Selon le rapport Unpacking the Threat Landscape with Unique Telemetry Data publié par Nozomi Networks, un spécialiste de la sécurité des technologies opérationnelles OT et de l'Internet des objets (IoT), l'activité des logiciels malveillants dans les environnements OT et IoT au niveau mondial a été multipliée par 10 au premier semestre 2023 et les alertes sur les applications indésirables ont doublé, certains États, les groupes criminels et autres "hacktivistes" continuant de cibler les secteurs de la santé, de l'énergie et de l'industrie.
C’est une tendance inquiétante, selon Nozomi, notamment en France, alors que le pays accueille la Coupe du monde de rugby et s'apprête à recevoir les Jeux Olympiques qui seront la cible des cyberattaquants, notamment en raison de la forte présence d’objets connectés.
La technologie de télémétrie de Nozomi Networks Labs - collectée dans des environnements OT et IoT couvrant une variété de cas d'usage et d'industries dans le monde entier - a révélé que les menaces de sécurité liées aux logiciels malveillants ont été multipliées par 10 au cours des six derniers mois.
Dans la catégorie générale des logiciels malveillants et des applications potentiellement indésirables, l'activité a même augmenté de 96% tandis que les menaces liées aux contrôles d'accès ont plus que doublé. Un niveau faible d'authentification et une mauvaise gestion des mots de passe figurent en tête de liste des alertes critiques pour le deuxième semestre consécutif, bien que l'activité dans cette catégorie ait diminué de 22% par rapport à la période précédente.
« Il y a de bonnes et de mauvaises nouvelles dans ce dernier rapport, commente Chris Grove, directeur de la stratégie de cybersécurité chez Nozomi Networks. Une diminution significative de l'activité par client dans des catégories comme les problèmes d'authentification et de mot de passe ou les comportements suspects et inattendus sur le réseau suggère que les efforts pour sécuriser les systèmes dans ces domaines sont sans doute en train de porter leurs fruits. En revanche, l'activité liée aux logiciels malveillants a augmenté de façon spectaculaire, ce qui témoigne de l'escalade des menaces. Il est temps de renforcer nos défenses. »
Dans la liste des principales activités de menace critique mises en avant par Nozomi dans des environnements réels, la société cite les problèmes d'authentification et de mot de passe (en baisse de 22% donc), les anomalies et attaques du réseau (en hausse de 15%), les menaces spécifiques aux technologies opérationnelles (en baisse de 20%) le comportement suspect ou inattendu du réseau (en baisse de 45%), le contrôle d'accès et d'autorisation (en hausse de 128%), et enfin les logiciels malveillants et applications potentiellement indésirables (en hausse de 96%).
Au-delà, Nozomi Networks Labs a constaté des problèmes de sécurité croissants au niveau des botnets continuant à utiliser des identifiants par défaut pour tenter d'accéder aux équipements IoT. Ainsi, de janvier à juin 2023, les “honeypots” de Nozomi Networks ont détecté une moyenne de 813 attaques uniques par jour, la journée ayant connu le plus d'attaques étant le 1er mai avec 1 342 attaques. A ce niveau, les principales adresses IP des attaquants étaient associées à la Chine, aux États-Unis, à la Corée du Sud, à Taïwan et à l'Inde.
Enfin, Nozomi note que l'attaque par force brute reste une technique populaire pour obtenir un accès au système, les données d'identification par défaut étant l'un des principaux moyens utilisés par les attaquants pour accéder aux réseaux IoT.
En ce qui concerne l’analyse des vulnérabilités, le rapport note que l’industrie, l'énergie et les équipements de gestion des eaux usées restent les secteurs les plus vulnérables. Les secteurs de l'alimentation/agriculture ainsi que de la chimie entrent dans le top 5, remplaçant les secteurs des transports et de la santé qui figuraient parmi les 5 secteurs les plus vulnérables dans le précédent rapport. Au premier semestre 2023, Nozomi indique que la CISA (Cybersecurity and Infrastructure Security Agence) a publié 641 vulnérabilités et expositions communes (CVE) alors que 62 fournisseurs ont été touchés. Les vulnérabilités “Out-of-Bounds Read” et “Out-of-Bounds Write” sont restées en tête des CVE, toutes deux étant susceptibles de générer plusieurs attaques différentes, y compris des attaques par débordement de mémoire tampon.
Le rapport sécurité OT & IoT “Unpacking the Threat Landscape with Unique Telemetry Data” de Nozomi Networks qui présente une analyse des tendances qui s'appuie sur des données en open source, des informations publiques, ainsi que des données de télémétrie indépendantes et uniques, est accessible en téléchargement ici.
Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC
