Du nouveau chez les rançonneurs ?

Xavier Aghina et Gérôme Billois ont mis l’accent sur les nouveautés du côté des rançonneurs. Le 14 janvier 2022, le Groupe Revil a été arrêté en Russie grâce à un partenariat entre plusieurs états. Cette arrestation avait adressée un message fort aux pirates. Toutefois, avec la guerre en Ukraine, la coopération internationale s’est vite arrêtée. Puis les attaques en ransomwares se sont multipliées à commencer par celles sur Thales, Damart, Intersport... ces groupes de pirates utilisent souvent des outils repackager. Dans ce cadre, la France est en troisième position derrière les États-Unis et l’Allemagne des pays ciblés selon l’ENISA.

Par la suite, Xavier Aghina et Gérôme Billois ont pris l’exemple de Toyota qui a dû arrêter 14 sites de production suite à l’attaque d’un de ses sous-traitants, puis un second de ses sous-traitants a été attaqué avec le même type de problème. Enfin, l’attaque de Brigestone a eu le même type d’impact sur Toyota. Heureusement, Toyota avait pensé à sa résilience mais sans inclure le risque Cyber. Ils estiment que cette dimension sera prise en compte dans le futur par Toyota.

Xavier Aghina et Gérôme Billois ont par la suite fait un focus sur les attaques sur les hôpitaux comme celui de Corbeille Essonne... Du fait des nombreuses attaques sur les organismes de santé, l’Etat a débloqué 20 millions d’euros pour renforcer la sécurité des hôpitaux.

Threat Actor (Stern ou Demon, Mango) : CONTI

Gérôme Billois a évoqué le cas du groupe d’attaquants CONTI. Ce dernier en 2022 s’en est pris au Costa Rica dont un ransomware a bloqué tout d’abord le service des impôts puis des Télécom. Par la suite, il a bloqué la Sécurité Sociale... De ce fait, le Président de la République, nouvellement nommé, a déclaré l’état d’urgence dans le pays. Cette dernière mesure n’a pas servi à grand chose, puisque les Universités ont aussi été bloquées... Fort de ses succès, le réseau Conti à l’origine de ce ransomware a appelé le Costa Rica à payer la rançon et même à renverser le gouvernement. Le groupe Conti a généré depuis sa création en 2020 plusieurs centaines d’attaques. Par contre il a été démantelé lorsqu’il a pris parti pour la Russie. En fait, avec l’embargo financiers sur la Russie, les victimes ne pouvaient plus payer les rançons. Il s’est auto-détruit après l’attaque sur le Costa Rica. Le groupe avait industrialisé leurs équipes et leurs outils et était constitué de professionnels payés environ 1800$. En 2021, Conti avait collecté environ 180 millions de $.

Le MFA, roi détrôné ?

Gérôme Billois a conclu son intervention en mettant en avant l’authentification à deux facteurs qui est devenue un outil de sécurisation très important. Par contre, les pirates utilisent la technique du « MFA fatigue » qui est l’envoie de demande d’authentification répétée jusqu’au moment où l’utilisateur fatigué par ses sollicitations, clique sur "Oui"…

Le SIM Swap ou d’autres méthodes plus raffinées et industrialisées ont aussi proliféré. Heureusement, des parades se développent. Toutefois mieux vaut une authentification MFA que pas d’authentification, a-t-il rappelé.

2022, année de la cyberguerre ?

Loïc Guézo a traité de la géopolitique. Il a commencé son intervention par le cas de Julien Assange qui a failli être extradé. Le Président Poutine l’a naturalisé Russe afin de le mettre à l’abri d’extradition.

Puis il a abordé le cas Pégasus qui a fait l’objet de multiples enquêtes ouvertes, de tempêtes politiques dans plusieurs pays. De plus, des sanctions internationales ont été prises à l’encore de son éditeur NSO.

Des confrontations entre États ont eu lieu souvent via des groupes de pirates. Il a cité par exemple le cas du Vanuatu qui a arrêté ses SI et est revenu aux papiers suite à une attaque informatique. Il s’est penché sur le cas de l’Albanie qui a subi une attaque attribué à l’Iran. Cette dernière a donné lieu à une rupture des relations diplomatiques entre ses deux pays. Autre exemple, l’attaque contre le Monténégro durant laquelle la France est intervenue pour défendre ce pays.

Suite à la multiplication des menaces, le Turkménistan veut créer son internet souverain. De même en Russie, un internet cloisonné a été mis en ligne. Ce dernier a été immédiatement attaqué.

Pour conclure son intervention, il a évoqué la guerre en Ukraine qui a fait l’objet d’une guerre d’image avec de nombreuses deepfake.

