Comme chaque année, le CLUSIF a présenté le PANOCRIM 2019 qui, au travers de plusieurs présentations, dresse le bilan des menaces et des faits marquants de l’année passée.
Nous assistions pour la première fois à cette présentation. Malgré un rythme (trop) effréné et des présentations (trop) courtes pour rentrer dans des détails les plus intéressants, ce panorama permet en 2h30 de rebalayer les sujets cybersécurité de l’année, apportant ainsi une vraie valeur ajoutée pour les RSSI qui n’ont pas eu le temps de prendre du recul sur les évènements passés.
Une partie de l’introduction a été menée par Hervé Schauer sur un ton humoristique avec un retour 20 ans en arrière. À l’époque, le bug de l’an 2000 et le virus « Melissa » étaient les principales préoccupations des DSI. Loïc GUÉZO a ensuite présenté le rôle et le travail du CLUSIF.
2019, l’année de toutes les tromperies
Gerôme BILLOIS – WAVESTONE
Retour à la réalité avec une première présentation de Gerôme Billois intitulée « 2019, l’année de toutes les tromperies ».
Gérôme a dressé le bilan des attaques reposant sur la crédulité des internautes, vecteur particulièrement à la mode en 2019.
Quelques sujets ont donc été balayés pour montrer l’ampleur de ce phénomène :
- Les attaques de phishing demeurent la menace majeure de 2019. Statistique impressionnante : près de 58% des emails à l’échelle mondiale seraient des emails de phishing ;
- Les fausses applications pullulent sur les stores officiels. 65 000 fausses applications ont été recensées en 2019 ;
- Les assistants vocaux, dont la place se développe considérablement dans les foyers, seront certainement de nouveaux vecteurs d’attaque. Les chercheurs s’y intéressent de plus en plus et certains ont démontré qu’il était possible d’insérer du code permettant de piéger l’utilisateur en redemandant son mot de passe ;
- Les attaques menées durant les JO sont également caractéristiques de cette tendance, avec des volontés réelles de brouiller les pistes sur l’origine des attaquants. Le virus Olympic Destroyer en est l’exemple parfait avec des codes et des techniques repris de différents groupes de pirates laissant ainsi un flou total sur l’attribution de l’attaque ;
- Toujours dans ce domaine, des groupes russes ont compromis des outils et des infrastructures iraniennes pour mener des attaques.
Tromper et piéger les victimes par tous les moyens restent donc à la mode, ce qui ne risque pas de changer en 2020 lorsqu’on connaît le niveau d’attention des utilisateurs finaux.
Rançongiciels
Sylvain CORREIA-PRAZERES – DEPARTEMENT DE l’EURE et Pierre-Antoine BONIFACIO – AISI
La deuxième présentation a été menée par Pierre Bonifacio qui a réalisé un bilan des attaques reposant sur l’utilisation de ransomwares. Pierre a ainsi pu présenter les différents cas au travers d’une chronologie divisée en 3 catégories : les attaques ciblées, les attaques de fournisseurs et les attaques de masse (ransomwares).
On retrouve ainsi les attaques suivantes :
- La campagne d’attaques BGH (Robinhood, RYUK) ciblant notamment les écoles américaines ;
- Les MSP ciblés via Grandcrab ou Revil touchant près de 22 villes au Texas ;
- Les attaques de masse ciblant D-Link ou encore QNAP ;
- Les attaques du secteur public notamment les établissements de santé et les administrations américaines dont le montant de l’impact de ces attaques se chiffre en millions (rançon + durée de paralysie + communication + coût de reprises d’activité + expertises).
Communication de crise, quels enseignements ?
Garance MATTHIAS – MATHIAS AVOCATS
Garance Matthias a repris le flambeau en expliquant l’importance de la communication de crise et les enseignements que l’on peut en tirer au travers de quelques exemples marquants.
