La crise mondiale liée à la COVID-19 suscite la peur et l'incertitude, entraînant la baisse de la vigilance et la précipitation des personnes. Cette émotion est exploitée par les cybercriminels dans le but de voler des informations personnelles concernant leurs victimes en incitant leur cible à installer des malwares sur leur appareil ou en les redirigeant vers des sites malveillants. Pour ce faire, les malfaiteurs réalisent des campagnes de cyberattaque qui consiste à envoyer de faux messages d'information sur l'épidémie contenant un lien malveillant ou des virus informatiques.
...
Trois types de campagnes de spear phishing se serant du coronavirus comme prétexte ont été identifiées. Le scamming (escroquerie) arrive en tête des attaques les plus utilisées (54%), devant l'usurpation d'identité de marque (34%), sextortion ou blackmail (11%) et la compromission des e-mails professionnels (1%)...
Quels sont les nouveaux malwares ? Comment fonctionnent-ils par rapport aux précédents qui ont causé les grandes attaques ces dernières années (Stuxnet, Flame, Wannacry) ? Qu’est ce qu’un virus, un ver, un cheval de Troie ? Quels sont les cas emblématiques de cyberattaques ?
Il y a 10 ans cette année, le monde découvrait Stuxnet, ce ver informatique, vraisemblablement créé par la NSA, la National Security Agency, avec l’appui des services israéliens, pour infecter les ordinateurs qui commandent les centrifugeuses d’enrichissement d’uranium en Iran. C’est le premier ver découvert pour espionner et reprogrammer des systèmes industriels, et d’une certaine façon la découverte d’une cyberguerre secrète, sous-jacente, que se mènent les Etats à l’aide de logiciels malveillants élaborés. Dix ans après, où en est-on de cette cyberguerre ? Quelles sont les armes utilisées ? Quelles en sont les belligérants ? Bienvenue dans le War Games du XXIème siècle.
Virus informatique : le ver de trop ? C’est le programme informatique qui est le nôtre pour l’heure qui vient. Bienvenue dans La Méthode scientifique.
Et pour comprendre aujourd’hui comment se structure cette cyberguerre plus ou moins secrète, quelles en sont les règles et comment ont évolué les armes, nous avons le plaisir de recevoir Jean-Yves Marion, directeur du LORIA, le Laboratoire Lorrain de Recherche en Informatique et ses Applications, laboratoire CNRS, également professeur à l’Université de Lorraine, et membre de l’Institut Universitaire de France et Eric Freyssinet, chef du pôle national de lutte contre les cybermenaces de la Gendarmerie Nationale, colonel et docteur en informatique.
Le reportage du jour
Reportage au Laboratoire Lorrain de Recherche en Informatique et ses Applications de l’Université de Lorraine, à Nancy. Ce laboratoire héberge un autre laboratoire, plus confiné : le Laboratoire de Haute Sécurité. Sa fonction est de capturer le plus grand nombre de vers et de virus qui traînent sur internet, de les piéger et de les stocker en lieu sûr. Fabrice Sabatier, ingénieur, présente les lieux et la “chambre rouge”, où sont placés ce que les experts appellent des pots de miel ; des postes volontairement vulnérables pour attirer les virus. Actuellement, ils possèdent une collection de plusieurs millions de spécimens, une base qui leur permet de dresser des profils types par analyse morphologique, dans le but de développer des systèmes de détection beaucoup plus efficaces. Par Céline Loozen.
Les repères :
Au début des années 2010, Stuxnet, un ver informatique initialement conçu pour ralentir le programme d’enrichissement nucléaire iranien par les Etats-Unis et Israël, s’est répandu sur des dizaines de milliers d’ordinateurs dans le monde, principalement des postes de centrales situées en Allemagne, en France, en Inde et en Indonésie.
Ce phénomène a révélé au monde le potentiel des malwares. Anglicisme associant les mots malicious et software, ce sont des programmes malveillants, développés dans le but de nuire, et dont il existe une très grande variété. Depuis Stuxnet, de grandes cyberattaques aux stratégies différentes ont émergé, comme Flame ou WannaCry, tant du côté des hackers que des gouvernements à des fins de piratage, vol de données, rançon ou bien encore espionnage.
Toute entreprise, Etat ou institution, ONG, hôpitaux, et particuliers sont les cibles des nouvelles cyberattaques. Avec la numérisation, le développement des réseaux et de l’Internet des Objets, le terrain des cyberattaques augmentent considérablement. Si les recherches scientifiques pour mieux comprendre le mécanisme des malwares émergent, en s’associant aux forces des experts en cybersécurité, la meilleure défense réside dans la prévention et la bonne culture de l’hygiène au niveau individuel.
