27 janvier 2020

CLUSIF : Panorama de la cybercriminalité 20ème édition

Le 21 janvier dernier s’est tenue la 20e édition du panorama de la cybercriminalité organisé par le CLUSIF.

Cet événement, devenu une référence au cours de ces 20 dernières années, est l’occasion de revenir sur les grands faits marquants en matière de cybercriminalité de l’année écoulée.

2019 : l’année de toutes les tromperies

Après une rapide introduction de Loïc Guézo, Gérôme Billois nous dresse un bilan des tromperies en 2019 avec quelques chiffres :

  • Le phishing représente 58% du trafic mondial des emails
  • 65000 fausses applications infestent nos stores (source McAfee)

Il est à signaler également que le champ de ces tromperies s’élargit vers les assistants vocaux (Alexa, Google Home…). En effet, des chercheurs ont mis à jour une tromperie sous la forme de demandes de mots de passe et autres données (semblant légitimes) confidentielles par le biais de ces assistants vocaux.

Des tromperies s’adressant au grand public, mais pas uniquement !

En témoignent des incidents autour du contrôle d’accès, des destructions de serveurs, des incidents wifi avaient émaillé la cérémonie d’ouverture des JO en Corée du Sud en 2018.

Bien entendu, la question de l’attribution de l’attaque s’est rapidement posée. Après analyse du code malveillant, les premières pistes ont mené les professionnels vers la Russie et la Corée du Nord. Une analyse approfondie sur le réseau ouvre ensuite une piste vers la Chine puis à nouveau la Russie…

De cet incident, il faudra retenir deux principaux éléments :

  • Une réelle industrialisation de la tromperie déterminée par l’utilisation d’infrastructures ayant déjà porté des attaques
  • Les attaquants ayant de réelles velléités de brouiller les pistes, il n’est peut-être pas nécessaire de passer du temps à savoir de qui vient l’attaque

Savoir qui a attaqué est souvent la première question, mais n’est jamais le moyen le plus efficace de traiter une crise. Il faut savoir par où est arrivée l’attaque pour corriger.

Rançongiciels, Fléau cyber numéro 1

On apprend que les attaques par messages ne représentent que 10% des attaques totales et que la majorité d’entre elles proviennent de sites web.

La multiplication de ce type d’attaques et des cibles (particuliers/professionnels) ont marqué l’année 2019 avec cependant un objectif commun : l’escroquerie.

2019 a donc été une année chargée de rançongiciels, illustrés par les exemples de :

  • BGH (BidGameHunting) : attaques préparées sur des villes, écoles américaines, mais aussi des campagnes en Espagne ou sur le gouvernement argentin…
  • Des attaques sur les MSP (fournisseur de services) de plus en plus ciblés
  • Quelques attaques de masses : Super Mario, Cr1ptt0r
  • Attaques dans le secteur public : Hopitaux…

Au total, 764 établissements de santé, 113 agences gouvernementales et 89 établissements scolaires ont été touchés et dans chaque cas la même question : doit-on payer la rançon ?

Alors que, le nombre de jours de blocage est passé de 7 (Q1 2019) à pratiquement 10 (Q2 2019) et que, même en cas de versement de la rançon, 8% des données sont en moyenne perdus, il semble bien difficile de répondre aisément à cette question.

On insiste également sur le fait que la facture finale ne se limite pas à la simple rançon en témoigne l’exemple de la ville de Baltimore (rançon de 75000$, mais coût total estimé à 18 millions de $).

Ainsi, une équation plus juste serait :

Facture finale= rançon + durée de paralysie + communication + coût de reprise d’activité….

Que pouvons-nous donc attendre de 2020 ?

Il est fort vraisemblable que les rançongiciels poursuivent leur expansion et que les attaquants activent de nouveaux leviers. Au chiffrement des données s’ajouterait donc la menace de divulgation des données, ou encore de publications officielles portant atteinte aux entreprises touchées ayant décidé d’étouffer l’affaire.

En 2020, les entreprises devront être prêtes, savoir quelle stratégie adopter : transparence, dissimulation, minimisation ?

Communication de crise : quels enseignements ?

Garance Mathias, revient sur les éléments fondamentaux d’une crise : moment qui va imposer l’entreprise à prendre des décisions…

  • Quelle est l’échelle de la crise ?
    • Mineure
    • Majeure
    • Interne/externe
    • Nationale, internationale
  • Quels sont les éléments constitutifs ? Quels sont les impacts ?
    • Soudaineté
    • Perte de confiance
    • Médiatisation

… et insiste sur l’importance de la communication

  • Pourquoi communiquer ?
    • Pour rassurer les collaborateurs, mobiliser les équipes
    • Pour maintenir la confiance (collaborateurs, partenaires)
    • Pour rassurer les investisseurs, fournisseurs
    • Pour être transparent et faire taire la rumeur
    • Pour partager les actions mises en œuvre

Il est indispensable dans ce contexte de déterminer qui portera le message : dirigeant, RSSI/DSI, Directeur/Directrice de la communication, relations publiques ou encore avocats.

2019 a été le témoin de plusieurs crises et de stratégies différentes :

En France :

  • Fleury Michon :  silence radio, aucune communication
  • Eurofins : limitation de la communication centralisée par le dirigeant
  • Altran : incident révélé par la presse en premier lieu suivi d’un communiqué de presse quelques jours après
  • CHU de Rouen, le secret : pas de communication et appel à des experts

À l’international :

  • En Norvège, Norsk Hydro a fait choix d’une communication transparente ouverte, communication en temps réel avec un site web dédié
  • Nouvelle-Orléans : état d’urgence déclaré par le compte twitter officiel de la ville

Ce qu’il faut retenir :

La communication de crise ne s’improvise pas :

  • En amont, et à titre préventif
    • Prévoir un plan de communication
    • Réaliser des simulations ou exercices
  • Pendant la crise
    • Mise en place du plan de communication
    • Réaliser une veille
  • Post crise
    • Faire un retour d’expérience
    • Mettre en œuvre les actions correctrices

Les affaires marquantes menées par la sous-direction de lutte contre la cybercrimalité en 2019

Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité, police nationale dresse un bilan de la menace.

Trois principaux constats :

  • La menace est de plus en plus diffuse
    • Touchant l’ensemble des secteurs d’activité
    • Particuliers, entreprise et institutions
  • Des dominantes traditionnelles
    • Escroqueries de masse, intrusion dans les réseaux d’entreprises
    • Pornographie et terrorisme
  • Une forme nouvelle de cyber menace : le cyber terrorisme
    • Propagande : apologie et provocation aux actes terroristes
    • Intimidation
    • Harcèlement

 Et des affaires marquantes :

  • Affaire crypto porno : deux auteurs interpellés pour un montant total d’1 million d’€
  • Affaire GATEHUB : le braquage du siècle.
    • Piratage d’une plateforme de crypto monnaie
    • Préjudice de 8 millions d’€
    • Récupération par la Police d’environ 6 millions d’€
  • Affaire CHU Rouen : centre hospitalier visé par un rançongiciel
  • Affaire ALTRAN : chiffrement de données, rançons entre 0,5 et 3 millions d’€
  • Affaire jackpotting : piratage distributeurs, peu de réussites, mais beaucoup de tentatives

Un message clé : la nécessité de porter plainte !

À ce titre, le projet THESEE verra la mise en place d’une plateforme de plainte en ligne à compter du 1er mars.

2019, vraiment si différent ?

Arrive enfin le moment tant attendu tu top 5 des password les plus utilisés et les résultats sont… Identiques à l’année précédente 😉

On insistera tout de même sur l’industrialisation de l’exploitation des fuites de mots de passe constatée en 2019.

Avec principalement trois méthodes de brute force pour la récupération de mots de passe :

  • Brute force vertical : dictionnaire
  • Brute force horizontal : comptes ciblés avec un même mot de passe
  • Bourrage d’identifiants : essai de couples (login/mdp) sur différentes plateformes

En 2019, le cas Disney + illustre très bien cette méthode :

À peine la plate-forme mise en ligne, de nombreux comptes étaient déjà en vente sur le darkweb du fait de la réutilisation de couples login/mdp.

L’année aura aussi été marquée par :

  • Un jeu concours sur les réseaux sociaux lancé par une banque demandant de poster une photo de sa carte bancaire sur Twitter… fort heureusement arrêté très rapidement
  • Détection et exploitation de failles majeures sur les VPN de Fortinet, Pulse, Palo Alto
  • Des facteurs humains toujours exploités : appels et courriers frauduleux de personnes se faisant passer pour des experts de l’ANSSI
  • Le social engineering qui sévit toujours avec l’arrivée du deepfake

La supply chain et les tiers au cœur des attaques

On a constaté en 2019 une accélération du nombre d’attaques sur les sous-traitants en 2019.

Selon Gérôme Billois, on peut distinguer deux approches différentes :

  • Cloud Hopper : ayant attaqué HPE, Fujitsu, IBM, CGI avec pour cibles réelles Rio Tinto, American Airlines, Allianz… avec un schéma précis :
    • Cibler un fournisseur et s’installer : intrusion, escalade de privilèges, création d’une persistance, découverte réseau
    • Choix des cibles, exploitation (légitimement) : recherche de cibles, accès aux données, exfiltration

Ces attaques sont difficilement détectables et seules des analyses poussées sur la volumétrie de données, les volumes de stockage, les incohérences d’horaire d’accès ou entre comptes VPN et Windows, pourraient permettre une détection.

  • Shadow Hammer
    • Mars 2019 : révélation de l’attaque Asus Live Updater
    • Intrusion chez Asus et piégeage d’Asus Live Updater (heureusement pas d’intrusion jusqu’aux serveurs de développement)
    • Cible : des adresses MAC précises, 600 identifiées sur 200 échantillons dont des particulières : adresses virtuelles d’un modem 3G
    • Probablement pas que chez Asus : CCleaner en 2017 (700.000 machines touchées pour 40 infectées dans des cibles précises Samsung, Sony, Asus, Fujitsu

Ces attaques sont diffuses et très ciblées/

Les attaques par les Tiers présentent un risque majeur et représentent un vrai challenge pour le futur. À l’heure où bon nombre d’entreprises ont recours à l’externalisation, comment faire confiance à des tiers qui eux aussi sont victimes d’attaques de ce type.

