Alors que le démantèlement d’une partie du réseau malveillant Emotet semblait de bon augure pour le monde de la cybersécurité, son potentiel successeur, IceID, serait déjà bien installé. Un signe parmi d’autres qu’il n’y aura pas d’accalmie dans le paysage cyber en 2021 ?
L’actualité cyber pour 2021 est déjà bien riche et, après l’annonce d’un plan de relance par le gouvernement français pour protéger davantage les entreprises contre les cyberattaques, les cybercriminels sont plus que jamais sur le pont. Quelles sont les nouveautés de cette année en termes de cyber-menaces ? Quels événements informatiques majeurs ont déjà marqué le début d’année ? Quels seront les différents types de cyberattaques des mois à venir ? Petit tour d’horizon de ce que nous disent les premiers mois de 2021.
Le contexte sanitaire profite toujours au social engineering
En 2021, les cyber-attaquants surfent toujours sur la vague de la pandémie. La continuité du travail à distance, l’isolement des collaborateurs et l’actualité autour de la vaccination renforcent l’intérêt des cyber-criminels pour le social engineering. « Les escrocs utilisent le contexte sanitaire et social pour crédibiliser les e-mails qu’ils envoient tout azimut. Les outils de chiffrement sont assez classiques mais les messages sont personnalisés en utilisant les sujets de santé, les outils de connexion au télétravail ou des annonces de livraison. Ces formulations soignées permettent aux cyber-attaquants d’amplifier l’efficacité de leurs actions », indique Nicolas Arpagian, Vice-Président en charge de la Stratégie, des Affaires publiques et de la RSE d’Orange Cyberdefense. Le rapport Phishing Attack Landscape Report de 2020 explique que, l’année passée, la réussite des attaques par phishing a augmenté de 30%. Un cocktail détonnant qui semble plaire aux groupes cyber-malveillants qui capitalisent un maximum de données sur leurs cibles, pour être ensuite le plus impactant possible dans leurs attaques. La triste confirmation d’une tendance cyber, identifiée pour cette année.
Les escrocs utilisent le contexte sanitaire et social pour crédibiliser les e-mails qu’ils envoient tout azimut
Nicolas Arpagian, Vice-Président en charge de la Stratégie, des Affaires publiques et de la RSE, Orange Cyberdefense
Ainsi, les cyber-criminels passent au crible les réseaux sociaux et s’attaquent aux comptes de messagerie afin de collecter un maximum d’éléments sur leurs futures cibles. En général des collaborateurs qui ont accès aux informations sensibles. « S’introduire au sein de la messagerie d’un dirigeant par exemple, va permettre aux attaquants d’obtenir de l’information sensible sur l’entreprise mais également de réaliser des arnaques au Président ou des fraudes au virement » précise Jean-Jacques Latour, Responsable de l’expertise en cybersécurité de la plateforme Cybermalveillance.gouv.fr, et d’ajouter : « Ces arnaques sont à la dixième place – sur 45 – des menaces que l’on traite via la plateforme cybermalveillance.gouv.fr, et les conséquences de ces modes opératoires peuvent être affolantes ».
Affolantes comme pour le cabinet d’expertise comptable CDER, qui, en février dernier a été victime d’une fraude au Président. Les cyber-criminels auraient pu accéder notamment au compte de messagerie d’un dirigeant, usurpant ainsi son identité pour ordonner un virement de près de 15 millions d’euros. Opération réussie pour les cyber-attaquants qui ont saisi l’opportunité des conditions de travail inhabituelles et à distance du cabinet, pour s’engouffrer dans la brèche.
Les ransomwares au rendez-vous : la santé et les administrations particulièrement touchées
Depuis 2019, les attaques par ransomware connaissent (malheureusement) toujours un franc succès. Rien qu’en 2020, plus de 1 000 organisations ont été touchées par un ransomware en France selon Cybermalveillance.gouv.fr. « Les ransomwares ont pris tout leur essor en 2020, et les attaquants mettent une pression supplémentaire sur les organisations en touchant la corde sensible, à savoir : rendre publiques les données volées », analyse Jean-Jacques Latour.
