détaillé sur les mesures à prendre pourse protéger contre les attaques de Magecart. Or Katz a quant à lui publié un rapport détaillé sur une technique d'hameçonnage présentant78 variantes différentes. Le logiciel Magecart reste une menace importante en cette ﬁn d'année 2019, en grande partie à cause des vulnérabilités présentes dans le logiciel et dans des plug-ins tiers utilisés sur de nombreux sites.

Une année passée au crible : Volume 5, Numéro 6

Décembre 2018 / Janvier 2019

À la ﬁn de l'année 2018, les équipes de publication et de recherche ont également ﬁnalisé le premier rapport État des lieux d'Internet / Sécurité pour l'année 2019, publié le 30 janvier. Pour les chercheurs comme pour les criminels, la majeure partie de décembre a été l'occasion de prendre des vacances.

Avant la sortie du rapport SOTI, Larry Cashdollar a publié un article de blog centré sur lavulnérabilité ThinkPHP (CVE-2018-20062), qu'il a découverte lors de ses recherches sur les attaques par écrémage (« skimming ») de Magecart. Lukasz Orzechowski a donné suite à cette publication en réalisant un article de blogsur une expérienceréalisée avec des outils de traduction assistée par ordinateur (TAO). Traduire une langue est difﬁcile, en particulier lorsqu'il s'agit de traduire un script informatique contenant du langage technique.

État des lieux d'Internet / Sécurité : Volume 5, Numéro 1

Attaques applicatives et DDoS

Ce numéro est consacré en partie à la santé mentale, avec un dossier signé Amanda Berlin. Depuis janvier, le nombre d'ateliers proposés par Mental Health Hackers lors de conférences sur la sécurité a augmenté aux États-Unis.

Nous avons étudié en détail un incident qui, au premier abord, ressemblait à une attaque DDoS massive, avec plus de 4 milliards de requêtes sur plus de 15 582 adresses IP. Pourtant, « l'attaque qui n'en était pas une » s'est révélée être une application défectueuse.

Nous avons également exploré le sujet des bots de commerce de détail et la façon dont les applications tout-en-un (AIO) peuvent avoir un impact considérable sur les ventes et les promotions en ligne. Bien que tous les bots ne soient pas mauvais, les problèmes présentés par certains dépassent de beaucoup leurs avantages.

En bref

• Les problèmes de santé mentale représentent une perte de chiffre d'affaires de plus de190 milliards de dollarspar an pour les entreprises américaines.

• Il arrive parfois qu'une « attaque » ne soit pas tout à fait ce qu'elle semble être à première vue. Les experts du SOCC (Security Operations Control Center) d'Akamai ont constaté l'impact qu'ont eu 4 milliards de requêtessur un site Web majeur et ont recherché la véritable cause de ce phénomène.

[état des lieux d'internet] / sécurité

•Les bots représentent de grosses rentrées d'argent pour les pirates informatiqueset ils évoluent constamment pour contourner les nouvelles défenses. Un pirate a proposé de rémunérer à hauteur de 15 000 dollars des développeurs ayant de l'expérience dans le ciblage des défenses d'entreprises spéciﬁques.

Une année passée au crible : Volume 5, Numéro 6

Février 2019

Le mois de février était morne, tout comme le ﬁl des actualités. Il y a tout de même eu quelques histoires intéressantes, notamment le cas d'une personne qui a intenté un procès contre Apple, accusée d'imposer l'authentiﬁcation à deux facteurs aux comptes utilisateur.

Une lettre de notiﬁcation d'incident déposée auprès du bureau du procureur général du Vermont [PDF] a également attiré l'attention. L'incident en question était une attaque de credential stufﬁng qui visait les utilisateurs de TurboTax plutôt qu'une violation des systèmes Intuit. Les exemples comme ceux-ci sont l'une des raisons pour lesquelles l'authentiﬁcation multifactorielle et le credential stufﬁng ont été des thèmes suivis par Akamai tout au long de l'année 2019. Une autre raison réside dans le volume considérable d'attaques de credential stufﬁng qu'Akamai continue d'observer.

Juste avant la publication du deuxième numéro du rapport SOTI ce mois-là, Larry Cashdollar a publié un article de blog examinant l'utilisation de Google Translate dans les attaques d'hameçonnage contre Facebook. Petit conseil : n'essayez pas d'hameçonner nos chercheurs, ils gagnent leur vie en décelant les modèles étranges et inhabituels.

Akamai a suivi les thèmes de l'authentiﬁcation multifactorielle et du credential stufﬁng tout au long de l'année 2019.

État des lieux d'Internet / Sécurité : Volume 5, Numéro 2

Attaques sur le commerce de détail et traﬁc d'API

C'était la première fois de l'année qu'Akamai étudiait en profondeur nos données sur le credential stufﬁng. À la création de ce rapport, Akamai avait observé 10 milliards de tentatives de credential stufﬁng contre le secteur du commerce de détail entre mai et décembre 2018. Le rapport examinait également les bots AIO du secteur du commerce de détail, la sécurité des API et les éventuels problèmes IPv6.

[état deslieuxd'internet] / sécurité

Uneannée passée au crible :Volume5,Numéro6

200 M

100 M

Tentatives de connexions malveillantes quotidiennes De janvier à septembre 2019

Tentatives de connexions malveillantes (en millions)

0 M Jan. 2019

Févr. 2019

Mars 2019

Avr. 2019

Mai 2019

Segment de marché

Autres

Juin 2019

Juil. 2019

Vente au détail

Août 2019

Sept. 2019

Fig. 1(Mise à jour du graphique publié dans le numéro 2) – Le credential stufﬁng continue de cibler le secteur du commerce de détail, avec 16,5 milliards de tentatives au cours des neuf premiers mois de 2019, contre 11,5 milliards au cours des neuf derniers mois de 2018

En bref

• Dans tous les secteurs (pas seulement le commerce de détail), Akamai a détecté près de 28 milliards de tentatives de credential stufﬁng entre mai et décembre 2018.

• Il est possible que l'utilisation du protocole IPv6 soit sous-estimée selon l'analyse d'Akamai. Cela laisse penser, à tort, que le protocole IPv6 ne nécessite pas autant de surveillance.

[état des lieux d'internet] / sécurité

• Une analyse du réseau ESSL d'Akamai a révélé une répartition du traﬁc entre API et HTML de 83 et 17 % sur notre réseau de diffusion de contenu (CDN) sécurisé. Il s'agit d'une augmentation signiﬁcative par rapport à la même enquête réalisée en 2014.

Une année passée au crible : Volume 5, Numéro 6

Oct. 2019

Mars 2019

Lorsque l'on étudie les tentatives de credential stufﬁng, l'un des thèmes clés est l'utilisation de mots de passe faciles à deviner ou faibles. De plus, un trop grand nombre d'utilisateurs recyclent leurs mots de passe sur plusieurs réseaux et services. Début mars, on a beaucoup parlé du service de téléphonie Xﬁnity Mobile de Comcast, dontle code PIN par défaut était 0000 sur les comptes clients. Cette info avait été diffusée peu après que le rappeur Kanye West avait été vu en train de déﬁnir le mot de passe de son iPhone X sur « 000000 ».

En dehors de l'actualité, Jonathan Respeto d'Akamai a publié un article de blog sur l'utilisation des programmes Capture the Flagpour promouvoir la formation continue au sein du SOCC.

Avril 2019

Le mois d'avril est arrivé et, alors que l'équipe se remettait de la RSA Conference, des nouvelles portant surtrois vulnérabilités zero day dans WordPressont commencé à se propager en ligne, entraînant la compromission d'un certain nombre de sites Web. Les chercheurs d'Akamai constatent souvent que les criminels utilisent des sites Web compromis pour héberger des kits d'hameçonnage. Cela contribue également à faciliter l'évasion : un site Web légitime, mais compromis n'est pas susceptible d'éveiller les soupçons ou de déclencher des alarmes de défense des points de terminaison.

Concernant d'autres actualités sur la vulnérabilité, Larry Cashdollar a publié un article de blog mettant en garde contreplusieurs vulnérabilités dans Magento. La recommandation, publiée pour attirer l'attention sur le problème, identiﬁait plus de 30 vulnérabilités sur la plateforme, dont une qui avait une preuve de concept fonctionnelle au moment de l'article. Plus tard dans le mois, la chercheuse Yael Daihes a publié avec Craig Sprost un article de blog surl'ajout de données DNS réelles à des modèles d'apprentissage approfondisaﬁn d'en améliorer l'efﬁcacité.

État des lieux d'Internet / Sécurité : édition spéciale sur les médias

Le « credential stufﬁng » — Attaques et économies

Datée du 8 avril 2019, cette édition spéciale du rapport SOTI a été publiée en ayant à l'esprit les médias, public de la conférence NAB (National Association of Broadcasters). Patrick Sullivan d'Akamai a présenté les données et les informations du rapport lors du sommet NAB sur la cybersécurité et la protection du contenu.

L'un des points les plus intéressants de ce rapport était que trois des plus grandes attaques de credential stufﬁng contre les services de streaming en 2018 (qui varient entre 133 millions et 200 millions de tentatives) ont eu lieu peu de temps après le signalement de violations de données. Cela signiﬁe que les pirates ont essayé de tirer parti d'identiﬁants obtenus récemment.

[état des lieux d'internet] / sécurité

Une année passée au crible : Volume 5, Numéro 6

Mai 2019

Parmi les points forts du mois de mai, citons les correctifs de Cisco qui ont résolules graves vulnérabilités de routeurs et les difﬁcultés liées au ransomware de Baltimore, ainsi que les efforts de reprise qui ont suivi. Les ransomware ont été un thème récurrent au cours de l'année dernière et leur utilisation ne semble pas faiblir.

Amiram Cohen d'Akamai a publié, avec des recherches supplémentaires menées par Or Katz, un examen détaillé du kit d'hameçonnage 16Shopqui cible les utilisateurs d'Apple. Le kit lui-même est sophistiqué, constamment mis à jour et utilise un certain nombre de techniques d'évasion. L'équipe de recherche sur les menaces d'Akamai a également publié unarticle de blog sur le Cipher Stunting, une menace croissante qui implique la randomisation des signatures SSL/TLS dans le but d'échapper à la détection.

Juin 2019

Le mois de juin est généralement très chargé pour les actualités sur la sécurité, et cette année n'a pas fait exception à la règle. Parmi ces actualités, nous citerons les attaques perpétréescontre des plug-ins WordPress, les violations de données et les incidents impliquant des logiciels malveillants de points de vente (PDV) dans102 restaurants Checkers and Rally's dans 20 États. Sur une note plus légère, une étude défendant l'idée queles préjugés cognitifs ont un effet sur les décisions de sécuritéa été publiée.

Larry Cashdollar et Steve Ragan ont commencé le mois en publiant des articles de blog sur l'identiﬁcation des vulnérabilités dans les kits d'hameçonnage, qui, si elles sont exploitées, pourraient entraîner des problèmes supplémentaires pour les administrateurs de serveurs. Or Katz, l'un des intervenants de la conférence Edge World d'Akamai, a également publié des articles sur lestechniques d'évasion des kits d'hameçonnageetl'analyse des pratiques d'hameçonnage. Larry Cashdollar a également publié deux articles supplémentaires ce mois-là. Le premier, publié le 13 juin, traitait 26 vecteurs d'infection dans laversion d'Echobotla plus récente (à l'époque). À la ﬁn du mois, il a publié un article surun bot nommé Silexqui verrouille les systèmes une fois qu'ils sont infectés.

État des lieux d'Internet / Sécurité : Volume 5, Numéro 3

Attaques Web et abus visant l'industrie

du jeu vidéo

Cette édition du rapport SOTI s'est centrée sur l'industrie du jeu vidéo et l'économie criminelle qui gravite autour. Les jeux vidéo sont une cible populaire et les criminels disposent de plusieurs vecteurs pour cibler les joueurs et les entreprises à l'origine des jeux les plus en vogue du Web. Selon le rapport, les données indiquent que 12 milliards d'attaques de credential stufﬁng ont visé les sites Web de jeux vidéo entre novembre 2017 et mars 2019. Dans l'ensemble des secteurs, plus de 55 milliards d'attaques de credential stufﬁng ont été perpétrées dans le même laps de temps. Comme le souligne le rapport, les applications Web étaient également des cibles privilégiées, avec des attaques d'injection SQL (SQLi) représentant près des deux tiers de l'ensemble des attaques contre les applications Web.

[état des lieux d'internet] / sécurité

UneUnaennaénenépeaspsaéseséaeuacuricbrlieb:leV:olVuolmuem5e,5N,uNmuérmoér6o 6

Juin 2019

Attaques quotidiennes contre les applications Web De janvier à septembre 2019

Vecteur SQLi LFI Cro PHPi RFI Autres

Mai 2019

Avr. 2019

Févr. 2019

Attaques d'applications (en millions)

• La principale menace en matière de risques liés aux applications Web réside dans les attaques SQLi, qui représentent près de deux tiers de l'ensemble des attaques.

0 M Jan. 2019

Mars 2019

Oct. 2019

Sept. 2019

Autres

Jeu

Attaques d'applications (en millions)

Mars 2019

Attaques quotidiennes contre les applications par vecteur De janvier à septembre 2019

20 M

10 M

30 M

Segment de marché

Juil. 2019

Avr. 2019

Juin 2019

Mai 2019

Août 2019

Fig. 3– Les attaques SQLi représentent 77 % de toutes les attaques contre les applications jusqu'à présent en 2019 et génèrent plus de 3,1 milliards d'alertes sur la plateforme d'Akamai

En bref • Akamai a observé 55 milliards d'attaques de credential stufﬁng sur une période de 17 mois, dont 12 milliards ciblaient directement l'industrie du jeu vidéo.

[état des lieux d'internet] / sécurité

Oct. 2019

Août 2019

Juil. 2019

Sept. 2019

Une année passée au crible : Volume 5, Numéro 6

• Dans l'ensemble, les États-Unis restent la principale source de credential stufﬁng, suivis par la Russie. Cette dernière est cependant la première source en ce qui concerne les données associées au secteur du jeu vidéo.

0 M Jan. 2019

10 M

Févr. 2019

20 M

30 M

Fig. 2– Bien que les entreprises du jeu vidéo ne soient la cible que d'un petit pourcentage des attaques enregistrées par Akamai, elles ont tout de même fait l'objet de plus de 35 millions de tentatives au cours des neuf premiers mois de 2019