Première réflexion soulevée, pourquoi communiquer en cas de crise ? Les crises, notamment cyber, peuvent affecter tout l’écosystème d’une entreprise. C’est pourquoi il est très important de s’y préparer et de comprendre l’importance de communiquer pour diverses raisons : rassurer les collaborateurs, maintenir la confiance des clients, rassurer les investisseurs, etc.
Différentes stratégies peuvent être choisies en fonction du contexte : le silence, la discrétion ou la transparence totale.
Garance a analysé plusieurs cas qui répondent justement à ce constat.
- Fleury Michon, suite à la propagation d’un ransomware, a choisi le silence ;
- Eurofins a préféré laisser uniquement son dirigeant gérer cette communication ;
- L’incident d’Altran a lui été révélé par la presse et la communication du groupe n’a eu lieu qu’un an après ;
- Norsk Hydro qui a aussi subi un incident majeur, a tenu un discours transparent avec des informations en temps réel ;
- Enfin, les administrations américaines, elles aussi victimes de plusieurs attaques majeures en 2019, ont préféré utiliser les réseaux sociaux pour communiquer.
Quelle que soit l’approche choisie, Garance a souligné l’importance de la communication et de l’implication du COMEX.
Quelques conseils ont permis de conclure la présentation :
- En amont : prévoir un plan de gestion de crise et réaliser des simulations ;
- Pendant la crise : tenir informé les différentes parties ;
- Après la crise : faire un retour d’expérience permettra à tous de tirer des axes d’amélioration.
Les affaires marquantes menées par la SDLC en 2019
Catherine CHAMBON
Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité, est revenue sur les affaires traitées par l’OCLCTIC.
Cette cellule a dû traiter l’affaire des extorsions pornographiques. Pour rappel, des attaquants ont envoyé des millions d’emails indiquant aux victimes être en possession de vidéos compromettantes.
28 000 victimes ont été recensées et le groupe a été finalement arrêté après avoir engrangé plus d’un million d’euros de gains. Deux jeunes Français étaient à l’origine de ces attaques.
La deuxième affaire conclue avec succès est celle de la plateforme Gatehub, piratée en 2019 et qui a permis aux attaquants de voler 8 millions d’euros. Ces derniers ont finalement été arrêtés et 6 millions d’euros ainsi que des biens ont été récupérés par les forces de l’ordre.
Enfin, l’OCLCTIC a également été mobilisé sur les cas du CHU de Rouen, de la compromission d’Altran et les affaires de Jackpotting (attaques sur les distributeurs de billets) qui, malgré un grand nombre de tentatives, mais peu de réussite, ont tout de même permis de voler plus de 400 000 euros.
La présentation s’est conclue par la mise en place à venir (mars 2019) d’un numéro pour le signalement des escroqueries en ligne, signalement qui est vital pour que cette cellule puisse intervenir.
C’est dans les « vieilles » technos qu’on fait les meilleures attaques
Franck VEYSSET – MICHELIN
Franck Veysset est revenu sur les attaques très classiques que l’on retrouve encore en 2020.
Malgré les attaques complexes qui font l’actualité, le constat est tout autre sur le terrain :
- L’utilisation de mots de passe faibles reste un fléau (les 5 mots de passe 1234567, password, qwerty, 123456789, 12345 sont les plus utilisés dans le monde) ;
- Les attaquants n’utilisent plus seulement des attaques « verticales » (brute-force d’un compte avec de nombreux mots de passe), mais également des « attaques horizontales » (on fixe un mot de passe que l’on tente sur des milliers de comptes) ;
- La réutilisation de mots de passe est aussi une des tendances. De plus en plus d’attaquants ont compris que les internautes utilisent les mêmes mots de passe sur de nombreux sites. Des outils permettant de récupérer les comptes des bases compromises ont vu le jour ce qui permet d’optimiser la découverte de comptes valides (SNIPR, Sentry MBA).
- Les vulnérabilités exploitées de manière opportuniste ont également connu un franc succès, notamment celles touchant les VPN SSL (Fortinet, Pulse Connect, Palo Alto). Des groupes d’attaquants ont d’ailleurs utilisé ce vecteur en fin d’année.
