Le Clusif a publié la nouvelle édition de son panorama de la cybercriminalité. Cette vingtième édition a été l’occasion de rappeler les grands événements qui ont marqué l’année 2019 et de mettre en exergue les tendances majeures auxquelles les entreprises doivent et devront faire face.
« 2019 a été une année chargée en actualités », estime Jean-Marc Grémy, Président du Clusif (Club de la sécurité de l’information français). « Ce fut l’année de toutes les tromperies, même si ce n’est pas nouveau, le « brouillard de guerre », que l’on connaît depuis longtemps dans les conflits entre Etats, s’étend dans le cyberespace, avec une volonté de brouiller les pistes », assure Gérôme Billois, partner cybersécurité et confiance numérique chez Wavestone, qui rappelle que 58 % des e-mails sont des tentatives de phishing et qu’il existe plus de 65 000 fausses applications qui polluent les App Stores. « En 2019, le champ s’est élargi pour toucher des nouvelles plateformes, en particulier les assistants vocaux. » Un constat partagé par Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité à la direction centrale de la police judiciaire, pour qui « les menaces sont de plus en plus diffuses et touchent tous les secteurs économiques. »
A l’assaut des mots de passe
Franck Veysset, de Michelin, observe une « industrialisation de l’exploitation des fuites de mots de passe », avec trois techniques principales. D’abord la force brute verticale, lorsque le pirate cible un utilisateur et va tenter de trouver ses mots de passe, à l’aide d’un dictionnaire. Ensuite, la force brute horizontale, lorsque le pirate choisi un mot de passe (par exemple : 1234567 ou azerty) et va chercher à identifier quels utilisateurs l’ont choisi. Enfin, le bourrage d’identifiants qui consiste, à partir d’un pot de passe compromis, sur quels autres comptes il est utilisé, en partant du principe que les utilisateurs dupliquent le même identifiant sur différentes plateformes (par exemple le mot de passe de la messagerie qui sera le même que celui de l’application bancaire en ligne). Et pour trouver les bons outils « le Black Market est toujours très bien organisé, avec des interfaces très ergonomiques », ajoute Franck Veysset.
Toujours des fuites de données massives
Pour Olivier Morel, DGA de l’éditeur Ilex International, spécialisé dans la gestion d’identités, « 2019 a été une nouvelle fois une année riche en fuites de données cloud », environ une cinquantaine de grands acteurs en ont été victimes, de Facebook et Toyota à GitHub et Capital One (106 millions de clients concernés), en passant par Burger King, Nintendo et Microsoft. Avec des pénalités financières très significatives : Equifax, victime en 2018, a payé 700 millions de dollars, les Hôtels Marriott 123 millions de dollars et British Airways 183 millions de livres. Les données volées se retrouvent évidemment dans le cloud : « Un mot de passe Gmail se négocie à 3 dollars, un numéro de carte de crédit 60 dollars, un permis de conduire américain entre 400 et 500 dollars et un accès à un site Web bancaire environ 100 dollars », rappelle Olivier Morel.
Les tiers, maillons de plus en plus faibles
L’un des risques de plus en plus visibles concerne la chaîne de sous-traitance. Pour Gérôme Billois, « c’est un sujet nouveau, mais pas tant que cela, car on a déjà connu des exemples par le passé. » En 2011, Lockheed Martin a été victime d’une intrusion via le piratage de son système d’authentification, en 2013, des pirates ont eu accès à toutes les communications de certains clients de l’opérateur Belgacom, y compris celles chiffrées ; l’américain Target s’est fait dérobé les données de paiement de 70 millions de ses clients, via une intrusion par le fournisseur de service de chauffage et climatisation. En 2014, chez Orange, ce fut via une agence de marketing ; en 2018, le vol des données de paiement de 835 000 clients de Delta Airlines a été réussi grâce à une intrusion via le fournisseur du chatbot. En 2019, « on estime que 60 % des brèches de sécurité ont eu pour origine des tiers », rappelle Gérôme Billois. Parmi les victimes : Airbus, Yves Rocher, Rolls Royce, Amazon, Asus… L’un des modes opératoires consiste à s’appuyer sur un fournisseur pour cibler ses clients. ON a ainsi vu des cibles primaires telles que HPE, IBM, Fujitsu et CGI servir de tremplins pour attaquer des groupes tels que Rio Tinto, Allianz, American Airlines, Philips, Ericsson et la Deutsche Bank. « La première étape consiste donc à cibler un fournisseur et à s’y installer,
Avec une intrusion dans le SI du fournisseur « via le « credential stuffing » ou des services web exposés, puis à réussir une escalade de privilèges à l’aide d’outils légitimes tels que ProcDump ou Certmig », résume Gérôme Billois. Deuxième étape : choisir ses cibles et les exploiter légitimement, « grâce à un accès aux données sensibles, via des déplacements latéraux légitimes entre les systèmes, de sorte que les données volées sont transférées des systèmes du client aux systèmes du fournisseur », explique Gérôme Billois.
Il est possible de les détecter par exemple en mesurant les volumes de données transférées ou ceux des stockages intermédiaires, en surveillant les types d’accès, les incohérences horaires ou les écarts entre un compte VPN et un compte Windows. Ces risques ont justifié que l’Anssi (Agence nationale pour la sécurité des systèmes d’information) publie un ensemble de recommandations sur les attaques via la Supply Chain et que les Etats-Unis se dotent, d’une Task Force dédiée au « Supply Chain Cyber Risk ».