Le ver informatique de Morris ou "La même chose que chaque année
Comme au début de chaque année, d'innombrables pronostics sont disponibles sur l'évolution du paysage cybercriminel en 2023. Toutefois, regarder dans une boule de cristal, même si l'on dispose de nombreux indices, n'est qu'un pari sur l'avenir. Il est donc plus intéressant de jeter un coup d'œil sur les causes des cyberattaques au cours de l'histoire. Et là, il devient rapidement évident que nous tombons en principe depuis plusieurs décennies toujours sur les trois mêmes têtes de tigre.
Notre référence historique remonte au 2 novembre 1988, date à laquelle un ver Internet dramatique a pris son envol. Le logiciel malveillant, qui porte le nom de l'informaticien Robert T. Morris, s'est propagé à une vitesse alarmante il y a plus de 30 ans et est considéré comme la première grande attaque de logiciels malveillants. Le ver Morris disposait de trois mécanismes primaires d'autoréplication, basés sur trois erreurs fréquentes de programmation et de gestion du système :
- Mauvaise gestion de la mémoire :
Morris a exploité une vulnérabilité de dépassement de mémoire tampon dans un service de réseau système populaire à l'époque et a atteint le RCE (Remote Code Execution). - Mauvais choix de mot de passe :
Morris a utilisé ce qu'on appelle une attaque par dictionnaire pour deviner les mots de passe de connexion probables. Il n'avait pas besoin de deviner tous les mots de passe - il lui suffisait d'en craquer un seul. - Systèmes non corrigés :
Morris a recherché des serveurs de messagerie qui n'étaient pas sécurisés, mais qui n'ont jamais été mis à jour par la suite, afin de corriger la dangereuse faille d'exécution de code à distance dont il avait abusé.
Cela vous rappelle quelque chose ? Cela devrait l'être, car l'année dernière, nous avons continué à souffrir collectivement du même type de problèmes de cybersécurité et nous continuerons à être confrontés à ces "têtes de tigre" en 2023. Donc, cette année encore, c'est "The same procedure as every year" - nous n'avons pas besoin d'une quantité énorme de nouvelles prédictions sur la cybersécurité pour avoir une idée vraiment bonne de l'endroit où commencer.
En d'autres termes : Lors de l'élaboration de concepts de cybersécurité, nous ne devons pas perdre de vue les fondamentaux et éviter de ne résoudre que des problèmes de sécurité spécifiques et actuellement à la une des journaux. Ce n'est qu'en maîtrisant les péchés du passé en matière de cybersécurité que nous pourrons lutter efficacement contre les cybermenaces modernes.
Que faut-il donc faire ? La bonne nouvelle, c'est qu'en matière de programmation, les fabricants deviennent de plus en plus performants dans la gestion de nombre de ces problèmes de l'ancienne école. Par exemple, Sophos apprend à utiliser des pratiques de programmation plus sûres, des langages de programmation plus sûrs et à intégrer votre code en cours d'exécution dans des sandboxes avec un meilleur blocage du comportement afin de rendre plus difficile l'exploitation des dépassements de mémoire tampon.
Nous apprenons tous de mieux en mieux à utiliser les gestionnaires de mots de passe, bien qu'ils présentent leurs propres problèmes fascinants. Nous sommes de plus en plus habitués à utiliser des technologies alternatives de vérification d'identité ou à ne pas nous fier à des mots de passe simples que nous espérons que personne ne prédira ou ne devinera. Mais l'authentification multifactorielle est encore meilleure et nous devrions l'utiliser partout où c'est possible.
Et non seulement nous recevons plus rapidement les correctifs des fournisseurs (du moins ceux qui sont responsables - la plaisanterie selon laquelle le S de IoT signifie Security semble malheureusement toujours très actuelle), mais nous nous montrons de plus en plus disposés à appliquer plus rapidement les correctifs et les mises à jour, tant dans notre environnement privé que professionnel.
Sophos, comme d'autres acteurs du secteur, s'engage également fortement en faveur des technologies CaaS modernes telles que XDR et MDR, ce qui signifie qu'ils acceptent que la gestion des cyberattaques ne se limite pas à la détection des malwares et à leur suppression si nécessaire. Aujourd'hui, les fabricants ont tendance à investir beaucoup plus de temps qu'il y a quelques années, non seulement pour rechercher les choses notoirement mauvaises qui doivent être corrigées, mais aussi pour s'assurer que les bonnes choses qui doivent être là sont réellement présentes et qu'elles font vraiment quelque chose d'utile.
Sophos prend également plus de temps pour rechercher de manière proactive les choses potentiellement nuisibles, plutôt que d'attendre que les proverbiales alertes apparaissent automatiquement dans les tableaux de bord de cybersécurité. Et ce sont là les meilleures conditions pour continuer à remettre les cybercriminels à leur place en 2023 - et à sauter élégamment par-dessus la tête de la peau de tigre.