Le 26 janvier 2021, le Clusif (Club de la sécurité de l’information français) a présenté son panorama de la cybercriminalité. Le constat dressé par les experts n’est, hélas, guère optimiste.
Le directeur de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), Guillaume Poupard, a identifié trois grandes menaces : l’espionnage, la grande criminalité, et « des risques quasiment militaires ». Même si ces menaces ne sont pas nouvelles, Guillaume Poupard insiste sur qu’elle ne suscite finalement que peu d’attention : « L’espionnage, c’est une menace dont on ne parle pas assez par exemple », rappelle-t-il.
Pour les risques « quasi militaires », le patron de l’Anssi souligne que la principale inquiétude concerne les attaques où « l’objectif n’est pas explicite », avec des attaquants introduits dans les systèmes d’information sans chercher de résultats immédiats. Selon le patron de l’Anssi, « certains préparent des conflits futurs et cherchent à prépositionner des charges ».
L’explosion est à chercher du côté des attaques par rançongiciels, quatre fois plus nombreuses en 2020 qu’en 2019, selon l’Anssi, qui ne comptabilise que les cas sur lesquels elle a été amenée à intervenir auprès des entités publiques et des opérateurs d’importance vitale (OIV).
La pandémie, terrain de jeu des hackers
Pour Loïc Guézo, secrétaire général du Clusif et directeur stratégie cybersécurité chez Proofpoint, l’année 2020 aura bien entendu été marquée par une pandémie exceptionnelle « dont les effets cyber ont aussi été exceptionnels : en 1ère partie de l’année 2020, les leurres utilisant le Covid-19 comme appât auront été dominants. »
Avec, quand même, un point positif : « Le Covid-19 aura sûrement fait avancer plus vite la transformation numérique des organisations et, à ce titre, mérite le titre de Chief Officer for Velocity at Infrastructure and Data », notamment en accélérant le recours au télétravail.
Xavier Aghina, RSSI chez W-HA, a partagé une cartographie des rançongiciels 2020 toujours aussi impressionnante et dont la visualisation traduit bien l’ampleur de la situation. Dans cet ensemble, les cybercriminels profitent des nouveaux paradigmes que sont la généralisation du télétravail, la transformation numérique à marche forcée et les budgets sécurité en baisse, dûs à la crise actuelle.
Les actions des cyberattaquants sont plus sophistiquées et ils coopèrent pour plus d’efficacité. Ainsi, les gangs de rançongiciels utilisent de nouvelles tactiques pour faire pression sur leurs victimes qui ne souhaitent pas payer la rançon : par exemple, les menaces directes par téléphone, auprès des propriétaires des données piratées.
Toujours plus de professionnalisation
Gérôme Billois, associé au sein de l’entité cybersécurité du cabinet de conseil Wavestone, confirme que « cette professionnalisation confère malheureusement une efficacité grandissante aux attaques ». Si les groupes de rançongiciels sont historiquement bien structurés, ils ne sont plus les seuls acteurs au sein de cet écosystème.
Tout débute avec la création et la revente des accès persistants par les «Initial Access Brokers» dont l’activité a connu une nette progression en 2020. Ceux-ci mettent à disposition sur le marché noir des accès dans les réseaux de grandes organisations, pour parfois plusieurs centaines de milliers de dollars. Les hébergeurs de services « bulletproof », c’est-à-dire résistant aux requêtes judiciaires d’arrêt de service, mais aussi les plateformes d’anonymisation sont toujours bien présents et fournissent les infrastructures nécessaires à la réalisation des attaques.
Les plateformes d’attaques se renforcent techniquement avec la constitution d’équipes de développement des codes malveillants, mais aussi fonctionnellement avec les négociateurs pour les rançons et des capacités de management d’équipes.
A la clé, plusieurs millions de dollars de revenus, voire plusieurs dizaines de millions pour les groupes les plus actifs comme Sodinokibi ou Ryuk. Marine Martin, experte en sécurité chez AG2R La Mondiale, ajoute que « les gains engendrés par les attaques permettent de structurer des vraies PME du cybercrime, on le voit avec un groupe comme Revil qui a plus de dix développeurs pour faire vivre et progresser sa plateforme de rançonnage ».
Un business florissant
Les plateformes de rançongiciels, pour passer à l’échelle, structurent aujourd’hui des réseaux d’affiliés aux compétences d’intrusions très recherchées. Ils s’occupent de pénétrer dans les réseaux, puis d’exfiltrer de l’information avant de déployer la charge malveillante. La rançon est gérée par la plateforme qui reversera entre 10 et 30% à ses affiliés.
A la fin de la chaîne, le blanchiment est nécessaire pour convertir la monnaie électronique en cash. Les techniques sont nombreuses et issues des circuits classiques de la grande criminalité. Heureusement, 2020 aura vu son lot de démantèlements d’organisations et d’inculpations, prouvant donc que ces organisations n’agissent pas toujours impunément.
Les menaces concernent de plus en plus les outils mobiles. Avant même la pandémie, les équipements mobiles sont devenus l’outil de référence pour l’accès à Internet, avec en tête le smartphone (87% en 2019). Ces équipements auxquels les utilisateurs confient leurs données, qu’elles soient personnelles (par exemple, bancaires ou encore de position géographique) ou celles de leur employeur, attirent les convoitises de nombreux acteurs malveillants. 2020 a été caractérisée par une malveillance mobile aux visages multiples.
Benoît Grunemwald, expert en cybersécurité chez Athena Global Services, mentionne « avoir constaté une incidence significative de violences numériques dues à l’utilisation généralisée de logiciels espions de type stalkerware. » En effet, entre mars et juin 2020, une croissance de 51% de l’installation de ces logiciels est à noter (en comparaison avec la période janvier-février 2020). De plus, l’année 2020 a également été marquée par l’émergence notable de chevaux de Troie bancaires, grâce à la mise à disposition du code source du malware mobile Cerberus. Si de nombreux magasins applicatifs entièrement dédiés à la diffusion d’applications mobiles malveillantes existent, les App stores traditionnels, utilisés par tout le monde, sont également infestés par différents chevaux de Troie, stalkwares et autres publiciels intrusifs, soulignent les experts du Clusif.
Des enjeux géopolitiques en toile de fond
Les enjeux géopolitiques sont toujours très présents en matière de cybercriminalité, en particulier entre les Etats-Unis et la Chine. « Il y a eu une escalade des tensions significative en 2020, les bisbilles commerciales en ont été un symptôme visible, cachant entre autres des inculpations d’étudiants chinois accusés d’espionnage et de vol de données technologiques stratégiques », précise Rayna Stamboliyska, vice-présidente en charge de la gouvernance et des affaires publiques chez Yes We Hack.
Loïc Guézo a illustré la guerre technologique entre les Etats-Unis et la Chine par les exemples de Zoom et de Tik Tok : « Il ne faut pas oublier qu’en Chine, la plupart des applications de l’Ouest sont interdites et qu’il n’y a pas Google. Il ne faut pas s’étonner de voir des mastodontes chinois essayer de conquérir le monde, comme l’on fait les américains, qui, désormais, se débattent face à ces nouveaux arrivants étrangers et particulièrement chinois, mais aussi avec leur propre stratégie de backdooring (pose de porte dérobée) par la NSA, souvent critiquée pour son opacité et les risques sous-jacents induits, identifiés par les parlementaires les plus avisés. »
| L’écosystème du cybercrime | |
| Groupes de cybercriminels | Caractéristiques |
| Les revendeurs d’accès | Ils s’introduisent dans les systèmes (avec du phishing, des botnets et/ou des accès RDP compromis), créent des accès persistants et les revendent sur le marché noir, à des prix variant fortement de mille à plusieurs centaines de milliers de dollars, en fonction de la cible et des capacités |
| Les hébergeurs peu regardants | Ce sont des acteurs très dispersés et agiles, avec des offres professionnelles. Ils utilisent souvent des structures ayant pignon sur rue, mais avec des filiales et des sous-traitants |
| Les rançonlogiciels as a Service | Ces groupes fournissent une plateforme et les charges malveillantes à déployer chez les victimes. Ils s’occupent également de la négociation de la rançon et de récupérer le paiement. Ces groupes sont de mieux en mieux structurés et organisés. Par exemple, le groupe REvil indique avoir une équipe d’une dizaine de développeurs |
| Les criminels affiliés | Une ou plusieurs personnes, avec des compétences très variables, réalisent concrètement l’attaque. Ils sont recrutés par les plateformes et récupèrent une part variable de la rançon (de 10 à 40 %) |
| Les blanchisseurs et les mules | Après une première étape de « bitcoin mixing », l’argent est blanchi via des « money mules », avec un tarif élevé (50 % des fonds) |
| Source : Clusif. | |
RGPD : après la pédagogie, les sanctions ?
