Comment les cybercriminels ont profité du confinement
Vol de données personnelles, infection par des logiciels malveillants… L’épidémie de COVID-19 et le confinement de la population ont entraîné une hausse des ventes en ligne et du télétravail. Les cybercriminels en ont profité pour mener des pratiques frauduleuses. Quels sont les risques ? Les attaques menées ? Et, surtout, comment s’en protéger ?
Cet officier de liaison de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a dirigé par le passé le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) ainsi que le CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques).
Covid-19 : quel bilan ?
Dans le contexte de la pandémie de SARS-COV‑2, le groupement a anticipé une probable augmentation des cyberattaques. Puis a lancé un appel à la vigilance lors de la mise en place du confinement. Les faits n’ont, hélas, pas démenti les experts puisqu’une nette hausse des attaques a pu être observée durant toute la période.
« Les attaques n’ont pas été très originales sur le fond, décrit Jean-Jacques Latour. Certes, des attaques spécifiques au Covid-19, très conjoncturelles, sont apparues. Mais nous avons surtout assisté à une démultiplication des attaques classiques : tentatives de phishing pour récupérer les identifiants, social engineering… Les cybercriminels sont opportunistes. Tout événement exceptionnel est l’occasion d’en tirer profit. »
Le confinement fut une de ces occasions : « Cette situation où les gens sont repliés sur les outils numériques, avec un usage du télétravail dans l’entreprise en pleine expansion, a été une véritable aubaine pour les cybercriminels. Dès les premières semaines du confinement, la fréquentation de notre site dédié à la cybermalveillance a augmenté de plus de 400% ! On a vu également une augmentation du même ordre des campagnes de phishing. »
Quels types d’attaques durant le confinement ?
Les cybercriminels ont multiplié les attaques sous toutes leurs formes : « Après le lancement des attestations de déplacement dérogatoire, une large quantité de sites ont fleuri… Dont certains étaient malveillants et voulaient saisir cette opportunité pour capter des données personnelles. On a vu, par exemple, des ‘kits de confinement’ (promettant masques et gel hydroalcoolique) réalisés aux couleurs de Santé Publique France. Des kits qui étaient offerts aux gens moyennant 2 € d’affranchissement. Bien entendu, il s’agissait d’une arnaque visant à leur dérober leurs informations », révèle Jean-Jacques Latour.
« Dans la seconde partie du confinement, les cybercriminels ont lancé des campagnes plus classiques d’arnaque à la livraison de colis. Vous recevez un message affirmant que vous avez un colis en attente, mais que vous devez régler quelques euros. Ici, les cybercriminels jouaient sur le fait que les gens confinés avaient beaucoup plus recours à la vente sur le web ou par correspondance. Tout le monde attendait un colis, et donc l’attaque semblait assez crédible pour la plupart des victimes. »
Lire aussi Cyber-sécurité : où en est la menace ?
Les entreprises frappées elles aussi par la cybermalveillance
Les entreprises n’ont pas été épargnées confirme l’expert en cybersécurité. « Les attaques par rançongiciel (chiffrement des données, suivi d’une demande de rançon) se sont aussi multipliées. En particulier auprès des PME et des collectivités, qui n’y étaient pas préparées. Souvent parce qu’elles s’étaient converties précipitamment au télétravail. Et qu’elles avaient dû ouvrir des accès dans leur réseau informatique de manière peu sécurisée. »
Pire, ces attaques sont désormais ciblées et adaptées à leurs victimes. « Les cybercriminels aujourd’hui ne frappent plus de manière aveugle sur les attaques par rançongiciel. Ils vont d’abord réaliser une campagne de « social engineering » pour rentrer dans le réseau. Ils vont essayer de comprendre qui est leur victime et quels sont ses actifs. Puis ils vont exiger une rançon qui sera proportionnelle aux capacités de l’entreprise. Selon le chiffre d’affaires, le montant va de 5.000 € à 50.000 € lors d’une attaque similaire, a priori opérée par le même groupe. »
« L’époque où les cybercriminels envoyaient une pièce-jointe infectée à des milliers ou millions d’adresses mail en espérant que quelqu’un clique dessus semble révolue côté entreprises. Cette méthode basique reste toutefois utilisée lors des attaques contre les particuliers, mais avec un ‘taux de réussite’ assez faible. »
Les grands groupes plus protégés ?
Pour les grands groupes, la cybermalveillance prend une tournure encore plus inquiétante avertit Jean-Jacques Latour. « Les grandes entreprises ont subi une amplification des attaques par rançongiciel. Ces attaques sont dans leur cas précédées par un vol de données. Non seulement leurs données sont prises en otage par le chiffrement, mais les cybercriminels menacent de les dévoiler au plus grand nombre afin de renforcer la pression pour payer la rançon. » Et ce dernier aspect est loin d’être anecdotique pour la santé financière des entreprises.
« Pour l’entreprise victime, cela peut avoir de graves conséquences pour son image de marque, sa relation avec ses clients ou ses fournisseurs. Et des conséquences juridiques aussi puisque les entreprises qui ne protègent pas suffisamment leurs données sont passibles d’amendes avec le RGPD. »
Lire aussi Cyberattaques : la cybersécurité, un enjeu stratégique pour les chefs d’entreprise
Quelles leçons tirer de ce phénomène ?
