L’ANSSI dresse un bilan inquiétant des évolutions de la cybercriminalité

L’ANSSI a dressé un bilan de l’année 2020-2021. Il analyse les grandes lignes des évolutions de la cybersécurité pendant cette période. Et des évolutions, il y en a : entre la professionnalisation des cybercriminels, les buts recherchés ou encore la porosité entre acteurs étatiques et groupes de pirates, la vigilance est de mise.

Microsoft avait publié il y a quelques semaines un point sur la cybersécurité, plus particulièrement sur les attaques distribuées par déni de service (DDoS). La synthèse de l’ANSSI est plus générale dans son approche et se concentre sur la France, avec à la clé un constat : la dangerosité des attaques ne fait que croitre… tout comme les outils pour les combattre. Le perpétuel jeu du chat et de la souris.

L’Agence aborde notamment l’évolution de l’écosystème cybercriminel, les finalités des attaques, les acteurs étatiques, l’espionnage, l’exploitation des failles, les nouveaux usages numériques, la contamination des chaines d’approvisionnement ou encore l’état global de la sécurité des données.

Avec une hausse globale de 38 % des attaques avérées dont l’Agence a eu connaissance en l’espace d’un an – de 786 à 1 082 – la sécurité devient un enjeu toujours plus prépondérant. Un contexte qui explique en partie le glissement progressif des infrastructures vers des approches Zero Trust.

• Les attaques DDoS s’intensifient selon Microsoft, en fréquence comme en puissance
• Zero Trust : les pistes du Cigref pour une sécurité renouvelée

Spécialisation et professionnalisation des acteurs

La cybercriminalité se spécialise et se professionnalise. C’est le constat fait par l’ANSSI, qui y voit à la fois « la cause et la conséquence de la maturité qu’a atteint l’écosystème cybercriminel, alimenté directement par ses gains financiers, estimés à plus d’un milliard d’euros par an ».

Ces deux évolutions se concrétisent par des métiers et rôles spécifiques, chaque entité se concentrant sur une étape de la chaine d’attaque ou sur un rôle à tenir. Par exemple, des groupes se spécialisent dans les plateformes RaaS (ransomware as a service), les infrastructures d’anonymisation, les botnets, les accès à des réseaux compromis (Access Broker), l’envoi de spams ou encore le blanchiment d’argent.

Certaines structures proposent plusieurs services, organisés en bouquets. Il n’y a plus aucune différence dans l’approche avec ce que proposent les entreprises, notamment du cloud. On fait son marché.

Point intéressant, certaines structures comme Evil Corp ou Lockean gagnent à ce point en réputation et en usage qu’elles peuvent subir les mêmes problèmes que les grands groupes spécialisés du cloud, avec un risque de SPOF (Single Point of Failure) quand un service tombe en panne.

En outre, comme explique l’ANSSI, cette concentration produit une situation en apparence paradoxale. D’un côté, cette spécialisation entraine une croissance forte des chaines d’infection potentielles, ce qui complique la détection et le suivi. Mais de l’autre, le fait que certains acteurs concentrent de nombreuses fonctions les rend plus facilement identifiables, « permettant ainsi d’arrêter une attaque dès les premières étapes de la chaine d’infection ».

L’ANSSI aborde également le cas des Bullet Proof Hosters (« Hébergeurs pare-balles ») – comme Yalishanda, Dr. Samuil, CCWeb et BraZZZerS – dont la souplesse de fonctionnement correspond souvent aux attentes d’acteurs malveillants. Leur politique KYC (Know your client) est ainsi inexistante, ils acceptent les paiements en cryptomonnaies, autorisent les changements très rapides de DNS (Fast Flux), n’examinent pas l’activité de leur client, vont parfois jusqu’à promouvoir les activités malveillantes et hébergent les infrastructures dans des juridictions hors d’atteinte.

Les ransomwares, exemple type de la synthèse des compétences

Autre bon exemple, les ransomwares eux-mêmes, dont la conception et l’utilisation réunissent différents « corps de métiers ». Un access broker peut par exemple procéder à des scans de vulnérabilité, le plus souvent dans les 48 heures suivant la révélation d’une faille. Après quoi les résultats peuvent être passés à d’autres acteurs, comme un service d’hameçonnage (toujours le vecteur le plus utilisé pour l’infection initiale) et des spécialistes de la latéralisation dans les réseaux gérés par les annuaires Active Directory. Le cœur de l’attaque commence après identification des ressources d’intérêt identifiées.

L’Agence range les rançongiciels dans la catégorie opportuniste, avec une prédilection pour les cibles peu sécurisées. Elle en a suivi une quarantaine en 2021, répartis essentiellement en deux groupes : ceux cherchant à faire le plus de victimes possible, et les autres, visant de grandes sociétés pour rentabiliser autant que possible l’entrée dans l’infrastructure.

