Dans un contexte de crise sanitaire et économique dû à l’expansion du Covid-19, les experts de la sûreté alertent quant à l’augmentation du nombre d’attaques informatiques visant à s’emparer des informations sensibles de hauts fonctionnaires ainsi que de travailleurs du secteur privé officiants depuis leur domicile. La moindre crise, minime soit-elle, est utilisée par les hackeurs pour récolter des informations sur des cibles affaiblies. A ce jour, nombre d’entreprises ne sont pas encore en capacité de soutenir une migration numérique soudaine et massive vers le domicile de leurs salariés.
Cette hausse, de ce que l’on peut qualifier comme appartenant au domaine de la cybercriminalité, est directement liée à l’atmosphère anxiogène générée par la pandémie de Covid-19 qui fait office de façade pour tromper les victimes dans l’exécution de logiciels malveillants.
Dans un monde ultra-connecté, la moindre crise si minime soit-elle, est utilisée par les hackeurs pour récolter des informations sur des cibles affaiblies. Les personnes ciblées par ces attaques sont des employés en télétravail sur divers réseaux sécurisés, ou non. A ce jour, toutes les entreprises ne sont pas en capacité de soutenir une migration numérique soudaine et massive vers le domicile de leurs salariés. Dans le contexte de la guerre informationnelle et de compétitivité propre à l’économie de marché, les données appartenant aux entreprises est une ressource primordiale et le manque de sensibilisation de ces dernières en font une cible de choix pour des personnes souhaitant subtiliser des informations.
Le groupe Thalès évoque notamment la multiplication d’applications frauduleuses de suivi du Covid-19 tandis que l’éditeur en sécurité Barracuda Networks enregistre en mars 2020 un bond de 667% du nombre des attaques par e-mail de spear phishing par rapport à la fin du mois de février. Les attaquants utilisent par exemple des e-mails d’hameçonnage ciblés, exploitant le thème du Covid-19 pour jouer sur la peur des utilisateurs.
Début 2020, les campagnes d’hameçonnage étaient au nombre de 137 avant de croître de façon exponentielle le mois dernier en atteignant le chiffre de 1188. On distingue quatre types de campagne de Spears fishing utilisant le biais du coronavirus : l’usurpation d’identité (34%), le scamming ou escroquerie (54%), le sextortion ou blackmail (11%) et la compromission des e-mails professionnels (1%)
Ces attaques sont de plus en plus sophistiquées et utilisent pour un grand nombre d’entre elles le chantage ou le détournement de conversations comprenant des informations privées. Le but est toujours le même : le vol de données personnelles, d’identifiants ainsi que l’extorsion de fonds. La compromission des informations qui transitent entre les différents acteurs d’une entreprise pouvant être fatale pour celle-ci.
Plusieurs acteurs de la sécurité informatique ont aussi pointé du doigt l’explosion du nombre de cyberattaques ces derniers mois. Recored Future, entreprise américaine spécialisée dans le domaine de la cybersécurité et l’analyse de données a observé différents types de logiciels imitant des organismes de confiance comme l’OMS et les Centers for Disease Control and Prevention des américains pour infecter leurs victimes. Les principales cibles de ces attaques sont les entreprises iraniennes, européennes et américaines. Fireeye, entreprise de sécurité informatique américaine a elle constaté une augmentation des attaques provenant de Chine, de Russie et de Corée du Nord dans le but de diffuser des logiciels malveillants. Check Point fournisseur mondial de services de Sécurité du système d’information a identifié à son tour un logiciel qui utilise la peur de l’épidémie via des e-mails et différents sites de suivi du covid-19 pour installer à l’insu de la victime un puissant cheval de Troie donnant un accès à distance à son ordinateur.
Enfin, la société de sécurité d’e-mail Agari a déclaré à Techcrunch(site d’information américain spécialisé dans l’actualité des startups Internet) qu’elle avait été victime d’une attaque qui visait la compromission de messageries électroniques sur le thème de de l’épidémie incitant l’entreprise à verser une rançon pour récupérer ses données. Agari a réussi à identifier un groupe de cyber-attaquants appelé Ancient Tortoise qui utilise des e-mails falsifiés dans le but de tromper les clients d’une entreprise victime.
Au vu de ce constat alarmant, il faut mettre en avant la formation de leurs employés et des responsables de sûreté pour éviter ces incidents récurrents souvent coûteux pour l’entreprise. Sans oublier que les failles en matière de phishing sont avant tout humaines, ce pourquoi il convient tout d’abord de mener une vaste campagne de communication contre les cyber-attaques afin d’informer chaque collaborateur des dangers auxquels il peut être soumis.
