Sacrifions à cet exercice incontournable, bien que
futile, propre aux fins d’années : les prédictions sécurité pour les douze mois
venir. Mais, au risque de décevoir les adeptes de l’occulte, il n’y aura point
de magie ici. Il s’agit en effet surtout de regarder attentivement dans le
rétroviseur de 2011 afin d’y déceler les tendances de fond qui ne demandent
qu’à émerger. Il s’agit donc, pour parler comme les économistes,
de prévisions à court terme (numérotées de 1 à 8), avec pour finir quelques
divagations concernant le moyen terme (numérotées 9 et 10).
1. Les réseaux sociaux, terrain de jeu des escrocs
L’année
2012 verra probablement une augmentation constante des campagnes de spam et d’arnaques menées sur les réseaux sociaux en
général, et Facebook en particulier.
La
nouveauté vient cependant de la collaboration active et involontaire des
victimes : celles-ci n’hésitent pas à copier et coller une ligne de Javascript
dans leur navigateur et d’exécuter ainsi un script malveillant dans leur
environnement Facebook. Le réseau social permet en effet de développer à loisir
un argumentaire de type social engineering convainquant (textes, photos). Les
pirates l’ont expérimenté avec succès en 2011 et l’année 2012 pourrait être
celle de la généralisation.
En
outre, dans un climat économique anxiogène, les vraies-fausses loteries
diffusées sur Facebook (« gagnez
un iPad2« , « répondez
à un sondage et gagnez un iPhone« ) devraient être en
recrudescence en 2012.
De telles attaques sont cependant actuellement moins visibles,
certainement grâce à l’intervention de Facebook après la dernière vague en
date. Mais le réseau social est une cible trop belle pour que les pirates ne
tentent pas de contourner d’éventuelles contre-mesures actuellement en place.
2. Applications mobiles et « pourri-ware » : Android
domine
Impossible
d’ignorer l’explosion des malwares mobiles en 2011. Avec 472%
d’augmentation du nombre d’applications malveillantes par rapport à 2010 (selon
Juniper Networks), le système d’exploitation mobile de Google est de loin le
plus visé par les pirates. Et c’est parfaitement compréhensible : il ne coûte
que 25$ pour ouvrir un compte développeur et commencer à publier, de manière
relativement anonyme, ses applications sur l’Android Market.
A moins d’un changement radical de la politique de validation des
applications mobiles par Google, pour se rapprocher de celle bien plus
restrictive d’Apple, Android devrait poursuivre seul en tête la course au
système d’exploitation mobile le plus attaqué.
La pression est toutefois forte pour que Google prenne des mesures
efficaces contre ce phénomène que l’on craint de voir devenir endémique. Nous
ne pouvons donc exclure un changement majeur en cours d’année dans la
publication, la validation ou l’usage des APIs de l’OS mobile de Google.
(Attention : nous parlons ici
d’applications malveillantes de type chevaux de Troie, destinées à dérober des
informations personnelles, à
envoyer des SMS surtaxés ou à capturer des données bancaires ou de paiement. Et non de virus
capables de se répliquer d’un téléphone à l’autre, qui restent pour l’essentiel
un concept marketing)
3. Le BYOD : décalage entre le marketing des éditeurs et la
réalité du problème
2011
était sans conteste l’année où les entreprises devaient se poser la question du Bring
Your Own Device (BYOD).
Une question que nombre d’entre elles ont commencé par se poser en termes
techniques dès le début de l’année. Et sans grande surprise, ce dernier
trimestre a donc vu déferler les communiqués de presse d’éditeurs proposant une
vision purement technique du problème.
Or il
se trouve qu’entre temps la perception du sujet a évolué chez les entreprises,
et les RSSI se rendent désormais compte qu’il s’agit avant tout d’un problème
juridique et RH (voire sociétal, si l’on en croit la table
ronde consacrée au
BYOD et animée par votre serviteur à l’occasion des Assises de la Sécurité
2011).
L’année 2012 devrait voir ce décalage augmenter, entre des
solutions techniques désormais bien présentes et des entreprises qui n’ont pas
encore réglé les pré-requis non-techniques du BYOD (contrat de travail, charte
informatique, assurance, responsabilité juridique…)
Ce
schéma rappelle l’arrivée du DLP, un peu avant que les entreprises ne réalisent
qu’il fallait passer par un projet de classification de leurs données avant
d’espérer déployer une solution technique. Si l’évolution est la même, inutile
d’espérer y voir plus clair dans le BYOD avant 2014…
Aucun commentaire:
Enregistrer un commentaire