On pourrait presque s’amuser d’autres aspects de la professionnalisation si les actions n’avaient autant de conséquences délétères. Les cybercriminels n’hésitent en effet plus à associer à leurs attaques d’autres campagnes pour augmenter la pression : menaces de divulgation des informations exfiltrées (comme dans le cas de NVIDIA), chantage au DDoS, harcèlement téléphonique, voire tout ce qui peut s’apparenter à du « name & shame », comme des contacts avec les médias, partenaires, clients…

Mais la situation évolue, notamment depuis que les États-Unis ont placé les ransomwares au même niveau que le terrorisme, provoquant une vague de démantèlements, des arrestations coups de poing et un renforcement de la coopération internationale. Un changement radical intervenu après l’attaque de Colonial Pipeline en mai 2021 et l’urgence énergétique déclarée dans la foulée. De fait, l’ANSSI estime désormais que « seuls les groupes d’attaquants en capacité de se mettre hors de portée des forces de sécurité, parfois grâce à la protection d’États, continueront à mener ce type d’attaques contre des organisations de dimension internationale ».

La situation reste de toute évidence à surveiller, car les gains obtenus par les campagnes précédentes peuvent être réinvestis dans la montée de compétence. Le chat et la souris, toujours.

Acteurs étatiques flous et capacités privées

Dans ce monde très particulier qu’est l’activité cybercriminelle, on trouve principalement deux familles : les acteurs étatiques et les autres. Chaque groupe avait ses outils et méthodes, mais ce temps semble terminé, tant les protagonistes s’inspirent les uns des autres. Ce qui complique la tâche des enquêteurs et plus généralement du monde de la sécurité.

Par exemple, « le partage d’outils entre différents modes opératoires réputés liés à des États. C’est notamment le cas de ShadowPad 2 qui est utilisé par plusieurs modes opératoires d’attaquants (MOA), plus particulièrement APT41 et Tonto Team. Cette utilisation partagée d’un même outil, qui suggère une coopération entre différents MOA ou l’existence d’un fournisseur commun, complique nécessairement la caractérisation des activités et leur imputation à un MOA particulier. Cette utilisation partagée a également été observée avec PlugX ».

Actuellement, les acteurs étatiques se distinguent toujours par une manière de faire plus poussée. Ils recourent notamment à des composants déjà présents dans les infrastructures des victimes, comme des outils d’administration, à l’instar de PowerShell sur Windows. Moins ils s’appuient sur des outils spécifiques, plus ils sont difficiles à détecter, car les traces sont moins nombreuses. « Outre une rationalisation des coûts, ce recours à des outils non-signants, partagés ou exploités depuis le réseau de la victime, permet également de nier de façon plausible toute implication en ne permettant pas une caractérisation précise des activités », ajoute l’ANSSI.

Mais cet écart tend à se réduire avec la montée en compétences des groupes séparés de pirates, dont les méthodes s’approchent des acteurs étatiques. La portée des attaques évolue vers des opérations plus ambitieuses et plus longues. Certains sont même capables de découvrir et d’exploiter des failles inconnues ou 0day, ce qui a été pendant longtemps une spécialité des acteurs étatiques ou d’entreprises comme Zerodium.

L’ANSSI s’attarde un moment sur le cas de NSO Group et plus généralement des entreprises s’étant fait un nom dans l’exploitation des vulnérabilités. Outils clé en main, expertise humaine, méthodes d’exploitation des vulnérabilités 0day… Bon nombre de services étaient jusque-là réservés à des clients étatiques, mais l’Agence considère un possible « dévoiement » de ces outils et méthodes à « des fins d’espionnage stratégique et politique ». Journalistes, défenseurs des droits de l’homme, hauts responsables politiques ou encore entreprises détenant de nombreuses données personnelles sont ainsi ciblés.

« Ces services varient de l’utilisation d’applications vérolées en passant par celle d’outils d’attaques plus sophistiqués comme CobaltStrike, jusqu’à l’exploitation de vulnérabilités 0-Day sans interaction nécessaire de la cible (0-Click). Enfin, le recours à une tierce partie, a fortiori privée, peut générer un certain sentiment d’impunité qui peut expliquer le ciblage décomplexé de certains commanditaires », juge l’ANSSI.

Attention à ne pas considérer toutefois qu’il n’y a que deux camps. La réalisation d’attaques toujours plus sophistiquées entraine parfois les loups à se dévorer entre eux. Une entreprise hautement spécialisée peut devenir à son tour une cible, comme ce fut le cas pour l’entreprise italienne Hacking Team en 2015. Ses outils ont été utilisés jusqu’en 2020 « par des acteurs réputés liés à des États et des cybercriminels ».

Espionnage, infrastructures critiques et influence comme finalités premières

À ce jour, et selon l’ANSSI, l’espionnage reste la première finalité des attaques menées. La France est ainsi particulièrement ciblée par l’espionnage stratégique.

