Très opportunistes, les pirates informatiques ne s'infiltrent plus seulement dans les PC et les systèmes des organisations, ils ciblent de plus en plus les smartphones et potentiellement tout objet connecté, des jouets aux caméras en passant par les télévisions.
Les experts en la matière ont observé une hausse exponentielle de la menace des logiciels malveillants (malwares) en 2016, qui s'attaquent à des cibles de plus en plus variées. Ils peuvent s'introduire dans les smartphones sous forme de SMS avec un lien malveillant ou d'applications, souvent conçues pour ressembler à des jeux à succès.
« Au moment de la mode Pokemon Go, on trouvait dans les magasins d'applications des applis qui s'inspiraient du jeu et qui étaient vérolées, c'est le cas d'autres jeux gratuits. Les gens ont du mal à penser que ça peut être un vecteur de contamination », souligne Nicolas Arpagian, directeur de la stratégie d'Orange Cyberdefense.
Une fois téléchargées, elles peuvent servir de fraude publicitaire ou à constituer un réseau d'objets connectés (botnet) utile aux pirates pour des attaques de déni de service (DDOS) qui bloquent des serveurs.
« On a eu de grosses attaques par déni de service en 2016, avec des malwares qui ont utilisé à l'insu de leur utilisateurs des réseaux d'objets connectés » pour démultiplier leur puissance, explique Loïc Guézo, stratégiste cybersécurité en Europe du Sud chezTrend Micro.
La société Dyn, cible d'une de ces attaques massives, a indiqué que jusqu'à 100 000 objets connectés, smartphones, imprimantes, caméras de sécurité, avaient été mis à contribution pour l'attaquer en octobre.Les serveurs de la société prestataire d'Amazon ou Netflix ont été saturés, bloquant temporairement les services de ses clients. Un type d'attaque aussi mis en œuvre contre l'hébergeur français OVH.
Des TV connectées prises en otage
L'année 2016 a aussi vu une épidémie de logiciels rançonneurs (ransomwares), ces logiciels qui empêchent l'utilisateur d'avoir accès à ses fichiers tant qu'il ne paye pas une rançon. Des télévisions connectées ont ainsi été prises en otage en Asie, et bloquées dans l'attente d'une rançon.
« Il y a une consumérisation des modes d'attaques, on trouve des attaques disponibles clef en main, comme les fameux rançongiciels », qui sont revendus à des groupes criminels qui les exploitent, note Nicolas Arpagian.
« Tout ce qui est numérique peut être attaqué, de nombreux objets connectés ne sont pas construits avec un souci de sécurisation, c'est comme si on construisait des véhicules sans ceinture ou airbag », avertit Gérôme Billois, un responsable du cabinet de conseil Wavestone.
Des associations européennes de consommateurs se sont émues que certains jouets connectés comme la poupée « Mon amie Cayla » et « i-Que » étaient susceptibles de se transformer en « espions » en herbe, contrôlables à distance par un téléphone portable. Mais c'est aussi le cas des caméras installées dans les chambres d'enfants si elles ne sont pas paramétrées.
Les systèmes de sécurité des voitures sont couramment piratés pour les vols, mais les historiques de navigation peuvent aussi être aisément accessibles.
Le champ d'action des pirates pourrait encore s'élargir : « ces dernières années, nous assistons à une recrudescence d'attaques ciblant les systèmes automobiles, inévitablement les pirates commenceront en parallèle à s'intéresser aux autres systèmes autonomes (...) comme les voitures sans conducteur en centre-ville, le bouton Amazon ou les drones en entreprise », prévient Alexandre Delcayre - directeur avant-ventes en Europe du Sud chez Palo Alto Networks.
Mais c'est dans le domaine de la santé que les risques sont les plus inquiétants. « Le risque sur les données de santé est sous-estimé », souligne Gérôme Billois. Des vols de données de laboratoires se sont déjà produits et pourraient rendre publiques des informations biologiques relatives à la grossesse ou à des pathologies de patients ou encore perturber le fonctionnement d'hôpitaux, explique-t-il.
Environ 14 000 patients diabétiques d'Amérique du Nord ont été alertés en octobre par le laboratoire Johnson & Johnson d'un risque de piratage d'un de ses modèles de pompe à insuline. Un collaborateur de la société de cybersécurité Kaspersky a annoncé avoir réussi à pénétrer dans le système informatique de son hôpital, au cours d'une opération test autorisée par la direction.
Une plate-forme pour contrer la menace
Afin de faire face à ce phénomène, le gouvernement français a présenté une nouvelle plate-forme destinée à venir en aide aux victimes d'attaques informatiques, particuliers ou PME, alors que le risque lié aux logiciels malveillants est en hausse
Les « opérateurs d'importance vitale » (ou OIV), qui sont les entreprises et administrations indispensables au pays, étaient déjà épaulés, « donc il fallait s'outiller pour aider les gens », a expliqué Axelle Lemaire, la secrétaire d'Etat au numérique.
Cette plate-forme appelée ACYMA (Actions contre la Cybermalveillance) « est destinée aux particuliers pour leur permettre de trouver rapidement des solutions en cas d'attaque informatique », a-t-elle détaillé.
« Certaines PME doivent mettre la clef sous la porte à cause d'attaques informatiques, on veut les aider en leur offrant des solutions pragmatiques à des prix acceptables », a complété Guillaume Poupard, le directeur général de l'Agence nationale de la sécurité des systèmes d'informations (Anssi).
La plate-forme permettra aux victimes d'attaques informatiques d'identifier le type d'agression dont ils ont été victime (virus, logiciel rançonneur, vol de données, détournement de site internet) et d'être mis en relation avec des prestataires locaux pour une aide technique.
Elle comprendra des informations de prévention et des explications grand public sur l'« hygiène informatique » qui doit permettre de limiter les attaques.
Les données recueillies par la plate-forme permettront enfin de créer un observatoire du risque numérique pour mieux appréhender la montée en puissance de ce phénomène et l'anticiper. Les assureurs ont été associés à ce projet alors qu'ils ont un grand besoin de données sur ce phénomène pour proposer des offres qui soient viables.
Cette plate-forme ne dispensera pas les victimes de porter plainte par ailleurs. Mais signaler une attaque sur le site fournira un document qui leur permettra d'expliquer aux enquêteurs ce qui est arrivé.