Intervenants :
Jean-Yves Marion, Professeur à l'Université de Lorraine et membre de l’institut universitaire de France, directeur du Loria (Laboratoire lorrain de recherche en informatique et ses applications).
Eric Freyssinet, chef de la division de lutte contre la cybercriminalité, Pôle judiciaire de la gendarmerie nationale
2,5 milliards de téléphones mobiles sont utilisés à travers le monde. Bien souvent indispensables à notre quotidien, ils contiennent aujourd'hui une multitudes d'informations, objet de convoitise des cybercriminels qui s'attaquent de plus en plus à ces objets connectés.
Aujourd'hui, 2,5 milliards de smartphones sont utilisés dans le monde. Ils contiennent de très nombreuses informations sur nous, qui attirent les cybercriminels. Si bien que chaque année, les cyberattaques visant ces objets ultra connectés augmentent. Au premier trimestre 2019, elles ont même triplé dans le monde par rapport au premier trimestre 2018, d'après un rapport de l'entreprise RSA, spécialisée en cybersécurité. Une étude de Kaspersky Lab, autre société spécialisée, indiquait qu'elles avaient déjà doublé en 2018, par rapport à 2017.
Les utilisateurs moins vigilants avec leur smartphones
Lors du récent Forum international de la cybersécurité (FIC), à Lille, Mathias, un étudiant de première année à Epitech, une école d'informatique, fait la démonstration des risques de se connecter au wifi public gratuit. "Grâce à mon ordinateur, je vais pouvoir m'interposer entre le téléphone et le point d'accès [au wifi, ndlr]", explique-t-il. En deux minutes, après quelques codes, il a réussi à modifier la page d'accueil Google du visiteur volontaire pour servir de cobaye. "Le message que l'on véhicule, c'est : faut faire gaffe en général au wifi public, ne pas se connecter à des wifi gratuits aux noms un peu bizarres", avertit l'étudiant.
Il est vrai que d'une manière générale, les utilisateurs sont beaucoup moins méfiants avec leurs téléphones portables que leurs ordinateurs. Pourtant, "le téléphone est un véritable reflet de notre identité", d'après le général Marc Watin-Augouard, le fondateur du FIC et expert en cybercriminalité. Et les failles ne viennent pas seulement du wifi public. Des MMS malveillants peuvent être envoyés, du phishing (ces liens ou pièces jointes vérolés envoyés par e-mail) et même des applications peuvent être le moyen de pirater un téléphone. "Vous allez télécharger des applications comme WhatsApp, Snapchat ou autre. Ces applications, on n'est pas toujours sûrs qu'elles sont d'une parfaite sécurité car elles ont été conçues par des personnes qui voulaient créer un usage mais qui n'ont pas forcément imaginé que ces applications pouvaient être une porte d'entrée dans le système lui-même", détaille le fondateur du FIC.
Les applications, source de cyberattaques
Actuellement, environ 700 millions d'applications existent, un chiffre qui devrait atteindre les quatre milliards dans les cinq prochaines années, d'après Benjamin Simon, qui travaille pour la société F5 Networks, spécialisée dans la sécurisation des applications.
Les entreprises privilégient la mise en service de nouvelles applications, plutôt que leur sécurisation, pour être plus innovantes que leur concurrent ou apporter de nouveaux services. On essaie de les accompagner pour leur faire prendre conscience que mettre en place des applications sans prendre en compte la sécurité aux étapes préliminaires du développement de l'application, c'est très problématique. L'application permet d'entrer dans le système d'information de l'entreprise, de récupérer de la donnée, etc. Cela peut aussi impacter leur business car il y a énormément d'entreprises dont le business modèle est calqué sur leur application. Si elles ne se prémunissent pas contre les attaques, elles peuvent avoir des problèmes comme des pertes de revenus, ce genre de choses.
Benjamin Simon, consultant chez F5 Networks
C'est pour garantir une sécurité totale des conversations que Thomas Baignières a cofondé Olvid, une messagerie à destination des entreprises et des particuliers qui se veut 100% sécurisée. Ce docteur en cryptographie s'est aperçu il y a quelques années qu'aucune messagerie grand public ne garantissait une parfaite sécurité des données personnelles.
"On ne va pas faire de procès d'intention à WhatsApp mais néanmoins, il existe un 'single point of failure', c'est-à-dire un endroit qu'il suffit de hacker pour obtenir un pouvoir considérable. En terme de protection, c'est extrêmement risqué", explique le spécialiste en cryptographie. Son système de messagerie utilise un serveur "qui ne joue aucun rôle dans la sécurité", même en cas de piratage du serveur, les données n'y sont de toute manière pas accessibles, garantit le PDG de cette messagerie lancée en juin dernier. L'entreprise envisage désormais de demander une certification auprès de l'Anssi (Agence nationale de la sécurité des systèmes d'information) permettant de garantir un certain niveau de sécurité.