Le conflit russo-ukrainien dans le cyberespace

Puis le docteur Michel Dubois a fait un focus sur le conflit en Ukraine. Dans ce cadre, le cyber-espace est un espace supplémentaire de conflit. Il a commencé par des défigurations de sites ukrainiens. Puis les Russes ont utilisé 5 malwares très puissants qui ont effacé des fichiers, et au passage ont demandé des rançons. Un d’entre eux a aussi attaqué le satellite Ka-Sat qui a permis de couper les communications de l’armée ukrainienne, mais a aussi impacté l’Allemagne et la France en créant des zones blanches. Les russes ont aussi attaqué le réseau électrique ukrainien. Ils ont aussi détourné l’internet souverain dans certaines villes assiégées.
Devant cette situation, le président ukrainien a créé une armée cyber constituée d’internautes recruté dans le monde entier. Des pirates français ont soutenu cette armée en oubliant que c’est illégal mais qu’en plus les russes pouvaient procéder à du Hackback et les mettre en danger.

Les Anonymous se sont aussi mêlés et ont soutenu l’Ukraine en menant des actions contre la Russie mais aussi contre l’Europe en considérant qu’elle n’aidait pas assez l’Ukraine.

De leur côté les États-Unis ont envoyé des experts pour aider l’Ukraine. Les chinois pour leur part ont attaqué les deux belligérants...

Plusieurs cyber sanctions ont été prises par les acteurs d’internet comme Twitter, des États comme la France qui interdit la vente de produits de cybersécurité russes...

Enfin, il a rappelé que la Russie a détruit de nombreux data centres ukrainiens.

Avis de tempête dans le nuage

Philippe Werle et Michaël Jacques ont présenté les attaques sur le Cloud qui ont été retenues cette année. En préambule ils ont annoncé que 30% des incidents de sécurité étaient dû à des problèmes de mauvaise configuration. Ils ont cité l’exemple de Cloudflare qui a subi un incident de sécurité important suite à une mauvaise configuration de son Cloud. Ils ont rappelé la vulnérabilité d’Oracle Cloud qui a été patche très rapidement. Chez Google Cloud ou AWS des vulnérabilités ont permis des vols de données conséquentes. Chez Microsoft Teams des vulnérabilités permettaient entre autre de contourner des mesures de sécurité engendrant des fuites de données très importantes.

Du fait de toutes ses vulnérabilités le Cloud est-il pérenne ? En Europe Office 365 et Google ne sont plus les bienvenus du fait du RGPD. De plus, la crise de l’énergie rend le Cloud moins rentable...

Threat Actor APT38 : Lazarus toujours sur le « pont »

Cédric Cailleaux a présenté le Groupe Lazarus, à l’origine de WannaCry, qui a été très actif en 2022 en s’attaquant entre autre aux secteurs de l’énergie aux États-Unis. Il a mené des attaques ciblées en utilisant le motif de fausses campagnes de recrutement qui commençaient par du social engineering.
Pour conclure, il considère que Lazarus risque de faire parler de lui en 2023.

Cryptomonnaies et NFT, le nouvel eldorado numérique ?… pour les pirates !

Timothé Coulmain et Michaël Jacques ont abordé la finance décentralisée (DEFI) qui permet d’accorder des prêts, des investissements sans passer par des banques.

En 2022 des piratages ont fait perdre plus de 200 milliards de $ sur DEFI.

Par exemple, Lazarus a arnaqué 625 millions de $ à Robin Network. Wormhole a lui perdu 325 millions de $ en suite à un mauvais codage qui n’a duré que quelques heures. Bien sûr, en plus des attaques, toutes les arnaques de la cyber sont utilisées pour menacer DEFI.

Les NFT ont eux aussi subi des attaques qui ont généré 86 millions de $ de pertes comme par exemple dans le cas d’Opensea qui a perdu 1,7 millions de $.

En revanche, la sécurité et la confiance dans la blockchain n’ont pas été remises en cause. Par contre, les attaques devraient se multiplier dans l’avenir.

Threat Actor, Killnet : Vers l’Hacktivisme 2.0

Cédric Cailleaux a fait un focus particulier sur le Groupe Killnet qui a vu le jour fin février 2022 pour devenir un Hacktiviste prorusse. Il aurait mené 5.500 attaques. Ils ont ciblé le site de l’Eurovision, d’En Marche, du Parlement Européen ou encore le site d’Elon Musk. Avec Killnet on est arrivé à l’Hacktivisme 2.0 qui ont une idéologie politique, une méthode recrutement qui aboutit à la remise d’un Kit de piratage lorsque le candidat est recruté. L’Hacktivisme 2.0 se professionnalise et ne va plus se limiter à des DDoS ou des défigurations de sites web à l’avenir.

Police, justice des résultats, les prémices d’une collaboration efficace

Christophe Durand et Garance Mathias ont exposé quelques "affaires" policières réussies où les coupables ont pu être démasqués et déférés à la justice. Concernant les NFT, la police a pu récupérer un « singe NFT » suite à une veille réalsié sur le net. Les jeunes arrêtés sont aujourd’hui mis en examen en attendant leur procès.

Ils ont évoqué la jurisprudence en matière de communication du Code de déverrouillage d’un Smartphone a été prise et qui oblige l’utilisateur à donner son code.
Puis, ils ont mentionné plusieurs autres enquêtes policières comme :
Des investigations françaises ont permis d’aboutir au déchiffrement de LockerGoga.
Aux États-Unis un RSSI a été condamné pour avoir menti...
Par ailleurs, une société de cybersécurité s’est rendu compte que les pirates à l’origine de la création de DealBolt, un ransomware très virulent, ont fait une erreur de codage qui a permis à la police de récupérer les clés de chiffrement de 155 victimes qui avaient déposé plainte. D’où l’intérêt pour les victimes de déposer plaintes ont-ils lancé !
Aux Etats-Unis suite à l’exploitation d’une vulnérabilité, un pirate a été condamné.
On note une accélération de la réponse judiciaire avec la comparution immédiate et l’augmentation des amendes portées à 70.000 euros et "le plaider coupable" qui permet d’alléger les peines. Enfin, ils ont rappelé que la loi sur la saisie des crypto actifs a été adoptée.

Threat Actor (DEV-0537), Lapsus$ n’a pas dit son dernier mot

Pierre Raufast a présenté Lapsus$ un groupe d’attaquants qui a eu une durée de vie de 9 mois seulement. Il volait du code et de la propriété intellectuelle. Ils ont attaqué Microsoft, Okta...

Ils ont popularisé la « MFA fatigue » en particulier. Il mettait en ligne des annonces de recrutement. Les membre de ce groupe était constitué de personnes assez jeunes dont deux adolescents arrêté à Londres. Ils ont été victimes de leurs amateurismes.

Le quantique sous le feux des attaques ?

Pierre Raufast a poursuivi en traitant des menaces inhérentes à l’informatique quantique. Un risque a été formalisé par les militaires. Une solution est de proposer un chiffrement post-quantique. Par contre, le « faisandage d’algorithme » c’est-à-dire le fait d’introduire des backdoor existe. Ainsi le NIST a lancé un concours en 2016 pour débusquer ces faisandages. 69 dossiers ont été déposés et en 2022 il reste 4 candidats. Pour l’ANSSI, il y a une immaturité de chiffrement post quantique mais qui peut servir dans le cas de défense en profondeur. Les États-Unis ont pris le même genre de recommandation.

On aurait aimé vous parler de…

Valentin Jangwa a fait un rapide focus sur d’autres cas dont le groupe du CLUSIF aurait aimé traiter, comme celui de Twitter dont le RSSI a démissionné et quelques mois après il a révélé que Twitter avait de graves problèmes de sécurité.

CHatGPT, qui a été cofondé par Elon Musk, inquiète par le fait qu’il puisse être meilleur que les pirates en mettant en place des attaques de phishing.

Enfin LastPass a été attaqué fin août puis une seconde fois un peu plus tard ce qui a conduit à une compromission des mots de passes.

Face à toutes ces menaces, il faut rester en veille en permanence.

Le grand public français cybervictime

Benoît Grunemwald et Philippe Werle ont présenté certains type d’attaques qui ciblent le grand public a commencé par le Smishing un hameçonnage par SMS qui existe depuis 2006. Ils rappellent que le SMS a une certaine confiance des utilisateurs. Toutefois, il est rentré à la seconde place des personnes sondées sur leur confiance en les SMS reçus.

Une attaque en utilisant le Crit’Air comme motif permet de récupérer des numéros de carte bancaire.

Une autre attaque concerne la mise à jour de la Carte Vitale et demande à la fin de payer les frais de ports, ce qui permet aux cybercriminels de récupérer les numéros de carte bancaire.
Ils ont aussi noté les attaques durant lesquelles les pirates se font passer pour des conseillers bancaires. Sans compter les faux appels de supports techniques qui en mettant la pression sur l’utilisateur l’incite à payer une fausse prestation informatique afin une nouvelle fois de récupérer les numéros de cartes bancaires.

Les pirates utilisent toujours des moyens de pression pour obtenir de plus en plus d’argent, de données à caractère personnel. Il faut donc porter plainte même pour des petits montants.

EN conclusion de cette édition, les internautes doivent rester sur le qui vive et se méfier de tout. La construction d’un web de confiance n’est sans doute pas demain !