La présentation du panorama de la cybercriminalité 2020 du Clusif a été l’occasion de revenir sur les sanctions pécuniaires prononcées en 2020 par des autorités de contrôles européennes (Cnil, ICO…) et américaines, à l’encontre de différentes organisations qui ont été victimes de cyberattaques, fuites de données ou autres incidents de sécurité, survenus ces dernières années.
L’analyse de la motivation, du raisonnement des autorités dans le prononcé de sanctions importantes, permet de mieux identifier les manquements des entreprises à leurs obligations de sécurité, et leurs conséquences directes sur la réalisation des cyberattaques dont leurs clients et prospects sont des victimes collatérales.
En matière de sanctions, la France apparaît en troisième position, avec 12 amendes pour un montant global de 54,4 millions d’euros, derrière l’Italie (69,7 millions d’euros) et l’Allemagne (63 millions), mais devant les anglais (44,2 millions d’euros) et les espagnols (15,5 millions).
Pour la compagnie aérienne Cathay Pacific (500 000 livres d’amende), qui a exposé les données de 9,4 millions de clients, il a été établi que les sauvegardes des bases de données étaient non chiffrées, que des serveurs non patchés étaient connectés à Internet, et que des systèmes d’exploitation n’étaient plus supportés mais encore opérationnels.
De même, la protection antivirus s’avérait insuffisante, des consoles d’administration étaient accessibles au public via Internet, il n’y avait pas d’authentification MFA sur les accès VPN, les logs n’étaient pas conservés, et il a été constaté des privilèges inappropriés sur les comptes utilisateurs… Sans parler de la présence d’un malware sur l’un des serveurs de la compagnie aérienne relié à Internet, pour en capter les données. Ça fait beaucoup et il n’est pas étonnant que la fuite de données ait eu lieu.
Autre compagnie aérienne qui a écopé d’une amende de 20 millions de livres, en octobre 2020 : British Airways. L’entreprise a laissé fuité les données bancaires de 429 000 clients, via son site Web. En cause : un manquement à l’obligation d’assurer la sécurité et la confidentialité des données, une absence de contrôle d’accès aux applications et aux données, d’authentification multi-facteurs pour les accès des employés et des tiers, un défaut d’analyse de risques sur la chaîne logistique et sur l’infrastructure Citrix AG (accès distants), des mots de passe d’administrateurs stockés en clair sur certains serveurs, et une absence de gestion d’habilitations ou de gestion de comptes à privilèges. British Airways n‘a pas pu détecter l’attaque, mais a été alerté par un tiers plus de deux mois après sa survenance.
Pour les hôtels Marriott, la sanction s’est élevée à 18,4 millions de livres, en octobre 2020, pour la fuite de données personnelles de 339 millions de clients, dont trente millions de résidents européens. Là encore, les failles ont été évidentes : un suivi insuffisant des comptes à privilèges, un monitoring défaillant des bases de données, et plus précisément celles contenant les données bancaires des clients, un contrôle des accès aux SI critiques qui laisse à désirer et une absence de chiffrement des données personnelles, notamment celles figurant sur les passeports des clients.
Autre exemple : Capital One, banque américaine spécialisée dans la vente de crédit à la consommation, immobilier et gestion des cartes de crédit, qui s’est vue infliger une amende 80 millions de dollars après que les données de 106 millions de clients aient été récupérées illégalement (soit 75 cents par personne…). Les manquements reprochés concernent l’inefficacité du système d’évaluation des risques mis en place avant le transfert de ses principaux systèmes informatiques vers le cloud public, ainsi que des failles de sécurité qui ont permis aux pirates de s’introduire et d’exfiltrer les données personnelles des millions de clients et qui n’ont pas l’objet d’une remédiation rapide.
Concrètement, un WAF mal configuré devant l’infrastructure AWS a permis aux pirates d’accéder au service metadata AWS et de passer des commandes pour accéder aux données. Enfin, lors de la conférence du Clusif, il a été rappelé que le groupe Carrefour a été mis à l’amende pour 2,25 millions d’euros par la Cnil. Motifs des manquements au RGPD, notamment en matière de conservation des données, de modalités d’exercice des droits, de sécurité des données et de notification des violations. Avec des facteurs aggravants liés à la nature, la gravité et la durée de la violation, ainsi que du nombre de personnes concernées.