Cybersecurity: challenges and state issues
Les cyberattaques sont devenues une préoccupation majeure pour les organisations du monde entier. Les pirates utilisent des techniques sophistiquées pour infiltrer les systèmes informatiques, voler des données sensibles et causer des dégâts considérables. Cet article examine certaines des attaques survenues entre le 5 et le 18 juin 2023. Il met en évidence le rôle des gouvernements, les défis auxquels ils sont confrontés et l’importance d’une sécurité et d’une résilience accrues des données pour faire face à ces menaces croissantes.
Entreprises : victimes de cyberattaques
En France, 11 % des attaques de rançongiciels sont perpétrées par LockBit, un groupe de hackers russophones.
Les pourcentages d’implication de LockBit sont également importants au Canada (22 %), en Nouvelle-Zélande (23 %), en Australie (18 %) et aux États-Unis (16 %).
LockBit bloque les données des victimes avec des logiciels malveillants et demande une rançon pour les déverrouiller. Les données peuvent être vendues sur le dark web si la victime refuse. Le malware est loué par le groupe LockBit à une centaine de filiales. Ces affiliés ciblent alors les entreprises, les pouvoirs publics et les hôpitaux et versent une commission lorsqu’ils parviennent à obtenir une rançon. (source 16)
Cette activité prolifère en France, avec 27 % des attaques de ransomwares en 2022 et 2023 attribuées au fameux gang de cybercriminels.
Ce gang a par exemple récemment ciblé Voyageurs du Monde et l’hôpital de Corbeil-Essonnes.
Lundi 5 juin, le parquet de Paris a confirmé l’ouverture d’une enquête concernant une cyberattaque perpétrée par le groupe Lockbit contre l’agence de voyages Voyageurs du Monde. Le groupe de pirates aurait obtenu un mot de passe d’un employé pour accéder au système. Ils ont ensuite publié les passeports de dix mille clients sur le darknet, ce qui pourrait permettre des usurpations d’identité et autres cyberarnaques. L’enquête vise à identifier les responsables de cette attaque et à traduire les auteurs en justice. (source 2)
La SNCF a également annoncé le 13 juin qu’un important vol de données personnelles concernait des informations appartenant à des salariés de l’entreprise. Les détails exacts des types de données volées sont inconnus, car les enquêtes sont en cours. La direction a informé les syndicats de l’entreprise de l’incident, suscitant l’inquiétude des employés qui réclamaient de plus amples informations sur la fuite de données. La faille informatique du logiciel Moveit est à l’origine de ce vol qui a déjà touché plusieurs entreprises dans le monde. La SNCF a porté plainte et informé les autorités compétentes, notamment l’ANSSI et la CNIL. A ce stade, aucune utilisation abusive des données volées n’a encore été signalée, mais une surveillance renforcée a été mise en place. (source 11)
Etats : victime de cyberattaques
Les cybercriminels ne ciblent pas seulement les entreprises privées, mais aussi les gouvernements, qui sont de plus en plus victimes de cyberattaques. Ces attaques peuvent avoir un impact majeur sur leur infrastructure, leurs systèmes et opérations gouvernementaux.
Le vol de données
Le 13 juin, un hacker connu sous le nom de Rhysida a attaqué l’armée chilienne et menacé de vendre aux enchères les données qu’il aurait extraites de leurs ordinateurs. Rhysida s’est déjà fait un nom en infiltrant et en extrayant des données auprès de la Collectivité territoriale de Martinique. Le hacker a même créé un moteur de recherche dédié aux informations volées. Son nom, Rhysida, est inspiré d’un insecte prédateur qui utilise des crocs venimeux pour capturer ses proies.
Cette menace met en évidence l’importance de la sécurité des données pour les organisations militaires. (source 1)
Cependant, ces cyberattaques contre les États ne visent pas toujours principalement à voler leurs données mais peuvent également être utilisées pour faire pression sur les États lors de conflits géopolitiques.
La pression exercée dans des contextes géopolitiques tendus
Au cours des deux dernières semaines, un groupe de hackers pro-russes connu sous le nom de « NoName » a mené des cyberattaques contre plusieurs sites Web du gouvernement fédéral suisse.
