Panocrim 2023 du CLUSIF : la cybercriminalité toujours à un haut niveau

Fondé en 1993 comme association (mais le groupe des fondateurs existait informellement auparavant), le CLUSIF (Club de la Sécurité des Systèmes d’Information Français) fête en ce moment ses trente ans. Il regroupe aujourd’hui 500 organisations adhérentes et 1200 personnes physiques dont 300 membres de l’« Espace RSSI ». Le trentième anniversaire a été célébré à l’occasion de la présentation de la 23ème édition du Panorama de la Cybercriminalité (ou « Panocrim »), le 26 janvier 2023. Comme tous les ans, cette étude est issue d’un groupe de travail de trente-cinq adhérents à partir de sources ouvertes. Il s’agit donc de donner les tendances en matières de cybercriminalité mais aussi des manières de s’en protéger.

Le chiffrement des informations est bien sûr considéré comme la première mesure pour éviter les fuites de données suite à l’exploitation d’une faille : le criminel a certes des données mais celles-ci sont illisibles. Des services de sécurité (comme la NSA) peuvent avoir une approche de collecte à tout prix en attendant d’avoir les moyens de déchiffrer et en pariant sur le fait que l’information sera alors toujours intéressante. Mais les cybercriminels n’ont pas cette patience. La plupart des algorithmes de chiffrement repose sur la factorisation de nombres premiers et il est anticiper que l’informatique quantique cassera (quand elle fonctionnera) très facilement et rapidement ces chiffrements. On parle donc de « chiffrement post-quantique » quand l’algorithme a une autre base mathématique mais ces algorithmes ne sont pas jugés encore matures dans la plupart des cas, voire pouvant disposer de portes dérobées subtiles.

Ransomwares, ransomwares toujours

Le chiffrement est aussi une manière de bloquer un système d’information afin d’obtenir une rançon en échange de la clé de déchiffrement. Pour les experts du Clusif, le ransomware reste la menace la plus importante, même si l’actualité montre que la victoire n’est pas nécessairement acquise aux gangsters. Ainsi, le 14 janvier 2022, la Russie a arrêté sur son sol les membres du groupe Revil, marquant la fin d’une certaine impunité. Mais les bandes proposant des « ransomwares as a service » restent nombreuses : Conti, Lockbit… Le quarté des pays les plus touchés est composé des Etats-Unis, de l’Allemagne, de la France et de l’Italie.

Le cas de Toyota est particulièrement intéressant. Si sa filiale australienne a été une victime directe d’un ransomware en octobre 2022, la firme automobile a subi plusieurs semaines d’arrêts de nombreux sites industriels à plusieurs reprises en 2022 sans avoir été directement victime d’un tel malware. En février puis deux fois en mars (la deuxième concernant le fabricant de pneumatiques Bridgestone), des fournisseurs ont en effet été paralysés par des ransomwares, entraînant un arrêt d’approvisionnement de Toyota en pièces nécessaires à la construction d’automobiles. Le pire est que Toyota avait recensé les 650 000 sites de production dont il dépendait en estimant les risques de tremblements de terre ou autres catastrophes naturelles… mais pas les cyber-risques.

Du cyber-crime à la cyber-guerre

Les hôpitaux ont été les victimes récurrentes les plus fréquentes en 2022. L’ANSSI a donc obtenu, en France, un fonds de vingt millions d’euros pour renforcer la sécurité des systèmes d’information des hôpitaux. Dans les grandes tendances pointées par le Clusif, les groupes cyber-criminels et les hacktivistes sont passées de l’artisanat à l’industrialisation voire au stade d’une organisation para-militaire. En avril 2022, le groupe Conti a tenté, selon sa propre communication, de bloquer un état. La victime de test a été le Costa Rica. Conti a multiplié les attaques contre des administrations et des services publics, empêchant un fonctionnement correct du pays et obligeant à la proclamation de l’état d’urgence.

La guerre russo-ukrainienne a sonné la fin de ce groupe particulièrement efficace et organisé, ayant collecté au moins 180 millions de dollars et salariant de 60 à 100 personnes à raison de plus de 1800 dollars par mois (ce qui considérable dans les pays concernés). Le groupe Conti a en effet explosé en deux factions, l’une pro-russe et l’autre pro-ukrainienne, qui sont entrées en conflit direct avec la publication des « Conti Leaks », des documents internes nombreux et révélant des informations sur le fonctionnement du groupe. Les cyber-attaques peuvent être le fait de groupes plus ou moins directement liés à des Etats : l’Albanie, qui héberge des opposants iraniens, a ainsi rompu ses relations diplomatiques avec l’Iran suite à une cyber-attaque massive attribuée, après intervention des services américains, à l’Iran. Le Monténégro a été dans une situation similaire et a été sauvé par une intervention à la fois de la France et des Etats-Unis. Au-delà des cyber-attaques classiques, les deep-fakes de propagande se multiplient, les présidents russes et ukrainiens ayant été tous les deux victimes de telles opérations de désinformation.

Le conflit russo-ukrainien en première ligne

Le conflit russo-ukrainien a été sans doute le premier dans lequel un terrain supplémentaire a été ajouté à la guerre : terre, mer, air et désormais aussi cyber-espace. Services officiels comme bandes de cyber-criminels (voire mercenaires, pour un total d’environ 80 groupes) ont ainsi multiplié les cyber-attaques des deux côtés. Mais il ne s’agit pas d’une cyber-guerre « pure ». Les mesures prises sont parfois subtiles. Ainsi, le FAI ukrainien a été remplacé par un FAI russe à Kherson, impliquant que les communications des groupes de résistance passaient par la Russie… Et une cyber-attaque portée contre les chemins de fer biélorusse visait à paralyser des convois militaires russes. Les attaques politiques existent également : l’UIT est ainsi l’objet d’une lutte d’influence entre Chine, Russie et Etats-Unis. Le groupe APT38 (Lazarus) est, lui, attribué à la Corée du Nord.

Face à la croissance des cyber-menaces et l’émergence des cyber-guerres, certains pays optent pour le fractionnement d’Internet. Le premier à l’avoir tenté est la Chine avec le « Great Firewall » (ou « Grande Cyber-Muraille »). Russie et Turkménistan lui emboîtent le pas. L’une des méthodes les plus efficaces dans les entreprises reste l’adoption de l’identification multi-facteur (MFA). Même si cette méthode est la plus pertinente, elle n’est pas infaillible. A côté des méthodes techniques (vol de cookies de sessions, SIM swap, etc.), les méthodes d’ingénierie sociale ne sont pas les moins efficaces. La « MFA fatigue » consiste ainsi à multiplier les demandes de confirmation de connexion par SMS en pleine nuit, éventuellement avec appel d’un faux support informatique indiquant que pour que cela s’arrête, il faut accepter la connexion. Mais le Clusif a pu tout de même se réjouir de bonnes nouvelles comme l’arrestation par le FBI des membres du groupe cybercriminel Hive, l’arrestation des créateurs de Locker Giga, la découverte de failles dans les processus cyber-criminels entraînant la possibilité de déchiffrements sans paiement de la rançon. Mais le Clusif s’est également fortement inquiété des cyber-attaques et des cyber-escroqueries visant la masse du grand public (par phishing notamment) pouvant entraîner des conséquences sur les entreprises.