Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Clusif : Panorama de la Cybercriminalité Année 2020

janvier 2021 par CLUSIF

Le président du CLUSIF, Jean-Marc GREMY ouvre la 21ème édition en rappelant combien cet évènement annuel est désormais devenu un incontournable dans le paysage français, soulignant également les prochaines échéances de l’association (AG le 15 mars 2021) et démarche de passage en Reconnaissance d’Utilité Publique (RUP) prévu en 2021.

Le secrétaire général, Loïc GUEZO, par ailleurs animateur du Groupe de Travail #Panocrim, rappelle les principes de fonctionnement des phases de veille (en sources ouvertes), tout au long de l’année, puis de synthèse du GT en décembre, avant la présentation de ce jour. Les remerciements allant évidemment aux conférenciers du jour mais aussi vers les participants « derrière le rideau » sans qui ce travail ne serait pas aussi abouti. Il conclut son introduction en remerciant les 4 sponsors des conférences (HS2, Ilex International, Proofpoint et Terranova Security) et passant la parole à Guillaume POUPARD.

Le directeur de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) a identifié trois grandes menaces : l’espionnage, la grande criminalité, et « des risques quasiment militaires ».

Même si ces menaces ne sont pas nouvelles, en elles-mêmes, Guillaume Poupard insiste sur qu’elle ne profite finalement que d’assez peu d’attention : « L’espionnage, c’est une menace dont on ne parle pas assez par exemple ».
Pour les risques « quasi militaires », le patron de l’Anssi souligne que la principale inquiétude reste sur les attaques où « l’objectif n’est pas explicite », avec des attaquants introduits dans les SI sans chercher de résultats immédiats. Pour lui, « certains préparent des conflits futurs et cherchent à prépositionner des charges ».

En 2020 aucune de ces deux menaces n’a explosé. L’explosion est à chercher du côté de la cybercriminalité et en particulier, comme tout le monde l’a noté via les attaques par rançongiciels. Guillaume POUPARD a pu donner quelques chiffres pour illustrer son propos. Au 31 décembre de l’année écoulée, ce chiffre s’élevait à 192. Pour le patron de l’agence, « c’est fois 4 par rapport à l’an passé. Il y a véritablement une explosion ». Et encore, ces chiffres ne recouvrent donc que les cas sur lesquels l’Anssi a été amenée à intervenir.
Pour mémoire, le périmètre d’intervention de l’agence se limite à l’État, aux administrations, et aux opérateurs d’importance vitale (OIV).
A l’issue de cette introduction plénière, le panorama 2020 démarre officiellement !

Loïc GUEZO dresse en introduction un parallèle bien connu entre maladie contagieuse comme la COVID-19 et les virus informatiques, où les cartographies de propagation ou messages d’hygiène informatique se confondent, à l’image du court film réalisé par INTERPOL.
2020 aura bien entendu été marquée par une pandémie exceptionnelle « dont les effets cyber ont aussi été exceptionnels : en 1ère partie de l’année 2020, les leurres utilisant la COVID-19 comme appât auront été dominants et représentants jusque 80% des échantillons vus ». Malgré une trêve annoncée par les pirates (et bien sûr pas respectée), les criminels s’en sont énormément servi, en suivant au plus près l’actualité.

Loïc indique que « cette année a montré au grand public, s’il le fallait encore, que tout le monde espionne tout le monde et qu’avec la cyber face à la numérisation de nos activités, même les petits peuvent être efficaces », en soulignant que « le Vietnam, avec une réussite insolente contre le virus, est-il entré dans la cour des grands ? ». Les grands, dénoncés régulièrement comme Chine, Russie ou Corée du Nord n’ayant pas été en reste, en particulier pour la recherche permanente d’informations sur le développement des virus, voire dans la désinformation pour miner la confiance en ces vaccins …
Enfin, point positif ? Pour Loïc GUEZO « la COVID-19 aura surement fait avancer plus vite la transformation numérique des organisations que les plans des CEO ou CTO, et mérite le titre de Chief Officer for Velocity at Infrastructure and Data », notamment en accélérant le recours au télétravail. A charge pour les CISO de suivre ou d’en profiter.
A noter la publication d’un dossier du Clusif dédié aux facteurs humains https://clusif.fr/publications/teletravail-cybersecurite-et-collaborateurs-les-nouveaux-equilibres/

Après le rançongiciel : plus belle la vie !

