Le Panorama de la Cybercriminalité – Année 2020 du Clusif est revenu sur une année pandémique qui a servi d’accélérateur à la cybercriminalité, avec des groupes qui se professionnalisent en un véritable écosystème de chaine de valeur. De leur côté, les régulateurs n’ont pas chômé avec la fin de l’indulgence pour les entorses au RGPD.
Intensification, professionnalisation et coercition sont les trois termes qui définissent le paysage de la cybercriminalité et de la conformité en 2020, selon le Clusif. Durant la conférence de présentation de Panocrim 2020, divers intervenants et membres du Clusif ont fait un tour d’horizon des tendances de l’année écoulée.
Le secrétaire général, Loïc Guezo, a rappelé les conséquences de la pandémie « dont les effets cyber ont aussi été exceptionnels : en 1ère partie de l’année 2020, les leurres utilisant le Covid-19 comme appât auront été dominants et représentaient jusque 80 % des échantillons vus ». Guillaume Poupard, le directeur de l’ANSSI a de son côté identifié trois grandes menaces : l’espionnage, la grande criminalité, et « des risques quasiment militaires ». Pour les risques « quasi militaires », Guillaume Poupard a attiré l’attention sur le fait que ces attaques, où « l’objectif n’est pas explicite », avec des attaquants introduits dans les SI sans chercher de résultats immédiats, permettent de préparer« des conflits futurs et cherchent à prépositionner des charges ».
Intensification de la menace des rançongiciels
De son poste d’observateur privilégié de la menace, il a noté l’augmentation vertigineuse des attaques par rançongiciels. Au 31 décembre 2020, ces attaques étaient multipliées par 4 par rapport à 2019, et encore, « ce chiffre ne recouvre que les cas sur lesquels l’ANSSI a été amenée à intervenir », a-t-il précisé. Rappelons que le périmètre d’intervention de l’agence se limite à l’État, aux administrations, et aux opérateurs d’importance vitale (OIV).
Dans un paysage bouleversé par la crise, les cybercriminels ont profité des nouveaux usages que sont la généralisation du télétravail, la transformation numérique à marche forcée et les budgets sécurité en baisse. Parallèlement, les opérations des cyberattaquants ont été plus sophistiquées. Les gangs de rançongiciels ont utilisé de nouvelles tactiques pour faire pression sur les victimes qui ne souhaitaient pas payer la rançon : les menaces directes par téléphone auprès des propriétaires des données piratées par exemple.
L’écosystème se professionnalise…
L’année 2020 a également été celle où l’écosystème de la menace cyber a montré les premiers signes d’une structuration. Les observateurs ont ainsi pu assister à la naissance d’une véritable chaîne de valeur avec des groupes spécialisés. « Cette professionnalisation confère malheureusement une efficacité grandissante aux attaques », a déploré Gérôme Billois, Partner chez le cabinet Wavestone et spécialiste de la cybersécurité et de la gestion du risque cyber.
En analysant la présentation de Gérôme Billois, il apparaît que les segmentations qui se dégagent de cette structure technico-économique du cybercrime restent encore floues, on peut toutefois distinguer trois secteurs : les plateformes d’attaque et de pénétration (les Initial Access Brokers), les plateformes de rançongiciels pour passer à l’échelle après une attaque réussie, et les spécialistes de la négociation et du blanchiment des extorsions. Pour information, nous avons détaillé ces structures dans plusieurs articles dans IT Social. Pour ceux qui veulent s’y replonger, voici les liens : l’écosystème malware-as-a-service et suivez l’argent des cybercriminels.
… et les groupes se spécialisent
Ainsi, « tout commence avec la création et la revente des accès persistants par les Initial Access Brokers dont l’activité a connu une nette progression en 2020, affirme Gérôme Billois. Ceux-ci mettent à disposition sur le marché noir des accès dans les réseaux de grandes organisations, pour parfois plusieurs centaines de milliers de dollars ». Les hébergeurs de services « bulletproof », c’est-à-dire résistant aux requêtes judiciaires d’arrêt de service, mais aussi les plateformes d’anonymisation fournissent les infrastructures nécessaires à la réalisation des attaques.
Durant 2020, les plateformes d’attaques se sont renforcées techniquement avec la constitution d’équipes de développement des codes malveillants, mais aussi fonctionnellement avec les négociateurs pour les rançons et des capacités de management d’équipes. À la clé, plusieurs millions de dollars de revenus, voire plusieurs dizaines de millions pour les groupes les plus actifs comme Sodinokibi ou Ryuk. Marine Martin, experte SSI chez AG2R la Mondiale, ajoute que « les gains engendrés par les attaques permettent de structurer de vraies PME du cybercrime, on le voit avec un groupe comme Revil qui a plus de 10 développeurs pour faire vivre et progresser sa plateforme de rançonnage ».
Les plateformes de rançongiciels, pour passer à l’échelle, structurent aujourd’hui des réseaux d’affiliés aux compétences d’intrusions très recherchées. Ils s’occupent de pénétrer dans les réseaux puis d’exfiltrer de l’information avant de déployer la charge malveillante. La rançon est gérée par la plateforme qui reversera entre 10 et 30 % à ses affiliés. À la fin de la chaîne, le blanchiment est nécessaire pour convertir la cryptomonnaie en devises.
RGPD, la fin de l’indulgence
Lorsque le RGPD est entré en application le 25 mai 2018, les autorités de régulation avaient indiqué qu’il y aurait une période d’indulgence pour permettre aux entreprises de mettre en place leurs stratégies de conformité. Il semble qu’en 2020 cette « indulgence » a réellement pris fin. Les montants des sanctions ont connu des augmentations substantielles avec des sanctions exemplaires à l’encontre de différentes organisations (British Airways, Marriot, Carrefour ou Capital One notamment).
Victimes de cyberattaques, fuites de données ou autres incidents de sécurité, survenus ces dernières années, ces entreprises ont été prises en défaut sur leurs mesures de protection. Les prononcés des sanctions (20 M£ pour Marriot ou 2,25 M€ pour Carrefour par exemple), ont permis de mieux identifier les manquements des entreprises à leurs obligations de sécurité, et leurs conséquences directes sur la réalisation des cyberattaques dont leurs clients et prospects ont été des victimes collatérales.
La présentation s’est terminée sur les perspectives 2021 concernant l’évolution du cadre juridique de la cybersécurité : l’Europe fait de la lutte contre la cybercriminalité avec le renforcement de la cybersécurité des entreprises (révision de la directive NIS notamment), l’une de ses priorités d’action.