Pas de pause corona pour le maliciel

Quel a été l’impact du passage au télétravail, et surtout la vitesse de ce basculement, sur la sécurité? Au cours de l’année écoulée, de très nombreuses études ont été publiées. Bilan.

Mais permettez-nous de commencer d’abord par la Covid-19 qui a retenu – et retient toujours – toute l’attention. Ainsi, les courriels d’hameçonnage ont fait la une et ont été utilisés massivement pour piéger de nombreuses personnes qui, en utilisant intensivement la messagerie, ont eu tôt fait de cliquer sur tout et rien. Le géant des réseaux et de la sécurité NTT a constaté dès janvier 2020 l’apparition de courriels d’hameçonnage sur la Covid. Or le télétravail et le confinement ont accéléré sensiblement la tendance. Au mois de mai, Saveonweb notait un doublement des notifications de courriels suspects. Cette tendance ne s’est d’ailleurs pas ralentie, comme le montre le fait qu’en mars 2021, le ministre wallon de la santé faisant état de courriels d’hameçonnage avec de fausses invitations de vaccination.

Pas de pause corona pour le maliciel

Télétravail = hausse des attaques

“Le télétravail et l’accès à distance ont été un accélérateur des problèmes de sécurité, estime Stefaan Hinderyckx, ‘senior vice president’ Security Europe NTT. Imposer le télétravail durant un an signifie que beaucoup de personnes utilisent des réseaux et des ordinateurs portables nettement moins sécurisés qu’au bureau.”

Ainsi, NTT constate que 67% des attaques menées durant l’année écoulée portaient sur des applications web. ThinkPHP, une plateforme de construction de sites web, a été la technologie la plus attaquée à l’échelle mondiale, avec quelque 30% des attaques. Dans le Benelux, ce pourcentage atteint même 62% des attaques, écrit NTT dans son rapport annuel en s’appuyant sur les données de ses propres SOC, complétées de statistiques provenant de différentes sources.

“De nombreuses organisations ont désormais pris les mesures nécessaires pour sécuriser leurs infrastructures et leurs réseaux, ajoute Hinderyckx. Mais les applis, surtout celles développées en interne, recèlent encore des vulnérabilités. Les développeurs se sont en effet surtout focalisés sur la vitesse et la convivialité, mais ne sont pas toujours formés à la sécurité des applis.”

Finance et industrie

Au niveau des cibles les plus fréquentes, NTT constate que 62% des attaques portent sur 3 secteurs: la finance, l’industrie manufacturière et les soins de santé. Ainsi, les attaques dans la fabrication ont augmenté de près de 300%. “Il s’agit historiquement de l’un des secteurs les moins bien protégés, explique Hinderyckx. Mais on constate également qu’il y a toujours plus d’interdépendances entre les éléments d’une chaîne d’approvisionnement. Ainsi, plusieurs entreprises sont interconnectées au sein de chaînes d’approvisionnement virtuelles, ce qui induit de nouvelles techniques d’attaque comme le ‘double ransomware’ qui permet de rançonner non seulement une victime, mais aussi les fournisseurs de cette victime.”

Pas de pause corona pour le maliciel

Par ailleurs, les attaques sur les entreprises financières ont progressé de 50%. “Les attaques portent sur les fameuses ‘phishing scams’, mais aussi les courriels vous invitant à contacter votre banque, sauf que ce n’est pas une banque que vous appelez. Ces attaques sont toujours plus sophistiquées et portent souvent sur des personnes qui ne maîtrisent pas bien le numérique et à qui on demande de transférer de l’argent”, ajoute Hinderyckx.

Les soins asphyxiés

De même, le secteur des soins a été attaqué sur plusieurs fronts. Ainsi, les attaques sur l’infrastructure médicale ont plus que doublé en 2020. “Songez à des produits comme les vaccins, note Hinderyckx. Nous avons dans ce domaine des attaques documentées d’Etats-nations qui tentent de dérober des documents. La Covid a été un catalyseur de première importance.”

C’est ainsi qu’en novembre 2020, le développeur britannique de vaccins AstraZeneca a été la cible de cyberattaques nord-coréennes. Selon l’agence de presse Reuters, ces attaques auraient toutefois échoué. Toujours en novembre dernier, Microsoft annonçait que 7 organisations impliquées dans le développement d’un vaccin contre le coronavirus avaient été attaquées. Ici également, des organisations nord-coréennes ont été pointées du doigt, de même que le groupe de pirates Fancy Bear lié aux services de renseignement russes.