Selon Jean-Jacques Latour, le conseil le plus important à donner aux petites structures est de ne surtout pas considérer la cybersécurité comme un élément “annexe” de leur activité et d’y investir le budget adéquat. « Ce n’est malheureusement toujours pas le cas. Nous le voyons dans nos discussions avec certaines victimes qui disent ‘ne rien comprendre’ à ce sujet et externaliser la cybersécurité. Ils externalisent oui, mais en serrant les budgets par méconnaissance des risques ! En obligeant donc leur prestataire à réaliser des coupes sombres dans la cybersécurité… »
Comment se prémunir ?
Parfois les petites entreprises se croient à l’abri en se disant : “Qui viendrait m’attaquer ?”. « Sauf que personne n’est à l’abri… même les collectivités et les hôpitaux sont attaqués ! La valeur de l’information, la valeur de votre fonctionnement, même si vous ne la percevez pas, les cybercriminels sont capables de la percevoir. Sans l’informatique, la plupart des entreprises ne peuvent plus rien faire aujourd’hui. La société dans laquelle on vit est numérique. Ne pas réaliser que le numérique est un actif sensible est une erreur », ajoute l’expert.
D’autant que, parfois, le but n’est pas d’attaquer l’entreprise, mais de s’en servir comme porte d’entrée vers un tiers. Un gros client qui sera la véritable cible de l’attaque : « Il peut s’agir du sous-traitant d’une entreprise vitale ou de taille critique, et une attaque chez ce sous-traitant peut ouvrir une faille dans la sécurité du grand groupe. Pour lutter contre ce phénomène, l’industrie aéronautique a d’ailleurs mis en place des chartes avec ses sous-traitants, pour monter leur niveau de cybersécurité. » Mais toutes les entreprises n’ont pas les moyens de monter un département de cybersécurité.
« Dans ce cas, elles doivent se faire accompagner par des acteurs spécialisés. L’entreprise a son sous-traitant auquel elle externalise l’exploitation de son IT. Mais derrière, elle ne doit pas hésiter à faire contrôler cette exploitation par des pros. Ils vont détecter les vulnérabilités que pourraient mettre à profit les cybercriminels, et proposer de les colmater. »
Quelles sont les aides ?
La plateforme Cybermalveillance.gouv.fr peut également apporter cette aide aux entreprises. Elle qui référence plus de 800 prestataires de proximité, accessibles financièrement et présents partout sur le territoire. Ces prestataires sont de même taille que les entreprises ciblées. Vu que les géants de la cybersécurité ne vont pas nécessairement intervenir sur les TPE/PME, ou parfois n’ont juste pas les moyens logistiques et humains de répondre à l’ensemble des petits acteurs.
« A ce titre, nous sommes en train de créer un label pour les entreprises de cybersécurité de taille modeste en France, garantissant un certain niveau de compétence et de qualification », annonce Jean-Jacques Latour. « Créé en lien avec l’AFNOR et des syndicats professionnels, ce label ExpertCyber permettra aux petites entreprises de savoir qui appeler dans leur département ou dans leur région en cas de besoin ou d’attaque. Les premières sociétés labellisées seront connues à la fin de l’année. »
Ce label sera orienté vers les petites et moyennes cibles professionnelles : les entreprises, associations et collectivités territoriales. Les grandes entreprises disposant déjà du VISA de sécurité ANSSI et les particuliers de leur propre label “France Cybersecurity”.
En savoir plus sur Cybermalveillance.gouv.fr et son partenariat avec Microsoft.
Fin 2015, l’Etat français a présenté sa stratégie nationale pour la sécurité du numérique afin de mieux protéger les citoyens et les entreprises du pays contre la cybercriminalité. De cette initiative est né au mois de mars 2017 le Groupement d’intérêt public Action contre la Cybermalveillance (GIP ACYMA). Il rassemblent des acteurs publics et privés (agences, ministères, entreprises, associations, syndicats, fédérations).
Dès sa création, le groupement a lancé la plateforme Cybermalveillance.gouv.fr. Pensée comme un « dispositif national de sensibilisation, prévention et d’assistance aux victimes d’actes de cybermalveillance ». Elle met à disposition de nombreux contenus. Des fiches pratiques, des vidéos pédagogiques pour aider les particuliers, les entreprises et les collectivités territoriales à mieux appréhender les menaces, et à y faire face.
Acteur majeur du cloud en France, Microsoft est fortement engagé dans la cybersécurité. À la fois pour la protection de ses propres services. Mais aussi et surtout pour la protection de ses clients, particuliers et entreprises. Dans le cadre de sa lutte contre la cybermalveillance, Microsoft France a rejoint le GIP ACYMA au moment même de sa création.
Comme l’explique Jean-Jacques Latour : « Microsoft avait pour volonté de sensibiliser ses utilisateurs aux problématiques de cybersécurité. D’où l’intérêt de rejoindre un dispositif comme le nôtre, qui a également cette vocation de prévention à la cybermalveillance.
Dans le cadre de ce partenariat public-privé, Microsoft apporte une contribution financière au GIP, et participe à de nombreux groupes de travail sur différentes thématiques que nous montons au sein du dispositif. Que ce soit sur la prévention, sur la mise à disposition d’outils pour les victimes, ou sur la création d’un observatoire de la cybermalveillance, Microsoft est extrêmement actif dans sa contribution aux missions de Cybermalveillance.gouv.fr. »