Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le Panorama de la cybercriminalité 20e édition : florilège d’attaques en 2019

janvier 2020 par Marc Jacob

La 20e édition du Panorama de la cybercriminalité organisé par le CLUSIF a mis en exergue la multitude d’attaques apparues en 2019.Les pirates ont fait preuve comme chaque année d’une imagination débordante mais aussi ont fait appel au bon vieux trucs qui réussissent toujours. Cette année, le panocrim a été ponctué par des retours en arrière sur les analyses menées il y a. 20 ans dans le premier panocrim.

Le panocrim 2019 a débuté par l’intervention du président du Clusif Jean-Marc Gremy qui a remercié tous les participants aux 20 précédentes éditions en particulier avec un hommage à François Paget présent pour l’occasion qui l’avait animé durant les 15 premières années.

2019, l’année de toutes les tromperies

Loïc Guezo a animé cette 20e édition qui a débuté par l’intervention de Gérôme Billois sur les tromperies en 2019. 58% des emails seraient du phishing à l’échelle mondiale. Sans compter que plus de 65000 fausses applications sont apparus. De plus, des attaques ont concerné des attaques dans le store des assistants vocaux avec des demandes de mots de passe et autre données confidentielles qui semblent légitime mais qui sont le fait de pirates. Il a aussi insisté sur les brouillards de guerre comme par exemple l’attaque en Corée qui a concerné les JO d’hiver de 2018. La question des initiateurs de l’attaque s’est vite posée aux équipes de sécurité. L’analyse du virus a été rapidement réalisée et a montré qu’elle pouvait provenir de la Chine, de la Corée du Nord ou encore de la Russie. Ce qui montre la difficulté de remonter à la source des attaquants. Il semble suite à l’analyse des attaques du même type tout au long de l’année que les pirates informatiques aussi s’y mettent avec des outils proches de ceux des états. Pour lui, le moyen le plus efficace pour parer une attaques n’est pas de chercher le qui mais le comment les attaquants ont procédé.

Rançongiciels : Fléau cyber Numéro 1

Sylvain Correia-Prazeres et Pierre Antoine Bonifacio ont montré que les attaques via les messages ne représentent que 10% des attaques, le reste provient principalement des sites web. Ils ont recensé les attaques sur 2019 avec les attaques ciblent des fournisseurs de services, celles sur les sites publics et privés et enfin les attaques de masse sur des équipements spécifiques. L’année 2019 été particulièrement chargée. Il ont commencé par décrire l’attaque sur la ville de Baltimore, celles sur des écoles américaines qui a durée plusieurs mois. Sans compter celle de l’Espagne qui a atteint par la suite toute l’Europe et celle sur l’Argentine qui a perdu 10 ans d’archives.

Ils ont rapporté l’attaque sur les MSP qui a ciblé des fournisseurs de services de santé et des villes surtout aux états-Unis. Ils ont mis en exergue les attaques dans le secteur public. La cartographie, qu’ils ont présenté, montre que les établissements de santé ont été une cible privilégiée en 2019. Au final la question se pose de payer ou non la rançon ? Quand on sait que le nombre de jours de blocage est passé à plus de 9 jours en 2019 au lie de 7 jours en 2018, la question n’est pas anodine. Sans compter que même en récupérant la clé les entreprises perdent en moyenne 8% des données qui ont été chiffrées. Par exemple la ville de Baltimore qui a payé la rançon 75000 $ a constaté que cette attaque lui a coûté au total de envrion18 millions de $.

En conclusion ils ont insisté pour qu’en 2020, il est nécessaire de préparer tous les salariés à réagir au plus vite aux attaques. Les pirates aujourd’hui non seulement chiffrent les données mais de surcroit procèdent à des exfiltrations de données en menaçant de mettre les informations volées sur le web en faisant peser sur les entreprises la menace du RGPD.

Communication de crise : Quels enseignements ?

Garance Mathias a traité du volet communication de crise. Tout dépend du niveau de l’attaque de sa gravité, des impacts. Il faut communiquer pour rassurer les collaborateurs, les informer, rassurer les investisseurs, les clients... celui qui doit porter le message est le dirigeant, le responsable communication, l’avocat de l’entreprise... elle a cité le cas de Fleury Michon qui a préféré ne pas communiquer, ou encore Altran qui suite à la révélation par la presse de l’attaque a préféré procéder par une communication via un communiqué de presse officiel. Pour le CHU de Rouen une plainte a été déposée puis cette organisation a été aidée par l’ANSSI. En Norvège, l’attaque sur Norsk Hydro a donné lieu à une communication intensive de l’entreprise qui a même organisé des visites de presse des usines. Au final, une communication de crise ne s’improvise pas, il faut monter un véritable plan de communication.

