L’entrée en matière du volumineux rapport de Microsoft semble particulièrement pessimiste. La société de Redmond indique que ses clients sont visés par pas moins de 600 millions d’attaques par jour, « allant du ransomware au phishing en passant par les attaques d'identité ».

Une envolée notamment due aux progrès sur l’IA. « Les acteurs malveillants du monde entier disposent de plus de ressources et sont mieux préparés, avec des tactiques, des techniques et des outils de plus en plus sophistiqués qui défient même les meilleurs défenseurs de la cybersécurité », indique ainsi le document.

À titre d’exemple, au cours de l’année fiscale écoulée, 389 établissements de soin aux États-Unis ont été victimes de cyberattaques, surtout par ransomwares. Fermetures de réseaux, systèmes hors ligne, opérations médicales retardées et rendez-vous reportés font partie des conséquences.

Le nombre d’attaques par ransomwares continue de grimper

Sans surprise, Microsoft indique un nombre d’attaques par ransomwares en hausse constante. Il a été multiplié par 2,75 en un an. Ces attaques, quand elles fonctionnent, reviennent à une double extorsion, puisque non seulement il y a vol de données, mais tout ou partie de ces dernières peuvent être chiffrées. L’auteur de la menace exige alors une rançon pour leur redonner accès, sans garantie qu’il tienne parole.

Les souches de rançongiciels n’ont guère changé. Microsoft dit avoir repéré Akira dans 17 % des cyberattaques, suivie de près par LockBit avec 15 %. Le démantèlement de ce dernier a d’ailleurs donné lieu à de surprenantes découvertes, bien qu’il reste exploité par d’autres acteurs. Viennent ensuite Play avec 7 % des attaques, puis ALPHV/BlackCat et Black Basta avec 6 % chacun.

Toujours selon Microsoft, l’ingénierie sociale reste le vecteur d’approche le plus répandu, car elle table sur l’élément humain. Microsoft note bien que l’utilisation toujours plus large de l’authentification multifactorielle (MFA) réduit les attaques et intrusions par mot de passe. Mais comme l’entreprise l’avait montré l’année dernière, ce mécanisme n’est pas tout puissant et les acteurs malveillants trouvent d’autres méthodes.

Toutes les attaques de type « adversary-in-the-middle » sont ainsi en recrudescence de 146 %. Elles cherchent à pousser l’utilisateur à approuver une demande ou à lancer une réinitialisation du mot de passe.

Les défenses s’améliorent dans les mêmes proportions

Microsoft évoque l’évolution des méthodes avec le cas du groupe Midnight Blizzard (ou Nobelium) : en passant par Teams au sein d’entreprises qui acceptaient les messages provenant d’entités extérieures, les pirates ont pu envoyer des liens malveillants, qui envoyaient vers des pages conçues pour récolter leurs identifiants et code de connexion MFA.

D’autres groupes, comme Octo Tempest, pratiquent également l’échange de cartes SIM pour recevoir directement les codes MFA. Sans surprise, Microsoft recommande la plus grande vigilance face à la multiplication des données ayant fuité précédemment, car elles permettent de personnaliser les attaques, les victimes pensant alors discuter avec des personnes légitimes.

Pour en revenir plus spécifiquement aux ransomwares, l’exploitation des failles de sécurité reste l’un des principaux vecteurs d’intrusion. C’est surtout le cas avec les vulnérabilités ayant un CVSS d’au moins 8. Microsoft renouvelle sa recommandation de toujours suivre de près les correctifs émis par les éditeurs.

Pour autant, tout n’est pas sombre. Car si le nombre d’attaques augmente, les défenses évoluent aussi. Microsoft note ainsi que le nombre de victimes d’un chiffrement de données a été divisé par 3 en deux ans. Le rapport mentionne un recours plus prégnant aux solutions de sécurité payantes, entrainant des blocages plus nombreux des rançongiciels avant qu’ils ne fassent des dégâts.

Cybertempête

Au-delà des rançongiciels, c’est la tempête, pour reprendre le terme de Microsoft dans son rapport. La société affirme que ses clients sont confrontés à 600 millions de cyberattaques par jour, alors que les frontières entre groupes de pirates classiques et acteurs soutenus par des États-nations deviennent poreuses. Le rapport parle de « cybertempête ».

Selon Microsoft, les acteurs étatiques s’appuient de plus en plus sur les infrastructures des groupes cybercriminels classiques. Dans une partie des cas, il s’agit d’une reprise des outils existants. Par exemple, l’acteur étatique russe Storm-2049 s’est servi des outils Xworm et Remcos pour attaquer au moins 50 appareils militaires ukrainiens. Ces acteurs utilisent tous les moyens disponibles, Remcos ayant par exemple été dissimulé dans de faux correctifs devant régler les problèmes entrainés par la panne CrowdStrike. Le rapport affirme que 75 % des cibles russes se trouvent en Ukraine ou dans un État membre de l’OTAN.