Le mot « rançongiciel » ou « ransomware » est souvent visible dans les médias dès qu’un fait d’actualité de type attaque informatique ou cybermalveillance surgit. En effet, les incidents sont en augmentation et cela n’arrive pas qu’aux autres… Que faire quand le risque devient réalité ? Afin de répondre à cette question, Sylvain CORREIA PRAZERES accueille Jérôme POGGI, Responsable de la Sécurité du Système d’Information (RSSI) de la ville de Marseille qui vient partager son expérience.

En mars 2020, la ville de Marseille (870 000 hab.) a subi une attaque par rançongiciel. Malgré de belles températures et un soleil toute l’année, une tempête numérique s’est abattue sur la ville le samedi 14 mars 2020, un week-end d’élection ; où le système informatique a été durement touché. Jérôme nous livre des détails de l’attaque depuis un partenaire, avec le rançongiciel Mespinoza/Pyza, bloquant 80% des serveurs du service informatique et pourtant des élections à assurer ! Sans délai, l’ensemble des agents et des élus ont dû gérer cette situation ; ils ont notamment été aidés par l’ANSSI au vu de la période et de l’impact sur la vie sociale, dans une période qui allait être compliquée. Jérôme indique que « les équipes de la DSI ont su faire face à cette situation inédite et complexe, grâce notamment à leur sens du service public et aux compétences internes ».

Après cet électrochoc, il y a eu une prise de conscience de plusieurs collectivités. C’est ce qui a, entre autres, amené à la création d’un groupe de RSSI de collectivités piloté par Cyril BRAS de la métropole de Grenoble, groupe actif, en constante augmentation et comportant déjà plus d’une centaine de collectivités.

Le message à retenir de cet incident est de « se préparer afin de réduire le risque, surveiller son réseau, les activités anormales et normales ». Segmenter, anticiper, prévenir et ne pas dire "cela ne m’arrivera jamais" tout en étant assez transparent pour les usagers.

Rançongiciel, tendances 2020 !

Phénomène prédit lors de la 20ème édition du Panocrim, les attaques en 2020 sont de plus en plus nombreuses et précises, allant du particulier aux collectivités, en passant par l’ensemble des entreprises.
Les particuliers sont touchés par les rançongiciels, mais la proportion reste assez faible face à la croissance des autres attaques telles que le chantage à la Webcam, l’arnaque au faux support technique, l’hameçonnage… Un constat dans un contexte et une période inédite.

« Les collectivités ne sont pas épargnées », commente Sylvain CORREIA PRAZERES. Il met en exergue la prévention et la sensibilisation à leur égard afin d’engager une prise de conscience sur le coût réel d’un tel incident et la menace qui explose. Sachant que le budget des SI a plutôt tendance à être stable, il relève un déséquilibre face à la menace et à l’évolution du numérique. Il soulève également les dernières communications qui traduisent toutes une augmentation de la cybercriminalité ces derniers mois et représente 30% des attaques type rançongiciels pour les collectivités. Les incidents touchent directement le fonctionnement des services publics et ne sont pas sans conséquence. Les entités publiques bloquées font de plus en plus les gros titres de l’actualité. Un sujet supplémentaire qui arrive donc sur les bureaux des directions générales des fonctions publiques qu’il faut prendre en compte et inquiète désormais sérieusement les décideurs.

En deuxième partie, Xavier AGHINA partage une cartographie des rançongiciels 2020 toujours aussi impressionnante dont la visualisation traduit bien l’ampleur de la situation. Dans cet ensemble, les cybercriminels profitent des nouveaux paradigmes que sont la généralisation du télétravail, la transformation numérique à marche forcée et les budgets sécurité en baisse, dû à la crise actuelle. Xavier illustre que les actions des cyberattaquants sont plus sophistiquées, voire qu’ils coopèrent pour plus d’efficacité. Les gangs de rançongiciels utilisent de nouvelles tactiques pour faire pression sur leurs victimes qui ne souhaitent pas payer la rançon : les menaces directes par téléphone, auprès des propriétaires des données piratées, qui apparaissent par exemple. Les assurances cyber semblent mieux disposées à payer les rançons, afin que l’entreprise puisse reprendre son activité. Les législateurs européens et nationaux n’ont pas – encore - règlementé spécifiquement cette pratique.
On retiendra que les rançongiciels poursuivent leur route à vive allure vers 2021, où ils retrouveront la même dynamique avec peut-être des nouveautés supplémentaires notamment le cyberating, les attaques par rebond par les tiers, l’emploi des outils natifs et bien d’autres.

Rançongiciels : un écosystème qui se professionnalise trop vite

L’année 2020 a donc vu exploser le nombre d’attaques par rançongiciel et à entraîner une professionnalisation très rapide de l’écosystème. Gérôme BILLOIS confirme que « cette professionnalisation confère malheureusement une efficacité grandissante aux attaques ». Si les groupes de rançongiciels sont historiquement bien structurés, ils ne sont plus les seuls acteurs au sein de cet écosystème.

Tout débute avec la création et la revente des accès persistants par les "Initial Access Brokers" dont l’activité a connu une nette progression en 2020. Ceux-ci mettent à disposition sur le marché noir des accès dans les réseaux de grandes organisations, pour parfois plusieurs centaines de milliers de dollars. Les hébergeurs de services « bullet-proof », c’est-à-dire résistant aux requêtes judiciaires d’arrêt de service, mais aussi les plateformes d’anonymisation sont toujours bien présentes et fournissent les infrastructures nécessaires à la réalisation des attaques.

Les plateformes d’attaques se renforcent techniquement avec la constitution d’équipes de développement des codes malveillants, mais aussi fonctionnellement avec les négociateurs pour les rançons et des capacités de management d’équipes. A la clé, plusieurs millions de dollars de revenus, voire plusieurs dizaines de millions pour les groupes les plus actifs comme Sodinokibi ou Ryuk. Marine MARTIN ajoute que « les gains engendrés par les attaques permettent de structurer des vrais PME du cybercrime, on le voit avec un groupe comme Revil qui a plus de 10 développeurs pour faire vivre et progresser sa plateforme de rançonnage ».

Les plateformes de rançongiciels, pour passer à l’échelle, structurent aujourd’hui des réseaux d’affiliés aux compétences d’intrusions très recherchées. Ils s’occupent de pénétrer dans les réseaux puis d’exfiltrer de l’information avant de déployer la charge malveillante. La rançon est gérée par la plateforme qui reversera entre 10 et 30% à ses affiliés. A la fin de la chaîne, le blanchiment est nécessaire pour convertir la monnaie électronique en argents sonnants et trébuchants. Les techniques sont nombreuses et issues des circuits classiques de la grande criminalité.

Devant cette évolution, il est important de garder une note d’optimisme puisque 2020 aura vu son lot de démantèlements d’organisations et d’inculpations et aura donc prouvé que ces organisations n’agissent pas toujours impunément. Gérôme BILLOIS conclut « c’est grâce à une action coordonnée à tous les niveaux, police, justice, Europe, internationale, public, privé… que l’on arrivera à faire réduire ce fléau des rançongiciels ».

Ils ont été arrêtés, inculpés : les succès 2020

Si l’année écoulée a connu une évolution des menaces ainsi qu’une augmentation forte des attaques menées par les cybercriminels, elle aura aussi vu de nombreuses réussites pour la police. On note notamment une coopération plus forte entre les acteurs français et internationaux qui s’organisent face une cybercriminalité agissant souvent depuis l’étranger.
Clémentine BOUVIER revient d’abord sur les succès internationaux les plus notables de l’année, comme le démantèlement de Trickbot, plus grand botnet actuel (plus d’un million de machines zombies dans le monde) grâce à un consortium d’entreprises mené par Microsoft, ou encore le démantèlement de Safenet, VPN le plus prisé des cybercriminels depuis une décennie. Le DarkWeb n’aura pas non plus connu de répit cette année, avec 179 vendeurs/acheteurs de biens illicites arrêtés, et l’inculpation du modérateur d’Alphabay, plaque tournante du trafic de drogue et d’armes.

