Les attaques émanant d’États : la prochaine menace majeure pour vos systèmes de sécurité

Partie 1 : Pourquoi faut-il s’inquiéter de la montée en puissance des Big Game Hunting ?

Experts et responsables de la sécurité s’accordent à dire que 2020 fût une année fulgurante en termes de cyberattaques. Au fur et à mesure des avancées technologiques, les entreprises ont su se réinventer et s’adapter aux enjeux toujours plus mouvants qui pèsent sur leur système d’information. De leur côté, les attaquants ont eux aussi évolué. Jadis, groupes peu structurés cherchant le profit à tout prix, certains d’entre eux sont aujourd’hui organisés, frappants de manière très ciblée pour des raisons parfois autres que financières.

2020 : l’âge d’or des ransomwares 

Jamais les entreprises n’avaient été autant impactées par les ransomwares qu’en cette année 2020. Chaînes d’approvisionnement paralysées, demandes de rançons faisant perdre des centaines de milliers d’euros à leurs victimes, les exemples sont toujours plus nombreux et quasi-quotidiens. Une enquête indépendante commandée par Sophos et menée auprès de 5 000 responsables IT dans 26 pays, présente des résultats qui sont sans appel : plus de la moitié des entreprises ont été touchées l’année passée et parmi elles, une majorité dans les secteurs des médias, des loisirs et du divertissement.

Différentes études parues en 2020 confirment d’ailleurs la prééminence des ransomwares dans le panorama des menaces ciblant les États et les entreprises.

Parmi elles, un scénario d’attaque émerge et fait écho à l’environnement géopolitique et économique actuel : les Big Game Hunting. Cette « chasse au gros » comme l’avait nommé CrowdStrike courant 2018 a explosé en 2020. Cela s’explique notamment par l’influence grandissante des États-nations dans l’échiquier cyber mondial, mais également grâce aux moyens financiers et humains considérables dont disposent aujourd’hui les groupes de cyber-attaquants.

Principalement basées sur des attaques de type ransomwares, les Big Game Hunting ont pour but principal de soutirer argent et informations à leurs cibles. Dans son « État de la menace rançongiciel » publié début 2020, l’ANSSI affirmait déjà que les codes malveillants utilisés pour les attaques par rançongiciel représentaient « la menace informatique la plus sérieuse pour les entreprises et les institutions ».

Fait indéniable, 2020 aura été l’année de tous les records, 36 milliards de données exposées à travers le monde et 76% des entreprises qui déclarent avoir subi au moins une attaque, ce chiffre allant même jusqu’à 7 pour 23% d’entre elles sur les douze derniers mois. Cependant, la nouveauté ne se trouve pas seulement dans la quantité significative d’attaques mais dans leur nature, toujours plus sophistiquée.

Pour appuyer ses propos, l’ANSSI met en exergue la multiplication des attaques impliquant certains ransomwares utilisés pour du Big Game Hunting.

Les Big Game Hunting: mode opératoire et tactique

Grâce à des méthodes leur permettant de se maintenir dans le réseau de leur cible sans être détectés, les groupes criminels arrivent à exfiltrer des informations essentielles avant de les chiffrer et d’exiger une rançon. Cependant, la rançon n’est que la partie émergée de l’iceberg, car le but principal de ces opérations est d’identifier des informations stratégiques afin de les réutiliser aux dépens des victimes.

Pour cela, les cibles sont identifiées à deux niveaux.

1. Le premier correspond au choix de l’entreprise : le ciblage se fait en fonction du secteur d’activité, du niveau de sécurité supposé ou encore de la taille de l’entreprise.
2. Le second correspond des individus au sein de celle-ci : l’identification se fait en fonction de leur statut ou de leur rôle dans l’entreprise.

La récente étude d’une attaque de type Big Game Hunting attribuée au groupe FIN11 a d’ailleurs confirmé cette tendance. On y apprend également que les victimes avaient pu échanger avec le groupe d’attaquants au travers d’un portail dédié, créé par leurs soins, afin de négocier le montant de la rançon et de faciliter le paiement en crypto-monnaies.

