Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Panorama de la Cybercriminalité du CLUSIF : 2018, une année particulièrement prolifique pour l’écosystème cybercriminel

janvier 2019 par Emmanuelle Lamandé

L’année 2018 a été particulièrement prolifique pour l’écosystème cybercriminel, qui se veut toujours plus ingénieux et de plus en plus dur « en affaires » ! En tête d’affiche : des fuites de données à répétition, un énorme scandale Facebook/Cambridge Analytica, et des attaques ciblant tous les cœurs de métiers, y compris les plus sensibles… Retour sur les événements marquants de cette année 2018 à l’occasion du Panorama de la Cybercriminalité du CLUSIF.

L’année des fuites à répétition…

Bien que faisant la Une depuis déjà quelques années, les fuites de données auront été particulièrement florissantes en 2018, souligne Nicolas Levain, Emagine. Et la mise en application du RGPD en mai dernier n’aura fait que renforcer la résonance de leurs annonces. Parmi elles, on se souviendra notamment de celles ayant touché T-Mobile, British Airways, Google+, Facebook, Mariott, Quora ou encore Myfitnesspal. Bien que toutes ces fuites de données ne se valent pas en termes d’ampleur, d’exposition ou d’objectif (atteintes aux données d’authentification, de paiement ou encore personnelles…), ce sont autant d’informations évaporées dans la nature, ou pire, exploitées par des acteurs peu scrupuleux. Ces fuites peuvent de plus s’avérer lourdes de conséquences (perte de vie privée, accès aux systèmes d’authentification, fraudes bancaires…).

2018 : annus horribilis pour les réseaux sociaux

Les réseaux sociaux sont d’ailleurs souvent au cœur de ces fuites de données. Et il ne faut pas s’en étonner ! Les données qui transitent sur ces réseaux sont nombreuses, les risques d’attaques élevés, la confidentialité de ces données très difficile à assurer, ce qui ne facilite pas la surveillance de ces réseaux.
Facebook comptait en 2018 environ 2,27 milliards d’utilisateurs disposant de comptes actifs, constate Olivier Herisson, ON-X. Suite aux rachats d’Instagram et de WhatsApp par Facebook, et au recoupement d’informations sur ces réseaux tentaculaires, ce nombre s’élèverait même désormais à 6 milliards de comptes actifs. Encore pire : Facebook exploite également les données d’utilisateurs n’ayant pas de comptes. C’est ce que l’on appelle le « shadow profils ». En effet, si un « ami » partage par exemple son carnet d’adresses avec le réseau social, l’ensemble des données des contacts en question seront alors utilisées, compte Facebook ou pas… Autre problème majeur sur ce type de réseaux : une fois les données publiées, impossible de les supprimer.
Le scandale Cambridge Analytica survenu en 2018 a certes fait chuter les actions du réseau social, mais les conséquences sont bien maigres au vu des dommages occasionnés. Et bien que cette société partenaire ait de son côté déposé le bilan, ce ne fut que pour mieux renaître de ses cendres quelques mois plus tard sous les noms de deux nouvelles entités : Emerdata et Data Propria.
Toutes les données communiquées ou collectées deviennent des vecteurs d’influences (publicitaires, électoraux, etc.) avec parfois des conséquences lourdes… Outre les atteintes aux données de ses utilisateurs et au-delà, Facebook serait d’ailleurs mis en cause dans le génocide de 650 000 Rohingyas, une minorité birmane, dans la mesure où il sert de vecteur de propagande à la haine raciale.
Facebook a admis ne pas en avoir fait assez pour protéger la sécurité et la vie privée des utilisateurs. Au final, on recense bon nombre d’excuses et des sanctions de plus en plus nombreuses, même si elles ne sont pas encore liées à la mise en application du RGPD. Mais Facebook a à chaque fois fait appel et n’a toujours rien payé à l’heure actuelle.

Il n’y a toutefois pas que Facebook en cause et d’autres réseaux sociaux ont été affectés en 2018. On peut notamment citer la faille Google +, un service qui sera d’ailleurs amené à fermer cette année.

Malgré tous ces scandales, l’impact reste en demi-teinte quant à l’utilisation faite de ces réseaux. Facebook a perdu plusieurs millions d’utilisateurs en Europe. Mais d’autres réseaux similaires sont désormais tout autant utilisés, comme Snapchat.

Des attaques au cœur des métiers

Cependant, les fuites de données et les attaques ne se cantonnent pas uniquement aux réseaux sociaux et touchent également toutes les entreprises, quel que soit leur domaine d’activité. Même les secteurs les plus sensibles ne sont pas épargnés, comme nous allons le voir dans les milieux maritime, aérien ou de santé.

