L’ANSSI vient de publier son bilan pour la période 2020- 2021. Ce bilan fait état des évolutions de la cybercriminalité pendant cette période pointant la professionnalisation des cybercriminels et l’évolution des finalités recherchées.
37% d’augmentation des cyberattaques en 2020 – 2021 en France
Le document de synthèse de l’ANSSI rapporte avoir eu connaissance de 1082 intrusions avérées dans les systèmes d’information en 2021 contre 786 en 2020, soit une hausse de 37%. Cette hausse s’explique par l’amélioration constante des capacités des acteurs malveillants avec des objectifs de gains financiers, d’espionnage et de déstabilisation / désorganisation des structures cibles.
Avec le contexte Covid19, guerre Ukraine / Russie, reprise économique et les prochains Jeux Olympique de Paris 2024, l’ANSSI évoque autant d’opportunités qui sont ou seront exploitées par les attaquants.
Augmentation constante des capacités des cybercriminels
L’écosystème des cybercriminels se professionnalise, des groupes sont spécialisés dans la conception d’outils comme des rançongiciels « ransomware » et vendent des RaaS pour Ramsomware As A Service pour d’autres groupes qui eux se spécialisent dans les attaques et les rançons.
L’ANSSI parle de la facilité qu’ont les cybercriminels d’avoir des infrastructures informatiques auprès d’hébergeur appelé « Bullet Proof Hosters » pour Hébergeur pare-balles. Ce sont des hébergeurs qui ne connaissent pas leurs clients (pas de KYC Know Your Client), qui font des paiements en cryptomonnaies et sont situés dans des pays sans accord juridique. Ils suggèrent de bloquer leur AS BGP ou leurs subnets IPs dans la mesure du possible.
L’espionnage et le sabotage une menace constante et peu visible
Les attaquants étatiques adoptent les mêmes méthodes et outils que les groupes cybercriminels et rendent leurs détections plus difficiles car noyées dans la masse des attaques illégitimes. Il devient alors difficile de caractériser les attaques.
ANSSI insiste sur la grande visibilité médiatique des attaques à finalité lucrative notamment avec rançon qui occulte les attaques pour espionnage et sabotage informatique qui sont de moins en moins visibles. Et de rappeler que l’espionnage informatique reste la principale finalité recherchée par les attaquants étatiques et reste l’activité majoritaire traitée par l’ANSSI dans le cadre des opérations de cyberdéfense.
Exploitation massive des vulnérabilités
Les entreprises privées développant des capacités offensives telles que NSO Group avec l’espionnage à très grande échelle sur les smartphones permettent à des autorités, entreprises et petits groupes d’accéder à des failles majeures pour un prix inférieur aux coûts de recherche. Cette facilité d’accès à des piratages sophistiqués augmente la masse d’attaque qu’il est susceptible de recevoir et donc les risques inhérents.
Dernier point capital est le ciblage d’infrastructures critiques comme les entreprises OIV « Opérateur d’Importance Vitale » mais aussi certains services publiques comme les hôpitaux qui ont subit beaucoup d’attaques pendant le Covid19. Ces attaques ciblées par rançongiciels ou par saturation DDOS ou exploitation de faille perturbent fortement leurs activités essentielles voir critiques. Ces cibles et les vecteurs d’attaques associés aux tensions géopolitiques fortes font peser un risque fort sur ces structures en France comme dans les entités implantées à l’étranger. Qu’elles soient une cible choisie ou une cible collatérales dans un conflit qui ne les concerne pas, ces attaques participes à des opérations d’influence et de déstabilisation.
Exploitation à des fins malveillantes du Cloud
Depuis plusieurs années, les puissances de calcul qu’offrent les instances Cloud attirent l’intérêt des cybercriminels. Ils cherchent à détourner à leur profit ces ressources pour du minage de cryptomonnaie, opérer des relais pour des opérations malveillantes : spam, scanner de vulnérabilités, « Command and Conquer » pour contrôler des réseaux de botnet ou pour faire office de proxy anonymisant.
Enfin l’ANSSI attire l’attention des jetons d’authentification des applications ou des infrastructures Cloud, les fameuses clefs API qui permettent aux attaquants de se servir dans les données et dans l’espionnage sans déployer de code malveillant et en étant considéré comme un flux valide. Lors d’une phase d’attaque, il suffira d’échanger des ressources cibles dans l’infrastructure ou des clefs d’API pour faire sortir des données synchronisées comme des fichiers ou des bases de données.
L’avis de DigDeo
Nous constatons ces attaques et ces nouveaux usages par les cyberattaquants dans les audits que nous réalisons pour nos nouveaux clients, souvent non correctement sécurisés ou pour des clients ponctuels. Le plus souvent personne dans les équipes techniques n’a vu l’attaque et nous constatons qu’ils n’ont pas les bons indicateurs et les bonnes méthodes pour visualiser et être au courant des problèmes avant qu’il y ait un impact sur leur production.
Pour rappel un site internet tout neuf, pas encore référencé se fera attaqué entre 600 et 800 fois par heure, un site internet avec du fort trafic pourra monter à près de 2000 attaques par heure. Il faut s’équiper correctement pour être en mesure de voir ces comportements et par la suite pouvoir mettre les alertes viables sur un système d’information.
L’infogérance DevSecOps que nous proposons à nos clients pour le Cloud et environnement Linux participe à cette recherche et visualisation des attaques.