L’ANSSI est revenu sur les grandes tendances ayant marqué le paysage cyber sur l’année 2020-2021 et en propose des perspectives d’évolution à court terme. Ces tendances s’inscrivent dans une hausse continue du niveau de menace. Ainsi, l’ANSSI a eu connaissance de 1082 intrusions avérées dans des systèmes d’information en 2021, pour 786 en 2020. Cela représente une hausse de 37 % des intrusions avérée dans l’année. Cette hausse s’explique par l’évolution et l’amélioration constante des capacités des acteurs malveillants dont les principales intentions restent le gain financier, l’espionnage et la déstabilisation. Ces acteurs ont su saisir une multitude d’opportunités offertes par la généralisation d’usages numériques souvent mal maitrisés. Une vigilance particulière est par conséquent nécessaire dans le cadre d’évènements majeurs en France tels que la présidence française de l’Union européenne, les élections présidentielles et législatives en 2022 et les Jeux olympiques de Paris 2024 qui sont autant d’opportunités contextuelles à exploiter pour des attaquants.Les attaquants étatiques s’inspirent également des méthodes cybercriminelles en s’appropriant des codes et outils traditionnellement utilisés par les attaquants cybercriminels tels que des rançongiciels ou des techniques d’hameçonnage. Pour se dissimuler, ils exploitent des outils légitimes présents sur les réseaux des victimes, échappant ainsi à la détection (selon la technique du living-off-the-land - LotL). Cette porosité entre différents profils d’attaquants complique la caractérisation des activités malveillantes.
Dans l'édition 2021 de son Panorama de la menace informatique, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a dressé le bilan de l'année 2021 en matière de cybersécurité.
L'ANSSI note que l'évolution de l’écosystème cybercriminel est marquée par une professionnalisation et une spécialisation constantes, cause et conséquence de la maturité et des gains financiers acquis par ses acteurs. Les rançongiciels vendus en tant que service (RaaS) et les entreprises peu regardantes qui offrent à des acteurs malveillants des capacités d’hébergement (Bullet Proof Hosters) en sont une parfaite illustration. Les acteurs cybercriminels adoptent également des modes opératoires semblables à ceux d’acteurs soutenus par des gouvernements, en préparant minutieusement leurs opérations, en persistant sur les réseaux de leurs victimes pendant de longues périodes à la recherche de ressources d’intérêt et parfois en exploitant des vulnérabilités inconnues 0-Day. Par ailleurs, cette mise à disposition d’outils et services malveillants prêts à l’emploi pourrait profiter à d’autres types d’attaquants, notamment motivés idéologiquement tels que les hacktivistes.
« À l’image de la criminalité organisée traditionnelle, la cybercriminalité constitue un réseau économique associant des fournisseurs de services spécialisés dont les membres collaborent plus ou moins étroitement en fonction des opportunités et des objectifs du moment. Cette organisation est à la fois la cause et la conséquence de la maturité qu’a atteinte l’écosystème cybercriminel, alimenté directement par ses gains financiers, estimés à plus d’un milliard d’euros par an.
« Cet écosystème s’est spécialisé autour d’une galaxie de métiers et de rôles correspondant souvent aux différentes étapes d’une attaque informatique. Les acteurs cybercriminels se spécialisent ainsi en fournisseurs de services proposant des codes malveillants, des infrastructures d’anonymisation, des accès à des réseaux compromis (Access Broker), des réseaux de machines zombies botnet, des services d’envoi de pourriels ou encore de blanchiment d’argent. Très peu de groupes cybercriminels possèdent en interne l’ensemble de ces compétences. Ces groupes sont cependant susceptibles de fournir plusieurs types de services à l’image d’Evil Corp qui opère à la fois des rançongiciels depuis 2017 et distribue la porte dérobée Dridex ».
Cette spécialisation et ces offres de services entrainent une multiplication des chaînes d’infection potentielles et compliquent leur détection et leur suivi. Toutefois, certains services malveillants à l’image d’Emotet ou encore Cobalt Strike deviennent des codes ou des nœuds d’infrastructures très répandus dont le suivi et le blocage permettent ainsi d’arrêter une attaque dès les premières étapes de la chaîne d’infection.