Les sites officiels de Genève Tourisme, du canton de Bâle-Ville et des villes de Lausanne et Montreux ont été attaqués mercredi 14 juin 2023. La veille, les aéroports de Genève et de Zurich étaient bloqués.
Les hackers justifient leurs attaques par le discours du président ukrainien devant le Parlement suisse, jeudi 15 juin. (source 9)
Selon l’expert en cybersécurité Lennig Pedron, les pirates informatiques avaient pour objectif d’avertir le public et les parlementaires avant le discours du président ukrainien Volodymyr Zelensky au Parlement suisse. Même si l’attaque n’a donné lieu ni à des fuites ni à des vols de données, Lennig Pédron y voit un « signal fort » avant le discours de Zelensky (source 4).
Des hackers pro-ukrainiens ont également lancé une série de cyberattaques pour faire pression.
Deux filiales russes du groupe Mulliez, Auchan et Leroy Merlin, ont été victimes de fuites de données. Les hacktivistes pro-ukrainiens NLB ont publié sur leur chaîne Telegram une première archive de 437 mégaoctets de données volées à la filiale russe d’Auchan, annonçant une « cyber-offensive » contre 12 grandes entreprises. Deux jours plus tard, le même groupe a divulgué une nouvelle archive de 523 mégaoctets de données volées à Leroy Merlin. Les données compromises comprennent des informations personnelles telles que l’identité des clients, leurs numéros de téléphone, leurs adresses e-mail et de livraison. Auchan Retail a confirmé la fuite de données tout en lançant une enquête interne pour en déterminer la source. Ces détaillants constituaient des cibles privilégiées en raison de leur présence en Russie et des événements liés à la guerre. Leroy Merlin envisageait déjà de vendre ses activités russes, tandis qu’Auchan maintenait sa présence pour protéger ses salariés et les intérêts de ses clients. (source 7)
Des hackers pro-ukrainiens ont également lancé une cyberattaque contre l’opérateur Internet russe Infotel, responsable des transactions interbancaires du pays. Cette attaque a paralysé le secteur bancaire russe, empêchant les établissements de communiquer des informations financières essentielles. Selon les pirates informatiques, l’infrastructure d’Infotel a été détruite, qui ont également affirmé avoir récupéré les bases de données de l’opérateur. Infotel gère le système d’interaction électronique automatisé de la Banque centrale de Russie, reliant les banques commerciales, les coopératives de crédit et les entreprises. Les services en ligne de la banque russe Sberbank ont également été touchés. Des pirates ont également modifié plusieurs sites Internet d’institutions et d’entreprises russes pour y afficher des messages favorables à l’Ukraine. La situation persiste depuis le début de l’attaque (source 8).
Les États : acteurs du vol de données
Néanmoins, les États ne sont pas toujours victimes de cyberattaques mais sont également devenus des acteurs majeurs des cyberattaques. Ils utilisent souvent des capacités et des ressources considérables pour mener des opérations offensives dans le cyberespace.
Selon la société de cybersécurité Mandiant, des pirates informatiques soutenus par l’État chinois ont exploité une faille de sécurité dans un appareil de sécurité de messagerie populaire pour infiltrer les réseaux de centaines d’organisations, dont près d’un tiers sont des agences gouvernementales. Cette campagne de cyberespionnage est considérée comme la plus vaste depuis l’exploit massif de Microsoft Exchange en 2021. Les pirates ont envoyé des e-mails contenant des pièces jointes malveillantes pour accéder aux appareils et aux données des organisations ciblées. Les victimes se trouvaient principalement dans les Amériques, en Asie-Pacifique, en Europe, au Moyen-Orient et en Afrique, notamment dans les ministères des Affaires étrangères et les organisations universitaires. Barracuda Networks, le fabricant d’appareils de sécurité de messagerie vulnérable, a recommandé de remplacer entièrement les appareils après avoir découvert le piratage. Le groupe de hackers identifié par Mandiant a ciblé des victimes dans au moins 16 pays. (source 14)
Les États n’hésitent pas non plus à participer au vol de données dans le cadre de leurs opérations d’espionnage.
