L’ANSSI a publié récemment son panorama 2022 sur la cybersécurité en France. En dépit de chiffres étonnamment moins élevés, l’agence met en garde : les apparences sont trompeuses. Le niveau de sophistication des attaques continue de grimper, tandis que leur attribution devient plus complexe.
La situation de la cybersécurité a-t-elle évolué en France durant l’année écoulée ? Oui et non. Oui, parce que les techniques se sont affinées et que les pirates – qu’ils soient isolés, en groupes, soutenus ou non par des États – brouillent les frontières. Non, car avec le contexte tendu qu’est la guerre en Ukraine, on se serait attendu à une flambée dans ce domaine. Il n’en a rien été, et les chiffres ont même baissé.
On est ainsi passé de 1 082 intrusions avérées en 2021 à 831 en 2022. De quoi se réjouir ? pas vraiment, comme on le verra plus loin. Mais pour l’Agence nationale de la sécurité des systèmes d'information, il n’y a pas de quoi s’emballer : un nombre d’attaques en baisse peut avoir plusieurs significations, comme une hausse des attaques non détectées.
Même si l’on table sur une baisse réelle – et c’est a priori le cas –, la situation reste complexe. Les méthodes utilisées par les pirates n’ont dans l’absolu guère changé, mais elles s’entrecroisent, mélangeant les techniques que l’on pensait réservées à des cibles de haute volée et celles davantage vues dans les attaques visant le grand public. Cette porosité brouille les pistes. Surtout, les PME/PMI restent de loin les cibles de choix.
Avant de plonger dans le détail, il faut garder en mémoire que l’ANSSI surveille essentiellement les secteurs stratégiques, sur la base des informations qui lui sont rapportées.
Une recherche croissante de furtivité
Cette porosité se retrouve dans nombre d’attaques de type déstabilisation, comme le 15 juillet 2022 en Albanie. Là-bas, des infrastructures publiques ont été visées par des ransomwares et wipers (qui effacent toutes les données), provoquant l’indisponibilité temporaire de plusieurs services numéraires et de sites gouvernementaux.
Parallèlement, des techniques plus sophistiquées se sont répandues. L’ANSSI cite le cas de DarkCrystal RAT (pour « Remote Administration Tool »), une porte dérobée modulaire mise en vente sur des forums russes en 2018. Elle est dite « modulaire » car elle offre de nombreuses capacités et peut s’adapter à l’objectif visé. Son faible coût – à peine 500 roubles pour deux mois – a assuré son succès, comme le prouve par exemple l’utilisation du mode opératoire Sandworm en 2022 contre des organisations ukrainiennes, mode se servant de DarkCrystal RAT.
Ce mélange des méthodes, techniques et outils participe « aux difficultés de caractérisation de la menace ». Un phénomène accentué par l’utilisation accrue d’outils open source (Mythic, Sliver, etc.) et/ou commerciaux (comme Brute Ratel), à l’instar de Cobalt Strike. Pire, des alternatives à ces mêmes outils sont apparues, compliquant encore le travail des enquêteurs et chercheurs.
Une utilisation de plus en plus intensive de ces outils témoigne, selon l’ANSSI, d’une « recherche de discrétion des attaquants ». Brouiller autant que possible les pistes pour empêcher que l’on remonte jusqu’à l’origine de l’attaque. Le nombre désormais varié d’outils et méthodes aide les attaquants à se camoufler, voire à détourner l’attention vers d’autres acteurs.
Ce besoin de furtivité se retrouve jusque dans les activités de cryptominage. Les terminaux infectés sont parfois plus difficiles à détecter. L’activité y est en effet moins forte, soit parce que les pirates baissent volontairement la charge des calculs, soit parce qu’ils utilisent des versions plus optimisées. L’objectif est dans tous les cas de baisser la charge CPU, pour que les ralentissements ne soient plus perceptibles.
Pour accentuer cette discrétion, les pirates changent petit à petit leurs cibles. Les plus prisées ? Les équipements périphériques, tels que les pare-feux et routeurs. Les avantages sont multiples : leur sécurité n’est pas aussi bien assurée qu’elle le devrait, ils sont discrets et persistants. Conséquence, les attaquants se retrouvent dans une position idéale pour non seulement observer ce qui y transite, mais en plus faire participer ces mêmes équipements dans d’autres scénarios, notamment pour masquer leurs traces, par exemple en anonymisant les communications.
