Le cru 2019 dans le domaine de la cybersécurité était chargé. On n'en attend malheureusement pas moins pour le millésime 2020. Alors que retenir de l'année écoulée ? L'annonce la plus marquante pourrait bien être la dernière en date, liée à SolarWinds, dont une mise à jour piégée a mis à mal la sécurité de plus de 18 000 entreprises et agences gouvernementales dans le monde, dont la défense américaine, le département du Trésor et la sécurité nucléaire US mais également de grandes pointures informatiques et de cybersécurité mondiales comme FireEye - dont les outils de détection et intrusion ont été volés - ou encore Microsoft.
Entre deux confinements, en septembre, c'était au tour de Sopra Steria de faire l'objet d'une vaste attaque ciblée, d'une intensité rare. Si elle n'a officiellement pas fait beaucoup de dégâts malgré des systèmes d'information en convalescence pendant plus d'un mois, les arrêts systèmes provoqués par le ransomware Ryuk ont impacté sensiblement la marge opérationnelle du groupe français estimée dans une fourchette de 40 à 50 millions d'euros. Parmi les autres annonces touchant la sécurité informatique, en l'occurrence celle relative aux données personnelles, on n'oubliera pas que la Cnil est parvenue à infliger une amende de 135 millions d'euros à Google et Amazon, mais aussi dans une moindre mesure à Carrefour, sanctionné d'une amende de 3 M€. Au rang des autres actualités juridiques marquantes sur le front des données personnelles, on retiendra aussi l'invalidation en plein coeur de l'été du Privacy Shield qui pose la question de savoir si l'Europe saura se donner un jour les moyens de ses ambitions, et si l'on pourra encore transférer ou pas ses données personnelles vers les Etats-Unis.
Une année 2020 malheureusement lourde en ransomwares
Mais sur le front des cybermenaces, les ransomwares ont encore monté d'un cran, pas tant du point de vue de leur intensité - toujours très élevée - mais par le nombre de cibles attaquées (secteurs, activités...) toujours plus étendues. Parmi les grandes marques touchées, on citera en particulier le constructeur automobile Honda qui a dû stopper sa production en raison de SNAKE, EssilorLuxottica spécialisée dans la conception de verres et la fabrication de lunettes, la maison-mère de Jack Daniel's, le croisiériste Carnival, et son homologue Hurtigruten sans oublier l'armateur CMA-CGM. Au rang des entreprises emblématiques touchées figure aussi Mattel, cet été. Si le paiement des rançons est bien entendu à proscrire - retrouver les données chiffrées n'est pas assuré, perdre de l'argent est bien réel - certaines victimes tentent le tout pour le tout. Cela a été le cas pour l'Université de San Francisco qui a accepté de débourser 1,14 million de dollars ou encore Carlson Wagonlit Travel...
Des enseignes ont également été victimes comme Lise Charmel dont le redressement judiciaire a marqué ce début d'année, après une paralysie de son activité. Certes le ransomware n'est peut-être pas la source de tous les maux, mais il perturbe indéniablement le business. En 2020, les organismes publics et en particulier les collectivités territoriales et métropoles ont été frappées de plein fouet, notamment Aix, la ville de Marseille mais aussi de plus petites comme Mitry-Mory qui a su résister face au rançongiciel DoppelPayment. Outre les entreprises et les collectivités, les ransomwares se sont attaqués à des proies plus inattendues comme le cabinet d'avocats GSMLaw, représentant des personnalités et célébrités comme Madonna ou encore Donald Trump. Sans oublier les éditeurs et fournisseurs informatiques qui ont payé un lourd tribut comme Cognizant touché par Maze, le prestataire multiservices Spie touché par Nefilim, ou encore Garmin tombé dans les griffes de WastedLocker, et SK Hynix dans celles de Maze. Les fournisseurs de systèmes d'impression n'ont pas été oubliés par les cybergangs, comme Xerox et Canon et également l'éditeur Dedalus. Dans le secteur du BTP, c'est Leon Grosse qui a subi une cyberattaque Maze.
Des capacités de nuisance en hausse
Plus récemment, c'est Dassault Falcon Jet qui a été ciblé. De leur côté, les opérateurs de malwares marquent encore un peu plus la professionnalisation de leurs activités avec, par exemple, cette campagne de recrutement lancé par le cybergang derrière REvil (alias Sodinokobi) qui a lancé une campagne de recrutement pour attirer les meilleurs cyberpirates. Doté d'un fonds d'1 million de dollars en bitcoins, nul doute que ce financement a été - malheureusement - en grande partie alimenté par les fonds extorqués aux nombreuses victimes de l'opérateur malveillant. Dans le secteur de la santé, les cyberattaques se sont aussi multipliées, contre le géant hospitalier UHS ou encore le spécialiste en antibiotique injectable Panpharma alors que certains groupes de cybercriminels crient à qui veut l'entendre qu'ils ne ciblent pas ce secteur. Cela n'a pas empêché de déboucher sur un drame en Allemagne avec la mort d'une patiente impossible à opérer dans les temps à cause d'une réorientation dans un autre hôpital suite au blocage du SI par un ransomware.
Les ransomwares se sont par ailleurs glissés aussi parfois dans des endroits inattendus, comme dans les cartes mère Gigabyte, les archives Zip contenant un environnement d'exécution Java (JRE), voire également des systèmes Linux avec RansomEXX. Sachant que mois après mois, ils deviennent de plus en plus complexes, avec des routines qui se sont améliorées au fil des semaines, comme par exemple Thanos qui s'est doté de capacités peu communes pour déjouer les mesures anti-ransomwares. Dans certains cas, ils peuvent aussi améliorer leur indétectabilité en allant comme Ragnar Locker jusqu'à se camoufler en machine virtuelle, imité par Maze quelques semaines plus tard. De quoi malheureusement s'attendre à des lendemains qui déchantent...
Commentaire