Le mardi 21 janvier 2020 se tenait le 20ème Panorama de la cybercriminalité (Panocrim) du Club de la Sécurité de l’Information Français (CLUSIF). Cet évènement, qui regroupe les experts français et européens du sujet, permet de revenir sur les événements majeurs qui ont marqué l’actualité de l’année écoulée, et de dégager des tendances pour l’année qui vient.
Pour
cette édition anniversaire, un constat s’impose : le nombre de
cyberattaques et autres incidents informatiques malveillants n’a cessé
de croître et si les menaces d’hier sont toujours très prégnantes
(phishing, vers informatiques), les méthodes des cybercriminels se sont
largement diversifiées. Industrialisation, professionnalisation et
massification des cyberattaques forment un constat partagé par tous les
intervenants.
2019 : l’année des rançongiciels
L’année
2018 pouvait être considérée comme l’année des fuites
d’informations : le Panorama avait alors mis en exergue la hausse
du nombre de cas des fuites de données, notamment avec l’affaire
Cambridge Analytica. Des compromissions de données ont également été
identifiées en 2019, avec entre autres l’exposition des données de près
de 106 millions de clients de Capital One, ou des informations
financières de 8 millions de clients de la Banque Desjardins.
Une
menace plus importante aura toutefois pris le pas sur les fuites de
données : les rançongiciels. Ces logiciels qui paralysent
l’activité des entreprises en chiffrant leurs données, ont été
particulièrement virulents cette année : les établissements de
santé ont été principalement visés, notamment aux Etats-Unis où 764 cas
ont été recensés (loin devant les administrations des villes, pourtant
plus médiatiques), mais aussi en France avec l’exemple récent de
l’hôpital de Rouen. Le temps nécessaire à la reprise d’activité s’est
allongé, passant de 7 à 9 jours, preuve de la complexité de ces
attaques, et le montant des rançons exigées peut être très
significatif.
Une
nouvelle tendance semble d’ailleurs émerger pour 2020 avec le principe
du « Name & Shame » : les cybercriminels ne se
contentent plus de chiffrer les données et réclamer une rançon, mais
dérobent les informations sensibles de l’entreprise au préalable, et
menacent celles-ci de divulguer les données volées si elles ne coopèrent
pas. Au-delà de l’impact d’image – les entreprises ne peuvent plus
cacher la cyberattaque puisque celle-ci est révélée par le pirate –
elles s’exposent à des risques juridiques et financiers, notamment au
regard du règlement général sur la protection des données et de la
violation de données.
2019 : l’année du bluff
Dans
un esprit similaire, 2019 a vu les fraudeurs multiplier les chantages à
la webcam (« sextorsion », crypto-porno). L’éclairage de
Catherine CHAMBON, sous-directrice de la lutte contre la
cybercriminalité à la Direction centrale de la police judiciaire, a
permis de réaliser l’ampleur du phénomène en France. 28 000
victimes (et combien qui n’ont pas prévenu la police ?), 1 million
d’euros extorqué (et finalement récupéré), et deux français de 19 et 20
ans arrêtés. De même pour l’affaire GateHub (piratage d’une plateforme
de crypto monnaie), 8 millions d’euros dérobés, des français arrêtés et 6
millions récupérés.
Ces
deux affaires sont l’occasion de souligner l’importance du dépôt de
plainte, permettant l’identification des auteurs de piratage, leur
arrestation et le dédommagement des victimes. En ce sens, la montée en
puissance de la plateforme Pharos
(recensant 4 395 signalements par semaine) et bientôt le projet
Thésée (mars 2020) pour le dépôt de plainte en ligne, facilitent le
signalement pour les victimes.
2019 : l’année des faux-semblants
Le
principe d’attribution dans le cyber-espace a toujours été très
complexe : longtemps, un Etat à l’origine d’une attaque contre un
autre pays cherchait à dissimuler ses traces, évitant ainsi de se faire
démasquer et ed se retrouver accusé par la communauté internationale. La
donne a légèrement changé en 2019, puisque de nombreux criminels
étatiques, c’est-à-dire soutenus par des gouvernements et agissant avec
leur soutien, au moins implicite, cherchent à fausser cette attribution.
C’est ainsi que de nombreuses attaques ont été réalisées au sein d’un
« Brouillard de Guerre » cher à Clausewitz, en employant les
armes des adversaires, en compromettant des infrastructures
informatiques de pays tiers, en copiant des modus operandi d’autres
organisations criminelles pour brouiller les pistes.
L’appropriation
d’outils cyber malveillants très sophistiqués par des pirates de plus
faible niveau technique a d’ailleurs été dénoncée comme un problème
majeur renforçant cette confusion entre attaques étatiques et attaques
criminelles traditionnelles.
De
même, les derniers développements des affaires Shadow Hammer et Cloud
Hopper ont montré la patience des cybercriminels, qui s’attaquent à la
supply chain dans le but d’atteindre leur cible finale, parfois sur un
très petit périmètre. Ainsi pour le cas Shadow Hammer, le software de
mise à jour du fabricant Asus avait été ciblé, pour au final cibler
quelques 600 utilisateurs via leurs adresses MAC et quelques adresses de
modems 3G.
Certains
spécialistes voient aussi dans l’essor des Deepfakes, ces vidéos
permettant de permuter des visages ou des voix avec un réalisme
saisissant, une menace supplémentaire pouvant notamment peser sur les
élections prochaines, tant aux Etats-Unis qu’en France. Ces ingérences
étrangères sont redoutées, et de nombreux pays légifèrent sur cette
question, notamment la Chine qui a criminalisé la réalisation de
deepfakes, ou la Californie qui souhaite également interdire ces
trucages.
L’année
2019 aura aussi montré des attaques étatiques beaucoup plus frontales,
avec l’introduction de la notion de « bomb back » ou
« retour à l’envoyeur » : en réponse à une attaque
informatique du Hamas, l’armée Israélienne a détruit le quartier général
des assaillants.
2019 : Plusieurs modèles de communication de crise
Le
Panorama a été aussi l’occasion de distinguer trois modèles de
communication de crise, même si tous s’accordent sur la nécessité de se
poser les bonnes questions (pourquoi communiquer ? vers qui
communiquer ? par qui communiquer ?) et planifier en temps de
non-crise les comportements et procédures à tenir en temps de
crise.
En France, le
retour d’expérience montre une tendance à la discrétion, à la
communication réalisée par le chef d’entreprise ou par un ou deux
communiqués de presse. La communication se fait a posteriori.
À
l’inverse, la Norvège avec le cas Norsk Hydro, a opté pour la
transparence totale : les journalistes sont informés en temps réel,
voire intégrés dans la cellule de communication de crise. Aux
Etats-Unis, les villes américaines touchées par les rançongiciels ont
opté pour la communication via les réseaux sociaux, directes et
indépendantes de l’infrastructure des villes.
« Un temps que les moins de 20 ans… »
Dire
que l’insouciance régnait au début de l’informatique serait faux. La
diffusion d’archives vidéo, montrant les préoccupations des premiers
utilisateurs d’internet, nous l’a rappelé.
Quelques
motifs de satisfaction ont toutefois été mis en exergue par les
intervenants. Tout d’abord, c’est qu’au-delà de menaces très
sophistiquées, des règles simples permettent de se prémunir de
nombreuses attaques, comme l’usage d’identifiants dépersonnalisés ou des
mots de passes complexes et uniques.
Enfin,
l’ENISA, représentée par Jean-Baptiste DEMAISON a mis en exergue
l’importance de l’Union Européenne dans l’accompagnement à la
sécurisation des systèmes d’information, et le rôle prépondérant que
pourront jouer les CSIRT pour répondre aux incidents les plus importants
dans un esprit d’étroite collaboration internationale.
La
collaboration, et le partage d’expérience, sont justement les valeurs
premières du CLUSIF. Depuis plus de 20 ans, l’association a opéré une
veille continue et a suivi l’évolution et les tendances cybercriminelles
pour mieux les restituer dans la communauté. Bon anniversaire donc, et à
l’année prochaine !
Pierre-Yves Amiot
et
Alfred Huot de Saint Albin