La justice française s’est elle aussi professionnalisée et a mis en œuvre les moyens nécessaires qui ont permis d’infiltrer Encrochat, un réseau mondial de communications chiffrées. Clémentine souligne que « Par une prouesse technique sans précèdent, les enquêteurs ont eu accès, en temps réel, aux conversations non chiffrées d’environ 60 000 utilisateurs, soit plus de 120 millions de messages et images, presque tous liés à de la criminalité organisée de haut niveau. »

Enfin, Clémentine revient sur le procès d’Alexander Vinnik, condamné en décembre à 5 ans de prison et 100 000 euros d’amende pour blanchiment d’argent en bande organisée. Alexander Vinnik était accusé d’être le cerveau de la plateforme d’échange de bitcoins BTC-e, et d’être à l’origine du rançongiciel Locky qui aura causé un préjudice de 135 millions d’euros aux entreprises françaises.

Pour conclure, « on note de nombreux succès majeurs à l’actif des forces de l’ordre qui ont su s’adapter au contexte évolutif de la cybercriminalité, devenue plus professionnelle et plus internationale. »

RGPD : l’heure de la pédagogie est terminée !

Dans leur intervention, Garance MATHIAS et Olivier MOREL reviennent sur des sanctions pécuniaires prononcées en 2020 par des autorités de contrôles européennes (Cnil, ICO…) et américaines, à l’encontre de différentes organisations (British Airways, Marriot, Carrefour ou Capital One notamment) qui ont été victimes de cyber-attaques, fuites de données ou autres incidents de sécurité, survenus ces dernières années, pour certains déjà évoqués dans les éditions précédentes du PanoCrim.

L’analyse de la motivation, du raisonnement des autorités dans le prononcé de sanctions importantes (20 M£ pour Marriot ou 2,25 M€ pour Carrefour par exemple), nous permet de mieux identifier les manquements des entreprises à leurs obligations de sécurité, et leurs conséquences directes sur la réalisation des cyber-attaques dont leurs clients, prospects sont des victimes collatérales.

La présentation se termine sur les perspectives 2021 concernant l’évolution du cadre juridique de la cyber sécurité : l’Europe fait de la lutte contre la cybercriminalité avec le renforcement de la cybersécurité des entreprises (révision de la directive NIS, notamment), l’une de ses priorités d’action.

De la cyberconflictualité

Cette année, ce volet est couvert par Loïc GUEZO et Rayna STAMBOLIYSKA. Comme tous les ans depuis 2015, Loïc choisit de couvrir quelques points de géopolitique sous l’angle cyber : « cette année nous parlerons plutôt de cyberconflictualité, à tel point la cyber se retrouve, sous des formes variées, dans les actualités géopolitiques de conflictualité ». L’année 2020 est encore un excellent cru avec beaucoup d’informations rendues publiques par les actes d’accusation du FBI : « Cette année, lumière sur APT41 (’Barium,’ ’Winnti, ’Wicked Panda,’ and ’Wicked Spider,’), groupe de cyberespionnage opérant depuis 2012 pour de la collecte de renseignements stratégiques multi secteur mais aussi attaques lucratives notamment sur le jeu en ligne et 6 officiers du renseignement russes accusés d’avoir plongé l’Ukraine dans le noir en décembre 2015 par coupure d’électricité, interféré dans les élections françaises de 2017 en piratant les équipes d’Emmanuel MACRON et d’avoir conçu et diffusé NotPETYA en 2017 ou Olympic Destroyer en 2018 pendant les JO de PyeongChang ». Ceci permet de mettre en perspective l’emploi de la faille EternalBlue (vraisemblablement volée à la NSA) et les politiques de portes dérobées ou attaques contre le chiffrement des USA, sous forme de l’arroseur arrosé. Loïc choisit ensuite d’illustrer 3 cas moins visibles en 2020 qui seront à suivre en 2021 : l’activité du pirate FXMSP, kazakh de 37 ans, dans le dossier Solarwinds ; de nouvelles opérations cyber menées par la Turquie (contre la France et l’Europe) ; la main dans le sac, révélé par Facebook, pour des opérations françaises de lutte informationnelle en Afrique, contre les Russes.
Pour sa première participation au Panocrim, Rayna a choisi le sujet des élections présidentielles américaines : « En effet, on attendait les élections 2020 avec une attention aiguë, presque fébrile. Depuis 2016, le sujet principal dès qu’on parlait des élections américaines était l’agressivité russe, que ce soit sur le volet cyber ou sur celui de la désinformation. Pour 2020, l’attente était similaire : voir les élections présidentielles perturbées voire infléchies par une puissance étrangère (comprendre : la Russie) ». La réalité a été cependant différente : il n’y a pas eu d’incident cyber touchant au scrutin. Plus important encore, face à la communication inflammatoire du président sortant Donald Trump, la CISA a déclaré l’élection 2020 « la plus sécurisée dans l’histoire américaine » d’un point de vue cyber.