Cette évolution dans le chantage à la donnée semble particulièrement utilisée contre le monde de la santé. Aux Etats-Unis par exemple, en février dernier des attaquants ont publié des milliers de données de patients sur le dark web. Ces données appartenaient à deux hôpitaux du pays, tous deux victimes d’un ransomware. Côté français, c’est l’entreprise de biotech Yposkesi qui aurait été victime du même mode opératoire. L’entreprise aurait été ciblée par le ransomware Babuk. Résultats : une partie du SI a été chiffrée et les données volées ont été publiées sur le dark web. Cette tendance n’a pas de frontières et de nombreux pays voient leurs systèmes de santé et leurs institutions médicales fragilisées par ces attaques. Dax, Villefranche et Oloron Sainte-Marie en France, le Newberry County Memorial Hospital et le Rehoboth McKinley Christian Health Care aux États-Unis, ou encore la clinique Urologique Munich Planegg en Allemagne font partie d’une (trop) longue liste des hôpitaux déjà victimes de ransomwares en 2021. En fin d’année dernière, par les voix du FBI et de l’Agence nationale de sécurité notamment, les États-Unis émettaient un rapport sur l’inquiétante recrudescence des attaques par ransomware contre le monde de la santé, qui aurait coûté au pays 21 milliards de dollars en 2020. En France, Cédric O, le Secrétaire d’État chargé de la Transition numérique comptait récemment les points pour l’Hexagone : « 27 attaques majeures en 2020 et une par semaine en 2021 ».
Les attaquants mettent une pression supplémentaire sur les organisations en touchant la corde sensible, à savoir : rendre publiques les données volées
Jean-Jacques Latour, Responsable de l’expertise en cybersécurité de la plateforme Cybermalveillance.gouv.fr
La question de la cybersécurité des établissements de santé est un sujet complexe, mis sur le devant de la scène par la crise sanitaire. Certains établissements souffrent d’être sous-équipés en matériel informatique, quand d’autres accusent un retard de maturité sur les questions cyber. Et face à des structures qui refusent d’obtempérer et de payer la rançon, les attaquants vont jusqu’à s’en prendre directement aux patients. Comme en Finlande, où des patients de la société Vastaamo – qui gère des centres de psychothérapie et victime d’un ransomware d’un ransomware en 2018 –, ont été menacés par les pirates deux ans après l’attaque. Car les données peuvent être multiples au sein d’un établissement hospitalier, comme l’explique Borja Perez, Country Manager chez Stormshield Iberia : « Les attaques contre le monde de la santé ont lieu également pour du vol de données : celles des patients, celles liées aux brevets, et celles relatives à la recherche scientifique ». Il y a en plus les données liées aux collaborateurs de ces établissements, les informations sur le fonctionnement des services, des données stratégiques… Autant d’éléments sensibles qui s’ajoutent à la pression subie par les hôpitaux notamment, qui se doivent de rester opérationnels en permanence, le moindre arrêt d’activité pouvant avoir des conséquences sur la santé des patients et entraîner la mise en danger de vies humaines.
Outre le monde de la santé, c’est tout le secteur public qui est en proie aux ransomwares. S’il n’y a pour l’instant pas de nouveautés notables dans les modes opératoires, l’infection ou la propagation des ransomwares, c’est la fréquence des attaques de ce type qui interpelle. En fin d’année dernière, les agglomérations de La Rochelle et d’Annecy se retrouvaient en partie paralysées par un ransomware. Même sort pour les communes de Vincennes et Alfortville, dont les attaques ont endommagé une partie des services administratifs. En ce début d’année 2021, ce sont les mairies des villes de Houilles (dont le coût vient d’être estimé à 350 000€), d’Angers ou encore de Douai qui ont été visées. Les collectivités françaises sont donc aussi victimes de cybermalveillance et n’échappent pas à la menace que représentent les ransomwares. En Espagne, le SEPE – Servicio Publico de Empleo Estatal (agence gouvernementale pour l’emploi), a tout récemment été frappé lui aussi. Les 710 antennes du SEPE ont été paralysés par le ransomware Ryuk, obligeant le personnel a « travailler avec des feuilles de papier et des stylos durant plusieurs jours », détaille Borja Perez.
