Le niveau des cybermenaces en 2022 reste élevé, souligne l’ANSSI pour résumer son rapport annuel sur ce sujet. L’occasion aussi pour le nouveau directeur général de l’agence, Vincent Strubel, d’inaugurer ses fonctions et de dresser un panorama de ses missions. Le rapport était par exemple attendu sur le front des ransomwares. En 2021, cette menace enregistrait 203 attaques et en 2022 ce volume n’était que de 109 soit une baisse de 46 %. Pour expliquer cette accalmie, l’Anssi souligne une baisse d’activité en début d’année. Attention toutefois à ne pas sous-estimer ce risque qui a connu un regain en fin d’année dernière.

Si les PME/ETI restent les cibles privilégiées (40 %), les pirates se focalisent sur des organisations moins protégées comme les collectivités territoriales (passant de 19 à 23 %) et les établissements de santé (de 7 à 10 %). Sur ces derniers, l’attaque de centre hospitalier de Corbeil-Essonnes par le gang Lockbit 3.0 réclamant 10 M€ a mis exergue cette menace tout comme celle de l’hôpital Mignot de Versailles en décembre. Idem pour les collectivités avec des cas symboliques : les départements de la Seine-et-Marne, Seine-Maritime, Alpes-Maritimes, la région Guadeloupe, la ville de Caen,… Des offensives suffisamment importantes pour que le gouvernement mobilise des moyens financiers supplémentaires afin de réaliser des audits et de renforcer le niveau de sécurité du secteur public.

Les collectivités locales et les établissements publics de santé sont de plus en plus ciblés par les groupes de ransomware. (Crédit Photo : Anssi)

Le cyber-espionnage à l’épreuve de la guerre

En 2021, Guillaume Poupard s’inquiétait d’une menace plus importante, mais beaucoup moins médiatisée : le cyber-espionnage. L’édition 2022 du rapport insiste sur la persistance de ce danger qui a « mobilisé le plus les équipes de l’Anssi ». Pour le coup, la Chine est pointée du doigt dans « près de la moitié des opérations de cyberdéfense ». Difficile néanmoins d’en savoir plus étant donné qu’il existe peu de cas publics. L’Anssi cite notamment une affaire au premier semestre 2022 touchant « la compromission en profondeur du système d’information d’un fournisseur spécialisé du secteur de la défense ».

En 2022, l’invasion de l’Ukraine par la Russie a changé la donne en matière cyber. Si l’Anssi n’a pas constaté d’attaques massives contre des infrastructures critiques à part celle sur K-SAT, elle observe une recrudescence des campagnes DDoS ou de sabotage (via des wiper comme Sandworm). Elle appelle à la vigilance sur le secteur de l’énergie, sujet particulièrement sensible dans ce conflit. Les récentes actions de reconnaissance contre un terminal de gaz naturel liquéfié aux Pays-Bas par les groupes Kamacite et Xenotime en seraient les premiers signaux.

L’opportunisme et l’innovation chez les cybercriminels

Une chose est sûre, les attaquants sont opportunistes et n’hésitent pas à utiliser les failles rapidement. En tête des vulnérabilités, on retrouve celles liées à Exchange, notamment ProxyShell (4 dans le top 10 du rapport). La plus utilisée est la CVE-2021-34473, corrigée en juillet dernier lors du Patch Tuesday, et disposant d’un score de gravité de 9.1. La persistance de la faille Log4Shell ou CVE-2021-44228 est à souligner en se plaçant en seconde position du classement. En troisième place, la faille critique dans Atlassian Confluence a été particulièrement appréciée des pirates. A l’été 2022, des chercheurs d’Akamai avaient observé 20 000 tentatives d'exploitation par jour après le signalement de la vulnérabilité CVE-2022-26134.

Les pirates explorent d’autres horizons pour améliorer leurs techniques d’attaques. La virtualisation est un terrain de jeu reconnaît l’Anssi avec un intérêt particulier pour les environnements VMware, acteur dominant du marché. Plusieurs groupes ont élaboré des capacités de chiffrement ou des backdoors dans les serveurs ESxi de VMware. Dans ce cadre, l’agence a mis en place un outil dans GitHub nommé DFIR4vSphere, pour « collecter des journaux et des artéfacts sur un environnement vSphere à des fins d’analyse forensique ». Enfin, le phénomène de cryptominage ne doit pas être négligé, car l’argent ainsi récolté sert aux pirates à acquérir des capacités offensives supplémentaires.