Un rapport déclassifié révèle que le gouvernement américain collecte massivement les données personnelles de millions de citoyens, sans aucun mandat ni garantie, en achetant les données auprès de courtiers en données. Cette pratique a été révélée à la suite d’une demande du directeur du renseignement américain en 2021. Les données collectées incluent la localisation des individus, leurs interactions sociales et leurs habitudes de lecture, soulevant des inquiétudes majeures en matière de vie privée et de libertés civiles. Les militants des droits civiques voient cela comme un cauchemar, dans la mesure où les protections juridiques habituelles ne s’appliquent pas lorsque le gouvernement achète ces données plutôt que de les obtenir par le biais d’une décision de justice. De plus, même si ces données sont censées être anonymisées, il est souvent possible de les relier à des individus spécifiques. Les experts appellent le Congrès à réglementer les courtiers en données et à réformer le marché des données personnelles. (source 13)
Renforcer la lutte contre les cyberattaques
Ces activités mettent en évidence la sophistication croissante des cyberattaques et la nécessité pour les organisations de renforcer leur vigilance et leur préparation face à ces menaces.
- Renforcer la résilience face aux cyberattaques
En effet, une étude révèle que seulement 20 % des entreprises disposent d’un plan de reprise après sinistre bien documenté, testé et à jour. Près de la moitié des entreprises déclarent ne pas pouvoir restaurer toutes leurs données après un incident. Cela met en évidence le manque de préparation des entreprises aux cyberattaques. Malgré le risque élevé, 81 % des entreprises ne disposent pas de plan de résilience défini. Ces chiffres sont inquiétants, d’autant que 68 % des Français interrogés ont subi des pertes de données au cours des cinq dernières années. Les entreprises doivent accorder davantage d’attention à la sécurité et à la continuité de leurs activités. (source 3)
Ce manque de résilience des organisations constitue également un défi pour la cyberassurance. Même si le recours à la cyberassurance a augmenté ces dernières années en réponse aux ransomwares et aux attaques, les assureurs se rendent désormais compte que le risque est bien plus élevé que prévu. Les devis d’assurance sont revus à la hausse, les conditions d’indemnisation sont modifiées et il devient de plus en plus difficile pour les organisations d’obtenir une indemnisation après une cyberattaque.
Cette évolution pourrait rendre l’assurance moins efficace pour protéger les organisations contre les conséquences d’une cyberattaque.
Certaines organisations ayant souscrit une cyberassurance pourraient être tentées de trop s’appuyer sur cette protection plutôt que de renforcer leurs mesures de sécurité.
La cyberassurance ne doit être considérée qu’en dernier recours et non comme une garantie totale.
Les assureurs commencent à prendre conscience de l’ampleur des coûts à long terme. Ils évaluent le niveau de risque des organisations en fonction de la qualité de leurs défenses en matière de cybersécurité, ce qui influence les conditions de couverture et les tarifs proposés. (source 12)
Il est donc préférable de mettre en place des mesures de sécurité solides et une sensibilisation adéquate des employés pour réduire les risques d’attaques réussies.
- Renforcer les mesures de sécurité physique
Certains rappellent que des solutions faciles à mettre en œuvre existent et qu’elles ne sont plus des options.
Par exemple, l’utilisation d’un gestionnaire de mots de passe et l’adoption d’une authentification multifacteur pourraient permettre de faire face à la menace croissante des logiciels malveillants voleurs de données d’identification. Par exemple, Redline et Vidar ont récemment partagé gratuitement les données d’identification de près de 2 600 ordinateurs personnels sur une chaîne Telegram. Ces données peuvent contenir des identifiants de centaines de services en ligne, tant personnels que professionnels, permettant de reconstituer l’identité physique d’une personne (source 5).
Etats : joueur clé dans la protection
La cybersécurité est un problème mondial qui transcende les frontières nationales. Les États doivent intensifier leur coopération internationale pour faire face aux cybermenaces transnationales. Cela implique d’échanger des informations sur les menaces, de coordonner les efforts pour répondre aux incidents, d’adopter des normes communes en matière de cybersécurité et de promouvoir la confiance et la coopération entre les États.
Les États doivent développer des capacités avancées d’enquête numérique et coopérer avec d’autres États pour partager des renseignements et des preuves.