Les suites … pour les entreprises et les criminels

Catherine Chambon sous directrice de la lutte contre la cybercriminalité SDLC a présenté sa vision des attaque de 2019 sous le prisme des mises en examens. Pour elle, la menace est de plus en plus diffuse et touche l’ensemble des secteurs d’activité avec un focus sur les institutions publiques. Il y a un massification des attaques avec les escroqueries de masse, les intrusions dans les réseaux et la pornographie. Le cyberterrorisme est de plus en plus important. Les affaires crypto-Porno se sont multipliées mais certaines d’entres elles ont aboutis par l’arrestation de Deux français qui avaient 19 et 20 ans.

L’affaire GATEHUB a permis à des pirates français d’empocher plus de 8 millions d’euros en braquant des cryptomonnaies et en volant des voitures de luxe. Dans le cas, d’Altran les pirates voulaient récupérer près de 3 millions d’€.
Quant à l’affaire, à la suite d’une enquête menée par l’OCLCTIC conjointement avec la DIPJ de Strasbourg et la DIPJ de Lyon, deux individus mis en cause dans des attaques de distributeurs de billets par le mode opératoire dit du « jackpotting » ont été interpellés dans l’Est de la France. Les attaques ont principalement eu lieu en région parisienne, dans l’Est de la France ainsi qu’en région lyonnaise pour un préjudice global de 420 000 euros.

Elle a annonçait le lancement d’une plateforme de plainte en ligne appelé THESEE.

C’est dans les "vieilles" technos...

Franck Veysset a pour sa part mis l’accent sur Les bonnes veilles attaques qui ont réussi cette année encore. Le top 5 des mots de passe les plus utilisé restent quasiment le même. Sans compter l’utilisation des post IT pour sauvegarder son mot de passe en le laissant sur l’écran de l’ordinateur. Il a cité les 3 méthodes de brute force pour récupérer les mots de passe : le brute force horizontal, vertical et le Bourrage d’identifiants. Ce dernier consiste à l’alimentation d’une base en association nom d’utilisateur et mot de passe de façon systématique cela concerne ceux qui utilise le même mot de passe pour accéder à différentes applications. Dans la journée de mise en ligne de la plateforme de Disney de vidéo on demande, de nombreux comptes Disney+ ont été mise en vente sur le darkweb grâce à cette association.
Il faut dire que l’activité de l’exploitation des fuites de mots de passe s’industrialise de plus en plus.

Un jeu concours lancé par une banque a permis de trouver de nombreux mot de passe d’accès à la banque. Le jeu a été arrêté dans la journée. Les VPN de grands fournisseurs de solution de sécurité comme Palo Alto, Pulse, Fortinet ont été compromis suite à des failles exploitées. Enfin, il a cité les cas d’appels et d’emails frauduleux de personnes se faisant passer pour des experts de l’ANSSI pour s’introduire sur les SI d’entreprises.

La supply-chain et les tiers au coeur des attaques

Gérôme Billois a souligné les attaques sur les sous-traitants qui se sont accéléré en 2019. Il a présenté le groupe Cloud Hopper apparu en 2017. Ils se sont attaqués à des fournisseurs de services informatique comme IBM, Fujitsu, Hewlett PAckard Entreprise, CGI... sous-traitants de grands groupes. Ce groupe s’est attaqué aux serveurs web ou en faisant du bourrage d’identifiant. Le groupe Cloud Hopper par la suite a procédé à une élévation de privilèges afin d’accéder aux clients de ses fournisseurs. Ces attaques sont très difficiles à détecter car elles se font par rebond en se dissimulant par des déplacements latéraux qui paraissent légitimes. Ils faut rechercher des signaux d’alerte comme des incohérences dans les flux.

ShadowHammer a eu une approche plus opportuniste en s’attaquant aux PC Asus et en piratant Asus Live Updater. Cette attaque visait 600 adresses bien identifiées. C’est le même type d’attaque qui avait visé CCleaner en2017 qui avaient touché 700 000 machines.

Ces attaques sont un risque majeur.

Le Deepfake était un fake… mais la techno est bien là

Michael Jaques a analysé les fake News qui se sont multipliées en 2019. Un Deepfake audio a permis d’escroquer 200 000 € a une entreprise en imitant la voix du PDG. Que peut-on faire pour se prémunir contre les deep fake ? Il a cité différentes méthodes : la loi comme en Chine ou en Europe,l’interdiction de publication comme sur les plateformes des GAFA.

L’avènement du cloud… pour les fuites de données ?

Olivier Morel a abordé les fuites de données qui se sont multipliées cette année avec plusieurs millions de données dérobées. Tous types d’entreprises ont été concernées y compris dans le domaine de la sécurité informatique... il a cité en autre GitHUB, Binance, l’académie de Lille, le. BriansClub qui a perdu 26 millions de carte bancaire, ou encore Hookers.nl un site de rencontre hollandais. Capital One qui avait perdu 106 millions de données clients mais dont la voleuse a été arrêtée en 10 jours car elle s’était vantée de son action sur les réseaux sociaux. Le cas Desjardins qui a perdu 8 millions de clients au Canada dont les conséquences financières sont très importants. Equifax a du payé 700 millions de $ pour éteindre l’enquête sans compter les coûts annexes.

Le montant des valeurs des données volées est très variable pour commencer à 50$ jusqu’à plusieurs centaines de $. Les infrastructures Cloud sont une cible d’attaques privilégiées pour le vol d’identité.

Le cyber, un levier classique dans la géopolitique ?

Loïc Guezo a mis l’accent sur le cyber et la géopolitique. Le cyber est devenu en 2019 une arme usuelle. Il a cité le cas Stuxnet dont on a découvert cette année qu’en plus ds États-Unis et d’Israël, il semble que les Pays-Bas, l’Allemagne et la France seraient aussi impliqués.

L’APT dark Universe qui avait été caché durant 8 ans a été un peu mieux décrypter cette année.

En 2019 les premiers Bomb Back sont réapparus avec les israéliens qui se sont dits avoir été attaqués par le Hamas. Ils ont répliqué en bombardant de façon ciblé le headquarter cyber du Hamas.

En 2019,les États-Unis auraient attaqué à plusieurs reprises l’Iran à l’aide d’armes cyber. Cette dernière a répliqué par le même moyen. La Chine aurait procédé à des attaques ciblées sur des opérateurs télécoms étrangers.

Quant à la Russie elle a promulgué une réforme pour un internet souverain. Un directeur du FSB. et un spécialiste de Kaspersky ont été condamnés à 22 ans de prisons pour avoir collaboré avec les Etats-Unis. En France, la doctrine offensive en matière cyber a été promulguée.

On aurait aimé vous parler de....

Marine Martin a dressé un tableau rapide des autres attaques comme la cartographie des APT russe, du premier Cyber Space Crime, du guide publié sur la méthode pour braquer une banque, le compte Tweeter de Scotland Yard piraté, ou encore comment une équipe de RedTeam s’est fait arrêter PR la police... elle a rappelé que Magecard fête ses 10 ans cette année...

En 2020, selon elle on entendra sûrement parler des attaques suites aux élections en France, aux Etats-Unis, des JO...

Jean-Baptiste Demaison

Tous unis pour lutter contre le cybercrime

Jean-Baptiste Demaison, président du conseil d’administration de l’ENISA a conclu le panorama 2020 en rappelant que dés l’an 2000 l’Europe s’est intéressée à la cybersécurité. Ainsi elle a crée l’ENISA en 2004. Ila mentionné que l’EU avait plusieurs raisons de s’intéresser à la cyber. La première raison de cet intérêt est le fait que la menace peut atteindre plusieurs Etats membres et leurs citoyens. La seconde concerne les impacts économiques importants qu’elles peuvent engendrer. Il faut donc un dialogue européen pour contrer ses menaces. La troisième raison est la volonté de légiférer comme par exemple NIS ou le cybersécurité Acte. Enfin, l’EU doit s’assurer que les accords commerciaux ne doivent pas porter préjudice a la cybersécurité des états membres.

L’action européenne doit aider les capacités des états membres ainsi l’ENISA à favoriser la création de CERT. Elle a aussi crée un CERT EU pour les administrations de l’Europe. L’ENISA s’est aussi impliqué dans le RGPD. en particulier via l’article 32. L’ENISA coordonne aussi le mois cyber dans toute l’Europe en octobre. En outre, elle s’implique dans la constitution d’une offre de cyber en Europe et elle s’implique dans la création d’une certification européenne des produits cyber. L’Europe peut devenir un refuge où l’on saura que du fait de la certification que les produits utilisés permettent une véritable sauvegarde des informations. Il a cité l’exercice Cyber Europe. Elle s’est impliquée dans la lutte contre la cybercriminalité en coordonnant l’action des CERT Européens. En conclusion, il a insisté sur l’importance de la coopération des écosystèmes nationaux.


Voir les articles précédents

    

Voir les articles suivants