Il y a quelques jours j’ai trouvé dans ma boîte mail un message bizarre…
Expéditeur : inconnu.
Objet : pas tellement clair… « fil à Gilles message rayonnage ».
Je me méfie, forcément… Après ce que j’ai dit dans le billet de blog la semaine passée.
Bon, je n’ai pas résisté à la tentation. « Peuh ! Quelle déception…Un vulgaire camelot ! Un pitre ! Il se moque ! »
Ça disait : « Monsieur j’ai bu votre log la semaine passe formidable et je vou propose donc D rayonnage à -30% de réduction en métal garanti pur France », accompagné d’une photo de rayonnages métalliques – plutôt quelconques il faut dire —, donc je n’ai pas donné suite.
Avant, j’avais un fax, et ce genre de messages publicitaires (particulièrement pour les rangements métalliques de grande hauteur vendus au rabais) était le lot quotidien.
Mais désormais « pas de fax ! ». Trop facile à pirater, ces machins.
C’est alors qu’un deuxième message est arrivé dans ma boîte.
Expéditeur : inconnu.
Objet : un peu plus clair… « demande de renseignements sur la sécurité de l’information ».
J’ouvre. Sans hésiter.
« Monsieur, j’ai eu l’insigne honneur de parcourir du regard votre billet de blog du 9 janvier ; je l’ai trouvé formidable à ce point que l’heure me tarde de vous demander conseil. Daigneriez-vous m’instruire au sujet des principales tendances en matière de sécurité de l’information pour cette année nouvelle ? ».
Laissez-moi vous faire part de ce que je lui ai répondu…
Je lui ai dit : « Cher Monsieur, plus je travaille sur les sujets de sécurité informatique auprès des entreprises, et par ailleurs plus je lis la presse spécialisée, plus il m’apparaît que ces menaces que vous voudriez connaître sont complexes, et nombreuses… » (j’abrège, tout de même, je me laissais influencer par son style),
« mais d’accord, disons, pour faire vite, que les tendances confirmées par tous les observateurs et donc inévitables en 2019 sont au nombre de 4 :
1 – CLOUD : DES LENDEMAINS DANS LE NUAGE
C’est en fait une tendance constatée, qui se confirme. Et pour se confirmer…
Toutes les études vont dans le même sens : il y a un déplacement soutenu vers le cloud, dans des proportions spectaculaires.
83 % : c’est la part des activités professionnelles qui s’effectueront dans le cloud en 2020 d’après une étude de Logic Monitor (voyez comme ce blog est stimulant, je vous aide à tenir votre résolution 2019 de réviser l’anglais).
Et quand je dis « cloud », ce n’est pas un petit nuage isolé dans le ciel bleu, non : « le multi-cloud deviendra la stratégie la plus utilisée par les professionnels » prédit Gartner (leur biblio est trop fournie, et j’ai fait mon 5 minutes english, je passe).
Autant dire que ce type de prédiction ne va pas rester sans conséquences météo…
La mutualisation des serveurs, et cetteémulsion de data un peu partout sur la toile, c’est une opportunité très attrayante pour les hackers, qui ont déjà montré avec notamment les affaires Marriott et Quora que des scores en centaines de millions de comptes atteints, c’est tout à fait réalisable.
Mais, dirait Friedrich Hölderlin (qui était pourtant un vrai nullard en informatique, d’après ses contemporains)
« là où est le danger, croît
Aussi ce qui sauve. »
Il est vrai que les nuages ne sont pas toujours signe d’orage, et on remarquera en 2019 une tendance à l’automatisation des tâches dans le cloud, et donc une meilleure sécurisation.
C’est formidable le cloud, c’est aussi the place to be, le lieu où résident la vitesse et la puissance d’analyse nécessaires pour faire face aux menaces.
Le clou du spectacle, ce sont les applications cloud-native. Conçues dans et pour le cloud, elles y sont comme un poisson dans l’eau – sans hameçon en vue.
2 – IOT, OU QUAND LES OBJETS DÉCONNENT, ETC.
Vous connaissez le montant des dépenses annuelles de l’armée américaine ?
Dites un gros chiffre.
Plus gros.
Encore…
Bon, en 2017 et 2018, c’était 700 milliards de dollars.
Et bien d’après une étude IDC (ben oui, désolé c’est en anglais ces trucs tech), il y aura encore plus de dollars investis en 2019 dans ces p’tits gadgets puérils que sont les objets connectés. Vrai.
745 milliards de dollars dans des montres Hello Kikiqui vibrent dans les os du poignet pour notifier les respirations (super désagréable, comme sensation). Ou dans des frigos cinglés qui commandent la pizza grandiosa en Norvège sans garantir la chaîne du froid. Dans les fax qui… (non pas ça !!!).
…voilà l’époque : le monde est un vaste smartphone…
Et alors ? C’est une tendance majeure en sécurité de l’information, ça ?
Tiens donc ! Parmi les 20 milliards d’objets connectés qui seront dans nos foyers le 31 décembre 2019 au moment des accolades, pensez-vous que tous soient conçus de manière bien sécurisée ? Il n’y a pas que des smartphones et des bracelets pour transpirateurs semi-professionnels dans le lot, mais aussi toutes sortes d’objets anodins, sonnettes-caméra, régulateur de chauffage, etc.
