Hacking d’Etat en prime time, IoT en folie, hydres résilientes… morceaux choisis du Panocrim 2024

Quand les objets connectés s’affolent

Si les histoires narrées ici peuvent prêter à sourire, elles révèlent surtout la vulnérabilité des objets connectés, menace tangible dans des contextes industriels, des infrastructures critiques ou encore des dispositifs médicaux. Danger d’autant plus prégnant que l’Internet des Objets n’en est qu’à ses prémices, quand bien même les failles de ces objets communicants ne débouchent pas toujours sur une issue dramatique… Ainsi, aux États-Unis, plusieurs propriétaires de robot aspirateur ont vécu une expérience inattendue : l’appareil de marque chinoise, piraté via une faille logée dans son connecteur Bluetooth, s’est mis à injurier ses utilisateurs et à poursuivre leur chien.
Toujours aux States, deux étudiants ont détecté des vulnérabilités dans l’application mobile permettant de commander à distance les machines à laver en libre-service de la société CSC ServiceWorks. Celle-ci en possède plus d’un million, aux États-Unis et au Canada notamment. Ils se sont alors amusés à créditer leur compte mobile CSC d’argent fictif et à déclencher des cycles de lavage gratuits. Ils ont ensuite contacté l’entreprise, qui n’a pas répondu à leurs sollicitations. Las, au bout de quelques mois ils ont révélé la vulnérabilité lors d’une conférence dans leur faculté qui a rencontré un grand succès. Et lorsque CSC ServiceWorks s’est rendu compte de l’explosion du nombre de lavages gratuits, elle a pris conscience des conséquences de la faille et a remercié les étudiants de l’avoir détectée…
En Angleterre, fin avril, le système informatique de la ville de Leicester a subi une attaque par ransomware, provoquant de multiples dysfonctionnements. Parmi eux, la panne du système de pilotage des lampadaires, qui se sont alors mis en mode sécurité avec pour conséquence l’impossibilité de les éteindre.
En juillet, une vulnérabilité affectant presque tous les véhicules de la marque sud-coréenne Kia produits depuis 2013 a été découverte par des chercheurs en sécurité. Cette faille, située dans l’interface entre l’application mobile et la voiture, permettait de prendre la main à distance sur plusieurs fonctions clés des véhicules. 

Géopolitique : les États passent du théâtre d’ombres au prime time

« Si nous avons choisi d’intituler ce paragraphe ainsi, c’est que cette année, un changement notable a eu lieu, avec des hacks qu’on qualifie d’inédits », explique Loïc Guézo, vice-président du Clusif (Club de la sécurité de l’information français). Le Panocrim 2024 en a recensé plusieurs exemples marquants. En Russie, le 7 octobre, jour du 72ème anniversaire de Vladimir Poutine, les deux principales chaînes d’information continue de la télévision d’Etat VGTRK ont été victimes d’un piratage les obligeant à stopper leur diffusion. Simultanément, des médias numériques ont diffusé un faux message du président russe appelant à la reddition face à l’armée ukrainienne.
Une innovation technologique a également retenu l’attention du Panocrim 2024 : une attaque « par le voisin », attribuée à une équipe russe et dévoilée en détail par la société américaine de cybersécurité Volexity. Cette méthode consiste à pirater une victime proche de la cible en utilisant un réseau Wi-Fi de proximité pour infiltrer ensuite directement celui de la victime.
Évènement adjacent au cyberespace à signaler, le 17 septembre à 15h30, une première explosion de pagers se produit au Liban. Cette technologie est promue par le Hezbollah pour éviter les écoutes sur les moyens de communication plus modernes utilisés par les Israéliens. Deux jours plus tard, des explosions de talkies-walkies, solution de repli du pager, vont suivre. Cette opération, qui a fait nombre de blessés et de morts, a été l’occasion pour Israël de dresser une cartographie des cadres actifs du Hezbollah.

