L’ANSSI a publié récemment son panorama 2022 sur la cybersécurité en France. En dépit de chiffres étonnamment moins élevés, l’agence met en garde : les apparences sont trompeuses. Le niveau de sophistication des attaques continue de grimper, tandis que leur attribution devient plus complexe.
La situation de la cybersécurité a-t-elle évolué en France durant l’année écoulée ? Oui et non. Oui, parce que les techniques se sont affinées et que les pirates – qu’ils soient isolés, en groupes, soutenus ou non par des États – brouillent les frontières. Non, car avec le contexte tendu qu’est la guerre en Ukraine, on se serait attendu à une flambée dans ce domaine. Il n’en a rien été, et les chiffres ont même baissé.
On est ainsi passé de 1 082 intrusions avérées en 2021 à 831 en 2022. De quoi se réjouir ? pas vraiment, comme on le verra plus loin. Mais pour l’Agence nationale de la sécurité des systèmes d'information, il n’y a pas de quoi s’emballer : un nombre d’attaques en baisse peut avoir plusieurs significations, comme une hausse des attaques non détectées.
Même si l’on table sur une baisse réelle – et c’est a priori le cas –, la situation reste complexe. Les méthodes utilisées par les pirates n’ont dans l’absolu guère changé, mais elles s’entrecroisent, mélangeant les techniques que l’on pensait réservées à des cibles de haute volée et celles davantage vues dans les attaques visant le grand public. Cette porosité brouille les pistes. Surtout, les PME/PMI restent de loin les cibles de choix.
Avant de plonger dans le détail, il faut garder en mémoire que l’ANSSI surveille essentiellement les secteurs stratégiques, sur la base des informations qui lui sont rapportées.
Une recherche croissante de furtivité
Cette porosité se retrouve dans nombre d’attaques de type déstabilisation, comme le 15 juillet 2022 en Albanie. Là-bas, des infrastructures publiques ont été visées par des ransomwares et wipers (qui effacent toutes les données), provoquant l’indisponibilité temporaire de plusieurs services numéraires et de sites gouvernementaux.
Parallèlement, des techniques plus sophistiquées se sont répandues. L’ANSSI cite le cas de DarkCrystal RAT (pour « Remote Administration Tool »), une porte dérobée modulaire mise en vente sur des forums russes en 2018. Elle est dite « modulaire » car elle offre de nombreuses capacités et peut s’adapter à l’objectif visé. Son faible coût – à peine 500 roubles pour deux mois – a assuré son succès, comme le prouve par exemple l’utilisation du mode opératoire Sandworm en 2022 contre des organisations ukrainiennes, mode se servant de DarkCrystal RAT.
Ce mélange des méthodes, techniques et outils participe « aux difficultés de caractérisation de la menace ». Un phénomène accentué par l’utilisation accrue d’outils open source (Mythic, Sliver, etc.) et/ou commerciaux (comme Brute Ratel), à l’instar de Cobalt Strike. Pire, des alternatives à ces mêmes outils sont apparues, compliquant encore le travail des enquêteurs et chercheurs.
Une utilisation de plus en plus intensive de ces outils témoigne, selon l’ANSSI, d’une « recherche de discrétion des attaquants ». Brouiller autant que possible les pistes pour empêcher que l’on remonte jusqu’à l’origine de l’attaque. Le nombre désormais varié d’outils et méthodes aide les attaquants à se camoufler, voire à détourner l’attention vers d’autres acteurs.
Ce besoin de furtivité se retrouve jusque dans les activités de cryptominage. Les terminaux infectés sont parfois plus difficiles à détecter. L’activité y est en effet moins forte, soit parce que les pirates baissent volontairement la charge des calculs, soit parce qu’ils utilisent des versions plus optimisées. L’objectif est dans tous les cas de baisser la charge CPU, pour que les ralentissements ne soient plus perceptibles.
