Le crime informatique à l'échelle industrielle : Cloudflare met en garde contre les intégrations IA et SaaS

Introduction

Cloudflare a publié un rapport mettant en garde contre l'ampleur industrielle du crime informatique, qui profite de l'ouverture d'Internet et des plateformes cloud et SaaS pour agir plus rapidement et efficacement que jamais.

Contexte Technique

Le rapport de Cloudflare s'appuie sur des données issues d'un réseau qui traite plus de 20 % du trafic Internet mondial et bloque plus de 234 milliards de menaces par jour. Les attaquants utilisent désormais l'intelligence artificielle (IA) pour naviguer dans les plateformes d'entreprise complexes en temps réel et compromettent les connexions SaaS-to-SaaS pour accéder à des environnements de production.

Les modèles de langage large sont utilisés pour générer des appâts de phishing à grande échelle, combler les lacunes de connaissances dans les logiciels d'entreprise spécialisés et accélérer le développement d'exploits. Les attaques par déni de service distribué (DDoS) sont devenues plus importantes et plus rapides, avec des assauts hypervolumétriques atteignant une base de 31,4 térabits par seconde et culminant en quelques secondes.

Analyse et Implications

Le rapport souligne que les attaques de phishing basées sur les liens représentent la plus grande part des détections dans les données de Cloudflare, et que près de la moitié des emails analysés ont échoué à la validation DMARC, exposant un problème d'authentification persistant. Les opérations de phishing-as-a-service industrialisées profitent de cette faiblesse en offrant des infrastructures clés en main qui peuvent contourner l'authentification multifacteur en récoltant des jetons de session en cours d'exécution au lieu de mots de passe statiques.

Les acteurs étatiques, tels que les groupes liés à la Chine, ciblent les télécommunications, les services gouvernementaux et les services d'information nord-américains pour une pré-positionnement à long terme dans les infrastructures critiques. Les opérateurs nord-coréens ont industrialisé les schémas de travailleurs IT à distance en utilisant des deepfakes et des fermes de laptops basées aux États-Unis pour canaliser les revenus vers le régime.

Perspective

Pour lutter contre ce changement, les défenseurs doivent passer à une résilience système automatisée pour suivre le rythme. Les organisations doivent pivoter d'une défense réactive, centrée sur l'infrastructure, vers un modèle de résilience proactif, centré sur l'identité. Les recommandations du rapport incluent une application plus stricte des normes d'authentification des emails, des contrôles plus serrés autour des intégrations SaaS-to-SaaS et des clés d'API surprivilegiées, ainsi que l'utilisation étendue des principes de confiance zéro, y compris la vérification biométrique et la géoclausure pour les outils d'accès à distance.