Le rapport annuel de Verizon sur les vols de données en 2010 apporte quelques surprises de taille. D’abord en terme de volume : on a volé en 2010 plus de données que jamais. « En un an, sur l’année 2010, nous avons vu autant d’affaires de vol de données que sur les six dernières années combinées », explique à SecurityVibes David Ostertag, Global Investigation Manager chez Verizon.

Mais, curieusement, le volume des enregistrements dérobés (les « pièces uniques », par exemple une adresse email) a considérablement diminué en 2010. De 143 millions en 2009 (et même 360 millions en 2008), le nombre d’enregistrements volés est passé à seulement 3 millions en 2010. Cela s’explique par un changement du type de données volées. « Là où les années précédentes les voleurs semblaient surtout intéressés par des informations de paiement (noms, adresses, numéros de cartes de crédit), en 2010 leur attention s’est portée sur la propriété intellectuelle » poursuit David Ostertag. Et bien entendu, dans le premier cas une brèche offre de très nombreux enregistrements tandis que dans le second il peut n’y avoir qu’une poignée de fichiers dérobés. « On a vu par exemple des vols de propositions commerciales ou de résultats financiers avant leur publication. Les vols de propriété intellectuelle sont moins susceptibles d’être repérés et peuvent rapporter plus d’argent » ajoute David Ostertag.

Mais les criminels n’ont toutefois pas entièrement abandonné le bon vieux numéro de carte de crédit. Mais ceux qui le pratiquent encore semblent s’être orientés vers des cibles plus faciles : de petits commerçants faciles à piller plutôt que de gros spécialistes du paiement certifiés PCI-DSS. Cela voudrait-il dire que la norme PCI dissuade efficacement les pirates ? Pas vraiment : « La cible PCI est en retrait, mais je pense que c’est surtout parce que la majorité des vols en 2010  concernaient de la propriété intellectuelle, qui n’est évidemment pas couverte par PCI » tempère David Ostertag. Et il prévoit d’ailleurs une inversion de la tendance, avec une remontée en force des grandes brèches chez des prestataires de paiement, pour le rapport 2011. « On commence à voir, en ce début 2010, un regain d’intérêt des pirates pour les données de paiement. Cela s’explique car c’est un cycle : il faut deux ans aux banques pour remplacer tous les numéros volés. Jusqu’à présent les pirates vivaient donc sur les grandes opérations de ces deux dernières années, mais ils vont devoir se renouveler. C’est la loi de l’offre et la demande ! », explique David Ostertag.

Autres tendances en 2010 : la technicité des attaques est en baisse. En 2009, 15% des attaques avaient nécessité un haut niveau d’expertise, contre seulement 9% en 2010. Et quant aux criminels, ils sont désormais plus nombreux à venir de l’extérieur que de l’intérieur (par la fraude interne), et les partenaires de confiance régressent en tant que source du vol de données.

Bref, le rapport 2010 de Verizon montre des pirates qui s’attaquent à distance à des cibles plus faciles, et sont à la recherche de documents sensibles plutôt que de numéros de cartes de paiement (doit-on en déduire alors que les documents sensibles sont moins protégés que les données de paiement car ils ne sont moins souvent concernés par de quelconques réglementations ?)

Il manque toutefois une pièce au puzzle : quelles techniques sont-elles utilisées par les pirates pour s’introduire si facilement dans les systèmes ? « L’injection SQL reste bien entendu une valeur sûre, mais on note cette année que le malware est encore plus répandu. Peut-être parce que nous devenons meilleurs à protéger les données au repos et en déplacement. Alors la seule fenêtre d’exploitation qui reste aux criminels est la mémoire vive, lorsque la donnée est utilisée. On voit ainsi de plus en plus de malwares spécifiques ne faire que ça : surveiller le contenu de la mémoire et faire un dump de ce qui est intéressant », précise David Ostertag.

La dernière pièce du puzzle, donc, est le poste de travail. Le portrait-robot que dresse ainsi Verizon de la cyber-criminalité en 2010 ressemble alors à une attaque via un malware personnalisé contre des postes de travail en dehors du périmètre PCI-DSS, avec pour objectif de dérober des fichiers propriétaires plutôt  que des données de paiement.

Cela ne vous rappelle rien ? Oui, ce sont bien là les dernières grandes affaires en date, de RSA à l’opération Aurora en passant par, peut-être, Bercy.

Mais voyons le bon côté des choses, les cyber-criminels désignent exactement ce que les entreprises doivent mieux protéger : leurs postes de travail et leurs données sensibles. Après tout ce n’est pas comme si des fortunes étaient déjà dépensées en antivirus depuis une décennie. Et ce n’est pas non plus comme si les entreprises ignoraient tout de la classification de l’information…

> Télécharger le rapport (en anglais)

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Participez!

 Comments (4)