Vice-président en charge de la recherche sur la cyberprotection chez Acronis, société helvético-singapourienne de spécialisée dans la cybersécurité, Candid Wüest fait figure de vétéran en matière de menaces numériques.
Aujourd’hui, cet ancien directeur technique chez Symantec se base sur sa longue expertise du domaine pour prédire les 10 tendances qui vont marquer le paysage de la cybersécurité en 2023.

1- Authentification : les attaques basées sur des mécanismes d’authentification (Identity Access Management) et des identités se multiplient. Les tentatives de vol ou de contournement des tokens d’authentification multifactorielle (MFA) se multiplient dans le but de submerger les cibles de requêtes. Elles peuvent aboutir à l’établissement de connexions sans même qu’il y ait de vulnérabilité préalable. Les attaques récentes d’Okta et de Twilio ont démontré que des services externes peuvent être compromis. Il est donc extrêmement important de comprendre le fonctionnement des mécanismes d’authentification en place et de savoir qui a accès à quelles données. 

2- Ransomware : le nombre d’attaques ne cesse d’augmenter, sachant qu’elles demeurent lucratives surtout quand des polices de cyberassurance couvrent en partie les pertes. Les attaques tendent vers l’exfiltration de données avec une forte volonté des cybercriminels de professionnaliser leurs opérations. La plupart s’ouvrent aux systèmes d’exploitation MacOS et Linux ainsi qu’à l’environnement cloud. De nouveaux langages de programmation comme Go et Rust se démocratisent et obligent à ajuster les outils d’analyse. Les agresseurs tentent de désinstaller les outils de sécurité, supprimer les sauvegardes et désactiver les plans de reprise après sinistre. Pour y parvenir, ils utilisent les techniques « living of the land ». 

3- Compromissions de données à grande échelle :
Les malwares destinés à dérober des données, comme Racoon et Redline, deviennent progressivement la norme. Des identifiants sont volés et vendus pour perpétrer de nouvelles attaques. La complexité des services cloud interconnectés font que les entreprises ont plus de difficultés à suivre leurs données. Il devient donc difficile de garantir qu’elles seront systématiquement chiffrées et protégées. Une simple clé d’accès à une API, sur GitHub ou une appli mobile, peut suffire pour voler des données. La question du respect de la vie privée va devenir centrale avec des avancées informatiques en ce sens. 

4- Attaques de phishing au-delà des e-mails :
Les e-mails malveillants et attaques de phishing se comptent en millions. Les agresseurs utilisent des données obtenues illégalement pour personnaliser les attaques et les automatiser.  Des scams d’ingénierie sociale, comme les attaques de compromission d’emails professionnels ou BEC (Business Email Compromise), vont s’étendre à d’autres services de messagerie, messages texte, Slack, chats Teams pour tromper les mécanismes de filtrage et de détection. Les attaques de phishing vont continuer d’utiliser des proxies pour capturer les tokens de sessions, voler des tokens MFA et faire diversion au moyen de QR codes pour avancer masquées.  

5- Attaques des plateformes de crypto et des contrats intelligents sur les différentes blockchains : 
On observe aujourd’hui des tentatives provenant de certains États de voler des millions en monnaie numérique. Les attaques plus sophistiquées des contrats intelligents, du trading algorithmique et des solutions DeFi vont se poursuivre en plus des attaques plus classiques de phishing et de malware contre leurs utilisateurs. 

6- Exploitation de l’infrastructure
Les fournisseurs de services sont de plus en plus attaqués et compromis. Les agresseurs piratent les outils installés, comme PSA, RMM ou d’autres outils de déploiement, pour s’en servir de base. La menace émane des fournisseurs de services IT gérés, mais aussi des sociétés de conseil, des prestataires du support de premier niveau et d’autres partenaires également amenés à se connecter. Ces acteurs externes sont désormais le maillon le plus faible de la défense d’une entreprise ; et donc plus faciles à abuser que de fomenter des attaques complexes des fournisseurs de logiciels. 

7- Les attaques depuis le navigateur 
Les attaques depuis ou via un navigateur vont se multiplier pour se propager pendant les sessions. Des extensions de navigateur sont capables de permuter les destinataires de transactions et dérober des mots de passe en arrière-plan. Certains piratent le code source de ces outils pour ajouter des portes dérobées via le référentiel GitHub.  Les sites web vont aussi continuer de suivre les utilisateurs avec des scripts de tracking JavaScript et de partager les ID de sessions HTTP avec des services de marketing.  Les techniques Formjacking/Magecart vont se généraliser également avec l’ajout de petits snippets conçus pour aspirer toutes les informations du site web original. Dans le contexte de l’informatique sans serveur, il sera encore plus compliqué d’analyser de telles attaques.  

8- Automatisation cloud via des API
D’énormes quantités de données, de processus et d’infrastructures ont déjà été migrés dans le cloud. Cette tendance va se poursuivre avec l’automatisation entre services.  De nombreux objets IoT feront partie de ce vaste cloud de services hyperconnecté. Ceci se traduira par l’accessibilité de nombreuses API depuis Internet et la multiplication des attaques en conséquence. Le contexte de l’automatisation pourra donner lieu à des attaques de très grande échelle. 

9- Attaques des processus métier
Les cybercriminels poursuivront leurs attaques destinées à modifier les processus métier dans leur intérêt et à leur profit. Ils n’hésitent pas, par exemple, à modifier les coordonnées bancaires du destinataire dans le modèle du système de gestion des factures d’une entreprise ou à ajouter leur bucket cloud comme destination des sauvegardes du serveur d’e-mail.  Souvent, ces attaques procèdent davantage d’une analyse fine du comportement de l’utilisateur que d’un malware, comme pour les attaques d’initiés qui se multiplient.  

10- Omniprésence de l’IA 
Les processus d’IA et de ML vont bientôt être utilisés par les entreprises de toute taille et de tous secteurs. Des techniques avancées de création de données synthétiques vont venir favoriser les fraudes à l’identité et les campagnes de désinformation à partir de contenus faussement crédibles. Plus inquiétantes encore seront les attaques directes des modèles d’IA et de ML visant à exploiter les faiblesses du modèle, à biaiser délibérément des données ou à se servir de déclencheurs d’alertes pour noyer les opérations IT.