L’ANSSI cite l’exemple du mode opératoire APT31, qui consiste à viser des routeurs de marques Pakedge, Cyberoam et Cisco pour constituer une architecture de type Command & Control (C2). Ce type d’attaque avait été menée en 2021 contre une entité française à la présence internationale (mais qui n’est pas nommée). Les pirates avaient réussi leur coup, retrouvant un accès aux terminaux du réseau interne, qu’ils avaient perdu au cours d’une remédiation précédente. Des informations techniques et des données métier avaient ainsi été dérobées.
À ce tableau déjà complexe viennent s’ajouter les activités des entreprises spécialisées dans la lutte informatique offensive, que l’ANSSI qualifie de très actives, « malgré les révélations sur le programme Pegasus de NSO Group en 2021 ». Une surveillance particulière de ce secteur est assurée, notamment par le programme européen PEGA. L’ANSSI cite en exemple le rachat de RCS Lab par Cy4Gate. RCS Labs est connu pour son logiciel espion Hermit, que l’on a pu observer en activité au Kazakhstan l’année dernière, pour espionner des terminaux Android pendant les manifestations qui y avaient lieu.
Des sous, des sous, encore des sous
Les gains financiers restent de loin la principale finalité des attaques. 2022 a cependant vu une forte évolution dans les méthodes, puisque le nombre rapporté d’attaques par ransomware a chuté de 46 %. Cependant, comme le signale l’ANSSI, la situation générale peut manquer de précisions, car l’Agence ne travaille qu’avec les informations qu’on porte à sa connaissance. Reste que l’écart est conséquent, avec un nombre d’attaques divisé par deux.
Le contexte a en effet beaucoup changé en un an. Si les vecteurs traditionnels de gains financiers se sont maintenus, comme la revente de données personnelles/bancaires et les arnaques plus classiques, d’autres méthodes sont dorénavant plus prisées, comme les bons vieux emails d’hameçonnage.
Leur nombre observé a plus que doublé en un an. Les deux sujets les plus courants sont liés à l’assurance maladie, en pleine explosion, et au service des impôts, toujours en baisse depuis 2021. Une méthode très classique est d’amener la victime à se connecter sur un faux espace santé.
À cela s’ajoute une vaste redistribution des cartes dans les motivations et alignements politiques, engendrée par l’invasion de l’Ukraine. Certains groupes de pirates, proches de Moscou, ont ainsi mis leurs talents et capacités au service du régime. D’autres, au contraire, se sont mis à attaquer la Russie. D’autres encore ont profité de la confusion pour changer radicalement de cible, en s’en prenant par exemple à l’Amérique latine. L’ANSSI note que l’engagement prononcé de certains pays, au premier rang desquels les États-Unis, a pu influencer ces décisions.
Dans tous les cas, elle a observé une recrudescence de l’hacktivisme, dans des groupes comme KillNet, Squad303 et l’IT Army of Ukraine. Exfiltration de données, défigurations de sites web, divulgation de données dans des campagnes d’informations et attaques distribuées par déni de service sont les principales armes utilisées. Si les cibles se trouvent essentiellement en Europe et Amérique du Nord, l’ANSSI note que leur couverture médiatique est disproportionnée, car le niveau de compétences mis en œuvre et les dégâts sont relatifs.
Les tendances se confirment en France
Et en France ? Les PME, PMI et ETI sont toujours en tête des victimes, représentant 40 % des attaques, suivies par les collectivités territoriales (23 %) et les établissements de santé (10 %), de loin les plus médiatisés. Les ransomwares, même moins utilisés, génèrent toujours des gains importants pour leurs utilisateurs. Les trois souches les plus rencontrées sont LockBit, Hive et BlackCat. L’Agence indique en outre que les pirates ont actuellement une préférence pour la multiplication des attaques de moindre envergure.
Le chantage à la perte des données a encore de beaux jours devant lui, mais ce n’est qu’une partie du problème. Dans la nuit du 20 au 21 aout par exemple, le Centre Hospitalier Sud Francilien a été victime d’un rançongiciel. Non seulement le Centre a dû fonctionner en mode « dégradé », mais 11 Go de données ont en outre été partagés sur le forum du groupe cybercriminel Lockbit, qui avait revendiqué l’attaque.
Y figuraient notamment les données médicales et hautement personnelles de nombreux patients et d’une partie du personnel médical. Ces informations peuvent faire à leur tour l’objet de campagnes de chantage ou simplement d’hameçonnage, avec un haut degré de personnalisation.
Dans ce genre de cas, l’intervention de l’ANSSI est directe. Des experts sont envoyés pour aider à la récupération après incident, pour aider les équipes techniques de la structure et les prestataires sur place. En revanche, et comme indiqué par l’Agence, la « reconstruction sécurisée du système d’information ainsi que le retour à un fonctionnement nominal nécessiteront un travail de long terme ».
