2 Jan, 2018

Warnings du MIT : Six Cyber Threats to Really Worry About in 2018

More huge data breaches

The cyberattack on the Equifax credit reporting agency in 2017, which led to the theft of Social Security numbers, birth dates, and other data on almost half the U.S. population, was a stark reminder that hackers are thinking big when it comes to targets. Other companies that hold lots of sensitive information will be in their sights in 2018. Marc Goodman, a security expert and the author of Future Crimes, thinks data brokers who hold information about things such as people’s personal Web browsing habits will be especially popular targets. “These companies are unregulated, and when one leaks, all hell will break loose,” he says.

Ransomware in the cloud

The past 12 months have seen a plague of ransomware attacks, with targets including Britain’s National Health Service, San Francisco’s light-rail network, and big companies such as FedEx. Ransomware is a relatively simple form of malware that breaches defenses and locks down computer files using strong encryption. Hackers then demand money in exchange for digital keys to unlock the data. Victims will often pay, especially if the material encrypted hasn’t been backed up.

Related Story

Hacking Back Makes a Comeback—But It’s Still a Really Bad Idea

Some politicians want to make it legal for individuals and companies in America to pursue digital assailants.

That’s made ransomware popular with criminal hackers, who often demand payment in hard-to-trace cryptocurrencies. Some particularly vicious strains, such as WannaCry, have compromised hundreds of thousands of computers (see “The WannaCry Ransomware Attack Could’ve Been a Lot Worse”). One big target in 2018 will be cloud computing businesses, which house mountains of data for companies. Some also run consumer services such as e-mail and photo libraries. The biggest cloud operators, like Google, Amazon, and IBM, have hired some of the brightest minds in digital security, so they won’t be easy to crack. But smaller companies are likely to be more vulnerable, and even a modest breach could lead to a big payday for the hackers involved.

The weaponization of AI

This year will see the emergence of an AI-driven arms race. Security firms and researchers have been using machine-learning models, neural networks, and other AI technologies for a while to better anticipate attacks, and to spot ones already under way. It’s highly likely that hackers are adopting the same technology to strike back. “AI unfortunately gives attackers the tools to get a much greater return on their investment,” explains Steve Grobman, chief technology officer at McAfee.

Recommended for You
  1. 18 Exponential Changes We Can Expect in the Year Ahead
  2. The Biggest Technology Failures of 2017
  3. 23andMe Launches Giant Weight-Loss Study
  4. Best Online Classes for Job Skills
  5. While U.S. Workers Fear Automation, Swedish Employees Welcome It

An example is spear phishing, which uses carefully targeted digital messages to trick people into installing malware or sharing sensitive data. Machine-learning models can now match humans at the art of crafting convincing fake messages, and they can churn out far more of them without tiring. Hackers will take advantage of this to drive more phishing attacks. They’re also likely to use AI to help design malware that’s even better at fooling “sandboxes,” or security programs that try to spot rogue code before it is deployed in companies’ systems.

Cyber-physical attacks

More hacks targeting electrical grids, transportation systems, and other parts of countries’ critical infrastructure are going to take place in 2018. Some will be designed to cause immediate disruption (see “A Hack Used to Plunge Ukraine into Darkness Could Still Do Far More Damage”), while others will involve ransomware that hijacks vital systems and threatens to wreak havoc unless owners pay swiftly to regain control of them. During the year, researchers—and hackers—are likely to uncover more chinks in the defenses of older planes, trains, ships, and other modes of transport that could leave them vulnerable.

Mining cryptocurrencies

Hackers, including some allegedly from North Korea, have been targeting holders of Bitcoin and other digital currencies. But the theft of cryptocurrency isn’t the biggest threat to worry about in 2018; instead, it’s the theft of computer processing power. Mining cryptocurrencies requires vast amounts of computing capacity to solve complex mathematical problems. As my colleague Mike Orcutt has noted, that’s encouraging hackers to compromise millions of computers in order to use them for such work (see “Hijacking Computers to Mine Cryptocurrency Is All the Rage”). Recent cases have ranged from the hacking of public Wi-Fi in a Starbucks in Argentina to a significant attack on computers at a Russian oil pipeline company. As currency mining grows, so will hackers’ temptation to breach many more computer networks. If they target hospital chains, airports, and other sensitive locations, the potential for collateral damage is deeply worrying.

Hacking elections (again!)

Fake news isn’t the only threat facing any country running an election. There’s also the risk of cyberattacks on the voting process itself. It’s now clear that Russian hackers targeted voting systems in numerous American states ahead of the 2016 presidential election (see “Latest NSA Leak Reveals Exactly the Kind of Cyberattack Experts Had Warned About”). With midterm elections looming in the U.S. in November, officials have been working hard to plug vulnerabilities. But determined attackers still have plenty of potential targets, from electronic voter rolls to voting machines and the software that’s used to collate and audit results.

