Passer au contenu

Wi-Fi, données personnelles, chiffrement… ce qu’il faut craindre et espérer pour 2019

De nouvelles techniques de protections fondamentales, comme le WPA3 ou l’authentification FIDO2, permettront de sécuriser davantage nos réseaux et nos services. Mais elles ne pèseront pas lourd face aux faiblesses de l’internet des objets et les fuites de données personnelles.

L’année passée a été riche sur le plan de la cybersécurité et l’année 2019 ne devrait pas être moins bien lotie. Voici ce à quoi elle devrait ressembler.     

Vos données bancaires seront en ligne de mire

Au niveau des malwares, on pensait que le ransomware allait tout éclipser en 2018. Finalement non. Les pirates ont délaissé le chantage pour le minage de moneros dans le navigateur, en hackant des serveurs web. Certes, le « cryptojacking » est une technique de gagne-petit (5 euros par jour et par site compromis en moyenne à mi-2018 selon une récente étude), mais elle est facile à mettre en place et très peu risquée. Mais la fête est finie, car le cours du monero s’est écroulé. Depuis, le ransomware reprend quelques couleurs. La récente épidémie GandCrab montre une nette professionnalisation de ce milieu, avec à la clé des techniques d’automatisation et une distribution indirecte. Les pirates chercheront à cibler en priorité les professionnels et les entreprises. Côté grand public, les experts d’Avast estiment que l’année 2019 marquera le grand retour des chevaux de Troie bancaires, en particulier sur les terminaux mobiles, histoire de contourner l’authentification forte par SMS.    

Les réseaux sans fil seront enfin plus sécurisés

Présenté en juin 2018, le nouveau standard de chiffrement WPA3 commencera à se diffuser cette année sur le marché. Grâce à lui, le Wi-Fi domestique sera enfin mieux sécurisé, car les pirates ne pourront plus intercepter les empreintes du mot de passe pour faire des attaques par force brute. Le standard permettra également de blinder les hot-spots publics grâce au mode de connexion « Enhanced Open ». Ce qui devrait donc réduire le risque de se faire pirater dans un café ou à l’aéroport. Malheureusement, le passage au WPA3 ne peut pas se faire par une simple mise à jour logicielle. Pour en profiter, il faudra donc avoir du matériel neuf. Bref, cette transition s’étalera sur plusieurs années.   

Les objets connectés vont empoisonner notre vie numérique

Les craintes que l’on avait à propos des objets connectés ne cessent de se vérifier. En attaquant de manière massive les imprimantes et les Chromecast, les fans du Youtuber PewDiePie ont donné une preuve supplémentaire sur la faiblesse inhérente de l’internet des objets. Pour 2019, les experts d’Avast prévoient davantage d’attaques sur les modem-routeurs, qui sont le centre névralgique du réseau domestique et le tremplin idéal pour toute une série d’attaques. De leur côté, les experts d’Eset s’inquiètent de la mauvaise qualité de code des objets connectés, ce qui a pour effet de multiplier les brèches potentielles dans le foyer. En particulier, l’intégration massive des assistants vocaux dans une multitude d’objets crée un tout nouveau vecteur d’attaque dont la gravité n’a pas encore été vraiment explorée. Sans parler des risques de fuites de données personnelles. Car rappelons-le : l’assistant intelligent, c’est aussi un parfait espion qui s’installe chez vous. 

Une alternative au mot de passe voit le jour

Yubico – Nouvelle gamme de clés Yubikey compatible FIDO2

Utiliser son ordinateur et naviguer sur le web sans rentrer aucun mot de passe, c’est la promesse du standard FIDO2/WebAuthn qui a été finalisé l’année dernière. En 2019, les premiers utilisateurs devraient enfin pouvoir goûter à ce plaisir. Cette technologie est en train d’arriver dans tous les navigateurs, y compris Safari. En septembre, Yubikey a mis à jour sa gamme de clés de sécurité. Fin novembre, Microsoft a annoncé le support de ce standard pour l’ensemble de ses services en ligne. D’autres fournisseurs de service devraient suivre bientôt. Mais ne soyons pas trop optimistes. Pour le chercheur en sécurité Troy Hunt, le bon vieux mot de passe a encore un bel avenir devant lui, car cette technologie a l’avantage d’être très simple à mettre en place et à utiliser.    

Meltdown et Spectre continueront de nous hanter

Les failles de processeurs Meltdown et Spectre avaient inauguré l’année 2018 et révélé tout un aspect néfaste de l’industrie des semi-conducteurs. La course effrénée à la performance a généré des failles qu’il est difficile à colmater aujourd’hui. Un an plus tard, la situation n’a pas vraiment bougé. Certes, des patchs ont été publiés, mais de nouvelles variantes ont également été trouvées tout au long de l’année. Certains patchs ont par ailleurs été retirés, car leurs impacts sur les performances de calcul étaient trop négatifs. Des chercheurs en sécurité ont récemment fait un état des lieux avec, à la clé, une classification systématique des failles. Ils ont réussi à aligner une vingtaine d’attaques dont sept n’ont jamais été détectés auparavant. Même AMD, qui se croyait à l’abri, est désormais impacté. En 2019, les failles de processeurs vont faire l’effet d’une bombe à fragmentation.   

Les données personnelles resteront au centre de tous les débats

CNIL – Visualisation graphique de la loi RGPD

L’année 2018 a été particulièrement riche sur le plan des données personnelles. Facebook s’est retrouvé au centre de plusieurs scandales, dont celui de Cambridge Analytica, ce qui a valu à Mark Zuckerberg des auditions tendues devant le Congrès américain et le Parlement européen. Parallèlement, l’Europe a marqué les esprits avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD). Les premières grandes batailles juridiques en la matière devraient se jouer en 2019, renforçant au passage la prise de conscience du grand public. En Californie, une loi similaire au RGPD devrait entrer en vigueur avant la fin de l’année, ce qui devrait faire avancer le schmilblick. Malheureusement, les vols de données personnelles resteront toujours d’actualité, comme l’a montré très récemment la publication massive de données d’un millier de personnalités allemandes.    

La guerre du chiffrement s’intensifiera

Depuis quelques années, les forces de l’ordre cherchent un moyen pour contourner les procédés de chiffrement de bout en bout qui se multiplient dans les produits et services informatiques. Mais les fournisseurs, les experts en sécurité et les défenseurs des droits citoyens font preuve d’une farouche résistance. En 2018, les policiers ont gagné une importante bataille dans cette guerre du chiffrement, avec le vote d’une nouvelle loi en Australie. Baptisée « Assistance and Access Act », elle permet de forcer les opérateurs et les éditeurs de messagerie électronique de donner, si possible, accès aux données chiffrées. Par exemple en piégeant l’interface utilisateur ou en ajoutant des membres fantômes. Le Royaume-Uni dispose d’une loi similaire depuis 2016. D’autres pays anglo-saxons pourraient embrayer le pas en 2019. Pourquoi ? Parce que cette stratégie de contournement cryptographique a été élaborée dans le cadre des « Five Eyes », cette alliance de cybersurveillance planétaire qui regroupe les Etats-Unis, le Royaume-Uni, l’Australie, la Nouvelle-Zélande et le Canada. Et les alliés de ces pays, comme la France et l’Allemagne, vont également vouloir s’en inspirer. La protection de la vie privée et les droits citoyens risquent d’en prendre un sacré coup.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN