Le 26 janvier 2021, le Clusif (Club de la sécurité de l’information français) a présenté son panorama de la cybercriminalité. Le constat dressé par les experts n’est, hélas, guère optimiste. Même si la crise sanitaire a accéléré la sensibilisation aux risques et aux enjeux des plans de continuité, la cybercriminalité ne s’est jamais aussi bien portée.
Le directeur de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), Guillaume Poupard, a identifié trois grandes menaces : l’espionnage, la grande criminalité, et « des risques quasiment militaires ». Même si ces menaces ne sont pas nouvelles, Guillaume Poupard insiste sur qu’elles ne profitent finalement que d’assez peu d’attention : « L’espionnage, c’est une menace dont on ne parle pas assez par exemple », rappelle-t-il. Pour les risques « quasi militaires », le patron de l’Anssi souligne que la principale inquiétude concerne les attaques où « l’objectif n’est pas explicite », avec des attaquants introduits dans les systèmes d’information sans chercher de résultats immédiats. Selon le patron de l’Anssi, « certains préparent des conflits futurs et cherchent à prépositionner des charges ».
L’explosion est à chercher du côté des attaques par rançongiciels, quatre fois plus nombreuses en 2020 qu’en 2019, selon l’Anssi, qui ne comptabilise que les cas sur lesquels elle a été amenée à intervenir auprès des entités publiques et des opérateurs d’importance vitale (OIV).
La pandémie, terrain de jeu des hackers
Pour Loïc Guézo, secrétaire général du Clusif et directeur stratégie cybersécurité chez Proofpoint, l’année 2020 aura bien entendu été marquée par une pandémie exceptionnelle « dont les effets cyber ont aussi été exceptionnels : en 1ère partie de l’année 2020, les leurres utilisant le Covid-19 comme appât auront été dominants. » Avec, quand même, un point positif : « Le Covid-19 aura sûrement fait avancer plus vite la transformation numérique des organisations et, à ce titre, mérite le titre de Chief Officer for Velocity at Infrastructure and Data », notamment en accélérant le recours au télétravail.
Xavier Aghina, RSSI chez W-HA, a partagé une cartographie des rançongiciels 2020 toujours aussi impressionnante et dont la visualisation traduit bien l’ampleur de la situation. Dans cet ensemble, les cybercriminels profitent des nouveaux paradigmes que sont la généralisation du télétravail, la transformation numérique à marche forcée et les budgets sécurité en baisse, dûs à la crise actuelle. Les actions des cyberattaquants sont plus sophistiquées et ils coopèrent pour plus d’efficacité. Ainsi, les gangs de rançongiciels utilisent de nouvelles tactiques pour faire pression sur leurs victimes qui ne souhaitent pas payer la rançon : par exemple, les menaces directes par téléphone, auprès des propriétaires des données piratées.
Toujours plus de professionnalisation
Gérôme Billois, associé au sein de l’entité cybersécurité du cabinet de conseil Wavestone, confirme que « cette professionnalisation confère malheureusement une efficacité grandissante aux attaques ». Si les groupes de rançongiciels sont historiquement bien structurés, ils ne sont plus les seuls acteurs au sein de cet écosystème.
Tout débute avec la création et la revente des accès persistants par les « Initial Access Brokers » dont l’activité a connu une nette progression en 2020. Ceux-ci mettent à disposition sur le marché noir des accès dans les réseaux de grandes organisations, pour parfois plusieurs centaines de milliers de dollars. Les hébergeurs de services « bulletproof », c’est-à-dire résistant aux requêtes judiciaires d’arrêt de service, mais aussi les plateformes d’anonymisation sont toujours bien présents et fournissent les infrastructures nécessaires à la réalisation des attaques.
Les plateformes d’attaques se renforcent techniquement avec la constitution d’équipes de développement des codes malveillants, mais aussi fonctionnellement avec les négociateurs pour les rançons et des capacités de management d’équipes. A la clé, plusieurs millions de dollars de revenus, voire plusieurs dizaines de millions pour les groupes les plus actifs comme Sodinokibi ou Ryuk. Marine Martin, experte en sécurité chez AG2R La Mondiale, ajoute que « les gains engendrés par les attaques permettent de structurer des vraies PME du cybercrime, on le voit avec un groupe comme Revil qui a plus de dix développeurs pour faire vivre et progresser sa plateforme de rançonnage ».
Un business florissant
Les plateformes de rançongiciels, pour passer à l’échelle, structurent aujourd’hui des réseaux d’affiliés aux compétences d’intrusions très recherchées. Ils s’occupent de pénétrer dans les réseaux puis d’exfiltrer de l’information avant de déployer la charge malveillante. La rançon est gérée par la plateforme qui reversera entre 10 et 30% à ses affiliés. A la fin de la chaîne, le blanchiment est nécessaire pour convertir la monnaie électronique en cash. Les techniques sont nombreuses et issues des circuits classiques de la grande criminalité. Heureusement, 2020 aura vu son lot de démantèlements d’organisations et d’inculpations et aura donc prouvé que ces organisations n’agissent pas toujours impunément.
Les menaces concernent de plus en plus les outils mobiles. Avant même la pandémie, les équipements mobiles sont devenus l’outil de référence pour l’accès à Internet, avec en tête le smartphone (87% en 2019). Ces équipements auxquels les utilisateurs confient leurs données, qu’elles soient personnelles (par exemple, bancaires ou encore de position géographique) ou celles de leur employeur, attirent les convoitises de nombreux acteurs malveillants. 2020 a été caractérisée par une malveillance mobile aux visages multiples. Benoît Grunemwald, expert en cybersécurité chez Athena Global Services, mentionne « avoir constaté une incidence significative de violences numériques dues à l’utilisation généralisée de logiciels espions de type stalkerware. » En effet, entre mars et juin 2020, une croissance de 51% de l’installation de ces logiciels est à noter (en comparaison avec la période janvier-février 2020). De plus, l’année 2020 a également été marquée par l’émergence notable de chevaux de Troie bancaires, grâce à la mise à disposition du code source du malware mobile Cerberus. Si de nombreux magasins applicatifs entièrement dédiés à la diffusion d’applications mobiles malveillantes existent, les App stores traditionnels, utilisés par tout le monde, sont également infestés par différents chevaux de Troie, stalkwares et autres publiciels intrusifs, soulignent les experts du Clusif.
Des enjeux géopolitiques en toile de fond
Les enjeux géopolitiques sont toujours très présents en matière de cybercriminalité, en particulier entre les Etats-Unis et la Chine. « Il y a eu une escalade des tensions significative en 2020, Les bisbilles commerciales en ont été un symptôme visible, cachant entre autres des inculpations d’étudiants chinois accusés d’espionnage et de vol de données technologiques stratégiques », précise Rayna Stamboliyska, vice-présidente en charge de la gouvernance et des affaires publiques chez Yes We Hack. Loïc Guézo a illustré la guerre technologique entre les Etats-Unis et la Chine par les exemples de Zoom et de Tik Tok : « Il ne faut pas oublier qu’en Chine, la plupart des applications de l’Ouest sont interdites et qu’il n’y a pas Google. Il ne faut pas s’étonner de voir des mastodontes chinois essayer de conquérir le monde, comme l’on fait les américains, qui, désormais, se débattent face à ces nouveaux arrivants étrangers et particulièrement chinois, mais aussi avec leur propre stratégie de backdooring (pose de porte dérobée) par la NSA, souvent critiquée pour son opacité et les risques sous-jacents induits, identifiés par les parlementaires les plus avisés. »