Les rançongiciels et notamment ceux vendus en tant que service (Ransomware-a-a-Service - RaaS) illustrent également ces phénomènes de spécialisation et professionnalisation de l’écosystème cybercriminel. Ils font intervenir un ensemble de groupes et de personnes, parfois spécifiquement recrutées en fonction de leurs compétences à l’instar de FIN7. Un revendeur d’accès ou access broker peut ainsi procéder à des scans de vulnérabilités pour identifier des cibles potentielles, en moyenne dans un délai de 48 h après la divulgation d’une vulnérabilité et d’une méthode d’exploitation. Ce revendeur peut également opérer un service d’hameçonnage ciblé ou non qui reste le vecteur de primo-infection le plus courant. Les accès ainsi obtenus sont partagés à d’autres attaquants, disposant par exemple d’expertise dans la latéralisation au sein de réseaux gérés par les annuaires Active Directory, composants critiques des systèmes d’information. Une fois les ressources d’intérêt identifiées et exfiltrées, le chiffrement du parc informatique peut être lancé grâce au rançongiciel mis à disposition par les opérateurs du rançongiciel.
En 2021, l’ANSSI a suivi en moyenne une quarantaine de rançongiciels différents.
Ciblant l’ensemble des secteurs d’activité, cette menace reste majoritairement opportuniste et recherche des cibles peu sécurisées, disposant de ressources financières importantes et ne supportant pas de rupture d’activité. Il existe toutefois des subtilités dans le ciblage. Si certains groupes cherchent à maximiser leur profit en ciblant le plus de victimes possible, d’autres ne ciblent que de grandes sociétés particulièrement rentables dans le cadre d’opérations dites de Big Game Hunting. Ces variations se retrouvent également dans la rapidité de la chaîne d’infection, de la phase de déploiement et de chiffrement. Certains groupes d’attaquants cybercriminels peuvent cependant rester plusieurs jours ou plusieurs semaines dans les réseaux de leurs victimes afin d’identifier les ressources clés, d’en
étudier le contenu avant exfiltration et menace de publication pour exercer une pression supplémentaire lors de la phase d’extorsion et de négociation de la rançon.
Des acteurs étatiques de moins en moins identifiables
Depuis quelques années, l’ANSSI observe une convergence des méthodes et outils utilisés par plusieurs profils d’acteurs malveillants. Les acteurs étatiques utilisent désormais de manière plus courante des outils non marquants, tels que Cobalt Strike, largement utilisés dans l’écosystème cybercriminel. Ce fut notamment le cas lors de la campagne d’espionnage contre des entités françaises en 2021 mettant en œuvre le mode opératoire APT31. Ce phénomène n’est pas nécessairement organisé ou issu d’un rapprochement entre ces deux types d’acteurs bien que certains services de renseignements soient parfois accusés de liens avec des cybercriminels.
Une autre tendance observée est le partage d’outils entre différents modes opératoires réputés liés à des États. C’est notamment le cas de ShadowPad qui est utilisé par plusieurs modes opératoires d’attaquants (MOA), plus particulièrement APT41 et Tonto Team. Cette utilisation partagée d’un même outil, qui suggère une coopération entre différents MOA ou l’existence d’un fournisseur commun, complique nécessairement la caractérisation des activités et leur imputation à un MOA particulier. Cette utilisation partagée a également été observée avec PlugX.
Comme de nombreux cybercriminels, des attaquants de niveau étatique ont recours à la technique du living-offthe-land (LOTF) qui consiste à utiliser des outils déjà présents sur le réseau de la victime, notamment des outils d’administration comme PowerShell, pour arriver à leurs fins. Ainsi, ils sont plus difficiles à détecter, car ils utilisent peu ou pas d’outils caractéristiques d’activités malveillantes. Outre une rationalisation des coûts, ce recours à des outils non signants, partagés ou exploités depuis le réseau de la victime, permet également de nier de façon plausible toute implication en ne permettant pas une caractérisation précise des activités. C’est particulièrement le cas lors de l’emploi de rançongiciels par des modes opératoires étatiques à des fins lucratives et non de sabotage. À ce titre, plusieurs groupes d’attaquants supposément liés aux intérêts nord-coréens emploieraient des rançongiciels à des fins lucratives tandis que d’autres utiliseraient ce type de code afin d’effacer leurs traces ou dissimuler leur véritable objectif.
Des capacités privées qui se développent rapidement
La récente actualité liée aux révélations sur les cibles des clients du système Pegasus commercialisé par la société israélienne NSO Group a permis une réelle prise de conscience de la menace que peuvent représenter certaines entreprises privées. Pourtant le marché existe depuis plus d’une décennie et les entreprises qui y prennent part sont aussi bien implantées que discrètes sur leurs activités et leur clientèle.
Plusieurs offres de services sont possibles : des outils clé en main, de l’expertise humaine ou encore des capacités telles que des méthodes d’exploitation de vulnérabilités 0-Day. Si ces services sont généralement réservés à des clients étatiques dans le cadre de la lutte contre le terrorisme et la criminalité organisée, les dernières révélations suggèrent un dévoiement de l’utilisation de ces outils à des fins d’espionnage stratégique et politique à l’encontre d’autres cibles telles que des journalistes, des défenseurs des droits de l’homme et de hauts responsables ainsi que d’entreprises détenant des données à caractère personnel comme des opérateurs de communications électroniques ou des entreprises du secteur des transports. Ces services varient de l’utilisation d’applications défaillantes en passant par celle d’outils d’attaques plus sophistiqués comme CobaltStrike, jusqu’à l’exploitation de vulnérabilités 0-Day sans interaction nécessaire de la cible (0-Click). Enfin, le recours à une tierce partie, a fortiori privée, peut générer un certain sentiment d’impunité qui peut expliquer le ciblage décomplexé de certains commanditaires.
Le développement et la multiplication de ce type d’entreprises augmentent également le risque qu’elles fassent elles-mêmes l’objet d’attaques informatiques amenant à la divulgation d’outils d’attaques potentiellement sophistiqués et à leur prolifération. Pour mémoire, ce fut notamment le cas de la société italienne Hacking Team victime d’une exfiltration de données et d’outils en 2015. Ces outils ont été exploités jusqu’en 2020 par des acteurs réputés liés à des États et des cybercriminels.
Enfin, ces services parfois très sophistiqués peuvent fournir à de nouveaux commanditaires (étatiques ou non) les moyens de mener des attaques informatiques sans avoir à développer leurs propres capacités et compétences.
L’espionnage reste la première finalité poursuivie, notamment en France
Si les attaques à finalité lucrative ont occupé le devant de la scène au cours des derniers mois, il est important de rappeler que l’espionnage reste la première finalité poursuivie avec les tentatives de déstabilisation et les actions de sabotage informatiques.
La menace d’espionnage stratégique demeure une constante à prendre en compte ; elle touche autant les acteurs institutionnels que privés. La France est particulièrement ciblée par cette menace comme en témoignent les campagnes d’attaques mettant en œuvre les modes opératoires Sandworm, Nobelium ou encore APT31 en 2020-2021. En 2021, sur les 17 opérations de cyberdéfense traitées par l’ANSSI, 14 étaient liées à des opérations d’espionnage informatique, impliquant pour 9 d’entre elles des modes opératoires réputés chinois. De même, sur 8 incidents majeurs, 5 concernent des MOA réputés chinois.
Le détournement de cadres juridiques étrangers liés à la cybersécurité peut également faciliter ces actions d’espionnage visant à capter des données à caractère personnel des citoyens français et/ou des données appartenant à des entreprises françaises implantées à l’étranger. Si les dispositifs législatifs relatifs à la cybersécurité se multiplient dans le monde, plusieurs cas de détournement à des fins d’espionnage de dispositifs légaux sans lien avec la cybersécurité ont été rapportés ou soupçonnés. Ainsi certaines versions du logiciel GoldenTax, imposé en Chine, ont embarqué une porte dérobée permettant un accès furtif aux systèmes d’information de plusieurs entreprises. De plus, l’extraterritorialité de certaines législations étrangères en matière de sécurité nationale, une notion susceptible d’interprétation large, fait peser un risque supplémentaire sur la confidentialité des données et sur la disponibilité des infrastructures numériques.
