Découvrez l’édition du mois de janvier de notre Bulletin Cyber, un condensé des dernières cyberattaques et cybermenaces sectorielles.
Sunburst : Une chaîne a la force de son maillon le plus faible
L’actualité du mois de décembre 2020 a été grandement impactée par « Sunburst », une attaque via la Supply Chain, et le retentissement de cette attaque marquera profondément l’actualité cyber des prochains mois.
Le 8 décembre 2020, une société offrant des solutions de sécurité informatique indique avoir été compromise : les outils dont elle se sert dans le cadre de ses activités, ont été dérobés, et notamment ses outils offensifs.
Les premiers éléments de l’investigation indiquent rapidement que la société n’a pas été directement ciblée : les causes de la compromission sont plus complexes, et il semble établi que des attaquants se sont introduits par des voies obscures et détournées pour mener leurs attaques : une société proposant des solutions informatiques a été compromise, et les mises à jour de ses logiciels commerciaux ont été remplacées par des programmes malveillants.
De fait, tous les utilisateurs qui ont installé la mise à jour, pourtant recommandée, ont également téléchargé la version vérolée du logiciel, et près de 18 000 entreprises ou entités étatiques se sont alors potentiellement exposées à des campagnes de cyber attaques.
L’objectif des attaquants semblait clair : dérober des informations confidentielles ou hautement stratégiques. Cette attaque, appelée « supply chain », n’est pas sans rappeler NotPetya : à l’époque, les pirates s’étaient, là aussi, servis de la procédure de mise à jour d’un logiciel de comptabilité, pour compromettre un très grand nombre d’entreprises. Les motivations des pirates étaient alors plus sombres : au-delà de chiffrer les fichiers et les données des systèmes d’informations, les pirates supprimaient celles-ci, rendant les postes inutilisables : les pertes pour les entreprises s’élevaient à des millions de dollars.
Sunburst ne semble pas poursuivre le même objectif, mais l’importance des cibles, des entreprises opérant les domaines des télécoms, de la finance, de la défense nationale ou encore de la santé, laisse toutefois à penser qu’un acteur étatique, ou un groupe de cybercriminels très qualifiés, pourrait être à l’œuvre. Par ailleurs, 44% des victimes seraient des sociétés de services IT et d’équipements informatiques.
Les dommages collatéraux se ressentiront encore dans les prochains mois : en effet, l’ampleur de l’attaque pourrait être encore plus important : déjà s’échangent sur des marchés noirs des informations dérobées à des entreprises informatiques majeures : code source de logiciels, outils de tests d’intrusion, documentation sur des produits ont été mis en vente, et nul doute que ceux-ci seront achetés, revendus, partagés et diffusés plus largement.
Dans ce contexte, le Cybersecurity and Infrastructure Security Agency (CISA) aux Etats-Unis et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en France ont publié des notices d’information, proposant des mesures de sécurité.
Menaces sectorielles
Santé
L’épidémie de COVID-19 aura été une source d’inspiration pour les cybercriminels : phishing, campagnes d’attaques contre les VPNs, exploitation des logiciels de visioconférences ont été autant de moyens pour dérober des données personnelles ou compromettre des entreprises.
Récemment, ce sont des versions contrefaites de l’application TousAntiCovid qui ont été publiées sur des stores interlopes. Cette application, très similaire à celle proposée par le Gouvernement dans le cadre de sa lutte contre l’épidémie, se contentait de dérober les informations contenues sur les terminaux des victimes, qui ne téléchargeaient pas la version officielle.
De nouvelles cibles ont toutefois été identifiées : celles impliquées dans la recherche pour un vaccin contre la COVID-19. De nombreux laboratoires, centres médicaux etc. ont fait état d’attaques, de même que des sociétés de transport des vaccins. Des institutions internationales, comme la Direction Générale chargée des politiques concernant la fiscalité et les douanes de la Commission Européenne, ont aussi été visées, laissant à penser que des acteurs étatiques pourraient être impliqués.
Pour l’heure, la réussite de ces attaques n’est pas avérée, et si les motivations sous-jacentes pourraient être la seule collecte de données personnelles, la course aux vaccins pourraient inciter des pirates à revendre des données stratégiques, pour donner des avantages concurrentiels à d’autres entreprises ou pays.
Finance
Une nouvelle campagne de logiciel malveillant a été identifiée, ciblant le secteur bancaire en Europe et aux Etats-Unis : cette attaque a permis à ses auteurs de détourner des millions de dollars, et cela, dans un temps très limité.
Le groupe à l’origine de l’attaque a mis sur pied une infrastructure d’émulateurs de terminaux mobiles, qui simulait le comportement de près de 16 000 utilisateurs. Les identifiants, préalablement dérobés, étaient alors rentrés dans les applications bancaires, et l’authentification par SMS était détournée via l’infrastructure mise en place. Ainsi, en quelques jours, ce sont plusieurs millions de dollars qui ont été détournés, et les attaquants ont réussi à effacer leurs traces.
Cette fraude massive, totalement automatisée, a pu détourner l’ensemble des mesures de sécurité des banques, et révèle s’il le fallait que le suivi des méthodes cybercriminelles reste nécessaire pour prévenir de nouvelles attaques.
Pour aller plus loin
Les dirigeants, les conseils d'administration et les responsables de la cybersécurité ne sont pas toujours informés des menaces que suscitent les nouvelles formes émergentes de cybercriminalité. Ce bulletin propose une vision claire de ces menaces, qu’elles soient sectorielles, informatiques ou mobiles. Il présente les dernières tendances ainsi qu’une version synthétique des rapports proposés chaque semaine à nos clients. N’hésitez pas à nous contacter pour plus d’informations
Nos atouts
- Le Lab : 600m2 dédiés à la recherche et au développement à l’innovation et à la transformation numérique.
- War Room : Un environnement hautement sécurisé exploitant des solutions collaboratives et des technologies propriétaires innovantes.
- Cyber Teams : L’équipe EY France cybersécurité est composée d’experts pluridisciplinaires, proposant des solutions nouvelles pour résoudre des problématiques stratégiques pour nos clients.
- CyberEye : Une solution leader de Cyber Threat Intelligence solution, apportant une connaissance précise des cybermenaces pouvant toucher les entreprises.
- ASC and CTI : Nos 63 Advanced Security Centers, situés dans de nombreux pays, partagent des renseignements opérationnels et centrés vers les entreprises pour notre Cyber Threat Intelligence.
Ce qu’il faut retenir :
A l’ère du digital, les entreprises sont de plus exposées à de nouveaux risques cyber. Dans cette nouvelle édition du bulletin, nos experts décryptent l’actualité du mois de décembre 2020 qui a été grandement impactée par « Sunburst », une cyberattaque massive qui va bouleverser l’univers IT et les process de sécurité des DSI durant les prochains mois. Nos experts reviennent également sur les dernières menaces sectorielles.
