Analyse

Coup d’œil dans le cyber-rétro : retour sur Panocrim

Le 4 février 2020 par Pierre-Yves Amiot & Alfred Huot de Saint Albin

Le mardi 21 janvier 2020 se tenait le 20ème Panorama de la cybercriminalité (Panocrim) du Club de la Sécurité de l’Information Français (CLUSIF). Cet évènement, qui regroupe les experts français et européens du sujet, permet de revenir sur les événements majeurs qui ont marqué l’actualité de l’année écoulée, et de dégager des tendances pour l’année qui vient.

Pour cette édition anniversaire, un constat s’impose : le nombre de cyberattaques et autres incidents informatiques malveillants n’a cessé de croître et si les menaces d’hier sont toujours très prégnantes (phishing, vers informatiques), les méthodes des cybercriminels se sont largement diversifiées. Industrialisation, professionnalisation et massification des cyberattaques forment un constat partagé par tous les intervenants. 

 

2019 : l’année des rançongiciels

L’année 2018 pouvait être considérée comme l’année des fuites d’informations : le Panorama avait alors mis en exergue la hausse du nombre de cas des fuites de données, notamment avec l’affaire Cambridge Analytica. Des compromissions de données ont également été identifiées en 2019, avec entre autres l’exposition des données de près de 106 millions de clients de Capital One, ou des informations financières de 8 millions de clients de la Banque Desjardins.

Une menace plus importante aura toutefois pris le pas sur les fuites de données : les rançongiciels. Ces logiciels qui paralysent l’activité des entreprises en chiffrant leurs données, ont été particulièrement virulents cette année : les établissements de santé ont été principalement visés, notamment aux Etats-Unis où 764 cas ont été recensés (loin devant les administrations des villes, pourtant plus médiatiques), mais aussi en France avec l’exemple récent de l’hôpital de Rouen. Le temps nécessaire à la reprise d’activité s’est allongé, passant de 7 à 9 jours, preuve de la complexité de ces attaques, et le montant des rançons exigées peut être très significatif. 

Une nouvelle tendance semble d’ailleurs émerger pour 2020 avec le principe du « Name & Shame » : les cybercriminels ne se contentent plus de chiffrer les données et réclamer une rançon, mais dérobent les informations sensibles de l’entreprise au préalable, et menacent celles-ci de divulguer les données volées si elles ne coopèrent pas. Au-delà de l’impact d’image – les entreprises ne peuvent plus cacher la cyberattaque puisque celle-ci est révélée par le pirate – elles s’exposent à des risques juridiques et financiers, notamment au regard du règlement général sur la protection des données et de la violation de données. 

 

2019 : l’année du bluff

Dans un esprit similaire, 2019 a vu les fraudeurs multiplier les chantages à la webcam (« sextorsion », crypto-porno). L’éclairage de Catherine CHAMBON, sous-directrice de la lutte contre la cybercriminalité à la Direction centrale de la police judiciaire, a permis de réaliser l’ampleur du phénomène en France. 28 000 victimes (et combien qui n’ont pas prévenu la police ?), 1 million d’euros extorqué (et finalement récupéré), et deux français de 19 et 20 ans arrêtés. De même pour l’affaire GateHub (piratage d’une plateforme de crypto monnaie), 8 millions d’euros dérobés, des français arrêtés et 6 millions récupérés. 

Ces deux affaires sont l’occasion de souligner l’importance du dépôt de plainte, permettant l’identification des auteurs de piratage, leur arrestation et le dédommagement des victimes. En ce sens, la montée en puissance de la plateforme Pharos (recensant 4 395 signalements par semaine) et bientôt le projet Thésée (mars 2020) pour le dépôt de plainte en ligne, facilitent le signalement pour les victimes. 