Le ciblage d’infrastructures critiques à des fins de sabotage demeure une menace constante
Des secteurs extrêmement critiques comme celui de l’eau en Israël et du transport aux États-Unis ont également fait l’objet d’attaques informatiques menées dans des objectifs de prépositionnement et sabotage. En avril 2020, plusieurs installations critiques de gestion de l’eau et des eaux usées en Israël ont ainsi été la cible d’attaques coordonnées, mais aux conséquences limitées, ultérieurement attribuées à l’Iran. En février 2021, un avis de sécurité conjoint du CISA, FBI, ISAC et EPA indiquait que des attaquants avaient réussi à accéder au système industriel d’une usine de traitement de l’eau potable en Floride. Ils auraient manipulé le niveau d’hydroxyde de sodium dans une potentielle tentative d’empoisonnement. Les attaquants ont notamment tiré parti de la faiblesse des mots de passe utilisés - les mêmes sur plusieurs interfaces et systèmes - et auraient exploité des vulnérabilités de Windows.
Le secteur du transport aérien a également fait l’objet d’attaques informatiques à des fins de prépositionnement. En août 2020, une alerte conjointe du CISA et du FBI indiquait que des actions de reconnaissance étaient menées par des acteurs soutenus par des États dans le secteur aérien. Ces actions menées dans un objectif de prépositionnement comprenaient notamment des recherches de vulnérabilité ainsi que des tentatives de récupération d’identifiants et mots de passe.
L’attaque par sabotage informatique contre le port iranien de Shahid Rajaee de mai 2020, quant à elle, a été attribuée aux autorités israéliennes en représailles de l’attaque contre le système d’eau israélien en avril 2020. Cette attaque aurait stoppé les systèmes de régulation des flux de cargos et marchandises, entrainant la congestion du trafic à l’entrée du port pendant plusieurs jours.
Le ciblage d’infrastructures critiques par des acteurs de niveau étatique devrait continuer, plus particulièrement dans le cadre de tensions géopolitiques exacerbées. Ces acteurs sont également susceptibles d’instrumentaliser des groupes cybercriminels afin de maintenir une possibilité de déni plausible.
Exploitation de failles, des nouveaux usages numériques et de la supply chain
L’ANSSI regrette intensément que la correction des failles de sécurité ne fasse pas l’objet d’une plus grande réactivité dans l’application des solutions. « Encore trop d’organisations n’appliquent pas à temps les correctifs publiés par les éditeurs de logiciel et offrent aux attaquants un vecteur d’infection initiale relativement aisé à mettre en œuvre sur les systèmes exposés sur Internet », fustige l’Agence.
Elle rappelle qu’il suffit que les détails d’une faille soient publiés pour qu’une exploitation fasse son apparition en quelques jours, voire en quelques heures. Des attaques industrialisées qui plus est via des scans massifs, à des fins d’espionnage ou de gains financiers. Elle cite notamment les cas des vulnérabilités Exchange, Log4j, Citrix et PulseSecure, pas assez vite colmatées en entreprise et ayant ouvert des portes d’entrée, aboutissant parfois à l’intrusion de ransomwares.
Cette réactivité est d’autant plus cruciale que le nombre d’exploitations de failles 0day explose. L’ANSSI reprend les informations du Threat Analysis Group de Google, selon lequel 33 vulnérabilités étaient exploitées en juillet 2021, contre 25 en 2020 et 20 en 2019.
Bien sûr, l’augmentation des capacités d’attaque n’est pas le seul critère à prendre en compte. Celles de détection ont également été renforcées, menant à une hausse des découvertes. Ce même point peut être détourné, comme en Chine où la législation force les éditeurs à révéler leurs failles, avec une possible récupération par des cybercriminels.
La sécurité générale des données touche également la manière dont les logiciels sont configurés. Le cadre est d’autant plus spécifique que la crise sanitaire a engendré une explosion des solutions de travail à domicile, souvent par des personnes avec peu de compétences informatiques.
Conclusion
« Dans les prochains mois, de nouvelles opportunités se présenteront aux attaquants notamment en France. Les intentions associées seront hétérogènes, allant de la déstabilisation à l’influence en passant par l’espionnage et le gain financier. Si l’exploitation de vulnérabilités 0-day reste imprévisible, les élections législatives et présidentielles de 2022 ainsi que la tenue de la coupe du monde rugby en 2023 et des Jeux olympiques en France en 2024 seront autant d’évènements que les attaquants chercheront à exploiter. Les cibles potentielles sont multiples et présentent des niveaux de maturité en sécurité des systèmes d’information très variables - médias, partis politiques, organisations gouvernementales et publiques, think tanks, entreprises du numérique, opérateurs critiques, etc. - et appellent à une vigilance particulière de l’ensemble des parties prenantes ».
Source : rapport de l'ANSSI (CERT-FR)