Pour accentuer cette discrétion, les pirates changent petit à petit leurs cibles. Les plus prisées ? Les équipements périphériques, tels que les pare-feux et routeurs. Les avantages sont multiples : leur sécurité n’est pas aussi bien assurée qu’elle le devrait, ils sont discrets et persistants. Conséquence, les attaquants se retrouvent dans une position idéale pour non seulement observer ce qui y transite, mais en plus faire participer ces mêmes équipements dans d’autres scénarios, notamment pour masquer leurs traces, par exemple en anonymisant les communications.
L’ANSSI cite l’exemple du mode opératoire APT31, qui consiste à viser des routeurs de marques Pakedge, Cyberoam et Cisco pour constituer une architecture de type Command & Control (C2). Ce type d’attaque avait été menée en 2021 contre une entité française à la présence internationale (mais qui n’est pas nommée). Les pirates avaient réussi leur coup, retrouvant un accès aux terminaux du réseau interne, qu’ils avaient perdu au cours d’une remédiation précédente. Des informations techniques et des données métier avaient ainsi été dérobées.
À ce tableau déjà complexe viennent s’ajouter les activités des entreprises spécialisées dans la lutte informatique offensive, que l’ANSSI qualifie de très actives, « malgré les révélations sur le programme Pegasus de NSO Group en 2021 ». Une surveillance particulière de ce secteur est assurée, notamment par le programme européen PEGA. L’ANSSI cite en exemple le rachat de RCS Lab par Cy4Gate. RCS Labs est connu pour son logiciel espion Hermit, que l’on a pu observer en activité au Kazakhstan l’année dernière, pour espionner des terminaux Android pendant les manifestations qui y avaient lieu.
Des sous, des sous, encore des sous
Les gains financiers restent de loin la principale finalité des attaques. 2022 a cependant vu une forte évolution dans les méthodes, puisque le nombre rapporté d’attaques par ransomware a chuté de 46 %. Cependant, comme le signale l’ANSSI, la situation générale peut manquer de précisions, car l’Agence ne travaille qu’avec les informations qu’on porte à sa connaissance. Reste que l’écart est conséquent, avec un nombre d’attaques divisé par deux.
Le contexte a en effet beaucoup changé en un an. Si les vecteurs traditionnels de gains financiers se sont maintenus, comme la revente de données personnelles/bancaires et les arnaques plus classiques, d’autres méthodes sont dorénavant plus prisées, comme les bons vieux emails d’hameçonnage.
Leur nombre observé a plus que doublé en un an. Les deux sujets les plus courants sont liés à l’assurance maladie, en pleine explosion, et au service des impôts, toujours en baisse depuis 2021. Une méthode très classique est d’amener la victime à se connecter sur un faux espace santé.
À cela s’ajoute une vaste redistribution des cartes dans les motivations et alignements politiques, engendrée par l’invasion de l’Ukraine. Certains groupes de pirates, proches de Moscou, ont ainsi mis leurs talents et capacités au service du régime. D’autres, au contraire, se sont mis à attaquer la Russie. D’autres encore ont profité de la confusion pour changer radicalement de cible, en s’en prenant par exemple à l’Amérique latine. L’ANSSI note que l’engagement prononcé de certains pays, au premier rang desquels les États-Unis, a pu influencer ces décisions.
Dans tous les cas, elle a observé une recrudescence de l’hacktivisme, dans des groupes comme KillNet, Squad303 et l’IT Army of Ukraine. Exfiltration de données, défigurations de sites web, divulgation de données dans des campagnes d’informations et attaques distribuées par déni de service sont les principales armes utilisées. Si les cibles se trouvent essentiellement en Europe et Amérique du Nord, l’ANSSI note que leur couverture médiatique est disproportionnée, car le niveau de compétences mis en œuvre et les dégâts sont relatifs.
Les tendances se confirment en France
Et en France ? Les PME, PMI et ETI sont toujours en tête des victimes, représentant 40 % des attaques, suivies par les collectivités territoriales (23 %) et les établissements de santé (10 %), de loin les plus médiatisés. Les ransomwares, même moins utilisés, génèrent toujours des gains importants pour leurs utilisateurs. Les trois souches les plus rencontrées sont LockBit, Hive et BlackCat. L’Agence indique en outre que les pirates ont actuellement une préférence pour la multiplication des attaques de moindre envergure.
