Les 12 principales façons dont les pirates ont pénétré dans vos systèmes en 2024

Lucas Morel

Les attaquants étaient armés d’un mélange de tactiques créatives et efficaces, utilisant tout ce qui fonctionnait pour percer les systèmes avec précision.

En 2024, les pirates ont eu du mal à trouver des moyens sournois d’accéder aux systèmes – depuis des escroqueries de phishing convaincantes qui jouaient sur la curiosité humaine jusqu’à des failles logicielles brutales qui ont révélé des lacunes dans l’entretien technologique. Ce fut une année de violations intelligentes, montrant à quel point l’écart est grand entre les habitudes des utilisateurs et les pratiques de sécurité.

« Même si chaque année apporte son lot de nouveaux types d’attaques, il est important de comprendre que les pirates informatiques recherchent toujours les moyens les plus simples d’accéder, ce qui signifie que les zones où les équipes de sécurité manquent de visibilité ou de contrôle doivent atténuer les risques », a déclaré Melinda Marks, analyste principale chez Enterprise Strategy Group.

Examinons en profondeur les principales façons dont les attaquants ont échappé aux défenses cette année.

Les jours X ont gardé les utilisateurs sur leurs gardes

L’année 2024 a été marquée par certains des exploits Zero Day et N Day les plus dévastateurs de mémoire récente, certains d’entre eux étant même repérés par des attaquants de premier plan pour pirater des systèmes critiques et lancer une persistance au niveau de l’État-nation.

Citant une étude sur les ransomwares réalisée cette année, Dave Gruber, analyste principal chez Enterprise Strategy Group, a déclaré : « D’après nos recherches, les vulnérabilités des logiciels et de la configuration constituaient un point initial de compromis important. Pour les petites organisations, les points initiaux de compromission étaient plus susceptibles de provenir d’un partenaire commercial que pour les grandes organisations où la compromission initiale était plus probablement liée à une vulnérabilité logicielle.

Même si les efforts de mise à jour des correctifs ont occupé les équipes de sécurité, quelques-uns de ces exploits se sont révélés particulièrement perturbateurs.

1. Faille Fortinet Zero-day corrigée par des acteurs étatiques: En octobre 2024, Fortinet a mis en garde contre une vulnérabilité RCE critique (CVSS 9.8/10), suivie comme CVE-2024-47575., dans sa plateforme FortiManager, activement exploitée par des attaquants pour exfiltrer des données sensibles telles que des adresses IP, des informations d’identification et des configurations. Aucun malware ou porte dérobée n’a été trouvé. Cette faille, exploitée à l’état sauvage, a été liée à des acteurs étatiques, tels que Volt Typhoon, soutenu par la Chine, qui ont utilisé des vulnérabilités similaires de Fortinet à des fins de cyberespionnage.

2. Un bug de Check Point a permis des hacks iraniens: En août, CISA a émis un avertissement concernant une faille critique (CVE-2024-24919) dans le logiciel de passerelle de sécurité de CheckPoint. La vulnérabilité, qui avait un score CVSS élevé (8,6/10), a permis à des attaquants comme Pioneer Kitten et Peach Sandstorm, des groupes de hackers iraniens, d’exploiter les faiblesses de divulgation d’informations dans les solutions de sécurité de l’entreprise. Une exploitation active dans la nature a été signalée, les attaquants exploitant la faille pour accéder aux données sensibles des systèmes utilisant des VPN et des lames d’accès mobile.

3. Des failles dans Ivanti Connect révèlent des abus chinois: En décembre 2023, des chercheurs ont découvert deux vulnérabilités Zero Day enchaînées, CVE-2023-46805 et CVE-2024-21887, dans les passerelles Connect Secure et Policy Secure d’Ivanti, exploitées par des acteurs parrainés par l’État chinois. Ces failles permettaient l’exécution de code à distance non authentifié, permettant aux attaquants de voler des configurations, de modifier des fichiers et de mettre en place des tunnels inverses à partir d’appliances VPN compromises. Ciblant des secteurs critiques comme la santé et l’industrie manufacturière, les attaquants ont exploité des techniques avancées de mouvement latéral et de persistance pour accéder à la propriété intellectuelle et aux données sensibles. La campagne a mis en évidence les risques liés aux logiciels d’entreprise non corrigés, Ivanti s’efforçant de publier des mesures d’atténuation tout en travaillant sur les correctifs.

