État des lieux des menaces en 2021, entre professionnalisation des groupes et explosion des ransomwares 

État des lieux des menaces en 2021, entre professionnalisation des groupes et explosion des ransomwares 

Les 8 et 9 mars 2022, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) et le site cybermaveillance.gouv.fr ont publié leurs rapports sur l’état de la cybermenace en 2021. Avec une hausse de 37% des intrusions avérées dans des systèmes d’information constatée par l’ANSSI, les activités de cybermalveillance.gouv.fr contribuent toujours plus au dispositif global de sécurité numérique.

Professionnalisation des cybercriminels : la menace s’intensifie

En se spécialisant sur certaines étapes d’une attaque (développement de code malveillant, infrastructure d’anonymisation, botnet, etc.), les cybercriminels multiplient les chaînes d’infection et brouillent un peu plus les pistes pour les défenseurs. Le phénomène du Ransomware-as-a-Service (RaaS) en est une illustration. Un RaaS cache en réalité une galaxie de criminels spécialisés qui interviennent chacun sur un segment précis de la chaîne d’infection. Le ransomware reste, cette année encore, la principale menace pour les entreprises. Opportunistes, disposant de ressources financières et humaines importantes les ransomwares ciblent l’ensemble des secteurs d’activité. Les méthodes d’extorsion ont également évolué. Certains groupes adossent leurs demandes de rançon à des menaces de divulgation de données volées, d’attaque DDoS et de harcèlement téléphonique.

La professionnalisation des cybercriminels et le recours de plus en plus courant à des outils classiques utilisés dans la sécurité informatique (comme CobaltStrike par exemple) rendent de plus en plus difficile l’identification des acteurs proches d’États. Les premiers disposent de moyens et de structures de plus en plus sophistiqués, ce qui les rend de plus en plus proches des seconds. 

2021 aura également vu un acteur d’un genre nouveau s’imposer dans le spectre des cybermenaces : les sociétés privées. L’affaire Pegasus, du nom du logiciel espion développé et commercialisé par la société israélienne NSO Group, a mis sur le devant de la scène ce marché bien particulier. En proposant des services et des produits offensifs, ces entreprises peuvent fournir à leurs clients les moyens de mener des attaques de grande envergure clé en main. 

Appât du gain, sabotage et espionnage : le tryptique des motivations

Le dispositif cybermalveillance.gouv.fr qui a vu sa fréquentation bondir de 101% en 2021, a recensé plus de 173 000 demandes d’assistance en 2021 (+65%). Majoritairement utilisées par les particuliers (90%) pour des cas de phishing et de piratage de boîtes mail, les entreprises et les collectivités territoriales ont quant à elle été la cible de campagne de phishing (environ 20% sur l’ensemble des demandes d’assistance). C’est donc sans réelle surprise que ces deux vecteurs d’attaques conservent la tête du palmarès des actes de cybermalveillance pour 2021. À noter cependant que deux importantes fuites de données dans le domaine de la santé ont affecté environ 2 millions de personnes en 2021. Ces données, particulièrement sensibles, sont des objectifs de choix pour les attaquants. 

Ces attaques ne doivent toutefois pas faire oublier que l’espionnage reste la première finalité poursuivie par les attaquants ciblant des entreprises, notamment en France. Ainsi, en 2021, 14 des 17 opérations de cyberdéfense traitées par l’ANSSI étaient liées à des opérations d’espionnage, dont 9 d’origine chinoise. Ces actions sont facilitées par le détournement de cadres juridiques étrangers (Cloud Act aux États Unis ou loi sur le renseignement en République Populaire de Chine par exemple) afin de collecter des données confidentielles d’entreprises ou de citoyens français implantés à l’étranger. Rappelons le cas du logiciel GoldenTax, imposé en Chine, qui embarquait une porte d’accès dérobée. 

L’ANSSI alerte également sur le ciblage des infrastructures vitales et sur les opérations d’influence. On peut ici retenir la compromission du système industriel d’une usine de traitement de l’eau potable en Floride en février 2021. Ce type de motivation est bien sûr en tête des actions menées par les belligérants du conflit russo-ukrainien. Les opérations d’influence et de déstabilisation ont également défrayé la chronique en 2021 avec la campagne Ghostwriter, attribuée à la Russie et à la Biélorussie. Un des scénarios redoutés par l’ANSSI en 2022 concerne une possible ingérence dans les élections présidentielles. 

De nombreuses vulnérabilités à exploiter en 2021

Quelles que soient leurs motivations, les acteurs ont exploité massivement de nombreuses vulnérabilités. Parmi elles, une sur les serveurs Exchange (février 2021), PulseSecure (octobre 2021) ou encore Log4j (décembre 2021). L’explosion du nombre de failles zero-day exploitées en 2021 s’explique à plusieurs niveaux :  

  • la professionnalisation des attaquants et la mutualisation de leurs moyens ; l’augmentation de leurs capacités techniques ; 
  • le recours à des sociétés privées commercialisant ce type de faille. 

 Notons également que la législation chinoise impose désormais aux entreprises du pays de signaler les vulnérabilités découvertes. Le détournement de ce dispositif législatif fait craindre une identification facilitée des vulnérabilités zero-day par des groupes d’attaquants chinois. 

Outre les failles zero-day, les attaquants exploitent largement les défauts de sécurisation des différents services cloud. La crise sanitaire a agi comme un catalyseur en démultipliant les surfaces d’attaque. Le manque de maîtrise des environnements cloud et la forte dépendance aux fournisseurs de services compliquent d’autant les projets de sécurisation et les investigations en cas d’attaque. De plus, la communauté cyber a observé une nette hausse dans les attaques ciblant la « supply chain », qui se numérise de plus en plus. 

Perspectives pour 2022

Le récent conflit entre l’Ukraine et la Russie ouvre l’année 2022 sur un contexte géopolitique tendu. Les attaques informatiques sont largement utilisées de part et d’autre. La frontière entre acteurs étatique, protoétatiques et cybercriminels devient de plus en plus ténue. Dans les faits, les impacts constatés par les victimes et les cibles choisies par les attaquants ne permettent plus nécessairement de faire la différence entre une opération motivée par l’appât du gain et une ouverture de théâtre de guerre. Les sources de menaces se multiplient et se structurent, tandis que les cibles augmentent les surfaces d’attaque, notamment en généralisant la migration de leurs environnements dans le cloud. 

À noter également qu’une récente communication de l’ANSSI alerte sur les menaces liées à l’utilisation de ressources informatiques commercialisées par des entreprises russes, faisant explicitement référence à la société Kaspersky. Le risque d’attaques par rebond pour les entreprises françaises ayant des filiales en Ukraine ou en Russie dans la cadre du conflit est également un élément essentiel à prendre en considération dans le suivi des menaces. 

L’ANSSI appelle donc à une « vigilance particulière de l’ensemble des parties prenantes », en rappelant que les élections présidentielles de 2022, la coupe du monde rugby en 2023 et les JO de 2024 vont être autant de cibles de choix pour les attaquants.

Références :

Lien vers le rapport complet de l’ANSSI : https://www.cert.ssi.gouv.fr/uploads/20220309_NP_WHITE_ANSSI_panorama-menace-ANSSI.pdf

Lien vers le rapport complet de Cybermalveillance.gouv.fr : https://www.cybermalveillance.gouv.fr/medias/2022/03/cybermalveillance-rapport-activite-2021.pdf

Lien vers le rapport de l’ANSSI sur les tensions internationales : https://www.cert.ssi.gouv.fr/cti/CERTFR-2022-CTI-001/ 


Louis Darfeuille