« En 2021, sur les 17 opérations de cyberdéfense traitées par l’ANSSI, 14 étaient liées à des opérations d’espionnage informatique, impliquant pour 9 d’entre elles des modes opératoires réputés chinois. De même, sur 8 incidents majeurs, 5 concernent des MOA réputés chinois », détaille ainsi l’Agence. Sur cette même période, elle cite trois modes opératoires détectés dans les campagnes d’attaques : Sandworm, Nobelium, APT31…

L’ANSSI évoque également le possible détournement des législations étrangères pour faciliter certaines opérations, comme dans le cas du logiciel chinois GoldenTax – imposé – dont des versions frelatées incluaient une porte dérobée à des fins d’espionnage. L’Agence considère qu’il existe un risque croissant à mesure que les pays se dotent de cadres juridiques en matière de sécurité nationale.

Les infrastructures critiques sont une autre grande cible des attaques. En avril 2020, plusieurs installations liées à la gestion de l’eau en Israël ont été attaquées. Cette opération, attribuée à l’Iran, a heureusement eu des conséquences limitées. En mai 2020, une attaque stoppait toute la gestion du trafic dans le port iranien de Shahid Rajaee. Elle a été attribuée à Israël, en représailles de la précédente. En février 2021, c’est la gestion de l’eau potable en Floride qui était visée, avec une tentative de manipulation du niveau d’hydroxyde de sodium pour empoisonner la population.

Les tensions géopolitiques actuelles étant exacerbées, les infrastructures critiques sont d’autant plus surveillées.

Les opérations d’influence et de déstabilisation sont également très prisées, surtout en période électorale comme celle qui a débuté en France. Selon l’ANSSI, le temps des créations de contenus et de la compromission des relais pour amplification a laissé place à des opérations de plus grande envergure.

Elles s’appuient plus volontiers sur des documents dérobés lors d’attaques précédentes, afin de les publier tels quels sans contexte, ou modifiés pour servir un propos. C’était l’objectif notamment de la campagne GhostWriter, attribuée à la Russie par l’Allemagne et l’Union européenne. La société de sécurité FireEye y voyait quant à elle une opération biélorusse.

Exploitation de failles, des nouveaux usages numériques et de la supply chain

L’ANSSI regrette intensément que la correction des failles de sécurité ne fasse pas l’objet d’une plus grande réactivité dans l’application des solutions. « Encore trop d’organisations n’appliquent pas à temps les correctifs publiés par les éditeurs de logiciel et offrent aux attaquants un vecteur d’infection initiale relativement aisé à mettre en œuvre sur les systèmes exposés sur Internet », fustige l’Agence.

Elle rappelle qu’il suffit que les détails d’une faille soient publiés pour qu’une exploitation fasse son apparition en quelques jours, voire en quelques heures. Des attaques industrialisées qui plus est via des scans massifs, à des fins d’espionnage ou de gains financiers. Elle cite notamment les cas des vulnérabilités Exchange, Log4j, Citrix et PulseSecure, pas assez vite colmatées en entreprise et ayant ouvert des portes d’entrée, aboutissant parfois à l’intrusion de ransomwares.

Cette réactivité est d’autant plus cruciale que le nombre d’exploitations de failles 0day explose. L’ANSSI reprend les informations du Threat Analysis Group de Google, selon lequel 33 vulnérabilités étaient exploitées en juillet 2021, contre 25 en 2020 et 20 en 2019.

Mais attention, car l’augmentation des capacités d’attaque n’est pas le seul critère à prendre en compte. Celles de détection ont également été renforcées, menant à une hausse des découvertes. Ce même point peut être détourné, comme en Chine où la législation force les éditeurs à révéler leurs failles, avec une possible récupération par des cybercriminels.

La sécurité générale des données touche également la manière dont les logiciels sont configurés. Le cadre est d’autant plus spécifique que la crise sanitaire a engendré une explosion des solutions de travail à domicile, souvent par des personnes avec peu de compétences informatiques.

La contamination des chaines d’approvisionnement est elle à la hausse. Cette supply chain désigne tout ce qui relie le fournisseur d’un produit ou d’un service au client final. Détourner cette chaine permet d’infecter un très grand nombre d’entités si l’attaque n’est pas détectée. Exemple simple, arriver à modifier un logiciel sur son site officiel, entrainant l’infection de toutes les personnes qui le téléchargeraient et l’installeraient, à moins qu’un antivirus ne s’interpose en détectant un comportement anormal.

On ne parle cependant pas que de services informatiques. Ce sont tous les types d’approvisionnement qui peuvent être touchés, l’informatisation progressive des maillons de la chaine accroissant le risque.

Un risque encore accentué par les leaks massifs que l’on observe depuis plusieurs années. Ces fuites géantes peuvent dévoiler des informations précieuses pour mener à bien des campagnes d’attaques de la chaine ou d’hameçonnage, pouvant mener « à une atteinte au secret des affaires voire à la sécurité nationale, lorsque des données d’entreprises (contrats, clients, etc.) ou classifiées sont publiées ».

L’ANSSI invite donc toutes les parties prenantes à ne pas relâcher leur vigilance, voire à accentuer leurs efforts.

La France pourrait être particulièrement visée au cours des deux prochaines années, à cause notamment des élections présidentielles et législatives des mois qui viennent, de la coupe de rugby en 2023 et des Jeux olympiques de Paris en 2024.