Franck a d’ailleurs pris comme exemple le cas de la chaîne Disney+ qui s’est fait pirater un très grand nombre de comptes quelques heures après le lancement du service. En effet, de nombreuses familles ont souscrit en utilisant des mots de passe déjà compromis…
La supply chain et les tiers au cœur des attaques
Gerôme BILLOIS – WAVESTONE
Gérôme Billois a repris la main pour aborder le sujet des attaques de type « Supply chain ».
Depuis quelques années, des cas d’intrusion au travers de prestataires tiers ont fait l’actualité : Lockheed Martin, Belgacom, Target, Orange, Merck, ST Gobain, Delta Airlines, etc.
En 2019, cette tendance s’est accélérée avec les attaques « Cloud hopper » qui ont ciblé les grandes sociétés de service informatique comme HP, CGI, Fujitsu ou encore IBM. Le but étant de passer par un prestataire possédant des entrées au sein du SI de multinationales afin de rebondir vers les clients finaux.
Gérôme a ainsi évoqué quelques comportements suspects qui peuvent éveiller les soupçons des équipes sécurité : volume anormal de données échangées, connexions horaires suspectes (HNO), volume de stockage augmentant de manière importante ou encore des incohérences entre les comptes VPN utilisés et les ouvertures de session Windows.
Enfin, la présentation s’est conclue sur le cas « Shadow Hammer » où, cette fois-ci, les attaques ont visé des logiciels utilisés par les particuliers et les entreprises.
En effet, les cas d’Asus Live Update ou encore de CCleaner, compromis par un même groupe de pirates, montrent à quel point, les attaquants redoublent d’efforts pour s’introduire le plus discrètement possible au sein des Systèmes d’Information.
Le Deepfake était un fake… mais la techno est bien là
Michaël JACQUES – INVENTIVA
Michael Jacques a introduit la notion de Deep Fake, procédé qui consiste à utiliser l’intelligence artificielle afin détourner des vidéos ou des voix afin de diffuser de fausses informations.
De plus en plus d’applications de ce type sont disponibles (FakeApp, Zao) permettant de faciliter la création de ces montages.
Pour la première fois, certains pirates ont même réussi à compromettre la boite mail d’un grand patron en imitant sa voix.
Les attaques reposant sur ce mode opératoire risquent donc de se développer dans les prochaines années.
L’avènement du cloud… pour les fuites de données
Olivier MOREL– ILEX INTERNATIONAL
Olivier Morel est revenu sur les fuites de données massives qui ont marqué l’actualité :
- 392 dépôts Github ont été compromis et pris en otages (chiffrés) ;
- Binance a perdu 42 millions de dollars ;
- Académie de Lille : les résultats du bac ont été diffusés avant la publication officielle des résultats ;
- BriansClub (plateforme de vente de cartes bancaires) a été piratée par un groupe de pirates possédant une plateforme concurrente (26 millions de cartes volées) ;
- Piratage de la société Capital One par une femme de 33 ans qui a pu dérober, seule, les données personnelles de plusieurs dizaines de millions de clients engendrant une perte de 100 à 150 millions de dollars ;
- Desjardins a subi une perte de 70 millions d’euros suite au vol de données de 3 millions de clients par un interne qui exfiltrait ces données à un ami courtier.
Enfin, Olivier a conclu sa présentation sur les montants des vols de données les plus connues (Equifax : 700 M$, Marriott : 123 M$, British Airways : 183 M$).
On aurait aimé vous parler de…
Marine MARTIN – BOURSE DIRECT
Enfin, Marine Martin est venue faire une revue des sujets amusants ou qui auraient pu faire l’objet de présentation : Scotland Yard piraté, les attaques MageCart, la publication de l’ANSSI sur la CTO, les élections 2020 ou encore les JO qui seront au cœur de la cybersécurité.