Le chantage à la perte des données a encore de beaux jours devant lui, mais ce n’est qu’une partie du problème. Dans la nuit du 20 au 21 aout par exemple, le Centre Hospitalier Sud Francilien a été victime d’un rançongiciel. Non seulement le Centre a dû fonctionner en mode « dégradé », mais 11 Go de données ont en outre été partagés sur le forum du groupe cybercriminel Lockbit, qui avait revendiqué l’attaque.
Y figuraient notamment les données médicales et hautement personnelles de nombreux patients et d’une partie du personnel médical. Ces informations peuvent faire à leur tour l’objet de campagnes de chantage ou simplement d’hameçonnage, avec un haut degré de personnalisation.
Dans ce genre de cas, l’intervention de l’ANSSI est directe. Des experts sont envoyés pour aider à la récupération après incident, pour aider les équipes techniques de la structure et les prestataires sur place. En revanche, et comme indiqué par l’Agence, la « reconstruction sécurisée du système d’information ainsi que le retour à un fonctionnement nominal nécessiteront un travail de long terme ».
Failles de sécurité : l’agacement de l’ANSSI
On le sait, les vulnérabilités sont à la base d’un grand nombre d’attaques informatiques. La mauvaise configuration, voire son absence complète, jouent également un rôle majeur.
Dans ce domaine, l’Agence fait une fois de plus remarquer que « de nombreux incidents observés par et rapportés à l’ANSSI au cours de l’année 2022 ont pour origine l’exploitation de vulnérabilités disposant pourtant de correctifs mis à disposition par les éditeurs et ayant fait l’objet d’avis ou de bulletins d’alerte, toujours disponibles sur le site du CERT-FR ».
En clair, ce devrait être fait depuis longtemps, et ce n’est toujours pas le cas. Pour les plus critiques de ces failles, des publications sont même réalisées pour expliquer en long, en large et en travers les dangers, les causes et les méthodes d’atténuation des risques, quand un correctif n’est pas immédiatement disponible.
Les failles touchent malheureusement des logiciels très courants. Pour ceux-là, l’ANSSI note que certaines des vulnérabilités les plus activement exploitées sont corrigées depuis… 2021. On y retrouve l’une des fameuses vulnérabilités d’Exchange qui avaient fait tant couler d’encre. De nombreuses entreprises et autres structures ont été victimes de vols de données, alors que les failles ont toutes été corrigées entre avril et mai 2021. D’autres produits courants ont été concernés, comme Apache, Confluence, GLPI, Zimbra ou encore Workspace One de VMware.
L’ANSSI insiste une fois de plus sur le niveau d’adaptation des cybercriminels, qui se tournent rapidement vers les nouvelles technologies ou certains usages quand ils deviennent suffisamment courants. C’est le cas notamment de la virtualisation, largement prisée pour sa flexibilité. Des pirates ont donc commencé à s’en prendre aux hyperviseurs, composants clés servant de chefs d’orchestre dans ces infrastructures.
En septembre 2022, Mandiant et VMware ont ainsi averti que l’hyperviseur de vSphere avait été ciblé avec succès pour déployer des portes dérobées nommées VirtualPita et VirtualPie. Une fois le chef d’orchestre compromis, il devient possible en effet de déployer du code malveillant dans les machines virtuelles dont il a la charge.
L’ANSSI va plus loin en indiquant avoir observé plusieurs incidents de ce type en 2022, avec à chaque fois les deux mêmes constats : les attaquants étaient tous de type étatique et ont à chaque fois réussi à prendre le contrôle des machines virtuelles.
Le cloud accentue la pression
Si vous avez lu notre récent lexique sur le cloud, vous avez peut-être pensé à ce dernier en abordant la virtualisation. Les sujets sont liés, et « l’informatique nuagique » est elle aussi abordée par le rapport, car les ESN (entreprises de services numériques) « participent aussi à l’augmentation de la surface d’attaque potentielle des organisations ». En outre, elles peuvent être directement exploitées, par exemple en les intégrant à une infrastructure attaquante, voire en leur faisant directement miner des cryptoactifs.
