Rendez-vous régulier des spécialistes de la cybersécurité, la présentation du Panocrim du Clusif avait un caractère un peu particulier cette année. En effet, il marque le début des festivités pour l’anniversaire des 30 ans du club, qui s’est installé au campus cyber et œuvre pour être reconnu d’utilité publique. Mais la rétrospective 2022 montre aussi des évolutions importantes dans le spectre des menaces face à un contexte géopolitique tendu.
Ransomware : des arrestations et une professionnalisation croissante
Pourtant « tout commençait bien au début de l’année 2022 », se souvient Gérôme Billois, membre du Clusif et directeur de la practice cybersécurité chez Wavestone. Dans son compte-rendu sur les ransomwares, il évoque les arrestations des membres du groupe Revil. Une opération rendue possible grâce à la coopération avec la Russie. Mais l’invasion de l’Ukraine en février 2022 a rompu ce partenariat et l’activité des rançongiciels a repris son intensité, notamment autour des collectivités locales et des établissements de santé (voir le rapport des cybermenaces de l’Anssi).
Sauf pour un des groupes : Conti. Ce dernier a pris parti dès le début du conflit pour la Russie et un des membres, qui n’a pas apprécié cette position, a livré beaucoup d’informations sur le fonctionnement du gang. Les Contileaks montrent la professionnalisation croissante des groupes de ransomwares, « il s’agit d’une vraie petite PME avec des divisions RH, communication, formation », souligne Gérôme Billois. Conti et ses affiliés ont mené plus d’une centaine d’attaques et auraient amassé près de 180 M$. Hasard du calendrier, la présentation du Panocrim a eu lieu en même temps qu’une conférence de presse d’Europol et du FBI annonçant le démantèlement des activités du ransomware Hive.
2022, année de la cyberguerre
Fait marquant de l’année passée, le Panocrim est revenu sur l’implication cyber de la guerre en Ukraine. Comme l’indique Michel Dubois, directeur scientifique et technique au sein du département cybersécurité de la Poste, « le cyberconflit a démarré avant l’invasion de l’Ukraine » et de citer les actions de défacement de plusieurs sites du gouvernement ukrainien. Il est également revenu sur l’utilisation de « wipers », des charges utiles capables de supprimer des fichiers, des sauvegardes, de saboter des disques (via le MBR) au sein des infrastructures critiques. « Les Russes étaient déjà présents dans les systèmes d’information et avaient accès à l’AD », précise le dirigeant. Les Ukrainiens sont également très actifs avec la création de l’IT Army, qui a mené des actions médiatiques comme la perturbation de la retransmission du défilé militaire russe.
Plus globalement, les Etats sont devenus des cibles de la part des groupes de cybercriminels. Le cas du Costa Rica est révélateur de cette tendance. Le pays a été attaqué par le gang Conti qui a paralysé des services publics et des administrations centrales. Le gouvernement a même été obligé de déclarer l’état d’urgence. Le Pérou et d’autres pays d’Amérique latine ont subi aussi des actions de déstabilisation similaires. En Europe, l’Albanie et le Monténégro ont fait face à des vagues d’attaques importantes au point de solliciter l’aide de l’Anssi et du Comcyber français.
Les méthodes de piratage s’adaptent
Autre angle d’adaptation, les cybercriminels s’attaquent à de nouveaux territoires comme le cloud ou la virtualisation. De plus en plus d’exploits s’en prennent aux machines virtuelles notamment sur Esxi de VMware. Les environnements cloud ne sont pas en reste avec plusieurs incidents : AttachMe sur OCI d’Oracle, fuite de sauvegarde dans Azure, etc.
Même les mesures de protection comme l’authentification multi-facteur (MFA) n’échappe pas aux assauts des pirates. « Il existe plusieurs tentatives » reconnait Gérôme Billois, dont une qui a marché : la MFA fatigue. Cette méthode consiste à solliciter plusieurs fois un utilisateur (jusqu’à une centaine de fois dans la nuit) par un faux SMS et l’amener à valider la double authentification. Et ça marche comme le montre la compromission de Cisco par le gang Yanluowang ou des violations de code du groupe Lapsus$ sur des firmes comme Uber ou Okta. Reste que cela ne remet pas en cause les bénéfices de l’authentification multi-facteur, « mieux vaut un MFA attaquable, que pas de MFA du tout », glisse le consultant de Wavestone.
JO 2024, un entraînement permanent à la cyber
Pour conclure la présentation du Panocrim, le Clusif a convié Franz Regul, RSSI des JO Paris 2024 et Dominique Yang, son adjoint, à évoquer la cybersécurité de cet évènement sportif planétaire. Les chiffres ont de quoi donner le tournis, « 26 000 médias, 45 000 volontaires, 7 000 points d’accès WiFi, 13 000 postes de travail, 12 000 écrans, 384 000 km de fibres optiques, soit la distance Terre-Lune », indique le RSSI. Pour information, il souligne qu’à Tokyo lors des derniers JO, « 4,4 milliards d’événements de sécurité ont été recensés » et prévoit que ce chiffre « sera multiplié par 8 en 2024 ».
Il est donc essentiel de se préparer. « La cybersécurité est un sport collectif et nous ne sommes pas tout seul », reconnaît Franz Regul. Il peut s’appuyer sur des partenariats solides avec Cisco et Atos. La SSII française propose les services et l’équipementier américain les technologies de cybersécurité. Au total, une soixantaine de personnes sont à pied d’œuvre pour protéger les SI et les infrastructures de l’événement. Pour se préparer, Dominique Yang évoque une stratégie en 4 axes, « la sensibilisation et la formation, cela représente une part importante de notre travail aujourd’hui. Puis nous avons un focus sur la security by design avec une évaluation des fournisseurs, intégrer cette exigence au plus tôt des projets ». Le troisième axe est « le cybersecurity operation center, c’est notre SOC. A la différence d’autres SOC, nous avons un temps défini. Il faut que dans les deux fois quinze jours, nous soyons les meilleurs, car en face de nous il y aura aussi les meilleurs », admet humblement le RSSI adjoint. Enfin, le dernier axe résonne comme un mantra « tester, tester et encore tester » avec des pentests, des simulations de gestion de crise, ...