Un mois plus tard, c’était au tour de l’agence européenne du médicament (EMA) d’être la cible d’attaques visant clairement des documents liés aux vaccins de Pfizer et de BioNTech. En janvier de cette année, le réseau informatique de l’Algemeen Medisch Labo d’Anvers était piraté, entraînant le blocage de milliers de tests corona.

Plus tragiques sans doute sont les attaques contre des hôpitaux. En septembre et octobre dernier, une attaque au rançongiciel RYUK a touché des hôpitaux américains, faisant des centaines de victimes. En janvier 2021, le centre hospitalier ChWapi de Tournai était paralysé par une cyberattaque. Peuve qu’il s’agit là d’une tendance de fond, estime Check Point Research dans un rapport. Selon ces spécialistes de la sécurité, le nombre d’attaques sur des organismes médicaux a augmenté l’an dernier deux fois plus vite que dans d’autres secteurs. En cause, le fait que les hôpitaux ne peuvent pas se permettre, surtout à cette époque, d’être longtemps paralysés et sont donc prêts à verser plus rapidement la rançon réclamée.

Pas de pause corona pour le maliciel

Ruée vers l’or

Les criminels cherchent à gagner un maximum d’argent en un minimum de temps. Ce crédo est valable depuis des années déjà et pour ceux qui ont un sens moral moins corrompu, l’attaque d’un hôpital est remplacée par du ‘coin mining’. A présent que le cours des cryptomonnaies a atteint des sommets, l’extraction de monero par exemple, l’une des devises numériques les plus populaires utilisées dans les maliciels, représente une activité lucrative. Qui plus est, l’éradication de ce maliciel n’est pas une priorité pour de nombreuses organisations dans la mesure où celle-ci exige du CPU et ne paralyse pas l’ensemble d’une organisation, fait encore remarquer Hinderyckx.

Au total, les cryptomaliciels représentaient 41% de l’ensemble des maliciels découverts l’an dernier et 71% de l’ensemble des maliciels dans l’EMEA. A noter que le maliciel XMRig est le plus populaire et le plus détecté quel que soit le pays.

Le DDoS n’a jamais vraiment disparu

De même, le nombre d’attaques DDos a augmenté l’an dernier, écrit le spécialiste de la sécurité Kaspersky. Au 1er trimestre de 2020, la progression a même été de 80%. Les attaques conservent majoritairement les plateformes scolaires, mais d’autres réseaux ont également été victimes d’attaques de grande ampleur.

C’est ainsi qu’en août dernier, le fournisseur alternatif edpnet a été touché par une grande attaque DDos. L’entreprise a ainsi dû absorber plus de 100 Gbit/s de trafic provenant de 5.000 adresses IP.

Reste encore Belnet. Le réseau de nombreux sites publics belges a été attaqué en mai de cette année au départ de 257.000 adresses IP de 29 pays, touchant non seulement Belnet, mais aussi les réseaux de Telenet et Proximus.

SolarWinds, l’attaque ultime sur la chaîne d’approvisionnement

Le 20 février 2020, l’éditeur de logiciels de gestion SolarWinds était piratée. Une mise à niveau de son logiciel était ensuite utilisée pour mener une attaque de type ‘chaîne d’approvisionnement’ sur des milliers d’entreprises potentielles. Parmi les victimes, on recense plusieurs organismes publics américains, mais aussi de grandes entreprises technologiques comme Microsoft, où les pirates auraient pu accéder à des parties du code d’Azure, mais aussi Cisco, Intel, Nvidia, Belkin et VMware. De même, une quarantaine d’entreprises belges auraient été touchées. Il s’agit aux Etats-Unis de l’une des plus grandes attaques jamais menées et qui a entraîné des sanctions contre la Russie qui serait derrière cette attaque selon le FBI.

La fin d’Emotet?

En janvier 2021, une entente entre les services de police de différents pays, dont l’Allemagne, les Pays-Bas et la France, prenait le contrôle sur le ‘botnet’ Emotet grâce à deux serveurs gérés au départ des Pays-Bas. Avec comme conséquence l’installation d’une ‘bombe à retardement’: les services de police ont modifié le code d’Emotet et ont déployé un module sur l’ensemble des appareils infectés, ce qui a entraîné l’autodestruction du maliciel le 25 avril.

Rappelons qu’en 2020, Emotet était, de même que Trickbot, l’une des plateformes de maliciels les plus virulentes, surtout dans les soins de santé, la finance, l’industrie manufacturière et la technologie, écrit NTT dans un rapport. Le maliciel se diffuse tous les quelques mois via une grande campagne de spam avant de disparaître une nouvelle fois. Reste à voir si l’on assiste vraiment à la fin d’Emotet.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire