une hausse de 37%<\/strong>. Cette hausse s’explique par l’am\u00e9lioration constante des capacit\u00e9s des acteurs malveillants avec des objectifs de gains financiers, d’espionnage et de d\u00e9stabilisation \/ d\u00e9sorganisation des structures cibles.<\/p>\n\n\n\nAvec le contexte Covid19, guerre Ukraine \/ Russie, reprise \u00e9conomique et les prochains Jeux Olympique de Paris 2024, l’ANSSI \u00e9voque autant d’opportunit\u00e9s qui sont ou seront exploit\u00e9es par les attaquants.<\/p>\n\n\n\n
Augmentation constante des capacit\u00e9s des cybercriminels<\/h2>\n\n\n\n
L’\u00e9cosyst\u00e8me des cybercriminels se professionnalise, des groupes sont sp\u00e9cialis\u00e9s dans la conception d’outils comme des ran\u00e7ongiciels \u00ab\u00a0ransomware\u00a0\u00bb et vendent des RaaS pour Ramsomware As A Service<\/strong> pour d’autres groupes qui eux se sp\u00e9cialisent dans les attaques et les ran\u00e7ons.<\/p>\n\n\n\nL’ANSSI parle de la facilit\u00e9 qu’ont les cybercriminels d’avoir des infrastructures informatiques aupr\u00e8s d’h\u00e9bergeur appel\u00e9 \u00ab\u00a0Bullet Proof Hosters<\/strong>\u00a0\u00bb pour H\u00e9bergeur pare-balles. Ce sont des h\u00e9bergeurs qui ne connaissent pas leurs clients (pas de KYC Know Your Client<\/strong>), qui font des paiements en cryptomonnaies et sont situ\u00e9s dans des pays sans accord juridique. Ils sugg\u00e8rent de bloquer leur AS BGP ou leurs subnets IPs dans la mesure du possible.<\/p>\n\n\n\nL’espionnage et le sabotage une menace constante et peu visible<\/h2>\n\n\n\n
Les attaquants \u00e9tatiques adoptent les m\u00eames m\u00e9thodes et outils que les groupes cybercriminels et rendent leurs d\u00e9tections plus difficiles<\/strong> car noy\u00e9es dans la masse des attaques ill\u00e9gitimes. Il devient alors difficile de caract\u00e9riser les attaques.<\/p>\n\n\n\nANSSI insiste sur la grande visibilit\u00e9 m\u00e9diatique des attaques \u00e0 finalit\u00e9 lucrative notamment avec ran\u00e7on qui occulte les attaques pour espionnage et sabotage<\/strong> informatique qui sont de moins en moins visibles. Et de rappeler que l’espionnage informatique reste la principale finalit\u00e9<\/strong> recherch\u00e9e par les attaquants \u00e9tatique<\/strong>s et reste l’activit\u00e9 majoritaire trait\u00e9e par l’ANSSI dans le cadre des op\u00e9rations de cyberd\u00e9fense.<\/p>\n\n\n\nExploitation massive des vuln\u00e9rabilit\u00e9s<\/h2>\n\n\n\n
Les entreprises priv\u00e9es d\u00e9veloppant des capacit\u00e9s offensives telles que NSO Group avec l’espionnage \u00e0 tr\u00e8s grande \u00e9chelle sur les smartphones<\/strong> permettent \u00e0 des autorit\u00e9s, entreprises et petits groupes d’acc\u00e9der \u00e0 des failles majeures pour un prix inf\u00e9rieur aux co\u00fbts de recherche. Cette facilit\u00e9 d’acc\u00e8s \u00e0 des piratages sophistiqu\u00e9s augmente la masse d’attaque qu’il est susceptible de recevoir et donc les risques inh\u00e9rents.<\/p>\n\n\n\nDernier point capital est le ciblage d’infrastructures critiques comme les entreprises OIV \u00ab\u00a0Op\u00e9rateur d’Importance Vitale\u00a0\u00bb mais aussi certains services publiques comme les h\u00f4pitaux qui ont subit beaucoup d’attaques pendant le Covid19. Ces attaques cibl\u00e9es par ran\u00e7ongiciels ou par saturation DDOS ou exploitation de faille perturbent fortement leurs activit\u00e9s essentielles voir critiques. Ces cibles et les vecteurs d’attaques associ\u00e9s aux tensions g\u00e9opolitiques fortes font peser un risque fort sur ces structures en France comme dans les entit\u00e9s implant\u00e9es \u00e0 l’\u00e9tranger. Qu’elles soient une cible choisie ou une cible collat\u00e9rales dans un conflit qui ne les concerne pas, ces attaques participes \u00e0 des op\u00e9rations d’influence et de d\u00e9stabilisation.<\/p>\n\n\n\n
Exploitation \u00e0 des fins malveillantes du Cloud<\/h2>\n\n\n\n
Depuis plusieurs ann\u00e9es, les puissances de calcul qu’offrent les instances Cloud attirent l’int\u00e9r\u00eat des cybercriminels<\/strong>. Ils cherchent \u00e0 d\u00e9tourner \u00e0 leur profit ces ressources pour du minage de cryptomonnaie, op\u00e9rer des relais pour des op\u00e9rations malveillantes<\/strong> : spam, scanner de vuln\u00e9rabilit\u00e9s, \u00ab\u00a0Command and Conquer\u00a0\u00bb pour contr\u00f4ler des r\u00e9seaux de botnet ou pour faire office de proxy anonymisant.<\/p>\n\n\n\nEnfin l’ANSSI attire l’attention des jetons d’authentification<\/strong> des applications ou des infrastructures Cloud, les fameuses clefs API<\/strong> qui permettent aux attaquants de se servir dans les donn\u00e9es et dans l’espionnage sans d\u00e9ployer de code malveillant et en \u00e9tant consid\u00e9r\u00e9 comme un flux valide<\/strong>. Lors d’une phase d’attaque, il suffira d’\u00e9changer des ressources cibles dans l’infrastructure ou des clefs d’API pour faire sortir des donn\u00e9es synchronis\u00e9es comme des fichiers ou des bases de donn\u00e9es.<\/p>\n\n\n\nL’avis de DigDeo<\/h2>\n\n\n\n
Nous constatons ces attaques et ces nouveaux usages par les cyberattaquants dans les audits que nous r\u00e9alisons pour nos nouveaux clients, souvent non correctement s\u00e9curis\u00e9s ou pour des clients ponctuels. Le plus souvent personne dans les \u00e9quipes techniques n’a vu l’attaque et nous constatons qu’ils n’ont pas les bons indicateurs et les bonnes m\u00e9thodes pour visualiser et \u00eatre au courant des probl\u00e8mes avant qu’il y ait un impact sur leur production.<\/p>\n\n\n\n
Pour rappel un site internet tout neuf, pas encore r\u00e9f\u00e9renc\u00e9 se fera attaqu\u00e9 entre 600 et 800 fois par heure, un site internet avec du fort trafic pourra monter \u00e0 pr\u00e8s de 2000 attaques par heure. Il faut s’\u00e9quiper correctement pour \u00eatre en mesure de voir ces comportements et par la suite pouvoir mettre les alertes viables sur un syst\u00e8me d’information.<\/p>\n\n\n\n
L’infog\u00e9rance DevSecOps<\/a><\/strong> que nous proposons \u00e0 nos clients pour le Cloud et environnement Linux participe \u00e0 cette recherche et visualisation des attaques.<\/p>\n","protected":false},"excerpt":{"rendered":"L’ANSSI vient de publier son bilan pour la p\u00e9riode 2020- 2021. Ce bilan fait \u00e9tat des \u00e9volutions de la cybercriminalit\u00e9 pendant cette p\u00e9riode pointant la professionnalisation des cybercriminels et l’\u00e9volution des finalit\u00e9s recherch\u00e9es.<\/p>\n","protected":false},"author":2,"featured_media":3061,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[55,56,42,28,36],"class_list":["post-3057","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","tag-anssi","tag-cybersecurite","tag-devsecops","tag-infrastructure-cloud","tag-securite"],"_links":{"self":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/3057","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/comments?post=3057"}],"version-history":[{"count":4,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/3057\/revisions"}],"predecessor-version":[{"id":3164,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/3057\/revisions\/3164"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media\/3061"}],"wp:attachment":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media?parent=3057"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/categories?post=3057"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/tags?post=3057"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}