Acronis : Etat des cybermenaces en 2024
janvier 2024 par Candid Wüest - VP product management et Kevin Reed - CISO d’Acronis
Etat des cybermenaces en 2024 Par deux experts d’Acronis, Candid Wüest - VP product management et Kevin Reed - CISO
1. L’intelligence artificielle continue d’évoluer, et les cybercriminels deviennent de plus en plus créatifs. Avec l’émergence significative de l’IA au cours de la dernière année, les risques de sécurité ont également augmenté. Nous avons constaté une augmentation des rapports du FBI concernant la création de contrefaçons de grande ampleur grâce à l’IA générative. Les cybercriminels exploitent les contrefaçons de grande ampleur dans le but de provoquer de graves conséquences par le biais de la désinformation, telles qu’une crise publique, une extorsion familiale ou de graves perturbations boursières. Il est probable que cela se produira plus souvent à mesure que la technologie sera mieux comprise, surtout avec des incitations financières.
Certains cybercriminels peuvent également commencer à utiliser l’intelligence artificielle de manière créative pour extraire des informations sensibles. Le phishing est devenu l’« enfant prodige » de l’intelligence artificielle générative, et je prédis que ces risques continueront de poser une menace sans intervention. En 2024, je crois que nous verrons un grand nombre de nouvelles réglementations concernant l’intelligence artificielle.
2. L’authentification multi-facteurs (AMF) est en train de changer. Historiquement, l’AMF a été la méthode éprouvée pour protéger au mieux l’information sensible. Cela pourrait changer, cependant, comme nous avons vu plusieurs attaques de haut profil d’authentification multifacteur et d’ingénierie sociale se produire. Comme les pirates ont trouvé des moyens de violer le système et de contourner l’authentification multifacteur, cela pourrait conduire à un changement vers l’utilisation plus répandue de la technologie d’authentification multifacteur anti-phishing. Ce processus d’authentification multifacteur anti-phishing permet à l’utilisateur de se connecter en recevant un jeton ou un code spécifique qui n’est pas accessible sur un autre terminal et qui est lié à la session de l’utilisateur.
3. Particuliers, méfiez-vous du « juice jacking ». Plus tôt cette année, Apple a intégré la charge USB-C dans sa nouvelle gamme de solutions, établissant potentiellement une nouvelle norme pour la charge des terminaux technologiques des particuliers. Les stations de recharge publiques pourraient donc devenir plus accessibles à tous les consommateurs, ce qui pourrait constituer une opportunité pour une augmentation des cas de juice jacking en 2024. Lorsqu’un terminal est branché sur un port de charge compromis, les acteurs de menace peuvent utiliser la connexion pour télécharger les données de l’utilisateur. Ce modèle d’attaque n’est pas massivement évolutif, donc ce problème peut être contenu, mais les utilisateurs doivent rester vigilants pour mettre à jour le logiciel de leur terminal afin de corriger les vulnérabilités. De plus, les consommateurs peuvent éviter d’être victimes d’un juice jack en utilisant un bloc de chargement au lieu d’un câble de chargement USB ou en utilisant un câble dont la connexion de données est coupée.
Kevin Reed, CISO chez Acronis :
« En 2023, nous avons été témoins de certains cas d’attaques d’ingénierie sociale assistées par intelligence artificielle - si je me souviens bien, le ransomware du casino de Las Vegas a commencé avec l’un d’eux. Il y en aura plus en 2024, cela pourrait même devenir grand public. Certains scénarios possibles sont les suivants : simuler la voix de la victime avec l’intelligence artificielle pour contourner l’authentification biométrique ; tromper les services d’assistance informatique en les obligeant à réinitialiser les mots de passe ou à désactiver l’authentification à deux facteurs ; pour cibler des collaborateurs individuels dans des scénarios d’ingénierie sociale de « fraude au CEO ».
Tout le monde utilisera les LLM pour générer des tonnes de textes. Le Web, les forums, les blogs d’entreprise, tous les réseaux sociaux seront remplis de cela, beaucoup de faux non pas parce que les utilisateurs en ont l’intention, mais parce qu’ils sont incapables de distinguer les réponses valides de ChatGPT des hallucinations de LLM. Cela pourrait également affecter des sites comme Wikipedia, et je ne peux qu’espérer que cela n’affectera pas l’Encyclopédie Britannica.
Tous les codeurs utiliseront des LLM pour générer du code, copiant et collant aveuglément les résultats dans leurs programmes, comme ils le faisaient avec Stackoverflow dans le passé, mais à une échelle bien plus grande. Il sera difficile de diagnostiquer les bugs et potentiellement même les vulnérabilités de sécurité qui en découleront et nous pourrions voir certains d’entre eux exploités, peut-être même avec une autre assistance LLM ou sans elle. Cela inclut les auteurs de ransomware, ils utiliseront des LLMs pour développer des logiciels malveillants. Parce qu’il est difficile de déduire l’intention du développement de logiciels, peu importe les protections que les LLMs essaieront de mettre en place, il y aura toujours des contournements.
Le ransomware lui-même continuera d’augmenter. Si les grandes entreprises améliorent leurs protections - ce dont je doute, je suis sûr que nous verrons davantage d’attaques de ransomware de haut profil - les acteurs de la menace se tourneront vers les entreprises de taille moyenne et chercheront des moyens de monter en charge leurs opérations. Actuellement, le déploiement de ransomware est une opération largement manuelle, si certains acteurs de menaces parviennent à l’automatiser, ils seront en mesure de cibler plus d’entreprises, en extrayant potentiellement moins d’argent à chaque fois, mais en ayant un volume plus grand. Nous le voyons déjà se produire, avec certains syndicats de ransomware étant essentiellement une franchise, mais je suis sûr qu’ils pensent à d’autres moyens de le monter en charge.
La tension géopolitique continuera à diriger les acteurs APT (Advanced Persistant Threat). Nous en saurons peu, à moins que certains ne deviennent vraiment imprudents et ne soient exposés. Nous pourrions également voir des effets opérationnels (par exemple, quelque chose de physique détruit, endommagé ou désactivé temporairement ou de manière permanente à cause d’une cyberattaque), mais cela est difficile à prédire. Visible ou non, la militarisation sur l’Internet se poursuivra, de même que l’implication des gouvernements du monde entier dans la réglementation du cyberespace et de l’Internet.