Dans d’autres cas, les acteurs étatiques s’inspirent des opérations menées par les cybercriminels classiques. Par exemple, la Corée du Nord a déployé un ransomware nommé FakePenny, dont la mission première était le vol de données sensibles des secteurs de l’aérospatiale et de la défense. Mais après une exfiltration réussie, FakePenny chiffrait également les données pour exiger une rançon. L’acteur cherchait ainsi à jouer sur tous les tableaux.

Dans d’autres cas, il y a association ou volonté de faire passer une attaque pour une association. Outsourcing réel ou feint, difficile parfois de savoir.

Si les acteurs se sont davantage tournés vers les infrastructures, le contournement de l’authentification et l’exploitation des applications, c’est parce que 99 % des 600 millions de cyberattaques quotidiennes enregistrées visent les mots de passe. Avec la présence accrue de l’authentification multifactorielle, ces attaques sont de plus en plus bloquées. Mais dans les nouvelles méthodes, l’intelligence artificielle joue un rôle croissant.

Dans le rapport, particulièrement riche en informations, on trouve également une partie dédiée aux attaques DDoS. Les constats sont peu ou prou les mêmes que ceux de Cloudflare et Akamai : une intensification de ces attaques, la recrudescence de celles visant la couche applicative, le ciblage croissant des API et le recours aux boucles applicatives. Ces dernières, initiées par un seul paquet spécialement formé, peuvent enfermer plusieurs serveurs dans une boucle de communication sans fin. Ces attaques visent surtout des protocoles essentiels comme TFTP, DNS et NTP.

L’impact de l’IA dans les attaques

L’intelligence artificielle est utilisée de multiples façons par les pirates, étatiques ou non. Il y a bien sûr les outils de détection pour automatiser – et presque industrialiser – la découverte et l’exploitation de failles logicielles.

« L'impact de l'IA dans les attaques se fait déjà sentir dans la communauté de la cybersécurité au sens large. Les outils d'authentification multifactorielle deviennent vulnérables et l'IA a démontré qu'elle pouvait vaincre les CAPTCHA, qui ont été spécifiquement conçus pour arrêter les robots. L'utilisation de l'IA va élargir le paysage des menaces en rendant les robots plus difficiles à détecter, plus répandus et plus adaptables grâce à des capacités de ML de plus en plus sophistiquées », indique le rapport.

L’IA peut être utilisée de plusieurs manières pour renforcer les attaques, tout particulièrement dans le phishing. Une IA peut ainsi s’occuper de récolter d’une traite toutes les informations disponibles sur une personne, en vue d’une attaque personnalisée. Elle peut aussi servir à repérer des informations et mots-clés pour créer un candidat parfait sur un poste, mélanger à d’autres CV moins adaptés pour « noyer le poisson ». Il est également possible de créer de faux profils hautement spécialisés sur les médias sociaux « pour contacter des leaders d'opinion, des experts en la matière et d'autres cibles de grande valeur pour l'ingénierie sociale ».

Le recours aux deepfakes est également possible. Sur ce point, Microsoft parle de « succès limité ». Dans le même temps, l’entreprise ajoute que tout ce qui touche à l’IA évolue très rapidement, au point que les rapports sur le sujet sont souvent périmés à leur sortie. Y compris le sien. En revanche, l’utilisation de l’IA dans les tactiques d’influence est sans surprise très présente. La Chine, l’Iran et la Russie « intègrent de plus en plus de contenus générés ou améliorés par l'IA dans leurs opérations d'influence, à la recherche d'une plus grande productivité, d'une plus grande efficacité et d'un plus grand engagement de la part du public », affirme Microsoft.

• La Russie, première pourvoyeuse de réseaux d’activités inauthentiques sur les plateformes de Meta

L’IA désormais obligatoire dans la défense ?

Pour Microsoft, l’IA est surtout un outil prometteur en matière de lutte contre les cyberattaques. Elle est déjà utilisée, mais l’éditeur parle tout à la fois d’un avenir intéressant et des difficultés à l’atteindre, car le développement de solutions efficaces passe par d’immenses phases de tests.

La défense améliorée par l’IA peut se faire sur deux axes. La première, évidente, est l’enrichissement des méthodes existantes pour les enrichir, de la détection des anomalies au triage et à la réponse. La seconde est l’arrivée de « méthodes entièrement nouvelles ». Microsoft donne l’exemple de systèmes persistants capables de surveiller en permanence les vulnérabilités et de réagir rapidement en cas de violation.

La firme aborde aussi logiquement le développement d’agents spécialisés. Elle milite bien sûr pour sa propre paroisse, car elle n’a eu de cesse de proposer la création d’agents pour des tâches variées depuis l’apparition de Copilot. Dans ses services Azure, ils sont aujourd’hui presque partout, et il ne fait aucun doute que le rapport a également un objectif commercial, en rassurant les clients tout en cherchant à motiver les autres potentiels à venir se réfugier dans le cloud de Microsoft.

Mais il est tout aussi certain que l’évolution des menaces et l’utilisation de plus en plus poussée de l’IA va transformer le paysage de la sécurité, qui va copieusement y recourir. Dans ce domaine, les solutions commerciales proposées devraient très largement évoluer dans les mois et années qui viennent.