Et malheureusement la priorité des concepteurs, c’est la rapidité de commercialisation, pas la sécurité. On ne le sait que trop.
Non seulement il y a des failles partout, mais il faut réaliser que ces failles sont situées dans un système où les interconnexions sont de plus en plus nombreuses, et où le volume de données collectées augmente plus vite que la température d’une pizza grandiosa entre l’entrepôt de Øksfjord et cette plaisante bastide de Villefranche-de-Rouergue.
Vous n’y croyez pas ? Eh bien d’ici 2020, ¼ des attaques d’entreprises devraient impliquer des objets connectés IoT.
3 – PAS DE BRUITS DE BOTS
Jean Ferrat, on le dit trop rarement, était drôlement balèze en prospective IT. Ainsi il chanta en 1975, avant tout le monde, dans « Le bruit des bottes » :
Ils auront des électrodes,
Ils diront « tu veux du jus ? »
Cette année-là, Steve Jobs avait 20 ans et sortait l’Apple 1 … mais revenons à nos boutons.
Les bots et les gros botnet seront très tendance en 2019 parce qu’ils permettent des attaques massives et sophistiquées (le bon truc, en somme, quand les professionnels de la sécurité informatique n’ont pas passé ces dernières années à transpirer bêtement avec une montre fluo qui notifie des âneries sur la plage).
Une étude d’Akamai affirme que déjà 43 % des tentatives de connexions qui ont lieu sur le Net sont malveillantes. C’est les bots.
Ça peut sembler beaucoup, mais ce n’est encore qu’un début.
2019 est probablement cette année plus terminatorienne que thermidorienne où le trafic web des bots va devancer celui des humains.
[respirez……………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………continuez courageusement]
No pasarán !
Ces bots font et feront autant que possible du credential stuffing, une petite pratique consistant à faire une infinité de tentatives de connexions un peu partout, s’infiltrer où ils passent pour humains (et ça marche), puis (et c’est là que c’est sournois) rester loooooongtemps indétectables pour faire ample provision de données, de quoi permettre d’accéder par la suite aux comptes associés.
Bien sûr, à Gothom City, il y aurait un justicier comme Botman pour rétablir chacun dans son bon droit et sa pleine propriété. Mais IRL (In Real Life, pas « Indice de Référence des Loyers », pfff), IRL, donc, pas de Botman.
La seule chose que proposent les héros de la cybersécurité, c’est « détecter les bots ». Seulement voilà, les bots avancent sans bruits, de la manière la plus insidieuse.
On ne finira pas sur une note si sombre sans rappeler que les failles ne sont pas une fatalité, et que ce qu’on fait encore de mieux, c’est des systèmes informatiques bien organisés, pour rester dans la zone où le bot ne passe pas.
4 – CRYPTO, QUAND L’IMAGINATION NE CONNAÎT PAS DE LIMITES
On parle des cryptomonnaies, et rapidement on a le cryptominage (cryptomining), et le cryptojacking (c’est un peu la même chose sans traduction française convaincante), et c’est sans parler du cryptofax, qui existe bel et bien.
Mais pour en rester à la tendance 2019, ça sera donc le déferlement du cryptomining, façon de faire chauffer le processeur des autres (ils sont nombreux, les autres) pour miner de la monnaie virtuelle.
… – « Et on attrape ça comment ? »
- Soit en ouvrant une pièce jointe un peu bizarre venant d’un expéditeur pas bien connu (ne vous gaussez pas, 23 % des entreprises dans le monde ont été atteintes par ce biais), ou encore par un lien de messagerie électronique vérolé.
- Soit sur des sites internet aux audiences très élevées, et où se trouve du contenu de fournisseurs qui a été infecté. Bon, ça paraît un peu capillotracté, mais c’est réel.
« Le cryptomining, c’est comme les décharges au fond de la mer :
ça ne gâche pas le voyage, tant qu’on reste à la surface. »
Avec les avancées de l’informatique, les scripts se sont terriblement complexifiés, et ce type d’infection est quasiment indétectable.
Las ! direz-vous. Mais, n’oublions pas la sagesse du vieux Friedrich… En matière pécuniaire, tandis que les pirates se refont en trésors virtuels, la technologie servira aussi, en 2019, à protéger l’argent des honnêtes gens, grâce à une diffusion rapide de la blockchain dans le secteur bancaire.
En vérité, en 2019, il y a tant de nouveaux concepts en vogue, que j’aurais pu continuer cette liste, et évoquer le zero trust, la cyber-résilience, le machine learning en cybersécurité, etc.
Une autre fois, peut-être.
Ce que l’on voit partout, et qui ne peut être passé sous silence, c’est qu’en 2019 les mêmes problèmes de sécurité parfaitement connus continuent à se poser, les vulnérabilités sont patentes, et les entreprises sont globalement en retard dans la course avec les factions hostiles.
…Mais au 15 janvier il n’est pas trop tard pour faire de cette année celle du changement.
Thomas, qui attend vos courriers
PS : il n’est pas trop tard non plus pour répondre à cette enquête CPME sur les usages en cybersécurité dans les PME et TPE, si vous vous sentez concernés.
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
