Brian Krebs, blogueur célèbre en matière de cybersécurité et ancien journaliste du Washington Times, était l’un des orateurs invités à la conférence Aruba Atmosphere qui s’est déroulée à Nashville la semaine dernière.
Son exposé intitulé « Les défis de la cybersécurité de l’IoT » a été l’un des séminaires les plus suivis de cette conférence de deux jours.
Le blog de Brian Krebs est largement lu à travers le monde. Bien qu’il écrive sur toutes les facettes de la cybersécurité, il a tendance à se concentrer sur le sujet du dark web et sur les cybercriminels en quête de profit et qui le fréquentent, dont la plupart résident en Europe de l’Est.
En plus de ses écrits, les recherches journalistiques de Brian Krebs ont mis au grand jour un certain nombre d’infractions, notamment les attaques contre Target, Home Depot et Neiman Marcus. En conséquence, il a de nombreux sponsors qui financent ses recherches.
Il est détesté, mais bien respecté par la communauté des hackers. Son identité a été volée à six reprises par des cybercriminels d’Europe de l’Est, lesquels continuent également de faire tomber son site web.
Sa vie a été menacée et de nombreuses tentatives ont été faites pour le piéger. Par exemple, ses adversaires ont usurpé un appel au 911, demandant à une équipe du SWAT d’intervenir à son domicile.
En effet, Sony Pictures envisage de sortir un film basé sur Brian Krebs, lequel aurait blogué avec un fusil de chasse de calibre 12 à ses côtés.
Comment prévenir une cybermenace ?
« Les personnes derrière les claviers sont vos points d’extrémité les plus faibles », a-t-il déclaré au début de son exposé. « Les entreprises doivent investir du temps et des ressources dans l’éducation des utilisateurs finaux, mais même en faisant cela, il y aura toujours des gens qui vont cliquer sur n’importe quoi ».
Ensuite, il a expliqué comment chaque service informatique doit sonder et tester ses utilisateurs, tout simplement parce que les pirates informatiques le font. Il est impératif de trouver les maillons les plus faibles (employés) avant que les cybercriminels ne les trouvent et ne violent votre réseau et votre propriété intellectuelle.
Selon Brian Krebs, « Une fois infiltré, le pirate n’est plus un attaquant. C’est un utilisateur. Et, une fois qu’il opère depuis votre réseau, il est extrêmement difficile de détecter sa présence ».
Il a comparé cela à un jeu d’échecs ou de dames dans lequel un joueur est capable de promouvoir une pièce qui atteint la dernière rangée de son adversaire à la pièce de son choix.
Pour un pirate informatique, l’élément de choix est le compte utilisateur d’un Directeur général, d’un Directeur financier ou d’un Administrateur d’Enterprise. Les cybercriminels d’aujourd’hui sont très patients lorsqu’ils infiltrent une entreprise.
Au lieu de frapper immédiatement, ils prennent le temps d’apprendre la culture de l’entreprise et la façon dont les dirigeants ciblés communiquent entre eux.
Les cabinets d’avocats sont souvent attaqués pour obtenir des informations sur leurs clients
Les administrateurs système et les responsables des ressources humaines sont les cibles les plus populaires d’une attaque cybercriminelle, et ce, pour une multitude de raisons.
Pourtant, les cabinets d’avocats sont aussi fréquemment attaqués, non pas pour obtenir la propriété intellectuelle du cabinet, mais pour en savoir plus sur leurs clients.
Les informations personnelles des clients peuvent ensuite être vendues à d’autres organisations qui, à leur tour, vos entrer en négociations avec ces mêmes clients pour en tirer profit.
Lors de sa présentation, Brian Krebs a mis l’accent sur la façon dont l’internet des objets (IoT) a modifié le spectre des cyberattaques. Le risque de prise de contrôle de comptes en est un exemple frappant.
Le bourrage de justificatifs d’identité représente une menace croissante. Sachez qu’environ 90 % de toutes les activités de connexion sur les systèmes Internet des entreprises du Fortune 100 sont attribuées au bourrage de justificatifs d’identité.
Jusqu’à récemment, ce genre d’attaque était relativement facile à détecter, car des dizaines de milliers de tentatives de connexion proviennent d’une seule adresse IP.
Une fois exposées, les connexions à partir de ces adresses IP malveillantes peuvent simplement être interrompues. Cependant, avec l’IoT, d’énormes botnets peuvent maintenant être utilisés pour acheminer les demandes de mots de passe à travers des centaines, voire des milliers d’appareils.
Brian Krebs a déclaré : « Nous avons besoin de systèmes plus vérifiables pour identifier les gens. Les identificateurs statiques tels que le nom du père, l’adresse physique, le lieu de naissance, etc., sont devenus complètement inutiles ».
Il a expliqué qu’un pirate informatique peut trouver n’importe quoi sur n’importe quelle personne de plus de 35 ans, pour environ 4 $ en bitcoin.
Il a même lancé un défi à l’audience : si une des personnes présentes lui donnait 4 dollars et une carte de visite avec une adresse de messagerie électronique, il lui enverrait un rapport complet sur son profil par e-mail. Après la présentation, quelques personnes ont relevé le défi par simple curiosité.
Attaques DDOS
L’IoT a propulsé l’utilisation des attaques DDOS, car les cybercriminels peuvent facilement exploiter et piéger des centaines de milliers de dispositifs IoT pour former des armées de botnets, dont la taille est sans précédent.
Les attaques DDOS sont infligées à des organisations comme une forme de censure. Des sites — qui sont susceptibles d’exposer ces organisations et leurs méthodologies — sont régulièrement piratés dans le but de les faire tomber.
Sur le dark web, il existe même un marché pour les services DDOS via lesquels les entreprises ou les particuliers peuvent louer des attaques DDOS pour interrompre le service en ligne de leurs concurrents.
L’une de ces organisations malfaisantes, vDOS, a été organisée par deux adolescents israéliens qui ont gagné plus de 600 000 dollars en deux ans pour aider leurs clients à coordonner plus de 150 000 attaques DDOS destinées à mettre hors ligne des sites web.
À la fin de sa présentation, Brian Krebs a ouvert la foire aux questions. Un membre de l’auditoire lui a demandé quelle était la plus grande cybermenace d’aujourd’hui : les attaques BEC, les ransomwares ou les attaques DDOS ? Il a répondu : « La plus grande cybermenace est l’apathie ! »
L’article a été fourni par IT Pro, Brad Rudisail, qui a assisté à l’exposé de Brian Krebs à la conférence Aruba Atmosphere.a