 

2019 : l’année des faux-semblants 

Le principe d’attribution dans le cyber-espace a toujours été très complexe : longtemps, un Etat à l’origine d’une attaque contre un autre pays cherchait à dissimuler ses traces, évitant ainsi de se faire démasquer et ed se retrouver accusé par la communauté internationale. La donne a légèrement changé en 2019, puisque de nombreux criminels étatiques, c’est-à-dire soutenus par des gouvernements et agissant avec leur soutien, au moins implicite, cherchent à fausser cette attribution. C’est ainsi que de nombreuses attaques ont été réalisées au sein d’un « Brouillard de Guerre » cher à Clausewitz, en employant les armes des adversaires, en compromettant des infrastructures informatiques de pays tiers, en copiant des modus operandi d’autres organisations criminelles pour brouiller les pistes. 

L’appropriation d’outils cyber malveillants très sophistiqués par des pirates de plus faible niveau technique a d’ailleurs été dénoncée comme un problème majeur renforçant cette confusion entre attaques étatiques et attaques criminelles traditionnelles.

De même, les derniers développements des affaires Shadow Hammer et Cloud Hopper ont montré la patience des cybercriminels, qui s’attaquent à la supply chain dans le but d’atteindre leur cible finale, parfois sur un très petit périmètre. Ainsi pour le cas Shadow Hammer, le software de mise à jour du fabricant Asus avait été ciblé, pour au final cibler quelques 600 utilisateurs via leurs adresses MAC et quelques adresses de modems 3G. 

Certains spécialistes voient aussi dans l’essor des Deepfakes, ces vidéos permettant de permuter des visages ou des voix avec un réalisme saisissant, une menace supplémentaire pouvant notamment peser sur les élections prochaines, tant aux Etats-Unis qu’en France. Ces ingérences étrangères sont redoutées, et de nombreux pays légifèrent sur cette question, notamment la Chine qui a criminalisé la réalisation de deepfakes, ou la Californie qui souhaite également interdire ces trucages. 

L’année 2019 aura aussi montré des attaques étatiques beaucoup plus frontales, avec l’introduction de la notion de « bomb back » ou « retour à l’envoyeur » : en réponse à une attaque informatique du Hamas, l’armée Israélienne a détruit le quartier général des assaillants.

Source 

 

2019 : Plusieurs modèles de communication de crise

Le Panorama a été aussi l’occasion de distinguer trois modèles de communication de crise, même si tous s’accordent sur la nécessité de se poser les bonnes questions (pourquoi communiquer ? vers qui communiquer ? par qui communiquer ?) et planifier en temps de non-crise les comportements et procédures à tenir en temps de crise. 

En France, le retour d’expérience montre une tendance à la discrétion, à la communication réalisée par le chef d’entreprise ou par un ou deux communiqués de presse. La communication se fait a posteriori. 

À l’inverse, la Norvège avec le cas Norsk Hydro, a opté pour la transparence totale : les journalistes sont informés en temps réel, voire intégrés dans la cellule de communication de crise. Aux Etats-Unis, les villes américaines touchées par les rançongiciels ont opté pour la communication via les réseaux sociaux, directes et indépendantes de l’infrastructure des villes. 

 

« Un temps que les moins de 20 ans… »

Dire que l’insouciance régnait au début de l’informatique serait faux. La diffusion d’archives vidéo, montrant les préoccupations des premiers utilisateurs d’internet, nous l’a rappelé.

Quelques motifs de satisfaction ont toutefois été mis en exergue par les intervenants. Tout d’abord, c’est qu’au-delà de menaces très sophistiquées, des règles simples permettent de se prémunir de nombreuses attaques, comme l’usage d’identifiants dépersonnalisés ou des mots de passes complexes et uniques.

Enfin, l’ENISA, représentée par Jean-Baptiste DEMAISON a mis en exergue l’importance de l’Union Européenne dans l’accompagnement à la sécurisation des systèmes d’information, et le rôle prépondérant que pourront jouer les CSIRT pour répondre aux incidents les plus importants dans un esprit d’étroite collaboration internationale.

La collaboration, et le partage d’expérience, sont justement les valeurs premières du CLUSIF. Depuis plus de 20 ans, l’association a opéré une veille continue et a suivi l’évolution et les tendances cybercriminelles pour mieux les restituer dans la communauté. Bon anniversaire donc, et à l’année prochaine !

 

Pierre-Yves Amiot

et

Alfred Huot de Saint Albin