Les cibles sont diverses pour les pirates dans le secteur maritime, et les impacts d’attaques aussi (économique, écologique, humain…), souligne Christophe Thomas, Aturys. En plus de leur aspect sensible, les systèmes maritimes sont complexes, alliant des composants du domaine industriel, du transport et grand public, et comportent de nombreux éléments désormais interconnectés entre eux. Outre la gestion de l’équipage et des machines, un navire doit aussi gérer ses propres systèmes de production électrique, de propulsion, de navigation (ECDIS, GPS), de communication (SATCOM, GSM 3/4G, Wi-Fi…), de sécurité (CCTV, Radar…), et leurs vulnérabilités. Toutefois, bien qu’un navire soit avant tout un SI livré à lui-même en mer, il n’en est pas pour autant isolé de l’Internet et déconnecté des réseaux, y compris de ceux des « pirates ». Les vulnérabilités SATCOM peuvent ainsi permettre par exemple aux attaquants de prendre le contrôle du terminal et, via un déplacement latéral, de compromettre la cartographie ou le pilote automatique du navire. Certains systèmes de gestion des moteurs (Cummins, Caterpillar, Yanmar, Scania) seraient également vulnérables, offrant une prise de contrôle de la propulsion relativement simple. Les ports non plus ne sont pas en reste. Trois d’entre eux ont été victimes d’attaques informatiques en 2018 : Long Beach Port (Chine), Barcelone (Espagne) et San Diego (USA).

Le monde aérien non plus n’est pas épargné par les vulnérabilités et risques d’attaques, explique Vincent Mignon, ADP, sans compter l’omniprésence des usagers et la concurrence des compagnies aériennes qui rendent la sécurité de cet écosystème encore plus complexe. L’attaque de British Airways a une nouvelle fois mis en avant les problèmes liés à la faiblesse des politiques de mots de passe.
Les compagnies aériennes ne sont pas seulement attaquées sur leurs infrastructures, et les dommages peuvent aussi parfois être collatéraux. En début d’année, l’attaque dont a été victime la ville d’Atlanta a contraint l’aéroport, qui n’était pourtant pas ciblé, a fonctionné sans Wifi pendant une dizaine de jours. L’aéroport de Bristol a dû de son côté faire face à des problèmes de panneaux d’affichage. Tous les scénarios sont donc possibles. La compromission de plusieurs aéronefs a quant à elle été démontrée lors de la conférence Black Hat. Que faire pour augmenter la cyber-résilience du secteur ? La création du CCTA rassemble aujourd’hui l’ensemble des professionnels du secteur autour de ces problématiques, et ce n’est pas la seule initiative.

Dans le domaine de la santé, les cyberattaques ciblent directement l’humain, et le monde virtuel rejoint tristement le monde réel, constate Erwan Brouder, BSSI. Comme dans les autres secteurs, le monde médical est aujourd’hui de plus en plus connecté, au niveau de ses dispositifs et machines. Pourtant, les SI sont souvent mal protégés et la cybersécurité fait encore peu partie de la culture médicale.
De par leur caractère sensible, les données de santé font cependant l’objet de nombreuses convoitises et les motivations des criminels sont multiples : appât du gain (chantage, extorsion, usurpation d’identité…), cyberterrorisme (atteinte à l’intégrité des personnes…). Les cyberattaques dans le monde médical sont souvent lourdes de conséquence et les dommages peuvent s’avérer irréparables. En effet, la divulgation de données de santé est irréversible, dans la mesure où elles sont uniques et propres à chaque individu. Ce n’est pas comme une fraude bancaire où il suffit de changer a posteriori sa carte… La cybercriminalité peut également entraîner une « perte de chance » pour les personnes, c’est-à-dire le fait d’avoir été privé d’une possibilité de soin. De plus, dans l’urgence, les personnes sont plus à même de payer une rançon, ce qui en fait des cibles faciles et donc privilégiées.
Parmi les exemples les plus marquants de 2018, on se souviendra notamment de l’attaque ciblée ayant touché la ville ultra-connectée de Singapour, et conduit au vol d’1,5 million de dossiers médicaux, soit 25% de sa population. Pour Erwan Brouder, ce type de scénario pourrait être amené à se reproduire et certaines tendances se renforcer en 2019, comme les attaques ciblées sur les matériels biomédicaux, celles liées aux extorsions ou au cyberterrorisme.
De son côté, les acteurs et établissements de santé devront encore renforcer les mesures de sécurité mises en place, d’autant que la première amende relative au RGPD était d’ordre médical. A la suite d’un contrôle en juin 2018, le centre hospitalier de Barreiro-Montijo (Portugal) s’est vu sanctionner d’une amende de 400 000 euros notamment en raison d’accès permissifs aux données médicales. Une décision qui ne sera certainement pas isolée et montre la voie à suivre pour les autres établissements de santé.