Une cyber-menace qui se renforce contre les éditeurs
Pour les éditeurs de logiciels IT, une menace à la SolarWinds pèse toujours. En 2021, les attaques de type supply chain n’ont rien d’un épiphénomène, et une tendance vers la suite de SolarWinds semble tracée. Attaquer de grands éditeurs IT (comme Mimecast, Codecov ou Qualys) en exploitant des vulnérabilités grâce à des malwares de plus en plus sophistiqués, tels que Sunburst, est un mode opératoire qui a la faveur des cyber-criminels. Ces cyberattaques diffusent une insécurité en cascade et génèrent une force de frappe très grande. « Ce sont des cyberattaques avec un haut niveau de technicité qui permettent de frapper simultanément des organisations de toute taille, n’importe où dans le monde. Cela fragilise la sécurité par capillarité : les détenteurs de ces outils se trouvent de facto fragilisés et cela contribue à infecter des pans entiers de l’économie ou de l’administration », alerte Nicolas Arpagian
Ce type d’incident incite à rester humble face au risque cyber car il met concrètement en lumière le fait que personne n’est à l’abri, ni même ne doit se penser à l’abri
Pierre-Yves Hentzen, Président de Stormshield
« Dès 2020, il y avait une vraie explosion de ce type d’attaques, explique Davide Pala, Pre-Sales chez Stormshield Italy. Ce qui sous-entend que les groupes d’attaquants ont du temps, des ressources et sont bien organisés pour arriver à leurs fins ». Vraie évolution en revanche, les attaques ciblant les éditeurs de cybersécurité. En 2020, Stormshield a ainsi été victime à son tour d’une intrusion dans ses réseaux. Un incident de sécurité qui a permis un accès non-autorisé à un portail technique, utilisé notamment pour la gestion des tickets de support produits. « Ce type d’incident incite à rester humble face au risque cyber car il met concrètement en lumière le fait que personne n’est à l’abri, ni même ne doit se penser à l’abri, explique Pierre-Yves Hentzen, Président de Stormshield. Positivement, il nous a permis d’éprouver notre capacité de réaction et notre résilience, ainsi que de constater les vertus d’adopter une communication transparente – la transparence créant la confiance. Un incident de ce type, aujourd’hui résolu, rend plus fort dans beaucoup de domaines. Pour autant, je ne le souhaite à personne pour ce bénéfice. »
Mais la menace peut prendre une forme encore plus inquiétante, quand les produits de sécurité eux-mêmes sont attaqués…
Les produits de sécurité mis à mal par les attaquants
« C’est une nouvelle tendance et une évolution logique des cyberattaques : comme les solutions de sécurité ont des privilèges élevés et sont placées de manière stratégique dans les systèmes d’information, il faut les attaquer », indique Adrien Brochot, Product Manager chez Stormshield. Et d’ajouter : « le principe d’un malware est de ne pas être détecté par un système pour pouvoir se diffuser. Désactiver voire compromettre les solutions de sécurité est un bon moyen d’y parvenir ». En effet, les cyber-criminels l’ont bien compris, en mettant la main sur les produits de sécurité, ils mettent la main sur une partie des SI des organisations que ces mêmes produits protègent.