As these and other risks grow in 2018, so will the penalties for companies that fail to address them effectively. On May 25, the General Data Protection Regulation will come into effect in Europe. The first big overhaul of the region’s data protection rules in more than two decades, the GDPR will require companies to report data breaches to regulators—and inform customers their data has been stolen—within 72 hours of discovering a breach. Failure to comply could lead to fines of up to 20 million euros or 4 percent of a company’s global revenues, whichever is greater.

The recent revelation that Uber covered up a big cyberattack last year has sparked calls for breach disclosure rules to be toughened in America too. All this means that lawyers as well as hackers will have a very busy 2018.

2 Jan, 2018

Apple et les crises … et face au bashing constant

Des crises, Apple en a affronté des centaines. Entre des explosions de batterie, des poursuites en justice pour violation de brevets technologiques, des mises en cause d’ONG sur le travail des enfants chez certains de ses fournisseurs asiatiques ou encore ses pratiques borderline d’optimisation fiscale (et la liste est loin d’être close), la vie de l’iconique pomme n’a rien d’un long fleuve tranquille. Longtemps immunisé par la figure mythique de Steve Jobs, son innovation produit disruptive et sa communauté d’Applemaniacs, Cupertino s’est toujours contenté de faire le service minimum et formaté en matière de communication envers ses parties prenantes. A la différence près qu’être une marque qualifiée de « love brand » ne dispense pas d’être scrutée en permanence et avec des impacts potentiellement grandissants depuis que les produits Apple sont quelque peu rentrés dans le rang en termes d’innovation technologique (pas les prix en revanche !). L’affaire des iPhone 6 et 7 ralentis vient démontrer qu’il va falloir sérieusement dépoussiérer cette culture du revers de main et du communiqué corporate qui frôle la caricature. Lire la suite dans le blog du communicant

21 Déc, 2017

Lactalis, épisode 4 : Les commentaires sur la communication trop pauvre mais rien sur le fond du dossier

L’affaire des laits infantiles contaminés par la salmonelle dure depuis trois semaines. Un feuilleton où le principal concerné, Lactalis, réagit très peu. Méthode désuète et contre-productive, selon un communicant spécialisé dans les périodes de crise. Des promesses d’analyse, un communiqué d’excuses pour les parents dont les enfants auraient été contaminés, et c’est presque tout. Le géant laitier mayennais a très peu communiqué sur l’affaire des laits infantiles contaminés par la salmonelle depuis trois semaines déjà. Une habitude pour le groupe qui se veut très discret. Et un sacré paradoxe quand on sait que Lactalis possède de nombreuses marques connues par les Français : Lactel, Société, Salakis ou encore Galbani. La suite

20 Déc, 2017

Communication du risque : Exposition des femmes enceintes aux contaminants

Le monde- Les femmes enceintes françaises surexposées à l’arsenic et au mercure – Le pictogramme qui préconise aux femmes de ne pas boire la moindre goutte d’alcool pendant la grossesse, même pendant les fêtes, doit-il également être accolé sur les bourriches d’huîtres ou les plateaux de saumon et de fruits de mer ? On savait déjà que ces mets, consommés crus, étaient déconseillés en raison des risques de listériose. Une étude inédite publiée mardi 19 décembre par Santé publique France (ex-Institut de veille sanitaire), quelques jours avant les agapes de fin d’année, montre que les femmes enceintes françaises sont surexposées à l’arsenic et au mercure, et que cette « surimprégnation » (par rapport notamment aux Américaines et aux Canadiennes) « trouverait une explication dans la consommation plus élevée de produits de la mer ».

Ces résultats préoccupants sont issus du volet périnatal du programme national de biosurveillance que les ministères de la santé et de l’environnement ont demandé à Santé publique France de mettre en œuvre, considérant que « la connaissance des niveaux d’exposition des femmes enceintes [aux polluants de l’environnement] et le mode d’imprégnation sont des enjeux majeurs de santé publique ». L’exposition prénatale à ces polluants est soupçonnée d’avoir des répercussions sur la grossesse (prématurité, malformations congénitales, petit poids à la naissance) et sur le développement et la santé de l’enfant (atteintes du système reproducteur, du métabolisme, du développement psychomoteur et intellectuel ou augmentation du risque de cancer).

