Privée d’évènement physique pour cause de crise sanitaire, la présentation du Panocrim 2020 bascule en mode virtuel. Comme le rappelle en introduction son secrétaire général Loïc Guézo l’année passée a été exceptionnelle notamment sur les effets cyber de la pandémie. « En première partie de l’année 2020, les leurres utilisant la COVID-19 comme appât auront été dominants et représentaient jusque 80% des échantillons vus », observe le responsable. Pour autant, face à cette explosion les équipes sécurité des entreprises ont plutôt bien résisté, « les RSSI ont été les piliers de la période de confinement », assurait-il en juin dernier.
Si la prévention s’est rapidement mise en place, avec efficacité, les menaces ont redoublé d’intensité durant cette période. Au premier rang des risques, les ransomware se sont taillés la part du lion en 2020 et le rapport du Clusif y accorde une large place. Guillaume Poupard, directeur général de l’Anssi, a répertorié 192 attaques de ce type où l’agence est intervenue en 2020. « C’est fois 4 par rapport à l’an passé. Il y a véritablement une explosion », reconnait le responsable, sans toutefois établir un lien avec la crise sanitaire, même si « cela n’arrange pas ».
Un retour sur la cyberattaque de Marseille
Et cette explosion touche tout le monde rappelle le Clusif et notamment les entités territoriales. Plusieurs affaires récentes, Angers, la Rochelle et la métropole d’Annecy, Mitry-Mory, montrent que ce phénomène prend de l’ampleur au point que l’Anssi a publié un guide à destination des collectivités territoriales.
Une des attaques emblématiques de cette année 2020 a été celle touchant la ville de Marseille par le ransomware Mespinoza/Pyza. Jérôme Poggi, RSSI de la ville de Marseille, est intervenu pour partager son expérience. « Cela s’est déroulé à la veille d’une élection et à la veille du confinement. Un coup de téléphone arrive à 3h du matin de l’équipe d’astreinte pour dire qu’ils n’ont plus de téléphone », souligne-t-il. « A 7h du matin, il n’y avait plus grand-chose qui fonctionnait », se souvient le responsable. Une première analyse a montré que « les visiteurs étaient toujours présents et n’avaient pas déclenché toutes les charges ». La réaction a été rapide pour débrancher et bunkeriser les systèmes. « Le temps est très important, cela peut se jouer à 5 minutes près », insiste Jérôme Poggi en se souvenant « avoir réussi à sauver les sauvegardes in extremis ».
Ces sauvegardes ont été essentielles pour la remise en fonction des services, mais comme l’indique le RSSI de Marseille, « on ne revient jamais à la normale, en cas d’attaque de ce type, il faut prévoir un minimum de trois mois avant de revenir à quelque chose d’opérationnel ». Une expérience qui laisse des traces donc, mais aussi révise certaines priorités. « Nous avions catégorisé certains services comme prioritaires alors qu’il ne l’était pas » et de citer deux exemples, « l’état civil pouvait revenir au papier en mode dégradé. Par contre, la gestion manuelle était difficile pour le service en charge des cimetières et des concessions et il a fallu remonter une base de données pour permettre d’enterrer les morts rapidement ». Face à cet électrochoc, plusieurs RSSI de collectivités territoriales se sont réunis dans un groupe piloté par Cyril Bras, RSSI de la métropole de Grenoble. Il compte aujourd’hui environ 80 membres.
Une professionnalisation des ransomware bien engagée
L’explosion des rançongiciels correspond à un « modèle économique qui est imparable » souligne Guillaume Poupard, patron de l’Anssi. Et pour avoir une meilleure rentabilité, les groupes derrière les ransomware s’étoffent, se structurent et in fine se professionnalisent. Gerôme Billois et Marine Martin ont décortiqué la chaîne d’intervenants dans cette menace. En premier lieu, on trouve des entités spécialisées dans la création et la revente des accès persistants aux systèmes nommées Initial Access Brokers. Cet écosystème comprend par ailleurs des hébergeurs peu sensibles aux requêtes judiciaires et des plateformes d’anonymisation pour réaliser des attaques.
Puis il y a les groupes ou gang de ransomwares qui proposent un ensemble de services en complément de l’attaque : développement d’outils spécifiques (Revil par exemple dispose d’une dizaine de développeurs permanents), négociation sur la rançon, accompagnement des clients dans le paiement en bitcoin, blanchiment d’argent. Un marché juteux et profitable pour ces groupes. Ruyk par exemple serait assis sur un pactole de 150 millions de dollars.
Espionnage en hausse
En préambule de la présentation du Panocrim, Guillaume Poupard a relevé la problématique des ransomware qui sont médiatiques, mais a tenu à mettre l’accent sur l’espionnage industriel. « C’est une chose qui explose ». Il ajoute, « on continue à traiter des cas d'espionnage très graves. Personne ne sait chiffrer les conséquences ni ne veut en parler ». Il est vrai que la récente affaire Solarwinds a mis en exergue les capacités des cybercriminels soutenus ou non par des Etats à voler, dérober des documents auprès d’institutions et d’entreprises.
Loïc Guézo rejoint Guillaume Poupard, en expliquant « que tout le monde espionne tout le monde et qu’avec la cyber face à la numérisation de nos activités, même les petits peuvent être efficaces ». Il souligne par exemple les efforts du Vietnam qui a - a priori - mieux surmonter la crise que d’autres pays. Mais les grandes puissances ne sont pas en reste, Chine, Russie ou Corée du Nord sur la recherche permanente d’informations sur le développement des virus, voire dans la désinformation pour miner la confiance dans les vaccins.