Malgré ces observations, Rayna insiste que « ça n’a pas été un long fleuve tranquille » et détaille des initiatives du Cybercommand américain ou quelques irrégularités, très limitées, constatées ou des menaces des fonctionnaires impliqués dans le décompte des résultats.

Des défis importants attendent l’administration Biden. Parmi eux, l’apaisement des relations avec la Chine tient une place de choix. « Il y a eu une escalade des tensions significative en 2020 », précise Rayna. « Les bisbilles commerciales en ont été un symptôme visible, cachant entre autres des inculpations d’étudiants chinois accusés d’espionnage et de vol de données technologiques stratégiques ».

Loïc revient sur 2 volets de la guerre technologique entre les USA et la Chine via les exemples de ZOOM et de Tik Tok, pour lequel "il ne faut pas oublier qu’en Chine, la plupart des applications de l’Ouest sont interdites et qu’il n’y a pas Google. Il ne faut pas s’étonner de voir des mastodontes "Réseaux social" apparaître là-bas … et conquérir le monde, comme l’on fait les US …". US qui se débattent face à ces nouveaux arrivants étrangers et particulièrement chinois, mais aussi avec leur propre stratégie de backdooring (pose de porte dérobée) par la NSA (critiquée pour son opacité et les risques sous-jacents induits, identifiés par les parlementaires les plus avisés) et attaques de plus en plus clairs contre le chiffrement.

Pour son retour à la Maison Blanche, cette fois en tant que Président, Biden devra se mettre à jour des évolutions touchant aux technologies dites de rupture. Les grands sujets qui se dégagent sont l’IA, la 5G et le spatial. « Même si à l’heure actuelle, nous avons peu d’actualité cyber concrète, ces sujets importent ! », insiste Rayna. « D’autre part, d’un point de vue stratégique, les technologies de rupture sont directement liées à une suprématie technique, avec une course toujours plus effrénée entre les US, la Chine et l’UE, et ont de forts enjeux de sécurité. Joe Biden s’est déjà engagé à coopérer avec des alliés américains pour développer le réseau 5G, ainsi que d’autres technologies de rupture, et les protéger contre les tentatives d’intrusion d’ennemis des US. »
Parmi ces nouveaux sujets, l’émergence de menaces concrètes niveau IA et spatial a marqué 2020. « En 2020, la première CVE touchant un composant de machine learning d’un outil commercial de cybersécurité a été répertoriée ; de même, les attaques d’empoisonnement de données commencent à apparaître. Un tel empoisonnement est l’un des principaux vecteurs d’attaque pour les systèmes IA », précise Rayna.

Enfin, les cybermenaces à l’exploration et aux opérations spatiales reviennent à l’ordre du jour. Depuis quelques années, différents pays ont investi dans les opérations spatiales. Par ailleurs, en 2020, l’Armée française de l’air est devenue Armée de l’air et de l’espace, avec un investissement prévu de 5 milliards d’euros à l’horizon 2025 dans les activités de la branche « espace » alors même que la posture américaine côté Space Force est clairement énoncée à la fois comme défensive et offensive. « Dans la plus pure tradition de l’innovation civilo-militaire qui caractérise les Etats-Unis, le secteur privé s’organise déjà, avec le lancement par ManTech d’un Space Range, soit un exercice type Red Team dédié à la sécurité des satellites », détaille Rayna.
L’activité de cyberespionnage iranienne semble également intéressée par le sujet de l’espace. « Le Département de la Justice américain a annoncé l’inculpation de deux Iraniens pour avoir exfiltré des données stratégiques d’entreprises spécialisées dans l’aérospatial. Le sujet de la cybercriminalité spatiale sera donc un sujet à suivre dans les années à venir », conclut-elle.
Les attaques via les tiers ou ciblées sur un constructeur IoT
Tout type de tiers est désormais bon pour augmenter la surface d’attaque …. Et favoriser la réussite de celle-ci.