Groupes d’attaquants : des hydres résilientes

Le Panocrim 2024 a noté un changement significatif en janvier parmi les menaces pro-russes, avec la formation du groupe de hackers Killnet 2.0 qui adopte une structure internationale et décentralisée. Une évolution visant à fédérer des cybercriminels du monde entier, pour partager des objectifs communs, se distancier des motivations financières, comme celles, par le passé, de LockBit, mais également se reconcentrer sur un alignement stratégique et surtout idéologique.
Du côté des ransomware, LockBit est significatif de cette hydre. « Si le groupe a connu en 2024 des événements notables, à commencer par des arrestations et la saisie de ses infrastructures, il a vite réagi en lançant 180 attaques, suscitant une nouvelle vague d’arrestations en octobre, observe Cédric Cailleaux, dirigeant de la société Axians. Démantèlement ne signifie pas pour autant la fin pour un groupe de ransomware, certains affiliés rejoignant d’autres groupes ou en créant de nouveaux, comme après la chute de LockBit », .
La résilience repose sur la difficulté à éradiquer un phénomène aussi tentaculaire, LockBit s’appuyant sur une structure décentralisée, ce qui permet à ses affiliés indépendants de conserver une large autonomie dans la conduite des attaques. À cela s’ajoutent la persistance des hacks ainsi que l’innovation constante dont le groupe fait preuve : après  LockBit 3.0, il promet déjà une nouvelle version, LockBit 4.0 prévue pour février 2025.

Y-a-t-il encore un Français dont les données personnelles n’aient pas été volées ?

Le Panocrim 2024 a fait une rétrospective des fuites de données personnelles ayant touché les entreprises françaises à l’exclusion des attaques de rançongiciels. Nombre de cas ont été répertoriés avec une hausse en Europe de 142 % entre le troisième et le quatrième trimestre, selon la société Surfshark. Le secteur du commerce de détail arrive en tête des secteurs affectés par les pertes de données (53 %), suivi de près par la santé (20 %) et seulement 9 % pour les télécoms, malgré un battage médiatique important. Ce qui place la France en quatrième position derrière la Chine, la Russie et les États-Unis. Parmi les cas emblématiques, l’opérateur Free et la Banque de France, qui a démenti une exfiltration mais confirmé l’intrusion. Un Intermarché a été victime de cyberstuffing sans conséquence, l’attaque ayant vite été endiguée. La direction a cependant décidé de communiquer rapidement auprès des clients et a été obligée de faire un communiqué plus officiel afin d’éteindre l’incendie médiatique.

De la difficulté de l’attribution des attaques… Et des erreurs

« Vouloir trouver les responsables d’une cyberattaque est une réaction particulièrement humaine. Cependant, l’humain oublie vite que ses biais peuvent créer des erreurs d’attribution », pose en préambule Noémie Kurta, analyste « Renseignement sur les menaces » chez Synetis. Pour attribuer une attaque à un État, juridiquement parlant, il faut prouver l’existence d’un ordre direct de l’État à l’attaquant… Par ailleurs, les assaillants cherchent à limiter l’attribution en dissimulant les traces qu’ils peuvent laisser… ». Elle donne trois exemples d’erreurs survenues en France.
En mars, les Espaces Numériques de Travail de divers établissements scolaires sont attaqués, aboutissant au piratage des boîtes mails des lycéens et du site Pronote et à l’envoi de messages de menaces aux élèves et parents. Le cybercriminel déclare être lié à l’État Islamique mais il s’agit en fait d’un jeune homme de 17 ans, qui a appréhendé ce hack comme un « défi amusant »…
En mai, une attaque DDoS contre la Nouvelle-Calédonie met hors ligne son principal FAI. Elle est attribuée à un « très grand pays bien connu à l’est » et l’information est relayée par de nombreux médias. Finalement, le lien n’a pas été prouvé selon l’ANSSI.
Le 3 octobre, une attaque par DDoS cible le groupe hospitalier Hospi Grand Ouest. Ce n’est qu’en décembre qu’on apprend qu’elle s’avère être l’œuvre, non pas d’un opérateur de ransomware, mais d’un ancien employé, administrateur systèmes.