Coopération législative
Le Parlement européen discute actuellement d’une proposition législative appelée Cyber Resilience Act, qui vise à imposer des exigences en matière de cybersécurité aux fabricants d’appareils connectés à l’Internet des objets (IoT). Au cours des discussions, les législateurs envisagent d’introduire des obligations pour les marchés en ligne, notamment en établissant un point de contact unique pour les questions de cybersécurité avec les autorités de surveillance du marché. Les autorités pourraient également établir un ordre de produits présentant des risques importants en matière de cybersécurité.
La couverture des logiciels open source reste un sujet de débat. La législation propose également une liste de produits critiques soumis à des audits externes pour démontrer leur conformité. Les fabricants seraient tenus de signaler les incidents et les vulnérabilités exploitées à l’Agence de l’Union européenne pour la cybersécurité (ENISA). Des modifications sont également proposées concernant la durée de vie des produits, l’attribution d’amendes et l’inclusion du droit des utilisateurs à retirer leurs données en toute sécurité. (source 6)
- Coopération internationale dans les enquêtes
Cette semaine, un membre du groupe de cybercriminalité russe Lockbit a été arrêté aux États-Unis. Ruslan Magomedovich Astamirov, un ressortissant russe de 20 ans, est accusé d’avoir participé à des attaques utilisant le ransomware LockBit entre août 2020 et mars 2023. Selon la justice américaine, il aurait directement exécuté au moins cinq attaques contre des systèmes informatiques aux États-Unis. et à l’étranger. Il est le troisième membre de Lockbit à être inculpé et le deuxième à être appréhendé. (source 15)
Les données du site Web LockBit font état de 1 653 victimes déclarées dans le monde, avec des rançons d’une valeur d’au moins 91 millions de dollars.
La lutte contre les cybercriminels reste une priorité internationale, nécessitant une coopération entre les pays pour mettre fin à ces attaques.
C’est pourquoi sept agences internationales de cybersécurité, dont l’ANSSI, ont publié mercredi 14 juin un guide d’utilisation pour contrer le groupe de hackers. Les instructions fournissent des informations sur les méthodes utilisées par LockBit et des conseils pour vous protéger de leurs attaques. (source 10)
Ce rapport marque une coopération accrue entre les agences de cybersécurité partenaires pour faire face à cette menace croissante.
En conclusion, les attaques récentes montrent que les pirates ciblent les agences gouvernementales, les petites et grandes entreprises et les utilisateurs individuels.
Les vulnérabilités des logiciels et des techniques d’ingénierie sociale sont exploitées pour voler des données sensibles et nuire aux organisations.
En outre, il est inquiétant de constater que la plupart des entreprises ne disposent pas de plans de reprise après sinistre adéquats, ce qui les expose à des risques importants. La sécurité des données, la résilience et la coopération internationale doivent être des priorités pour les organisations afin de faire face aux menaces croissantes dans le cyberespace.
“Un hacker met aux enchères les données de l’armée de terre chilienne”
The malicious hacker named Rhysida, after attacking Martinique, is now threatening the Chilean military and offering for sale the data that this hacker claims to have extracted from the computers of the local army.
- Source : Zataz
- Author : Damien Bancal
- Date : 13 Juin 2023
“Une enquête ouverte après une cyberattaque visant l’agence de voyages Voyageurs du monde”
On Monday 5 June, the Paris public prosecutor’s office confirmed that an investigation had been opened into the attack carried out by the Russian-speaking hacker group LockBit.
- Source : Le Monde
- Author : N/A
- Date : 7 juin 2023
“Résilience : 80% des entreprises n’ont pas de véritable PRA !”
Despite the risk involved, only 20% of businesses have a well-documented, rigorously tested and up-to-date disaster recovery plan, according to a survey of 1,121 IT decision-makers worldwide carried out by Dimensional Research for Arcserve.
- Source : IT for Business
- Author : Marie Varandat
- Date : 13 juin 2023
“Lennig Pedron: la cyberattaque de lundi, « un signal fort » avant la prise de parole de Zelensky”
The pro-Russian « NoName » hackers struck again on Monday, this time attacking several federal government websites. Their aim? To warn the public and members of parliament ahead of the Ukrainian president’s address to the Swiss parliament.