Le principe d’un malware est de ne pas être détecté par un système pour pouvoir se diffuser. Désactiver les solutions de sécurité est un bon moyen d’y parvenir
Adrien Brochot, Product Manager Stormshield
Les prémices de cette tendance sont arrivés dès 2019-2020, avec l’exemple de Mitsubishi notamment. Les attaquants avaient alors exploité une vulnérabilité présente dans une solution de l’entreprise Trend Micro, utilisée par la firme japonaise, compromettant ainsi une partie de son SI et entraînant des fuites de données appartenant à des partenaires de l’entreprise. Avec ce mode opératoire, les attaquants retournent le dispositif de protection contre une organisation et trouvent ainsi des points d’entrée. Cette tendance oblige désormais les éditeurs de cybersécurité à développer des protections encore plus robustes de leurs produits : durcissement de firmwares, solutions logicielles renforcées, alignement avec des référentiels de sécurité contraignants… « La protection renforcée des produits de sécurité est de la responsabilité des éditeurs, mais c’est un travail complexe car derrière chaque produit de sécurité, il y a une architecture complète dont il faut tenir compte », explique Adrien Brochot. Sans compter les impératifs technologiques et organisationnels associés, comme la rigueur dans la production et la revue de code pour limiter les bugs qui pourraient ensuite être exploités à des fins malveillantes ; la gestion continue des vulnérabilités et de leurs correctifs ; ou encore les audits de code réalisés par les autorités compétentes. Mais les éditeurs doivent également contrôler leur propre intégrité, leurs propres ressources, jusqu’à la robustesse de leur SI. Si les acteurs de la cybersécurité ont toujours été questionnés quant à la sécurité de leurs produits, ils devront mettre les bouchées doubles en matière de protection en 2021.
D’autant plus qu’en parallèle, une autre forme de cyber-menace émerge. Visant les éditeurs de sécurité, les sociétés de conseil ou encore les chercheurs, elle consiste ni plus ni moins à créer de fausses entreprises de cybersécurité, pour piéger des experts du secteur. Exemple récent en Corée du Nord, où un groupe d’attaquants aurait créé SecuriElite, une fausse entreprise de cybersécurité. Attaquer les éditeurs de cybersécurité serait donc une tendance naissante mais déjà polymorphe.
Portrait-robot du collaborateur cible idéal
Ce n’est pas un, mais cinq portraits-robots qu’il faut avoir à l’esprit pour 2021. Car si d’une manière générale, toute la chaîne d’une organisation peut présenter des vulnérabilités techniques ou fonctionnelles, certains profils de collaborateurs méritent néanmoins une attention particulière.
En droite ligne avec la tendance des attaques contre les éditeurs de cybersécurité, les populations techniques – spécialistes cyber, développeurs, chercheurs en cybersécurité – sont à risque et particulièrement exposées au social engineering sur les réseaux sociaux ou à l’usurpation d’identité. Pour les attaquants, il s’agit de pouvoir soutirer des informations techniques clés pour ensuite attaquer les produits de sécurité. Toujours dans la même lignée, les prestataires, de par la variété de leurs clients finaux, sont aussi un élément clé et ne peuvent plus être ignorés dans la réflexion de la sécurisation des entreprises pour lutter, entre autres, contre les attaques de type supply chain. Les populations IT et les responsables informatiques sont également une cible de choix puisqu’ils opèrent ou administrent les infrastructures et disposent souvent de privilèges élevés sur les SI des organisations.
Mais le risque pour une entreprise, se trouve aussi du côté des chiffres, par le biais des collaborateurs en charge de la validation ou de l’exécution des mouvements financiers au sein d’une organisation, ou par les populations qui disposent de privilèges élevés sur les décisions financières. Ces collaborateurs sont plus susceptibles que d’autres d’être la cible d’arnaques au Président ou de fraudes au virement. « L’expérience montre que le cyber-criminel vise les fonctions financières, comptables ou commerciales pour leur faire croire qu’il s’agit de transactions légitimes », précise Nicolas Arpagian. Enfin, les dirigeants d’entreprise sont des collaborateurs à risque. Pour Jean-Jacques Latour, « les dirigeants manipulent des informations hautement stratégiques, mais tous ne s’appliquent pas forcément le même niveau de sécurité que celui appliqué à leur propre entreprise », de quoi en intéresser plus d’un.
Rien ne semble indiquer que les menaces cyber se calmeraient en 2021, posant la question des tendances cybersécurité pour 2022. La profitabilité des attaques et l’intensification des usages prolongés des outils numériques sont autant de bonnes raisons pour les attaquants de poursuivre leur entreprise. Et s’il est très difficile de se mettre dans l’esprit des cyber-criminels, il est au moins possible de prédire deux choses : ils continueront d’être créatifs et de surprendre pas leur inventivité, et les organisations devront continuer de renforcer leur hygiène numérique et leur cybersécurité.