Le cloud en lui-même est considéré comme faisant peser une menace croissante, par sa généralisation et le déploiement toujours plus important des solutions SSO (Single Sign-On). Cette menace se perçoit surtout dans la pression mise sur les cookies de session.
On se rappelle d’ailleurs qu’il y a quelques mois, Microsoft avertissait des risques à ce sujet, car des cybercriminels pouvaient mettre en place un faux serveur relai pour l’authentification à deux facteurs, exploitable par l’envoi de liens malveillants. C’est l’une des cibles prioritaires des stealers, comme ce fut le cas chez Okta en mars 2022, attaquée par le groupe LAPSUS$ (voir notre article).
Les attaques sur les ESN elles-mêmes, donc sur la chaine d’approvisionnement (supply chain), ont en revanche été moins nombreuses en 2022.
Pour l’Agence, il n’y a pas 36 solutions : « L’application rigoureuse d’une politique de mises à jour et du Guide d’hygiène informatique de l'ANSSI, une sensibilisation régulière des utilisateurs et le développement de capacités de détection et de traitement d’incident permettent de se prémunir des menaces les plus courantes ».
Elle rappelle également l’arrivée de la directive européenne NIS 2 (ou SRI 2). Transposée dans le droit français au plus tard en septembre 2024, elle renforcera les pouvoirs de supervision de l’ANSSI et élargira nettement son périmètre de surveillance, notamment en prenant en compte les problématiques de la chaine d’approvisionnement. L’ANSSI, comme elle l’indique, pourra alors « imposer des exigences de sécurité plus importantes aux entreprises concernées », permettant « d’induire une augmentation du niveau de maturité des organisations ».
Commentaires (4)
#1
Sur ce point spécifique, on n’aura aucune solution tant qu’on laissera le pouvoir aux techos qui pensent être à l’abri de tels sujets parce que (choisir les éléments applicables suivant le contexte) :
C’est l’avantage des modèles d’infrastructures scriptés et automatisés, ça permet de bien limiter le risque interne, et d’être scalable dans la résolution des problèmes de sécurité.
#1.1
Les technos n’ont pas le pouvoir (sauf dans quelles entreprises). Ayant bossé dans plusieurs ESN, je peux t’assurer que le pouvoir est détenu par des analphabètes du numériques.
Si le pouvoir appartenait au technos de 1. j’aurais pu faire cramer en place publique (façon Leodagan) mon crétin de manager d’HEC qui parlait de technologie comme moi de littérature française. 2. J’aurais étripé le service commercial qui nous a fait acheté des licences MS pour un environnement pro Linux ainsi que des machines HP toute pourris. 3. Redistribué correctement l’argent avec plus d’argent pour ce qui produisent la richesse et non ceux qui la vendent. 4. En finir avec le shadow IT pour pouvoir réaliser correctement sa mission. 5. Réduire le turn-over pour maintenir les gens compétents et les fidéliser.
Étrangement, quand j’ai connu à l’étranger (US, Norvège et Japon) des boîtes tenus par des techs (déjà tous avait un PhD, un vrai !), et franchement c’était la tech qui donnait les ordres en s’entourant des gens nécessaires pour la partie commerciale et direction. Alors certes, elles avaient pas le CA d’un Google, d’Aker Solution ou de Mitsubishi mais au moins les employés était écoutés, heureux d’aller bosser et de faire en sorte que la boîte tourne. Peut-être est-ce lié à la culture du travail (j’en conviens qu’entre un nordique et un japonais, ça détonne !).
. Le NTFS est journalisé, non ? Et puis si c’est pas grave, j’aurais une journée à glander le temps que ce soit réparé (pas les droits admins)… Et bien sûr à coté de ça, tu as tout le cancer de la boîte qui eux ont les droits admins pour leur machine mais sont aussi irresponsable que des enfants qui conduirait une Ferrari dans le coeur de Paris. (Oui, Gérard je parle de toi qui matte du porno sur ton Windows au boulot en lançant le navigateur en admin pour contourner les sécurités || de toi Gilbert, qui branche les clés USB du client avec un script autorun en toute quiétude). Je dévie du sujet de la news, mais c’est bien pour illustrer que non, la Tech ne domine pas toujours (et c’est même très loin d’être le cas).
A l’inverse, en France les boîtes que j’ai connu (car je fais que ça de tourner car aucune ne me satisfait mais faut bien aider à combler les trous de la dette soit disant pour 3% de ces fous aliénés de soit disant économistes) ne sont interessé que par le chiffre, le chiffre et le chiffre. Elles vendent des licornes, de la merde au client (et certains savent que ça en ait mais ils n’ont pas le choix car sinon leur projet n’avance pas, alors vaut mieux un Karadoc que rien) tant que ça rapporte.
La conséquence de ça, et je suis certainement pas la seule à l’avoir expérimenté, c’est d’en avoir rien à foutre de ce qui arrive à toi boîte ! Les MAJ pas faite : “M’en fout, j’ai pas les droits admins !”, Windows qui veut est toujours pas éteint à 17h ? -> Arrêt sauvage
A la place, elle aime bien ce que tu décris : “C’est l’avantage des modèles d’infrastructures scriptés et automatisés, ça permet de bien limiter le risque interne, et d’être scalable dans la résolution des problèmes de sécurité. car si sa foire, on va envoyer nos avocats à la boîte qui nous a fourni le service. En somme, on est une ESN mais on ne sait pas faire du numérique ! Par contre on sait sucer l’argent du contribuable pour financer des projets qui ne marche pas souvent où qu’on surfacture (que ce soit à des instituts publiques ou à d’autres boîtes privés).
L’ANSSI devrait s’intéresser à la cause de ses failles d’origines humaines qui ont très (trop) souvent pour origine l’incompétence en technique et managériales des équipes de directions. Peut-être que ça serait un bon point de départ. Après tout, la plus grosse faille est entre la chaise et le clavier.
#2
Pourquoi t’en prends-tu aux techos ? La plupart rêve de pouvoir maintenir les projets, garder des outils à jour, etc. Ce ne sont hélas que des exécutants, devant quémander à leur direction le droit de faire de la maintenance - vu uniquement comme un poste de dépense - plutôt que d’autres tâches qui, elles, permettent de facturer et donc faire du chiffre. Il y a bien quelques exceptions dans quelques boîtes ou services à la noix, mais globalement les “techos” sont les premiers à déplorer la situation, souhaiteraient juste pouvoir bien faire leur métier, et se font systématiquement réprimer par leur petit chef.
Ce n’est pas le seul soucis, mais ça en est un, et je trouve vraiment dommage de se tromper de cible comme ça.
#3
Je ne m’en prends pas à toutes les personnes techniques, mais au cliché du techos qui sait tout mieux que tout le monde, et qui décide de quelles règles sont valables pour lui ou non.
Sur tous les incidents de sécurité auquel j’ai dû répondre, une très grande majorité de ces crises est déclenchée/aggravée par un franc-tireur qui régnait sur son petit royaume dans son coin.
Le problème, c’est que personne n’a conscience d’avoir une bombe à retardement dans le SI, aucun management, aucune remontée consolidée, rien. Et ça, c’est critique.
Le manque de maintenance, à la décharge des équipes IT/DSI, est généralement indépendant de leur volonté, et vient des différents métiers qui freine des quatre fers à l’idée d’une quelconque opération sur ses services. Pour avoir une vision centrée sur l’Europe maintenant, c’est beaucoup moins présent dans d’autres pays; je pense qu’en France on a encore du travail pour que l’on sorte enfin de la sacro-sainte “fonction support”. Tant que la sécurité reportera à la technique qui reportera à la DSI qui elle-même reportera à la finance et que c’est la finance qui est au même niveau que les métiers, ça n’évoluera qu’à la marge.