Premier constat de ce rapport de l’autorité nationale des systèmes de sécurité informatiques, l’amélioration des capacités de cyberattaquants se poursuit. Les codes et les méthodes des attaquants privés sont repris en leur compte par les Etats. Ainsi, en juillet 2022, l’Albanie a été sous le feu de ransomwares et de wippers (effaceurs de données), paralysant plusieurs sites internet gouvernementaux. La porte dérobée modulaire DarkCrystal en vente sur les forums russes RAT, sert à des activités cybercriminelles et d’espionnage. Cette backdoor permet d’ajouter des modules d’enregistrement de frappes, de collecte d’identifiants et de captures d’écran.
Des outils légitimes comme Cobalt Strike (tests d’intrusions) ou du code open source sont aussi couramment utilisés. La compromission de routeurs et de pare feux fournit un accès persistant et discret aux attaquants. Lors d’actions de reconnaissance, ces solutions permettent d’anonymiser les intrusions malveillantes.
Le secteur des éditeurs de logiciels de lutte informatique offensive est en plein essor avec, notamment, les produits de RCS Labs et le programme Hermit. Ce dernier a été utilisé au Kazahkstan pour cibler les smarphones Androïd des manifestants, début 2022.
Les objectifs des pirates : gain financier, espionnage et déstabilisation
Au rang des bonnes surprises, une baisse de 46 % des attaques par ransomware par rapport à 2021. La motivation première reste, sans surprise, l’appât financier. En haut du podium figurent les TPE, PME et ETI devant les collectivités locales qui représentent 23 % des incidents en lien avec les ransomwares. Des services malveillants tels Qakbot ou Emotet ont repris leurs activités.L’espionnage reste toujours à un fort niveau en France et ailleurs. L’ANSSI mentionne les efforts permanents de la Chine pour s’introduire chez les opérateurs stratégiques en France et de citer, la compromission en profondeur d’un prestataire spécialisé du secteur de la défense. Les chaines d’approvisionnement sont également attaquées. Le conflit ukrainien favorise aussi les campagnes d’espionnage de pays européens.
La déstabilisation fait partie de l’arsenal des attaques étatiques. Il s’agit d’actions par déni de service (DDos), de sabotage informatique et d’actions de communication suite à des compromission de données sensibles.
Les mêmes point fragiles restent toujours exploités
En tête, figure l’exploitation des vulnérabilités, touchant des logiciels couramment utilisés comme Exchange de Microsoft, les serveurs web Apache, la plateforme de messagerie Zimbra de Free, la fameuse solution de virtualisation WmWare et honneur au plus connu, l’OS Windows. Pour Exchange, par exemple, ces attaques exécutent du code arbitraire à distance pour prendre le contrôle du serveur de messagerie de Microsoft.Une embellie a été constatée en 2022 avec une baisse des attaques sur le front des attaques sur la supply chain mais elles constituent un risque systémique, que ce soit celles qui concernent les prestataires ou la chaine de distribution logicielle.
Enfin, la divulgation de données continue sa progression concrétisée par la mise en vente de ces data ou leur réutilisation pour mener plus efficacement des campagnes de ransomware.