Au-delà du chiffrement et de la demande de rançon, ce qui caractérise les Big Game Hunting est donc la pression induite par le chantage concernant la diffusion des données des victimes. En menaçant de publier des informations parfois confidentielles sur les victimes elles-mêmes, les cibles sont plus enclines à accepter un paiement par peur de la divulgation de ces données. Les groupes cyber-criminels sont donc doublement gagnants, car ils peuvent en parallèle monnayer l’accès à ces données sur des plateformes d’échange du Darkweb.

Big Game Hunting: simple manne financière ou volonté de déstabilisation ?

Dans son rapport sur « l’État de la menace rançongiciel », l’ANSSI qualifie les Big Game Hunting de « méthodes et techniques auparavant réservées à des opérations d’espionnage informatique opérées par des attaquants étatiques ».

Deux conclusions sont alors possibles :

• Les groupes criminels jadis peu structurés sont aujourd’hui assez puissants pour être en capacité d’opérer des attaques d’une envergure quasi étatique ;
• Les groupes criminels sont aujourd’hui utilisés, voire « sponsorisés » par des États qui leur permettent d’opérer ce genre d’attaques.

Il est malheureusement difficile de savoir laquelle de ces 2 hypothèses se rapproche le plus de la réalité tant l’attribution des attaques et les liens entre cyber-attaquants et États sont difficiles à établir. Cependant, de nombreuses cibles institutionnelles sont régulièrement attaquées et les conséquences pour celles-ci sont souvent très graves. Qu’il s’agisse de l’interruption de services pour les usagers ou encore de fuites d’informations personnelles concernant les citoyens, de nombreux pays sont touchés par des cyberattaques impactant leurs systèmes les plus vulnérables.

C’est notamment le cas d’une attaque datant de 2019 qui a touché plus de 500 écoles aux États-Unis et qui a abouti au paiement de plusieurs millions de dollars de rançon.

En plus de la difficulté à établir les liens opérationnels et techniques entre les États et les attaquants, il est extrêmement délicat d’accuser publiquement un état d’en avoir attaqué un autre.

La distorsion des relations internationales créée par la politique protectionniste et le franc-parler du président Trump a cependant joué en la faveur de la montée en puissance de cette mise au pilori. L’état chinois, par l’intermédiaire de l’ANSSI locale, a notamment menacé publiquement les États-Unis de « conséquences importantes » suite à une attaque ayant visé plus de 3 millions d’hôtes chinois en 2019.

À cela s’ajoute une prise de conscience de ces menaces au niveau mondial. Qu’il s’agisse, par exemple, de décisions politiques avec la création outre-Atlantique du « DHS Cyber Hunt and Incident Response Teams Act » dont le but est de défendre les entités publiques et privées contre les cyberattaques. Ou bien d’initiatives privées avec la création d’une TaskForce dédiée à la lutte contre les ransomwares réunissant 19 organisations dont, entre autres, McAfee et Microsoft.

Force est de constater que les attaques répétées et ciblées des cyber-attaquants, parfois soutenus par des États-nations, changent profondément la manière de se protéger et d’appréhender les risques dans nos entreprises.

Cependant, au-delà de ces cibles étatiques, le secteur privé est lui aussi fortement touché, pour des raisons plus floues que la volonté de déstabilisation politique ou l’extorsion de fonds : il s’agit du cyber-espionnage.

Comment anticiper les risques liés aux Big Game Hunting ? 

Des actions de prévention et de sensibilisation peuvent être mises en place si l’entreprise est consciente du paysage de menaces spécifique auquel elle est confrontée. Cette prise de conscience stratégique vient de la Cyber Threat Intelligence. Elle permet aux parties prenantes d’optimiser la stratégie de cybersécurité et d’avoir une approche efficace car elle est proactive plutôt que réactive.

L’entreprise pourra alors mieux connaître les actifs et les données à protéger, les menaces particulières pesant sur ces actifs et les outils et processus de sécurité à appliquer pour les traiter.

Les consultants Serenety proposent aux entreprises de les accompagner vers la définition et le développement d’une politique de cybersécurité solide.

Découvrez Serenety notre service de Cyber Threat Inteligence, ou discutez de vos objectifs avec notre conseiller Serenety.