4. La couronne de Cleo est tombée aux mains de hackers persistants: En décembre, une faille dans les systèmes LexiCom, VLTrader et Harmony de Cleo a permis à des pirates d’exploiter un correctif incomplet, affectant plus de 10 entreprises. Les attaquants ont utilisé cette vulnérabilité pour télécharger et exécuter du code malveillant, exposant ainsi des données sensibles. Huntress a détecté la faille et a conseillé de déconnecter les systèmes jusqu’à ce qu’un correctif complet soit publié.

5. L’impact de MOVEit se fera sentir jusqu’en 2024: La vulnérabilité MOVEit (CVE-2023-35708), exploitée par le groupe de ransomware Clop, a provoqué des violations de données généralisées à partir de 2023, avec des effets significatifs persistant jusqu’en 2024. Cette faille d’injection SQL dans MOVEit Transfer de Progress Software a permis aux attaquants d’exfiltrer des données sensibles de plus de 2 600 organisations dans le monde, ciblant des secteurs tels que le gouvernement, la santé et l’éducation. Clop a changé de tactique en renonçant aux ransomwares et en s’appuyant sur le vol de données et l’exposition publique aux pressions des victimes. L’attaque a souligné la nécessité cruciale d’appliquer des correctifs en temps opportun et d’assurer une sécurité solide des données face à l’évolution des méthodes cybercriminelles.

En 2024, les vulnérabilités corrigées et non corrigées ont provoqué des problèmes généralisés, soulignant à quel point les failles logicielles restent un point d’entrée clé pour les pirates. Cependant, une bonne nouvelle est venue d’un rapport suggérant que l’amélioration des pratiques de mise à jour des correctifs a contribué à faire pencher la balance, les exploits du jour zéro étant plus nombreux et dépassant les attaques de N jours en termes d’impact et de gravité au cours de l’année.

Les pièges du phishing se sont resserrés

Le phishing est resté l’une des principales arnaques en 2024, les mécréants utilisant l’IA pour concocter des escroqueries ultra convaincantes que même les outils de détection les plus performants ne pouvaient pas toujours détecter. Le salon de la honte du phishing de cette année a connu quelques campagnes importantes.

6. Utilisateurs Microsoft trompés par les phishers russes : L’une des marques les plus usurpées, grâce à sa domination dans les environnements d’entreprise, Microsoft est devenue une cible privilégiée dans de grandes campagnes de phishing comme celle menée par la société russe Midnight Blizzard. Le groupe APT a ciblé plus de 100 organisations, utilisant de faux e-mails pour inciter les victimes à télécharger des fichiers RDP malveillants. Ces fichiers ont permis aux attaquants d’accéder à des données sensibles de l’entreprise, soulignant la sophistication croissante des tactiques de phishing et le besoin urgent de défenses telles que la MFA et d’une meilleure sécurité des points finaux.

7. Un nouveau phishing entre dans la mêlée: En novembre, une intelligente campagne de phishing a été observée exploitant l’API Enveloppes de DocuSign pour envoyer de fausses factures semblant légitimes, incitant les destinataires à approuver des paiements non autorisés. Les attaquants ont utilisé des comptes DocuSign payants pour contourner les filtres de sécurité, créant des documents imitant des marques comme PayPal et Norton. Les victimes ont signé des transactions sans le savoir, entraînant des pertes financières importantes et soulignant la nécessité d’une vérification plus stricte et d’une authentification multifactorielle pour contrer de tels exploits créatifs.

8. Les utilisateurs d’Alibaba et d’Adobe ont été amenés à cracher leurs identifiants: D’autres campagnes importantes en 2024 ont ciblé deux débutants en phishing, Alibaba et Adobe, employant des tactiques quelque peu similaires. L’arnaque d’Alibaba a trompé les entreprises avec de faux e-mails concernant des litiges de commande afin de voler des informations d’identification, tandis que les utilisateurs d’Adobe ont été confrontés à des e-mails de phishing imitant des demandes de partage de documents, conduisant au vol d’informations d’identification.

En 2024, le phishing a fini par être à l’origine de 36 % de toutes les violations dans le monde, prouvant une fois de plus pourquoi il s’agit de l’action classique des pirates informatiques cherchant à semer le chaos.

Les chaînes d’approvisionnement ont déraillé

L’année a été marquée par plusieurs attaques à grande échelle sur la chaîne d’approvisionnement qui ont causé des dommages importants et durables, dont certains se feront probablement sentir jusqu’en 2025. Les pirates informatiques sont devenus plus inventifs, ciblant des plateformes de confiance et des fournisseurs tiers, perturbant ainsi les industries à l’échelle mondiale. Voici un aperçu rapide de deux des piratages les plus percutants de l’année, qui ont créé des défis permanents en matière de cybersécurité.

9. Des robots approuvés frappent les utilisateurs de Discord: En mars, la communauté de robots Top.gg, qui compte plus de 170 000 membres Discord, a été touchée par une attaque de la chaîne d’approvisionnement lorsque Colorama, un outil tiers de vérification de robots, a été compromis. Les attaquants ont injecté du code malveillant dans la mise à jour de l’outil, obtenant ainsi l’accès aux autorisations du robot. Cela leur a permis de récupérer les données des utilisateurs, de détourner des jetons et de diffuser des liens de phishing.s entre des robots vérifiés, provoquant des perturbations rapides et érodant la confiance au sein de la communauté.

10. Un piratage massif de PyPi s’est déroulé: En novembre, des attaquants ont été découverts ciblant PyPI, le référentiel de packages Python populaire, en utilisant des astuces de typosquatting et de confusion des dépendances. Ils ont téléchargé des packages malveillants déguisés en bibliothèques de confiance, incitant les développeurs à les télécharger. Une fois installés, ces packages ont déclenché des enregistreurs de frappe, des portes dérobées et des outils de vol de données, mettant en danger des milliers de développeurs et leurs projets. La faille s’est propagée rapidement, affectant à la fois les applications d’entreprise et les applications open source.

En plus de ces attaques, l’année a également été marquée par les conséquences continues des violations de la chaîne d’approvisionnement de SolarWinds et de MOVEit, ces deux incidents affectant plus de centaines d’organisations.

« Les attaquants s’intéressent à des domaines en pleine évolution, tels que les API, et à la chaîne d’approvisionnement logicielle avec l’utilisation croissante de codes tiers et open source susceptibles d’être falsifiés », a déclaré Marks. « Ces problèmes ne sont pas faciles à gérer pour les équipes de sécurité sans les bons outils et processus en place pour les aider à travailler efficacement. »

2024 Cyber ​​« Oops » qui ont laissé entrer les pirates

En 2024, les risques internes et les mauvaises configurations des applications ont ouvert la porte à de graves cyber-désordres. Qu’il s’agisse de fuites de données d’employés ou de configurations cloud qui ont mal tourné, ces lacunes ont permis aux pirates informatiques d’y accéder facilement. Voici un aperçu des plus grosses déceptions de l’année.

11. Faux emplois, vrais vols de données: Quatorze agents nord-coréens se sont fait passer pour des informaticiens, utilisant des identités volées et de fausses configurations pour décrocher des emplois à distance. En six ans, ils ont récolté 88 millions de dollars, volant des données sensibles et extorquant des employeurs. Dans un autre rebondissement, de faux indépendants nord-coréens ont contribué à contourner les sanctions et à divulguer des informations commerciales, prouvant à quel point les risques internes peuvent être une mine d’or pour le régime de la RPDC.

12. Erreur AWS des clients en matière de fuite de données : En décembre, des instances AWS mal configurées ont laissé exposées des données sensibles telles que les informations d’identification des clients et le code propriétaire. Les pirates ont ciblé des millions de sites publics, exfiltrant les données de milliers de configurations mal configurées. La violation a souligné le besoin critique de pratiques robustes de configuration du cloud.

Outre les principaux points d’entrée ci-dessus, l’année a également vu des pirates informatiques cibler les informations d’identification humaines et machines compromises pour des infections secondaires, conduisant à des violations telles que le piratage du code source du New York Times et l’incident d’Internet Archive.

« Les identités non humaines constituent une partie de la surface d’attaque en croissance rapide qui a retenu davantage l’attention en 2024 », a déclaré Todd Thiemann, analyste principal chez Enterprise Strategy Group. « Nos recherches dans ce domaine ont montré que même si les organisations déclarent manquer de visibilité sur leurs identités non humaines, 72 % savent ou soupçonnent que leurs comptes ou informations d’identification non humains ont été compromis.

Alors qu’en 2023 Okta et Cloudflare ont été confrontés à des incidents très médiatisés, 2024 a été marquée par des incidents liés à des compromissions d’identité non humaines comme Internet Archive et la violation de données client Sisense, a-t-il ajouté.