Cobalt et plomb

L’étude a été conduite sur un échantillon représentatif de 4 145 femmes ayant accouché en 2011 en France continentale (hors Corse) à partir de prélèvements recueillis au moment de l’accouchement : sang de cordon, urines, cheveux et sérum. Une première salve de résultats, publiée en décembre 2016, a déjà montré la présence de polluants organiques (bisphénol A, phtalates, pesticides, PCB ou composés perfluorés) La suite

19 Déc, 2017

Construction de l’information : Open data et machine à construire de fausses informations

Le Monde – 3000 news, c’est l’échantillon analysé par le journal du Monde qui ne dévoile qu’un fragment du phénomène. Il montre néanmoins à quel point le réseau social est vulnérable face à des procédés bien huilés.
18 Déc, 2017

Lactalis , épisode 3 : « On empoisonne nos enfants »

Alors même que les autorités sanitaires parlaient sur les media nationaux le 11 décembre. Ce matin, il semble qu’elles n’aient pas été entendues. Europe 1 – Quentin Guillemain, père d’un bébé qui a consommé du lait Lactalis concerné par le retrait du marché en raison d’un risque de contamination par des salmonelles, a déploré lundi sur Europe 1 le manque de communication et l’inaction de l’État. Il va porter plainte lundi. La suite

Les victimes pensent ne pas avoir considérés. La justice est saisie.

17 Déc, 2017

Cyber-menaces & Réputation

Le Blog du communicant – La moitié de la planète est dorénavant connectée sur le Web social et que nombre d’industries reposent sur les réseaux de télécommunications dématérialisés, le cyberespace est devenu au fil des ans un terrain de d’opération additionnelle pour la plupart des acteurs politiques, économiques, sociaux mais aussi activistes, hackers, truands digitaux et autres charmants profils. Un à un, les paradigmes communicants des marques et des entreprises s’effritent devant cette porosité croissante induite par la connectivité générale et son corollaire, la « dictature de la transparence » selon les termes mêmes du général de brigade Serge Maurice qui commande depuis juillet 2016, le COMSIC basé près de Rennes, une unité de commandement des systèmes et d’informations et de communication (Comsic) de l’Armée de terre.

Le cyberespace, c’est d’abord un état d’esprit particulier

La mise en réseaux constante des internautes à travers le Web, les médias sociaux, les objets connectés (mais aussi le Dark Web et autres zones moins connues) coïncide avec une tendance sociétale, notamment dans les pays occidentaux, où la désagrégation de la confiance entre les autorités traditionnelles et les citoyens ne cesse de se creuser. Depuis des années, le Blog du Communicant en fait d’ailleurs régulièrement état, grâce en particulier au remarquable outil qu’est l’Edelman Trust Barometer qui en est à sa (bientôt) 18ème édition. Or, la rencontre de cette confiance toujours plus ébréchée et cette capacité technologique toujours plus amplifiée à diffuser (ou s’emparer) des données (vraies ou fausses selon l’objectif) a largement modifié les rapports de force entre d’un côté, les institutions, les entreprises, les experts, les médias classiques et de l’autre, de nouveaux agents propagateurs aux visages divers mais bénéficiant d’un regain de confiance supérieur de la part des internautes. Ainsi, fera-t-on plus facilement crédit aux commentaires de Trip Advisor qu’aux critiques de revues spécialisées dans le tourisme ou la gastronomie.

Le bouche-à-oreille d’un quidam multiplié par 100 parvient désormais à être plus impactant que l’avis d’un rapport d’experts. Injuste ou pas, tel est le schéma asymétrique qui s’est immiscé un peu partout. Sans parler en parallèle des croyances ragaillardies par les conspirationnistes et les tenants des théories du complot où l’axiome majeur repose automatiquement sur le concept de « la vérité est ailleurs ». Un des premiers acteurs à avoir parfaitement saisi l’opportunité de ce clivage dans les perceptions du grand public à l’égard des dirigeants est WikiLeaks (relire l’article du blog paru à ce sujet en 2010). Ce regroupement clair-obscur d’activistes, d’as patentés de la technologie s’est fait une spécialité d’aller piocher des infos confidentielles au sein de banques, d’entreprises d’armées ou de partis politiques. Une fois les données sensibles recueillies, elles sont disséminées et deviennent une redoutable arme de guerre réputationnelle. De même, les Paradise Papers, les Lux Leaks et autres fuites massives d’infos secrètes n’auraient pas pu connaître autant d’ampleur sans le concours de la connectivité digitale et des orfèvres en piratage informatique et en cryptologie. Et à ceux qui pensent encore pouvoir passer à travers les mailles de cette philosophie activiste particulière, le général Maurice cite l’exemple du géant du BTP Vinci. Mis en cause par des ONG liées à des activistes pour son non-respect des Droits de l’homme sur les chantiers de la Coupe du Monde de football 2022 au Qatar, de faux communiqués de presse associés à un faux site Vinci.fr ont été massivement expédiés aux agences de presse. Reuters est tombé dans le panneau et a publié une dépêche. Le cours de l’action Vinci a aussitôt chuté de 14% et mettra ensuite deux semaines à revenir à son niveau antérieur malgré des démentis rapides.

Des réseaux et des failles

Aux yeux du militaire largement rompu aux conflits numériques que le Comsic surveille au grain, trop nombreuses sont encore les organisations à disposer d’une culture Web déficiente. Ce qui les conduit bien souvent à minorer les risques, sous-investir en ressources humaines, techniques et budgétaires … jusqu’au jour où la catastrophe survient. Souvenez-vous du piratage gigantesque de Yahoo il y a quelques années ! Acteur pourtant placé mieux que quiconque pour embrasser cette dimension, le pionnier du Web s’est proprement fait dévaliser ses données avant de l’admettre piteusement des années plus tard et de finalement disparaître de la scène industrielle, la marque étant tellement discréditée (même si d’autres critères expliquent aussi la chute de Yahoo).

Ceci d’autant plus que les cybermenaces se sophistiquent à mesure que le Web et ses usages grandissent. Au début des années 2000, les piratages de jeux et les virus malveillants dans les fichiers informatiques et les messageries électroniques étaient légion et avaient l’art de paralyser un temps le réseau d’une entreprise. En 2007, c’est carrément à des représailles digitales que l’Estonie, pays ultra-connecté, a dû faire face pour avoir osé déboulonner des symboles de l’ancienne puissance coloniale soviétique. En 2014, le général Maurice évoque la campagne de Crimée où les systèmes de guidage des missiles ukrainiens avaient été piratés par leurs adversaires et possédaient du coup une balistique défaillante ! L’année suivante, ce sont des sites et des pages Facebook de l’OSCE qui ont été défacées avec de fausses informations. Plus les réseaux se parlent, plus les failles potentielles se multiplient. N’importe qui peut en subir les frais techniques mais aussi réputationnels. Imaginez par exemple une poupée connectée (objet en vogue au pied des sapins de Noël) qui est hackée par un petit malin qui lui fait alors tenir des propos scabreux et choquants pour l’enfant et déclenche ainsi une crise à la clé pour le fabricant du jouet.

Réel et virtuel sont à appréhender comme un tout.

Directeur d’Aeneas Conseil et Sécurité, Serge Lopoukhine est familier de l’intelligence économique. Avec l’avènement des technologies numériques, il est au premier rang pour constater que le risque n’est plus un épiphénomène médiatique ou réservé à une catégorie d’acteurs comme l’armement, l’espionnage et autres secteurs discrets. Pour 2016, il mentionne le chiffre de 4500 attaques cyber en France soit une moyenne de 2,2 par jour. Certaines sont vite repérées et jugulées mais d’autres peuvent avoir une onde tellurique puissante tant les outils à disposition relèvent désormais de l’inventaire à la Prévert (bien que les petits noms n’aient rien de francophones !) : botnets, malwares, ransomwares, vers, spywares, sockpuppets, DDOS, astroturfing et la liste est loin d’être close.

Mais la technologie n’est souvent que le marteau guidé par des mains plus ou moins malveillantes et ciblées. Des mains qui tapent de moins en moins au hasard et avec le concours de relais structurés cette fois bien humains pour mener l’attaque en règle. En 2016, l’hébergeur Web français OVH avait ainsi subi la plus grave attaque de déni de service jamais enregistrée pour faire tomber ses infrastructures et par ricochets provoquer nombre d’impacts pour les clients sous contrat avec OVH.

Pour les deux experts de la conférence, il ne s’agit pas de céder à la psychose mais plus clairement d’intégrer une anticipation plus poussée des risques de ce type qui dépassent le simple cadre du câble informatique débranché. Cela passe notamment par des approches directement inspirées des univers militaires qui ont l’habitude d’évoluer sur des terrains de bataille virtuels mais aux effets bien réels. A cet égard, le général Maurice souligne l’objectif de l’Armée de Terre : disposer de 2600 combattants en 2019, 600 experts à la Direction Générale de l’Armée et 4400 réservistes spécialisés pouvant renforcer si besoin. Les entreprises n’ont certes pas forcément besoin de lever en masse de telles armées mais elles doivent se poser des questions essentielles pour Serge Lopoukhine comme déterminer et veiller en permanence sur son écosystème pour savoir qui peut nuire, sur quels motifs potentiels et quels sont les points critiques de l’entreprise. Car, aussi étonnant que cela puisse paraître dans ce pugilat numérique, la première clé d’entrée est souvent … un humain ! Que ce soit par erreur, esprit de vengeance, convictions personnelles atteintes par l’entreprise, appât du gain, les raisons peuvent être variées. Cependant, quelles qu’elles soient, l’impact réputationnel peut lui se doubler d’une facture douloureuse et parfois létale. Et les communicants font dorénavant partie intégrante de ces enjeux à relever.