L’évolution des Deepfake

2019 a été marqué par la multiplication de « fake news ».

On a notamment répertorié un deepfake audio ayant permis la récupération de 220 000€ par l’attaquant en se faisant passer pour le PDG de l’entreprise.

L’essor de ce type d’attaque pose la question des moyens de lutte :

  • En Chine, les deepfake sont considérés comme un crime et punis par la loi
  • En Europe le projet JEDI vise à la détection de deepfake

Fort est à parier que le deepfake s’inviterait en 2020 et notamment à l’occasion des élections ce qui posera un réel problème d’intégrité des messages…

2020 risque bien d’être une année charnière sur le sujet.

L’avènement du cloud pour les fuites de données

Vols et expositions de données (identité, biométrie, mots de passe, bancaires, bitcoin…) ont jalonné l’année 2019 dans tous types de secteurs :

  • Github : exposition de code
  • Binance : 7000 bitcoins de perte
  • Académie de Lille : fuite des résultats du bac
  • BruansClub : vente de données de carte bancaire
  • Luscious : plateforme pornographique, leak des données

On retiendra par ailleurs :

  • Le cas de la Banque Capital One victime d’une fuite massive de données. La voleuse ayant communiqué sur les réseaux sociaux a été arrêtée 10 jours après l’attaque. L’enquête révélera qu’elle avait travaillé chez AWS et s’était service de ses connaissances pour exploiter les failles de sécurité chez Capital One. 
  • La fuite de données de la société Desjardins orchestrée par un ancien salarié du département marketing ayant exfiltré des données ensuite revendues
  • Les amendes infligées :
    • Equifax : 700 millions
    • Marriott : 123 millions
    • British airways 183 millions
  • Les nouveaux usages des données volées :
    • Déclaration d’impôts
    • Utilisation de trottinettes avec cartes volées

Le cyber un levier classique dans la géopolitique ?

Loïc Guezo insiste sur le fait que l’aspect « Cyber » est de plus en plus présent dans les conflits géopolitiques, cela devient une pratique d’usage.

En bref :

  • En 2019, on en découvre un peu plus sur les dessous de STUXNET. Outre les USA et l’Israël, l’Allemagne, la France et la Hollande seraient impliqués.
  • L’APT Dark universe : lié à la fuite shadow broker de la NSA a elle aussi aussi révélé quelques informations.
  • Les premiers « bomb back » de la part d’Israël sur les headquarters cyber du Hamas
  • Augmentation de l’usage du cyber par les USA contre l’Iran en 2019 avec une réponse iranienne en 2020 avec déffacement d’un site américain
  • La Chine aurait, elle, procédé au piratage de plusieurs opérateurs télécoms étrangers
  • En Russie, ce qui devait être une « un internet souverain » est en fait la possibilité d’une déconnexion de l’internet en tant que mesure de protection

On aurait aimé vous parler de…

La richesse de l’année 2019, n’ayant pas permis de revenir sur tous les événements survenus, d’autres sujets auraient mérité une attention particulière :

  • Cartographie de l’écosystème APT russe
  • Premier Cyber Space Crime
  • Piratage du compte twitter de Scotland Yard

Et l’UE dans tout ça ?

Jean baptise Demaison, président du conseil d’administration ENISA, a conclu la 20e édition du panorama de la cybercriminalité en rappelant :

  • L’engagement de l’UE en matière de cybersécurité depuis les années 2000, et la création de l’ENISA en 2004
  • Les objectifs de l’UE :
    • Renforcer les capacités des états membres
    • Renforcer la sécurité des personnes
    • Renforcer la confiance dans les services

Le mot de la fin :

Rendez-vous annuel devenu incontournable, le panorama de la cybercriminalité du CLUSIF, offre une vision assez complète de la menace sur l’année écoulée. Les plus geeks d’entre nous regretteront probablement de ne pas pouvoir entrer dans des considérations plus techniques des attaques survenues, mais y trouveront l’occasion de creuser les événements présentés qui les auront intrigués.

Rendez-vous début 2021 pour un update !

Thomas Filimon

Thomas FILIMON : Consultant BSSI

One Comment on “CLUSIF : Panorama de la cybercriminalité 20ème édition

Avatar
Michel Campillo
1 février 2020 chez 7 h 19 min

Bonjour,
La liste d’entreprises impactées par des attaques par rançongiciel augmente de jour en jour, on voit qu’elles se sont démultipliées récemment. WannaCry à l’époque avait beaucoup fait parler de lui, cela semble si proche et si loin à la fois quand on voit la progression des menaces de cybersécurité récemment. Cette évolution est malheureusement devenu banale, et franchement les acteurs de la cybersécurité donnent l’impression d’être plutôt dépassés par le phénomène. En tout cas pour l’instant.

Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *