Des fuites de données massives touchant les acteurs du retail aux campagnes de désinformation ciblant les JOP de Paris 2024, en passant par la montée en puissance de l'IA, retour sur une année marquée par des vulnérabilités critiques et des enjeux géopolitiques croissants.

Comment ne pas commencer le bilan de l’année 2024 par les très nombreuses fuites de données qui ont touché, entre autres, de grands acteurs du retail tels que Boulanger, Cultura, Truffaut et Auchan. Les millions de données exposées comprenaient des informations sensibles telles que les adresses e-mail, les numéros de téléphone, les historiques d’achat et, dans certains cas, des IBAN.

« Ces attaques soulignent l’attractivité du secteur pour les cybercriminels en raison de la richesse des données clients et des infrastructures parfois vulnérables, car souvent complexes et interconnectées. Cela rappelle la nécessité d’investir dans des systèmes robustes pour sécuriser les chaînes d’approvisionnement numériques et sensibiliser les collaborateurs face aux nouvelles cybermenaces », déclare Cassie Leroux, Directrice produit chez Mailinblack.

L’année 2024 a également été marquée par plusieurs cyberattaques d’envergure touchant à nouveau des établissements de santé en France, illustrant leur vulnérabilité face aux menaces numériques. Par exemple, en mai, l’hôpital Simone-Veil (Cannes) a été ciblé par le groupe cybercriminel Lockbit. Au total, 61 gigaoctets de données sensibles (bilans médicaux, cartes d’identité, bulletins de salaire…) ont été publiés sur le darknet, la rançon exigée n’ayant pas été payée par l’hôpital.

Il ne faut pas oublier non plus, début février 2024, la cyberattaque ayant touché deux opérateurs (Almerys et Viamedis) gérant le tiers payant pour le compte de complémentaires santé. L’ampleur de ce vol est inédite : les données de 33 millions de personnes ont été dérobées. Selon la Commission nationale de l’informatique et des libertés (CNIL), des données de plusieurs natures ont été exfiltrées : état civil des assurés ou de leurs ayants droit, date de naissance, numéro de Sécurité sociale… 

Les JOP de Paris 2024 au cœur de l’actualité de la cybersécurité

L’année 2024 a bien évidemment été celle des JOP de Paris 2024. Selon une étude menée par le FortiGuards Labs à l’approche des JOP de Paris 2024, une augmentation significative de l’activité sur le darknet visant la France a été détectée dès la seconde moitié de 2023. Cette hausse de 80 à 90 % s’est maintenue de manière constante au cours du second semestre 2023 et du premier semestre 2024.

« Plusieurs logiciels malveillants de type stealer, qui interceptent et détournent des contenus, se sont répandus en France au cours de cette période. Parmi eux, Racoon, le plus actif, représente 59 % des cas, suivi de Lumma (21%) et Vidar (9%). Ces variantes de logiciels malveillants sont connues pour leur large diffusion et leur capacité à infiltrer les appareils des utilisateurs pour récolter des informations sensibles en un temps très court, tel que cela s’est produit lors des JO », déclare Alain Sanchez, RSSI EMEA chez Fortinet.

Autre phénomène ayant caractérisé la période des olympiades : les opérations de désinformation. « Des groupes tels que Storm-1679 et Storm-1099 ont intensifié leurs campagnes de désinformation contre les Jeux Olympiques et Paralympiques de Paris 2024, pour manipuler l’opinion publique, tenter de semer la discorde entre les pays participants et déstabiliser un événement riche en retombées internationales », complète-t-il.

Géopolitique et supply chain logicielle 

En dehors des JOP de Paris 2024, l’enjeu géopolitique – mais aussi la supply chain logicielle – retiennent l’attention de Loïc Guézo : « L’année 2024 a été marquée par l’impact du réseau de cybercriminels affilié à l’état chinois Typhoon (Volt Thypoon, Salt Typhoon…). Ces derniers ont infiltré de nombreuses infrastructures critiques américaines, dont les grands réseaux télécoms, mettant à risque les données du gouvernement américain. Le mode opératoire Typhoon repose principalement sur la compromission de fournisseurs, moins protégés contre les risques cyber, pour atteindre leurs cibles finales. Un type d’attaque qui a connu une très forte progression ces derniers mois », note-t-il.

Des attaques qui n’ont pas impacté que les États-Unis puisque certains groupes du réseau ont également ciblé l’Europe et la France. « Proofpoint avait d’ailleurs identifié une campagne attribuée au groupe Brass Typhoon (TA415 ou APT41) qui utilisait le logiciel malveillant « Voldemort », en se faisant passer pour la Direction générale des finances publiques en France pour collecter des renseignements auprès des organismes d’assurances », ajoute Loïc Guézo.

Quant à l’affaire de la « Backdoor XZ », elle constitue un autre cas emblématique de la problématique très complexe des attaques par la supply chain logicielle. En avril 2024, un développeur travaillant chez Microsoft a ainsi découvert que l’utilitaire de compression de données XZ Utils embarquait une « backdoor » volontairement introduite par un contributeur.

Ce contributeur, du nom de Jia Tan, a rejoint le projet deux ans auparavant et a par la suite commencé à ouvrir des requêtes pull pour effectuer diverses corrections de bugs ou améliorations. « Jusqu’ici, rien d’anormal, c’est ainsi que les choses fonctionnent dans le monde de l’open source. Finalement, après avoir acquis confiance et crédibilité, Jia Tan a commencé à obtenir des autorisations pour le référentiel ; d’abord, des autorisations de commit (proposition de modification du code) et, finalement, des droits de gestionnaire de versions (…). Après avoir contribué au code pendant environ deux ans, en 2023, Jia Tan a introduit quelques changements dans XZ qui ont été inclus dans la version 5.6.0. Parmi ces changements se trouvait une porte dérobée sophistiquée », explique Akamai sur son blog.

« On ne compte plus le nombre de compromissions d’application ou de bibliothèques open source. Ces dernières sont piégées lors de la correction de bug ou l’ajout de fonctionnalités dans le code source par des utilisateurs malveillants. Et comme ni le code ni les propositions de modification ne sont bien audités, cela augmente le risque de compromission. Ces outils et bibliothèques open source sont ensuite souvent réutilisés dans des logiciels ou applications commerciales à très grande échelle », commente Nicolas Caproni, Head of Threat & Detection Research Team chez Sekoia.

L’intelligence artificielle de plus en plus présente

Mais ce qui retient l’attention des quatre experts interrogés, c’est la montée en puissance de l’intelligence artificielle. « L’IA est au cœur des sujets liés à son utilisation tant par les attaquants que par les défenseurs. Côté attaquant, OpenAI a notamment publié un rapport décrivant comment et pourquoi certains acteurs de la menace se servaient de ChatGPT pour préparer leurs attaques, identifier des cibles, les aider à écrire leur malware ou leur mail de phishing. Heureusement, l’IA est aussi là pour aider et accélérer le travail des analystes dans les SOC ou les CERTs pour mieux traiter les alertes et potentiels incidents de sécurité », analyse Nicolas Caproni.

Un avis que partage Cassie Leroux : « L’évolution rapide de l’intelligence artificielle a été à la fois une opportunité et une menace. Les deepfakes, utilisés dans des fraudes de plus en plus complexes, ont significativement accru les risques pour les entreprises, notamment via l’usurpation d’identité. Aussi, la cybersécurité s’oriente de plus en plus vers des approches intégrées, où la formation des collaborateurs joue un rôle central pour contrer les menaces liées à l’ingénierie sociale ».

Pour Alain Sanchez, c’est l’IA et le cloud hybride qui rendent la tâche des entreprises toujours plus complexe : « L’intelligence artificielle et les moyens mis en œuvre dans ce secteur par des États criminels rendent les attaques plus sophistiquées, plus efficaces et plus rapides. Le Cloud, réservoir de données de plus en plus critiques, devient une cible encore plus prisée des cybercriminels. L’hybridation, qui consiste à diversifier ses fournisseurs de cloud, agrandit la surface d’attaque et donc la probabilité d’exploitation de vulnérabilités ».

Et Loïc Guézo de compléter : « Le développement de l’IA sera prédominant en 2025 autant dans ses pendants ‘nouveaux risques’ que dans ses apports en matière de protection. L’adoption de l’IA par les entreprises va se généraliser jusqu’à s’imposer au cœur de réflexions stratégiques. Elle va devenir un véritable support pour de nombreux processus métiers, mais aussi un vecteur d’attaque pour les acteurs de la menace qui pourront par exemple tenter de détourner les IA des entreprises ».

NIS2 : transposition en cours

Enfin, le bilan de l’année ne serait pas complet sans un point sur NIS2. En 2024, plusieurs États membres (Italie, Belgique, Lituanie, Lettonie, Croatie) ont transposé cette directive, tandis que d’autres pays sont moins en avance. Le cabinet Wavestone a établi une carte de l’avancement des États membres sur ce sujet. En France, la transposition de NIS2 est prévue à travers un projet de loi sur la résilience qui vise également à décliner les directives REC (Résilience des entités critiques) et DORA.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.