Failles de sécurité : l’agacement de l’ANSSI
On le sait, les vulnérabilités sont à la base d’un grand nombre d’attaques informatiques. La mauvaise configuration, voire son absence complète, jouent également un rôle majeur.
Dans ce domaine, l’Agence fait une fois de plus remarquer que « de nombreux incidents observés par et rapportés à l’ANSSI au cours de l’année 2022 ont pour origine l’exploitation de vulnérabilités disposant pourtant de correctifs mis à disposition par les éditeurs et ayant fait l’objet d’avis ou de bulletins d’alerte, toujours disponibles sur le site du CERT-FR ».
En clair, ce devrait être fait depuis longtemps, et ce n’est toujours pas le cas. Pour les plus critiques de ces failles, des publications sont même réalisées pour expliquer en long, en large et en travers les dangers, les causes et les méthodes d’atténuation des risques, quand un correctif n’est pas immédiatement disponible.
Les failles touchent malheureusement des logiciels très courants. Pour ceux-là, l’ANSSI note que certaines des vulnérabilités les plus activement exploitées sont corrigées depuis… 2021. On y retrouve l’une des fameuses vulnérabilités d’Exchange qui avaient fait tant couler d’encre. De nombreuses entreprises et autres structures ont été victimes de vols de données, alors que les failles ont toutes été corrigées entre avril et mai 2021. D’autres produits courants ont été concernés, comme Apache, Confluence, GLPI, Zimbra ou encore Workspace One de VMware.
L’ANSSI insiste une fois de plus sur le niveau d’adaptation des cybercriminels, qui se tournent rapidement vers les nouvelles technologies ou certains usages quand ils deviennent suffisamment courants. C’est le cas notamment de la virtualisation, largement prisée pour sa flexibilité. Des pirates ont donc commencé à s’en prendre aux hyperviseurs, composants clés servant de chefs d’orchestre dans ces infrastructures.
En septembre 2022, Mandiant et VMware ont ainsi averti que l’hyperviseur de vSphere avait été ciblé avec succès pour déployer des portes dérobées nommées VirtualPita et VirtualPie. Une fois le chef d’orchestre compromis, il devient possible en effet de déployer du code malveillant dans les machines virtuelles dont il a la charge.
L’ANSSI va plus loin en indiquant avoir observé plusieurs incidents de ce type en 2022, avec à chaque fois les deux mêmes constats : les attaquants étaient tous de type étatique et ont à chaque fois réussi à prendre le contrôle des machines virtuelles.
Le cloud accentue la pression
Si vous avez lu notre récent lexique sur le cloud, vous avez peut-être pensé à ce dernier en abordant la virtualisation. Les sujets sont liés, et « l’informatique nuagique » est elle aussi abordée par le rapport, car les ESN (entreprises de services numériques) « participent aussi à l’augmentation de la surface d’attaque potentielle des organisations ». En outre, elles peuvent être directement exploitées, par exemple en les intégrant à une infrastructure attaquante, voire en leur faisant directement miner des cryptoactifs.
Le cloud en lui-même est considéré comme faisant peser une menace croissante, par sa généralisation et le déploiement toujours plus important des solutions SSO (Single Sign-On). Cette menace se perçoit surtout dans la pression mise sur les cookies de session.
On se rappelle d’ailleurs qu’il y a quelques mois, Microsoft avertissait des risques à ce sujet, car des cybercriminels pouvaient mettre en place un faux serveur relai pour l’authentification à deux facteurs, exploitable par l’envoi de liens malveillants. C’est l’une des cibles prioritaires des stealers, comme ce fut le cas chez Okta en mars 2022, attaquée par le groupe LAPSUS$ (voir notre article).
Les attaques sur les ESN elles-mêmes, donc sur la chaine d’approvisionnement (supply chain), ont en revanche été moins nombreuses en 2022.
Pour l’Agence, il n’y a pas 36 solutions : « L’application rigoureuse d’une politique de mises à jour et du Guide d’hygiène informatique de l'ANSSI, une sensibilisation régulière des utilisateurs et le développement de capacités de détection et de traitement d’incident permettent de se prémunir des menaces les plus courantes ».
Elle rappelle également l’arrivée de la directive européenne NIS 2 (ou SRI 2). Transposée dans le droit français au plus tard en septembre 2024, elle renforcera les pouvoirs de supervision de l’ANSSI et élargira nettement son périmètre de surveillance, notamment en prenant en compte les problématiques de la chaine d’approvisionnement. L’ANSSI, comme elle l’indique, pourra alors « imposer des exigences de sécurité plus importantes aux entreprises concernées », permettant « d’induire une augmentation du niveau de maturité des organisations ».