Banque : des attaques de plus en plus astucieuses

Les banques sont toujours une cible de prédilection pour les criminels, et pas que cyber d’ailleurs, constate Gérôme Billois, Wavestone. Bien que les cyberattaques « classiques » ne faiblissent pas (« jackpotting », chevaux de Troie, dénis de services), nous observons aujourd’hui également des attaques de plus en plus audacieuses, comme par exemple :
- L’attaque cyber-physique « Darkvihnya », impactant différentes banques d’Europe de l’Est et occasionnant des dizaines de millions de perte : intrusion d’une personne dans les locaux d’une banque, connexion d’un équipement malveillant au réseau, de type Raspberry Pi, clé USB…, exploration à distance de l’infrastructure IT, puis installation de malwares permettant d’orchestrer des braquages et de détourner des fonds.
- L’attaque de la « Bank of Chile », la banque du chili : pour mener à bien leurs actions, les attaquants ont détourné l’attention des équipes via l’utilisation d’un virus, infectant près de 9 000 PCs et 500 serveurs. Pendant ce temps, les cybercriminels en ont profité pour effectuer des transactions frauduleuses sur le réseau SWIFT de la banque chilienne, qui accuse une perte de 10M d’euros.
- L’attaque de la « Cosmos Bank » : une fois le réseau de la banque introduit et infecté, les pirates ont réussi à dupliquer le système de gestion des distributeurs de billets et à autoriser notamment, sans vérification, le retrait de plus de 10M d’euros en liquide dans 28 pays différents avec 450 cartes de crédit clonées. Un véritable réseau mafieux se cache derrière cette attaque SWIFT. 7 personnes ont depuis été arrêtées, qui permettront peut-être de remonter un jour jusqu’au cerveau...

Le « Hard » est de retour ?

On ne peut pas faire le bilan 2018 sans évoquer les failles Meltdown et Spectre, révélées en début d’année, souligne Loïc Guézo, Trend Micro France. Bien qu’ayant causé plus de peur que de mal, ces annonces ont secoué le monde informatique et mis à mal l’univers des microprocesseurs présents dans la majorité des ordinateurs du monde entier. Ces défauts de conception et les risques inhérents ne sont toutefois pas à prendre à la légère, d’autant que des recherches universitaires ont montré qu’il n’y a pas seulement deux failles de sécurité, mais deux familles abritant une douzaine de failles au total. Seuls des changements d’architecture dans les prochaines versions de microprocesseurs pourraient venir à bout des vulnérabilités en question.
Le piégeage « Hard » a fait son retour en 2018, avec l’annonce d’un prétendu chip chinois implanté dans les cartes mères de SuperMicro. Bien qu’il se soit avéré que l’Armée de libération chinoise était derrière ce scandale, cette annonce a eu un impact mondial très fort, y compris sur le cours de la Bourse pour SuperMicro. Même si le piégeage « Hard » a fait son retour en 2018, le piégeage « Soft » reste toujours prépondérant, comme en témoigne le cas British Airways : 21 lignes de code changées dans un JavaScript de 2012 et la compagnie aérienne voit 77 000 données complètes de paiement fuiter…

IoT : enfin des réponses juridiques ?

Les objets connectés font aujourd’hui partie intégrante de notre environnement, que ce soit à titre personnel ou professionnel, explique Garance Mathias, Avocate - Cabinet Mathias. Tous les secteurs d’activités, y compris de l’industrie, sont concernés. Pourtant, on connaît les risques, et les cas d’attaques qui se multiplient. C’est pourquoi la sécurité doit être intégrée « by design » dans l’IoT. De son côté, que fait le droit face à ce constat ? Outre les initiatives portées actuellement par la Commission européenne, notamment en matière d’intelligence artificielle et de robotique, les regards se tournent aujourd’hui en la matière vers la Californie, qui vient d’adopter le 28 septembre dernier une législation relative aux objets connectés. Cette loi, qui entrera en vigueur le 1er janvier 2020, vise à implémenter des mesures de sécurité raisonnables dans tous les objets connectés distribués en Californie. Parmi les obligations de sécurité prévues par la loi : un mot de passe unique pour chaque objet connecté ou un mécanisme imposant à l’utilisateur de créer un nouveau moyen d’authentification qui lui soit personnel. L’objectif de cette nouvelle législation californienne est clair : intégrer la « privacy by design » dans les objets connectés. A surveiller de près dans les mois et années à venir, et à voir dans la pratique…

SI industriels : un cap franchi vers la destruction ?

Du côté de l’industrie, 6 tendances vont, selon Vincent Mignon, ADP, venir augmenter les risques : la mise à disposition de plus en plus d’informations et de documents concernant les appareils industriels, l’automatisation de la reconnaissance des failles, la réutilisation des Payloads, l’ouverture vers l’extérieur, la course vers le bas niveau, et l’exposition de plus en plus forte des compromissions dans la presse. L’une des principales évolutions de ces dernières années réside en effet dans la volonté des attaquants de se rapprocher des niveaux bas de l’architecture.
Autre constat : les attaques les plus conséquentes sur les systèmes industriels sont aujourd’hui portées par des États-nations. Parmi les exemples les plus marquants, on retrouve notamment GreyEnergy, Triton ou BlackEnergy. A noter enfin que Triton est un framework d’attaque réutilisable, avec comme objectif une maximisation des impacts et des dommages, physiques comme matériels.

Géopolitique & attribution : un véritable casse-tête !

L’attribution des attaques a toujours été, et reste aujourd’hui un véritable casse-tête, constate Loïc Guézo, surtout quand la géopolitique s’en mêle ! De nombreuses présentations juridiques concernant les attaques évoquées les années précédentes ont été publiées en 2018, et la primo-ingérence russe de 2016 documentée. Les élections présidentielles américaines de 2016, et la facilité d’en pirater les tenants et aboutissants, sont au cœur des tiraillements, ne laissant rien augurer de bon pour les élections de 2020… Les Russes sont dans le viseur de nombreuses opérations mises à jour, même si la Chine n’est pas non plus en reste, avec le groupe APT10 par exemple… Et ce ne sont pas les seuls !
Face à ce constat, la France a pris les devants en lançant l’Appel de Paris en novembre dernier, et en appelant la communauté internationale à réagir, à respecter les processus électoraux et à lutter contre la prolifération des moyens d’attaque. En outre, la vigilance s’impose contre la manipulation d’informations et d’images, mais aussi la suspicion de manipulation d’images dans la sphère publique, car tout le monde aujourd’hui peut colporter et amplifier de fausses informations, notamment via les réseaux sociaux ou la presse. Enfin, la crainte est de voir émerger des cybermercenaires « privés », complexifiant encore un peu plus l’attribution des cyberattaques et la lutte contre le crime.

Les nouveaux modes opératoires cybercriminels

Pour éviter de se faire prendre, les groupes cybercriminels savent s’adapter en permanence. Ils ont d’ailleurs tendance aujourd’hui à changer leurs méthodes traditionnelles et à quitter leurs plateformes habituelles (forums centralisés, canaux IRCs, Darknets markets), une conséquence de l’opération BAYONET, constate un analyste du Ministère de l’Intérieur. On observe ainsi une décentralisation des services et le recours à différentes méthodologies de la part des criminels, comme le masquage de l’infrastructure de commandes, l’hébergement bulletproof, l’utilisation de Tor ou d’infrastructures Blockchain… De plus en plus d’attaquants utilisent la DNS-Blockchain pour opérer leurs trafics et faire prospérer leurs malwares.
De manière générale, les criminels font tout pour que les forces de l’ordre ne puissent pas remonter leurs pistes, c’est pourquoi on recense désormais moins de traces écrites sur les forums, et des transactions qui se font désormais en direct, d’où l’explosion de l’utilisation de messageries instantanées.

Authentification : la fin d’une ère ?

Le 2 novembre 1988, le Morris Worm faisait des ravages dans l’écosystème informatique et se propageait en exploitant les faiblesses des mots de passe de l’époque, rappelle Franck Veysset, Michelin. 30 ans plus tard, on peut s’imaginer que tout va au moins un peu mieux… Et bien pas vraiment ! Le site SplashData publie chaque année le top 50 des pires mots de passe utilisés, et les traditionnels « 123456 » ou « password » arborent toujours la tête de liste. Le problème est que ces mots de passe triviaux, faisant d’ailleurs l’objet de nombreuses fuites de données, donnent accès à vos comptes et services.
Face à ces faiblesses, le mot de passe n’a désormais plus la côte et de nombreuses alternatives voient le jour sur le marché, évoluant vers du 2FA ou MFA (Authentification multi-facteurs). Mais ces nouvelles solutions (biométrie, SMS…) sont-elles pour autant plus sûres ? Du côté de la biométrie, et plus précisément de la reconnaissance faciale, l’authentification peut dans certains cas être contournée (photos, imprimante 3D), mais cela nécessite beaucoup de temps, donc le niveau de sécurité est tout de même beaucoup plus fort par ce biais. Les SMS, quant à eux, ont déjà fait l’objet d’attaques de type social engineering. Le piratage de reddit le 19 juin 2018 en est l’exemple. Autre nouveauté en 2018 : les attaques de type SIM Swap. Le SMS ne fait donc pas l’objet d’une fiabilité absolue. D’autres alternatives, comme celle portée par la FIDO Alliance, visent quant à elles à remplacer le mot de passe par un token.
Quelle que soit la technique choisie, nous évoluons indéniablement aujourd’hui vers des systèmes d’authentification multi-facteurs sécurisés, cherchant des alternatives aux traditionnels mots de passe. Mais bien qu’un peu de chemin ait été parcouru en 30 ans, beaucoup reste encore à faire en matière d’authentification.