- Source : RTS
- Author : Fabien Grenon and Valérie Hauert
- Date : 13 June 2023
“L’authentification à facteurs multiples n’est plus une option”
On Tuesday 16 May 2023, the siphoned identification data of almost 2,600 PCs around the world were shared free of charge on a Telegram channel. The threat of identification data-stealing malware is exploding silently.
- Source : LeMagIT
- Author : Valéry Rieß-Marchive
- Date : June 12, 2023
“Cybersécurité : le Parlement envisage d’imposer des obligations aux marchés en ligne”
Requirements for online markets, the scope of the cybersecurity regulation and provisions on critical and highly critical products, among others, are due to be discussed in the European Parliament on Tuesday (13 June).
- Source : Euractiv
- Author : Luca Bertuzzi
- Date : June 12, 2023
“Le groupe Mulliez ciblé par deux fuites de données en Russie”
The Mulliez Group suffers 2 data leaks. An attack claimed by pro-Ukrainian hacktivists.
- Source : Zdnet
- Author : Gabriel Thierry
- Date : June 9, 2023
“Le système bancaire russe paralysé par une cyberattaque”
Hackers supporting Ukraine have attacked the Russian Internet operator Infotel. The problem is that this operator handles most of the country’s interbank transactions.
- Source : Futura Sciences
- Author : Sylvain Biget
- Date : June 9, 2023
“La Suisse de nouveau la cible d’une cyberattaque d’ampleur”
The official websites of Geneva Tourism, the canton of Basel-Stadt and the towns of Lausanne and Montreux were hit on Wednesday. The sabotage was carried out by pro-Russian cybercriminals from the « NoName » group, who justified their attacks by referring to the Ukrainian president’s speech to the Swiss parliament, scheduled for Thursday, 15 June.
- Source : Radiolac
- Author : Solène Revillard
- Date : June 14, 2023
“Cyberattaques : la France et six autres pays se liguent contre le groupe russophone Lockbit”
The cybersecurity agencies of seven Western countries (United States, Australia, Canada, United Kingdom, Germany, France and New Zealand), including ANSSI, have jointly published instructions for countering the formidable Russian-speaking hacker group LockBit.
- Source : BFMTV
- Author : Victoria Beurnez
- Date : June 14, 2023
Des données personnelles de cheminots ont été volées à cause d’une faille de sécurité”
The personal data of SNCF employees has been stolen following a security error by a subcontractor.
- Source : RTL
- Author : Arnaud Tousch
- Date : June 13, 2023
“Les cyber-attaques défient-elles toute assurance ?”
The success of ransomware has wreaked such havoc on cyber insurers that a wave of fear and doubt has swept through the industry worldwide.
- Source : IT for Business
- Author : Jelle Wieringa
- Date : June 14, 2023
“Comment le gouvernement américain espionne ses citoyens en achetant leurs données”
The US government is alleged « persistently » tracking the phones of « millions of Americans » without a warrant or safeguards, paying data brokers to obtain this data, according to a declassified report that has just been published.
- Source : 01.net
- Author : Stéphanie Bascou
- Date : June 14, 2023
“Chinese spies breached hundreds of public, private networks, security firm says”
Suspected Chinese state-backed hackers have exploited a security flaw in a popular messaging security appliance to infiltrate the networks of hundreds of organizations, nearly a third of which are government agencies, according to cyber security firm Mandiant.
- Source : Abcnews
- Author : FRANK BAJAK
- Date : June 15, 2023
“Cybersécurité: la patte de LockBit derrière 11% des attaques par rançongiciel en France”
According to a report by seven cybersecurity agencies, the LockBit cybercrime gang is responsible for 11% of ransomware attacks in France, totaling 69 raids since 2020.
- Source : ZDNet
- Author : Gabriel Thierry
- Date : June 16, 2023
“Un hacker russe membre du célèbre groupe Lockbit arrêté aux États-Unis”
A 20-year-old Russian national accused of being a member of the Lockbit cybercrime collective has been arrested in the United States for hacking.
- Source : Numera
- Author : Bogdan Bodnar
- Date : June 16, 2023
Continuez votre lecture
Foire aux questions sur les programmes de formation
Retour sur le projet 24h00 de CSB
