Panocrim 2022 : la cybercriminalité investit tous les champs du possible

Le Clusif, qui fête ses 30 ans, a présenté fin janvier la 23ème édition de son Panocrim, panorama annuel de la cybersécurité. Réalisé par un groupe de travail de 35 experts, il fait état de tendances et de situations à partir de sources ouvertes au public. Petit digest des différents exemples et thématiques

Pas de répit pour les cybercriminels. Ils sont partout présents : du conflit russo-ukrainien aux smartphones des mobinautes en passant par la prometteuse blockchain, comme en témoigne le panorama de la cybercriminalité du Clusif.

Du nouveau chez les rançonneurs ?

Les rançongiciels et les groupes qui sont derrière restent la principale cybermenace, visant les organisations privées comme publiques. L’année 2022 semblait pourtant bien commencer, avec l’arrestation par la Russie, sur son sol, du gang russe de ransomware REvil, l’un des groupes les plus connus dans le domaine. Elle envoyait en effet un message à l’ensemble des communautés de rançonneurs, leur stipulant que la période de l’impunité était peut-être finie. Hélas, cette bonne nouvelle a peu vécu et l’arrivée du conflit russo-ukrainien a mis un sérieux frein à la coopération entamée entre les États-Unis, la Russie et d’autres pays, afin de répondre à cette menace.

Au rang des entreprises françaises victimes de ransomwares en 2022, on citera Thales, La Poste Mobile, Damart ou encore les franchisés du Nord d’Intersport. La France se situe en 3ème position des pays les plus rançonnés, derrière les Etats-Unis et l’Allemagne. Les hôpitaux sont toujours dans le viseur des cybercriminels, à tel point que l’Anssi leur a alloué, durant l’été 2022, une nouvelle enveloppe de 20 millions d’euros pour les aider à renforcer la sécurité de leurs systèmes d’information.

À l’échelle internationale, en 2022, c’est le Costa Rica qui a connu une attaque par ransomware pouvant être considérée comme emblématique. L’État d’Amérique centrale a été ciblé le 17 avril 2022, un jour avant la fin de la déclaration des revenus. Le groupe Conti, « licorne » du rançongiciel, a bloqué le ministère des Finances et arrêté le processus de collecte des impôts. Deux jours plus tard, il a paralysé le ministère des Sciences et des Télécommunications et l’Institut de météorologie. Et déclaré alors « tester une version beta d’une cyberattaque globale visant à arrêter un État ».

Conti s’est ensuite attaqué au fonds de la Sécurité sociale et au ministère du Travail, au point que le président nouvellement nommé (Rodrigo Chaves Robles) a déclaré l’état d’urgence. Conti ne s’est pas arrêté là d’ailleurs : le gang a immobilisé le service de l’électricité de la ville de Cartago, puis l’Université d’Alajuela, avant une tentative sur le ministère de la Justice et de la Paix et la Loterie nationale. Cette suite d’attaques a créé un désordre sans précédent dans le pays. Elle a cependant été arrêtée brusquement par l’explosion de Conti en raison du conflit russo-ukrainien, sachant que le rançonneur a pris parti pour la Russie.

L’authentification multifactorielle détrônée ?

L’authentification multifactorielle (MFA) se révèle un vrai succès. Elle est utilisée par 63% des grandes organisations pour les utilisateurs finaux et 71% pour les administrateurs. C’est l’une des mesures de sécurité numéro 1, devenant alors évidemment une cible de choix pour les cybercriminels qui cherchent à la détourner par tous les moyens. L’un d’eux, une nouveauté en 2022, est la technique dite de la « MFA fatigue ». La personne ciblée reçoit sur son smartphone une notification pour autoriser un accès, répétée de multiples fois, jusqu’à ce que, fatiguée de ces sollicitations incessantes, elle donne cette autorisation. Cependant, « mieux vaut une MFA attaquable que pas de MFA du tout », selon le Clusif.

2022, année de la cyberguerre ?

En 2022, le volet cybergéopolitique a été particulièrement chargé : extradition de Julian Assange, nouveau passeport pour Edward Snowden et rebondissements autour du spyware Pegasus. Mais aussi conséquences nouvelles pour les États allant d’un état d’urgence à la rupture diplomatique à la suite des attaques cyber. Le Clusif a illustré ce nouveau niveau de conflictualité cyber avec les exemples de l’Albanie, du Monténégro ou encore de la République du Vanuatu.

Le conflit russo-ukrainien dans le cyberespace

Les belligérants ont mené plusieurs actions dans le cyberespace. La Russie a ainsi conduit des cyberattaques destructrices en Ukraine, le bombardement des datacenters gouvernementaux ukrainiens, des intrusions dans les réseaux et de l’espionnage à l’extérieur de l’Ukraine, des opérations de cyberinfluence dans le monde entier… L’Ukraine a riposté de diverses manières en utilisant notamment la « cyber threat intelligence » et en créant une « IT Army of Ukraine ».

Avis de tempête dans le nuage

Selon plusieurs études, un tiers des entreprises ayant recours à l’hébergement dans le cloud déclarent avoir subi des incidents de sécurité. Cependant, 30% de ces incidents sont dus à des erreurs de configuration liés à un manque de maturité des infrastructures d’hébergement cloud. Des problèmes de configuration et aussi d’architecture ou d’actifs informationnels en accès public sur Internet comme les machines virtuelles, le stockage, les bases de données et les applications web.

Et la question qui se pose maintenant est celle de la pérennité du cloud. Concernant les coûts du nuage, les fournisseurs sont bien conscients d’offrir trop de services et d’être trop onéreux. Certains clients envisageraient même de quitter le cloud public. Quant à la concentration d’un très grand nombre de clients auprès d’un petit nombre de prestataires, elle a attiré les cyberattaquants. Sans compter les conséquences de la crise énergétique, qui va concerner les fournisseurs de ce genre de service.

Cryptomonnaies et NFT, le nouvel Eldorado numérique ?… Pour les pirates !

Le total des incidents criminels en 2022 est estimé à plus de 2,3 milliards de dollars. Les arnaques ne manquent pas mais restent assez classiques : hacking (exploitation de vulnérabilités, hameçonnage…), spam (fausses plateformes, faux dons de cryptomonnaies…). La sécurité et la confiance dans la blockchain n’ont cependant pas été remises en cause, les attaques ne concernant que des services annexes connectés sur la blockchain.

Des sommes colossales ont été dérobées mais les attaques ont été assez peu médiatisées car les impacts ont été moins visibles comparés aux attaques par rançongiciels qui paralysent une entreprise pendant plusieurs jours, semaines ou mois. Le potentiel de vulnérabilités reste très fort pour le futur car il s’agit là de technologies nouvelles et de sommes considérables en jeu.

Police et justice : des résultats

L’année 2022 a été marquée par une accentuation de la menace mais aussi par des résultats judiciaires, fruits d’une adaptation constante au phénomène cybercriminel. Le cadre légal s’est également renforcé avec la LOPMI (loi d’orientation et de programmation du ministère de l’Intérieur) ou encore avec la prise en compte par les juridictions de procédures permettant d’obtenir une décision dans des délais raisonnables.

Ainsi, un NFT a été saisi pour la première fois et repose désormais dans le portefeuille de l’agence de gestion et de recouvrement des avoirs saisis et confisqués, un développeur de rançongiciel a été interpellé grâce à une coopération internationale et ses clés de chiffrement partagées sur le site web nomoreransom.org.

Le grand public français cybervictime

Pour cette nouvelle thématique du Panocrim, qui s’inscrit dans la démarche entamée par le Clusif pour devenir une association reconnue d’utilité publique, deux principaux sujets ont été abordés : le smishing et l’arnaque au faux support technique, une tendance qui s’installe.