Les cybercriminels utilisent la propagation du Covid-19 avec des attaques qui ont été menées d’abord en Asie, puis en Europe de l’Est et à présent en Europe de l’Ouest, entraînant des risques accrus pour les entreprises françaises.
Les auteurs sont souvent indépendants mais une partie d’entre sont des groupes ayant des intérêts communs avec un état commanditaire. Ces derniers sont une réelle puissance de frappe dans la guerre de l’information. Plusieurs de ces groupes ont pu être identifiés lors de cyberattaque utilisant la peur du virus comme leurre. On peut constater que bon nombre de ces attaques ont pour but de déstabiliser les pays cibles. De plus, les attaquants profitent qu’en temps de crise la population soit noyé sous un flux continu d’information pour passer à l’attaque de façon à rester le plus discret possible. Plusieurs groupes sont identifiés :
- Le Groupe Hades (ATP28), d’origine russe, a été le premier groupe de hackers soutenus par un état commanditaire à utiliser le leurre du coronavirus selon le service de renseignement « cyber » de Thales. La firme de cybersécurité QiAnXin (firme de cybersécurité)a annoncé que Hades a mené une campagne de ce type à la mi-février. Ils ont caché un cheval de Troie dans des documents contenant des nouvelles du Covid-19
- TEMP.Armageddon groupe de hackers soutenu par les russes, a lancé une campagne de ‘spear phishing’ avec un document infecté sur le thème du coronavirus contre des cibles en Ukraine.
- Les malwares SOGU et COBALTSTRIKE on été utilisés par TEMP.Hex dans le contexte du coronavirus.
- Un cluster chinois indépendant a lui ciblé la Mongolie en utilisant POISONIVY, une ‘backdoor’ récurrente sur le Dark Web.
- Le groupe Vicious Panda, une APT chinoise, a été démasquée par la compagnie Check Point Research qui a découvert une nouvelle campagne contre le secteur public mongol, qui profite de la peur actuelle du coronavirus, afin de livrer à la cible un implant de malware auparavant inconnu. Un examen plus attentif de cette campagne a permis de la rattacher à d’autres opérations menées par le même groupe anonyme, datant d’au moins 2016. Au fil des années, ces opérations ont ciblé différents secteurs dans plusieurs pays, comme l’Ukraine, la Russie, et la Biélorussie.
- Une ONG sud-coréenne a aussi été prise pour cible avec un leurre ayant pour titre « Correspondance Coronavirus » cette attaque possède plusieurs similitudes avec des activités nord coréennes précédemment observées.
Les entreprises françaises ne seront pas épargnées par l’augmentation de ces attaques sophistiquées dans le contexte de la pandémie. Ces derniers mois des attaques ont eu lieu à l’encontre de l’AP-HP, de la Mairie de Marseille, Essilor ou encore Bretagne Telecom.
Dans les faits, le nomadisme numérique qu’implique le télétravail, acté dans l’urgence, représente un risque majeur pour la sécurité des données des entreprises.
Ces risques peuvent être sur le court comme sur le long terme. Le fonctionnement des APT fait d’elle une ennemie redoutable causant de lourds dommage sur l’image ou la trésorerie de l’entreprise.
Les cybercriminels prennent conscience de ces failles pour en tirer profit. Il est donc nécessaire de rappeler quelques points importants pour éviter ces incidents. L’ANSSI met à la disposition une fiche permettant de prévenir les risques de phishing.
Le Covid-19 et la hausse des échanges non sécurisés mettent en péril la sécurité des entreprises. Tous les plans de continuité d’activités (PCA) des entreprises reposent sur la fiabilité des sauvegardes qui vont permettre de reconstituer le système d’information dans l’état où il se trouvait avant le sa migration ou son arrêt. Une méthode de remédiation bien connue des attaquants dont le premier souci est de détruire ces sauvegardes. Ces PCA ont des vulnérabilités car si les sauvegardes sont chiffrées, impossible pour l’équipe informatique de restaurer les données. Plusieurs entreprises appliquent aussi une stratégie de protection qui s’appuient uniquement sur les failles de sécurité mais celle ci est voué à l’échec car l’entreprise n’est jamais à l’abri d’une faille zeroday.
Enfin, la politique de communication associée à la gestion de crise suite à une attaque, peut être contrainte par les autorités publiques si celles-ci demandent à l’établissement sinistré de de ne pas interrompre son activité afin d’avoir le temps de mener leur enquête. Ceci est particulièrement vrai pour les établissements classés Opérateurs d’intérêts vitaux (O.I.V.) qui doivent se coordonner avec des instances ministérielles ou indépendantes.
Antoine Burande
le Club Sûreté AEGE