2019, année de la tromperie : la 20e édition du Panocrim du Clusif, Club de la sécurité de l’information français, se plaçait cette année sous le thème de la sophistication des attaques et des tactiques employées par les attaquants.
publicité
Un attaquant peut en cacher un autre
« Aujourd’hui, les attaquants ont une réelle volonté de brouiller les pistes », expliquait ainsi sur scène Gerome Billois, expert en cybersécurité chez Wavestone. Ce qui était auparavant l’apanage des groupes étatiques et du cyberespionnage est aujourd’hui adopté de plus en plus par des cybercriminels motivés par l’appât du gain, comme le montre l’exemple d’un groupe menaçant des entreprises d’attaques DDOS et se faisant passer pour le groupe Fancy Bear dans ses demandes de rançons.
Une nouvelle donne qui n’est pas toujours évidente à gérer pour les entreprises : « Souvent, lorsque l’on est victime d’une attaque, l’un des premiers réflexes est de se demander d’où elle vient », poursuit Gerome Billois. « Dans ces cas de figure, ça n’est pas toujours une bonne idée et c’est souvent une perte de temps pour les équipes de réponses à incident, qui feraient mieux de se concentrer sur la façon dont les attaquants ont opéré plutôt que leur origine supposée. »
Cette thématique est également revenue lors de la présentation de Loïc Guezo sur la géopolitique du cyber : « L’année 2019 a apporté son lot de réponses sur des sujets parfois vieux de plus de 10 ans, par exemple sur l’implication des services hollandais dans l’opération Olympic Games ou encore sur les dessous de l’APT Dark Universe », rappelle ainsi le chercheur de Proofpoint.
L’attribution des attaques n’a rien d’aisé et ça n’est pas une nouveauté. Dans un contexte de sophistication des outils et des méthodes des attaquants, il vaut mieux se concentrer sur l’essentiel plutôt que de se perdre en vaines considérations. Les réponses viendront plus tard, et parfois 10 ans plus tard.
Incontournables ransomwares
Les ransomwares étaient évidemment à l’honneur au cours de cette rétrospective, qui a également mis en lumière la montée en puissance des groupes d’opérateurs de ransomwares. L’apparition de la tactique du Big Game Hunting (chasse au gros) qui consiste à viser de grosses entreprises en tablant sur des rançons d’autant plus conséquentes. Cette stratégie est aujourd’hui employée par plusieurs groupes, qui n’hésitent pas à brandir la menace de la fuite de données pour inciter l’entreprise à payer.
Une année de ransomwares = une slide chargée (cliquez sur l’image pour agrandir)
La présentation était également l’occasion de tordre le cou à quelques idées préconçues : ainsi, si le phishing est fréquemment vu comme la principale porte d’entrée des cybercriminels, les orateurs Sylvain Correia Prazeres et Pierre Antoine Bonifacio rappellent que la technique n’est utilisée que dans 10 % des attaques. « Il y a d’autres vecteurs d’intrusions qui sont très largement utilisés et qu’il ne faudrait pas occulter » : infection via RDP, ou en exploitant une faille de sécurité dans un équipement type VPN, achat d’identifiants d’authentification valides sur une place de marché illégale. Les e-mails malveillants ne sont pas les seuls vecteurs d’infection initiale des attaquants, comme le montrait également la présentation de Franck Veysset, qui revenait sur le gain en popularité de techniques de bourrage d’identifiants (credential stuffing) ou le piratage de VPN d’entreprises.
Le Panocrim a également été l’occasion de revenir sur les différentes stratégies en matière de communication de crise, une discipline à laquelle les entreprises victimes d’attaques informatiques doivent parfois se frotter, de gré ou de force. « En la matière, on peut voir deux écoles : si les entreprises françaises optent généralement pour la discrétion et une communication a minima, on a pu voir à l’étranger des sociétés comme Norsk Hydro qui a opté pour une transparence totale de leur processus de gestion de crise » résumait l’avocate Garance Mathias. La pression des marchés publics joue évidemment un rôle dans les choix de communication.
Coup d’œil dans le rétro
Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité à la Direction centrale de la police judiciaire, est venue présenter le travail de la police en matière de lutte contre la cybercriminalité. L’occasion de faire un rapide retour sur les principales affaires de 2019 : l’arrestation des auteurs d’e-mails de sextortion ou des braqueurs de la plateforme d’échange de cryptomonnaie GateHub, « le braquage du siècle, mais complètement indolore » selon la sous-directrice, qui rappelle également l’arrivée prochaine de la plateforme de plaintes en ligne THESEE.
Le Panocrim s’est penché sur les attaques visant la supply chain, une tendance soulignée par l’Anssi dans son rapport d’octobre 2019, ainsi que sur le marché des données personnelles volées, devenu une manne d’informations précieuses pour les escrocs et cybercriminels.
L’Enisa est venu conclure cette présentation en rappelant les principales missions de l’agence européenne de sécurité des réseaux d’information et ses principales avancées en matière législative.
Pour ses 20 ans, le Panocrim du Clusif s’offre donc une rétrospective exhaustive sur une année chargée ainsi que sur deux décennies d’évolution. Un coup d’œil dans le rétro rythmé par la projection de plusieurs reportages sur les premières grandes paniques liées aux attaques informatiques, comme ce JT de 20 heures datant de 1992 sur le virus Michelangelo. Des images qui font aujourd’hui sourire, mais qui rappellent que 20 ans plus tard, le problème de la sécurité informatique est loin d’être réglé.
Comments