Comme le présente Michaël JACQUES, les attaques de la chaîne d’approvisionnement (supply chain) ne sont pas des sujets nouveaux. Cependant, cette chaine de dépendance de biens ou de services, parfois simple, parfois complexe, est de plus en plus visée par les cybercriminels.Les entreprises, quel que soit leur secteur d’activité, doivent en prendre conscience et protéger leurs actifs.

De son côté, Franck VEYSSET fait un panorama des attaques informatiques ayant ciblé les véhicules TESLA au cours des dernières années, et interroge sur l’avenir de cette industrie.

En l’espace de 17 ans, TESLA s’est hissé au rang de premier constructeur automobile mondial (en termes de capitalisation boursière). Avec près de 500 000 véhicules vendus en 2020, l’entreprise a démontré sa maitrise des processus industriels. Mais ce qui impressionne le plus, c’est certainement l’ADN de cette société, qui tient plus de l’éditeur logiciel que de l’industrie lourde.
Au cours des dernières années, TESLA a révolutionné le monde de l’automobile, notamment via les fonctionnalités innovantes de conduite autonome, mais aussi par sa capacité à assurer une maintenance à distance de l’informatique embarquée de millions de véhicules en circulation. Mais avec une voiture qui finit par ressembler à un ordinateur à 4 roues, devons-nous craindre les cybermenaces et autres piratages ?

Menaces mobiles

2019 fut l’année charnière d’une émergence de la menace mobile. Celle-ci s’est structurée en 2020. Avant même la pandémie, les équipements mobiles sont devenus l’outil de référence pour l’accès à Internet, avec en tête le smartphone (87% en 2019) . Ces équipements auxquels les utilisateurs confient leurs données, qu’elles soient personnelles (par ex., bancaires ou encore de position géographique) et celles de leur employeur, attirent les convoitises de nombreux acteurs malveillants.

2020 a été caractérisée par une malveillance mobile aux visages multiples. Benoit GRUNEMWALD mentionne « avoir constaté une incidence significative de violences numériques dues à l’utilisation généralisée de logiciels espions de type stalkerware. » En effet, entre mars et juin 2020, une croissance de 51% de l’installation de ces logiciels est à noter (en comparaison avec la période janvier-février 2020). De plus, l’année 2020 a également été marquée par l’émergence notable de chevaux de Troie bancaires, grâce à la mise à disposition du code source du malware mobile Cerberus.

Si les moyens de nuire sont nombreux et variés, comment sont-ils disséminés ? Nos conférenciers se sont attachés ainsi à décortiquer les principaux canaux de distributions de ces logiciels malfaisants que sont les magasins applicatifs tels Google Play et l’Apple Appstore. De nombreux magasins applicatifs entièrement dédiés à la diffusion d’applications mobiles malveillantes existent. Cependant, les magasins applicatifs traditionnels, utilisés par tout le monde, sont également infestés par différents chevaux de Troie, stalkwares et autres publiciels intrusifs.
Enfin, ces innovations malveillantes ne devraient pas faire oublier l’importance de nos usages mobiles et les données à caractère personnel impliquées. Les vecteurs d’attaque mobiles évoluent. Il convient d’ajouter à une stratégie de cybersécurité mobile les risques de détournement d’usages légitimes mettant en danger nos données. 2021 verra sans doute de nouvelles évolutions sur ces volets.

On aurait aimé vous parler de …

Avec une actualité toujours aussi dense, il était impossible d’aborder tous les faits de cybercriminalité de 2020 : Michael JACQUES et Olivier MOREL terminent cette belle édition du PanoCrim par une dernière présentation flash où ils reviennent sur des sujets atypiques, parfois insolites, de l’année, en matière de cybercriminalité : ransomware sur machine à café, hack de sextoys, etc… D’autres - plus sérieux - sont également survolés, tels que les attaques sur les cryptomonnaies ou les fuites de données, sujets que le Groupe du travail du Clusif nous réservera peut-être pour la prochaine édition !


Voir les articles précédents

    

Voir les articles suivants