« On aurait aimé vous parler de… »

Comme chaque année, le PANOCRIM du CLUSIF ne peut pas traiter de tous les sujets, l’actualité étant tellement riche dans l’écosystème cyber, explique Gérôme Billois. Voici quelques autres sujets qui ont également marqué 2018 :
- Les menaces sur le crypto-écosystème : on a observé plus d’un milliard de dollars détournés en 2018 via les attaques sur les plateformes d’échanges de cryptomonnaies, sur les personnes, mais aussi via des fraudes plus simples. On devrait encore voir en 2019 bon nombre de cryptomineurs, qui vont générer de la monnaie sur les ordinateurs des utilisateurs à leur insu.
- Les attaques sur les wearables, c’est-à-dire les objets que l’on peut porter. A titre d’exemple, les montres connectées rendent publiques les itinéraires de leurs utilisateurs (adresses, itinéraires… mêmes les plus sensibles).
- Les attaques sur les véhicules connectés : les clés d’une Tesla peuvent être dupliquées en quelques secondes pour 600 dollars d’équipement. « Heureusement », dorénavant, il faut également un code PIN pour démarrer sa Tesla.
- La fraude au président : cela n’arrive pas forcément aux employés des services de comptabilité, mais également aux directeurs eux-mêmes, comme en témoigne la fraude qui a coûté 19 millions d’euros au groupe Pathé.
- Les rançongiciels aussi innovent avec de nouvelles techniques de déchiffrement : certains acteurs se posent désormais en intermédiaire avec les cybercriminels pour vous rendre vos données et prennent une commission au passage.
- Enfin, les attaques sur les API ont touché des groupes, tels que Facebook, Salesforce… La combinaison des attaques sur le Cloud et les API est également à surveiller de près, car elle sera sans doute une tendance majeure dans les années à venir.

Retour sur les principales arrestations et inculpations de 2018

Pour conclure ce panorama 2018 sur une note positive et donner du cœur à l’ouvrage aux acteurs œuvrant pour la sécurité et la lutte contre le cybercrime, Loïc Guézo est revenu sur les arrestations et les inculpations les plus marquantes de l’année écoulée :
- En mars 2018, le cerveau des « Carbanak » a été arrêté à Alicante : les cyberattaques lancées par ce groupe malveillant depuis 2013 auraient engendré des pertes de plus d’un milliard d’euros aux banques victimes ;
- En mai, la police française et la CSD (Crime Suppression Division) ont procédé à l’arrestation du pirate français Rex Mundi, alias Jonathan Verron, en Thaïlande ;
- En juin, une opération en France a conduit au démantèlement du forum Black Hand, l’une des plus importantes places de marché illégales du darkweb français (faux documents, cartes bleues…) et à l’arrestation de quatre suspects ;
- En septembre, un agent de la DGSI a été écroué pour avoir noué des contacts avec « des membres du monde de la criminalité organisée » et des « spécialistes de l’intelligence économique », et est accusé d’avoir cédé des informations confidentielles contre des bitcoins ;
- En septembre toujours, la collaboration entre le FBI et Trend Micro a abouti à la condamnation des administrateurs de Scan4You ;
- Enfin, le FBI, tout comme les autres organisations dédiées, est toujours très actif dans l’identification et la poursuite des cybercriminels. 60 personnes sont d’ailleurs aujourd’hui activement recherchées sur le site du FBI.

Même si la cybercriminalité continue de gagner du terrain, et les réseaux qui l’alimentent se veulent toujours plus créatifs et professionnels dans leurs démarches, la collaboration internationale de son côté commence à avoir de vrais résultats. De quoi présager une année 2019 pleine d’actions, du côté de l’attaque comme de la défense…




Voir les articles précédents

    

Voir les articles suivants