Sans aller jusqu'à utiliser une messagerie ultra sécurisée, il existe des moyens simples pour vous prémunir des attaques : faire régulièrement des sauvegardes de son téléphone, installer les mises à jour, utiliser des mots de passe complexes et différents et évidemment ne pas cliquer sur les liens et pièces jointes envoyées par des destinataires inconnus.
Journaliste
Fiona Moghaddam
Synthèse :
Un rançongiciel est un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent. Ce document se concentre sur les rançongiciels s’appuyant sur des capacités de chiffrement de fichiers et opérés à des fins lucratives. Il en existe des centaines de variantes.
L’année 2018 a vu la multiplication d’attaques par rançongiciel impactant des entreprises et institutions dans le monde entier, et elles dépassent désormais en nombre celles impactant les particuliers. Ces codes malveillants représentent actuellement la menace informatique la plus sérieuse pour les entreprises et institutions par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité. Sur les très nombreuses attaques de ce type en France, l’ANSSI a traité 69 incidents en 2019 sur son périmètre.
Si la grande majorité des attaques par rançongiciels s’avère être opportunistes et s’appuie essentiellement sur la faible maturité en sécurité numérique de leurs victimes, l’ANSSI et ses partenaires observent depuis 2018 de plus en plus de groupes cybercriminels cibler spécifiquement des entreprises financièrement robustes dans le cadre d’attaques dites « Big Game Hunting », parfois menées en combinaison avec d’autres codes malveillants (cryptomineurs, trojan bancaires). Elles sont réalisées par des groupes d’attaquants aux ressources financières et aux compétences techniques importantes, et présentent un niveau de sophistication parfois équivalent aux opérations d’espionnages informatiques opérées par des États. Alors que les montants de rançons habituels s’élèvent à quelques centaines ou milliers de dollars, celles demandées lors des attaques « Big Game Hunting » sont à la mesure de la cible et peuvent atteindre des dizaines de millions de dollars. Depuis fin 2019, l’ANSSI constate également que certains groupes cybercriminels cherchent à faire pression sur leurs victimes en divulguant des données internes préalablement exfiltrées du système d’information infecté.
Par ailleurs, la campagne d’attaque Wannacry de 2017 a montré que la combinaison d’un rançongiciel et d’un moyen de propagation automatique pouvait occasionner d’immenses dégâts économiques. S’appuyant sur un code sophistiqué mais exploitant une vulnérabilité logicielle connue faisant déjà l’objet d’une mise à jour de sécurité, l’impact de Wannacry aurait pu être fortement limité par une meilleure politique de mise à jour logicielle des entreprises dans le monde.
Les groupes d’attaquants opérant ces rançongiciels s’appuient sur un important écosystème cybercriminel générant deux milliards de dollars de bénéfices annuels. Il permet aux attaquants de sous-traiter une grande partie des actions pour mener à bien leurs opérations d’extorsion et d’y acheter les ressources nécessaires (données personnelles, accès légitimes compromis, codes malveillants).
Si les montants des rançons peuvent varier fortement en fonction des rançongiciels employés et des victimes impactées, les bénéfices générés sont estimés entre quelques millions et plus d’une centaine de millions de dollars par groupe d’attaquants. Le coût de mise en œuvre de ces opérations est plus difficile à estimer, mais ne s’élève pas à plus de quelques dizaines, voire centaines de milliers de dollars sur l’ensemble de la période d’activité malveillantes.
Les rançongiciels représentant un risque non négligeable de rupture d’activité, de nombreuses assurances proposent de le couvrir. Cette couverture consiste souvent en ce que l’assureur paye tout ou partie de la rançon. Des sociétés se sont développées autour de ce paiement des rançons en proposant des services de négociation avec les attaquants. Aujourd’hui, les assurances incitent les victimes à payer la rançon qui s’avère souvent moins élevée que le coût d’un rétablissement de l’activité sans le recours à la clé de déchiffrement. Pour autant cette couverture n’empêche pas les victimes d’être attaquées de nouveau. Cette incitation à payer valide le modèle économique des cybercriminels et les amène déjà à augmenter les rançons et à multiplier leurs attaques.
Les attaques contre Altran et NorskHydro montrent le danger d’un impact systémique des rançongiciels sur un secteur d’activité qui, en ciblant des entreprises sous-traitantes ou clés du secteur, pourraient amener un jour à le déstabiliser. Les attaques contre le laboratoire forensique Eurofins et certains départements de police américains montrent également que les cybercriminels peuvent entraver des investigations judiciaires. Si l’objectif restait lucratif, il est tout à fait envisageable que des groupes cybercriminels (ou le crime organisé en général) s’appuient un jour sur ce moyen pour faire pression sur la justice.