Il est peu de dire que les ransomwares ont marqué les derniers mois. Dans la dernière édition de son Panocrim 2022, le Clusif est revenu sur les cybermenaces et sans surprise les rançongiciels ont bien sûr occupé une place de choix. Parmi les principales attaques, celles de REvil ont occupé une place de choix dans le palmarès 2021. « Il y a eu une énorme croissance du montant des rançons collectées avec sur les 10 dernières années 5,2 milliards de dollars de transaction mais 500 millions juste sur le 2e trimestre 2021 », poursuit Gérôme Billois, administrateur du Clusif. Pour autant, ces derniers ont dû aussi résoudre quelques soucis RH... « L'écosystème des rançonneurs professionnels et les affiliés ont dû gérer des problèmes de recrutement », a-t-il souligné.
Pour lutter contre le cybercrime, des réponses opérationnelles et juridiques ont été apportées tout au long de l'année écoulée. « Il y a eu énormément d'actions et d'interpellations rendues publiques et des perquisitions un peu partout en Corée, en Ukraine », a expliqué Eric Freyssinet, commandant en second de la gendarmerie dans le cyberespace. La réponse à la cybercriminalité s'organise avec des efforts sans précédent de coopération internationale. « Les réponses juridiques aux rançongiciels sont exponentielles et de plus en plus efficaces », a souligné de son côté Garance Mathias, avocate et administratrice du Clusif. Aux Etats-Unis, le récent executive order visant à améliorer la réponse en termes de lutte contre la cybercriminalité est un point saillant d'une politique volontariste. Parmi les autres leviers actionnés : la veille et la prévention avec le CISA, les sanctions avec l'OFAC... « Il reste maintenant à savoir quelles réponses seront apportées en France et en Europe », s'interroge Garance Mathias.
Les stratégies malveillantes zero clic constituent une source de menace inquiétante pour Loïc Guezo, secrétaire général du Clusif. (crédit : Clusif)
Des cyberattaques marquantes
2021 a été le théâtre d'un grand nombre de cyberattaques qui vont bien au-delà des ransomwares. Et Loïc Guezo, secrétaire général du Clusif de rappeler l'opération d'espionnage d'envergure mondiale Pegasus issue d'un logiciel israëlien utilisé contre des journalistes, des avocats, des politiques dont en France le premier ministre et le président de la République. Ces cybermenaces d'envergure étatiques sont d'autant plus puissantes que la stratégie de déploiement s'appuie de plus en plus sur du zero clic.
« Les systèmes informatiques sont de plus en plus robustes mais 2021 a été une année record en termes de vulnérabilités, toutes infrastructures, appareils et OS confondus », a fait savoir Hervé Schauer, administrateur du Clusif. Le nombre de concours et de bug bounty et l'arrivée d'une nouvelle génération de chercheurs en sécurité n'est sûrement pas étranger au fait d'avoir découvert un nombre de plus en plus grand de vuln. Parmi les dernières marquants, on trouve la faille Proxylogon liée à Exchange que Hervé Schauer n'hésite pas de qualifier « d'incroyable ». Ou encore celle « la plus délirante et catastrophique que l'on puisse imaginer » qui a visé CosmoDB Azure, via la faille ChaosDB, la base de donnée interne via une fonction de visualisation. Sans oublier d'autres vecteurs d'attaques s'appuyant sur la chaine d'approvisionnement logiciel (pipeline intégration et développement continu). « La question du délai de mise en oeuvre des correctifs se posent. Il y a eu et il y aura toujours des failles tant que les législateurs ne prendront pas à bras le corps le problème et que les utilisateurs très riches ne seront pas mis à contribution », avance Hervé Schauer.
La faille Azure dans ses bases de données via ChaosDB a été qualifiée de « la plus délirante et catastrophique que l'on puisse imaginer » pour Hervé Schauer, administrateur du Clusif. (crédit : Clusif)
Solarwinds et Kaseya en puissance
Les augmentations des attaques par rebond ont également explosé en 2021, avec 4 fois plus d'opérations de ce type par rapport à 2020 selon l'ENISA. Avec aussi 93% des entreprises ayant souffert d'une attaque cyber causée par une faiblesse d'un de leurs fournisseurs selon un rapport de BlueVoyant. Parmi les plus notables, Solarwinds et la mise à jour piégée du logiciel de supervision de systèmes IT Orion avec plus de 18 000 victimes, ou encore Kaseya (17 pays touchés, 54 clients directs victimes et entre 800 et 1 500 clients finaux). D'autres cyberattaques ont également émaillé l'année dont l'une particulièrement marquante touchant le système d'information du traitement des eaux en Floride dans la ville d'Oldsmar. Des attaques qui marquent selon de nombreux observateurs un tournant dans la cyberguerre moderne.
Le Clusif a conclu son Panocrim en citant les attaques Log4shell et deepfake audio de plus en plus abouties. Pour la prochaine édition, Gérôme Billois évoque une analyse sur le cybergang REvil dont les membres ont été arrêtés. Sans toutefois préciser que des évènements de grande ampleur pourront peut-être être encore plus marquants en 2022. On n'en doute pas.
Conférence très instructive et qualitative, merci au Clusif !
Signaler un abus