Minecraft ou cours de mathématiques : quelle sera la cause de la prochaine cyberattaque ?

132.000 EUROS
Le chiffre d'affaires quotidien de Minecraft est d'environ 132.000
euros pour sa version Java.

Alors que la propagation du virus continue, les établissements scolaires doivent prendre des mesures, notamment en fermant des classes si trois cas positifs sont confirmés, mais aussi pour certains en accueillant un maximum de 50 % des effectifs. Dans ce contexte, et depuis déjà quelques mois avec le confinement qui a eu lieu en mars dernier, les élèves et les étudiants sont à présent familiarisés avec l'apprentissage à distance. Simultanément - et peut-être sans le savoir - la surface de cyberattaque des entreprises pour lesquelles leurs parents travaillent a augmenté de façon exponentielle. Le cours de mathématiques d'un enfant constitue ainsi une menace pour les données de l'employeur des parents, de même que son addiction à Minecraft pourrait causer la prochaine attaque d'ingénierie sociale contre leur entreprise.

En effet, beaucoup d'enfants empruntent les vieux ordinateurs portables non patchés de leurs parents, pour télécharger et se connecter à une demi-douzaine de nouvelles applications d'apprentissage ; et, après la journée d'école sur des outils de visio-conférence à la sécurité incertaine, certains consacrent leurs soirées aux jeux vidéo ou au streaming. Pendant ce temps, des parents se connectent aux mêmes applications d'apprentissage depuis leurs ordinateurs d'entreprise pour vérifier les devoirs, ou consultent leurs e-mails professionnels depuis un appareil personnel au cours de la soirée. La facilité avec laquelle un pirate informatique peut désormais passer d'un compte personnel à un professionnel est de plus en plus évidente, et la combinaison du télétravail et de l'école à domicile ne facilite pas la tâche des entreprises en termes de cybersécurité.

Désormais, l'ensemble de la famille est à prendre en compte

Il est impossible de savoir avec exactitude si la personne qui se connecte à un ordinateur portable professionnel est bien le responsable des ventes ou son enfant de 10 ans qui doit rendre ses devoirs dans un délai déterminé. De même, un service IT ne peut pas avoir la certitude qu'un employé du service comptable, généralement prudent, n'accède pas au système financier à partir du même appareil que celui utilisé la veille par un autre membre de la famille pour une séance de jeu vidéo de plusieurs heures ou pour discuter en ligne. Quelle que soit la cyber-stratégie et les directives en place, les membres de la famille des employés peuvent utiliser les ordinateurs de l'entreprise à des fins scolaires, et les employés se connectent souvent à des applications professionnelles à partir de terminaux personnels.

Les employés sont désormais plus vulnérables à une attaque de phishing

L'apprentissage à distance est bien souvent constitué d'un patchwork d'applications et de services en ligne assemblés à la hâte, chacun nécessitant une connexion distincte. Cela crée une confusion dont se délectent les pirates informatiques : il est facile pour un attaquant d'usurper l'un de ces services et de transmettre une fausse réinitialisation de mot de passe qui trompera les parents et les enfants peu prudents. Ensuite, étant donné que la frontière entre l'utilisation de l'ordinateur à des fins professionnelles et privées est de plus en plus floue, il devient aisé pour un cybercriminel ayant accès au compte personnel d'un utilisateur (une application d'apprentissage, un compte de gaming ou email) d'obtenir les identifiants d'un compte d'entreprise en recourant à de simples techniques d'usurpation. Sans compter que, de manière générale, les individus sont beaucoup plus sensibles aux attaques d'ingénierie sociale dans les périodes de peur et d'incertitude ; et cela est bien connu des cybercriminels.

Cela n'est pas sûr pas nouveau : nombreuses sont les entreprises qui ont été victimes dans le passé d'infractions majeures à partir d'un compte personnel compromis. Mais aujourd'hui, il est beaucoup plus facile et rapide pour un hacker ayant accès à un ordinateur professionnel de se connecter à un VPN d'entreprise avec des identifiants dérobés, ou de lire les courriers électroniques professionnels d'un télétravailleur.

À la lumière de ces considérations, les stratégies de sécurité des entreprises sont à modifier. L'époque où l'on protégeait principalement les utilisateurs aux privilèges les plus élevés est révolue. Peu importe comment les pirates informatiques pénètrent dans un réseau d'entreprise, le fait est qu'une fois qu'ils y sont, ils peuvent s'y déplacer à leur guise ; et ils emprunteront toujours la voie de la moindre résistance. Pour garantir leur sécurité dans le cadre du travail à distance et au-delà, les organisations doivent donc adopter une approche de type « zero trust » et authentifier chaque utilisateur, à chaque connexion, sur chaque service. Il faut pour cela utiliser une forme d'authentification forte, telle que l'authentification multi-facteur, qui ne peut pas, à conditions de reposer sur des protocoles modernes tels carte à puce ou FIDO être usurpée au moyen d'attaques de phishing par courrier électronique ou d'attaques de type « man-in-the-middle », et qui, pour des raisons de productivité, doit être quasiment imperceptible par l'utilisateur. En effet, les employés n'adopteront pas, ou abandonneront vite, tout outil qu'ils jugent non ergonomique ou qui les ralentit dans leurs tâches.

Alors, Minecraft ou cours de mathématiques ? N'importe laquelle de ces deux activités pourrait déboucher sur une attaque d'ingénierie sociale permettant aux cybercriminels d'accéder aux données d'une entreprise. Une chose est certaine : à moins que l'authentification forte ne soit mise en place pour tous les employés à distance, les pirates informatiques tireront parti de la situation actuelle et trouveront un moyen d'entrer. Et il ne faut jamais oublier de mettre à jour son ordinateur dès qu'un correctif est disponible.


A découvrir