Comment les hackeurs se sont emparés de la pandémie Covid-19 ?
Le coronavirus est devenu le leurre le plus utilisé de tous les temps. La formule pourrait faire sourire, et pourtant. Depuis que l’épidémie sévit dans le monde, les chercheurs ont observé un pic d’attaques mondiales surfant sur l’actualité sanitaire, comme de faux guides sur la façon de protéger sa famille contre le Covid-19 invitant l’utilisateur à cliquer sur un lien malveillant, le logiciel malveillant RedLine Stealer, disponible sur le dark-web pour 100 dollars, destiné à voler les coordonnées bancaires et les portefeuilles de cryptomonnaies via des campagnes de phishing, ou encore des emails destinés aux parents, façonnés pour sembler légitimes, accompagnés d’un logiciel malveillant (Ursnif) visant à dérober des informations personnels et identifiants bancaires.
Il faut dire que pour un hackeur, tous les moyens sont bons pour tromper la vigilance de l’utilisateur. Le Covid-19, sujet qui monopolise l’actualité à échelle mondiale, est donc idéal dans une stratégie d’attaque opportuniste.
Dès février, les premières cyber-attaques utilisant le nouveau coronavirus ont été recensées en Asie, alors que l’épidémie battait son plein dans la région. Le groupe de hacking « Mummyspider » a marqué les esprits en se faisant passer pour le Centre de Santé Publique de la préfecture de Kyoto via un mailing de phishing destiné aux utilisateurs japonais… qui leur cachait en réalité le malware « Emotet », prêt à dérober leurs informations bancaires (entre autres).
Dès mars, le nombre d’attaques décelées a complètement explosé, et ce, au niveau mondial. Il faut dire qu’une grande majorité des pays du monde ont opté pour la mise en place du confinement en urgence, et ont donc poussé les entreprises à déployer le télétravail sans avoir auparavant pu sécuriser leurs outils. Utilisation massive de VPN, devices personnels, sécurisation moins forte du réseau domestique et vigilance réduite des utilisateurs, pouvant être amadoués plus facilement avec des sujet liés au Covid-19 : ce changement drastique des usages de l’IT profite aux hackeurs.
Qui sont ces hackeurs qui profitent du Covid-19 ?
Derrière ces stratégies d’attaques qui collent à l’actualité, les objectifs des cyber-attaquants ne diffèrent pas fondamentalement de celles perpétuées dans un contexte plus « normal ».
On peut dissocier trois types d’attaquants.
1. Les hackeurs motivés par l’argent : ce sont des « cybercriminels ». Ils utilisent des ransomwares pour mener des campagnes massives, finalement assez peu ciblées. Pour eux, l’opportunité est exceptionnelle – ce qui explique notamment la prolifération des attaques de type phishing par exemple, surfant sur des thématiques autour du Covid-19.
2. Les groupes motivés par le secret industriel ou les données confidentielles : ils se rapprochent de ce que l’on pourrait qualifier « d’espionnage ». Ce sont le plus souvent des organisations liées aux États ou à de grandes entreprises, qui mènent des attaques complexes et extrêmement ciblées. Aucune ne semble encore avoir été perpétrée depuis le début de la crise sanitaire, et pourtant, il ne serait pas étonnant de voir émerger, dans les semaines qui viennent, une attaque de ce type, alors que les groupes pharmaceutiques mondiaux travaillent sur un vaccin contre le Covid-19.
3. Les « hacktivistes » : ces groupes cherchent à défendre leur idéologie, qu’elle soit anarchique, politique ou terroriste. Début avril, la Chine a envoyé un lot d’équipements médicaux à l’Italie. Le geste, aussi noble et humanitaire fut-il, avait sans doute également une visée politique, puisque certains hashtags comme #grazieCina, utilisés par des officiels chinois et surtout massivement par des robots, ont émergé sur Twitter. Les « bot tweets » représentaient quasiment la moitié des reprises du hashtag. Pour faire cela, il faut imaginer des milliers de PC « zombies », piratés pour pouvoir envoyer des messages sur Twitter à l’insu des utilisateurs. Ce hashtag, relayé massivement, a assuré un maximum de visibilité à l’action chinoise.
Des techniques de hacking de plus en plus sophistiquées
Si le contexte actuel nous apprend une chose, c’est que les objectifs des pirates ne changent pas : il s’agit de dérober de l’argent, voler des informations, ou d’influencer les opinions. Néanmoins, les fins pour y parvenir semblent sensiblement différentes. En somme, l’évolution des cyber-attaques suit les mouvements et les usages de l’informatique moderne : toutes les possibilités et le confort d’utilisation prodigué par l’IT est payé en termes d’insécurité, puisque l’ensemble de ces nouvelles applications augmente la surface d’attaque.
Les dernières décennies ont d’ailleurs montré une nette évolution de la complexité des attaques. Nous sommes passé, depuis le début des années 90, de virus assez simples à des malwares dopés à l’intelligence artificielle. Évidemment, l’avènement du web a été accompagné d’une forte hausse des piratages. Aujourd’hui, la surface d’attaque a explosé.
Historiquement, toutes les actualités fortes ont été de bonnes opportunités pour les pirates, dans le sens où ils ont toujours utilisé la panique pour tromper la vigilance des utilisateurs. Si aucune nouvelle technique n’a été observée, il faut néanmoins noter que les hackeurs ont tendance à personnaliser leurs attaques en fonction de l’actualité.
Pour bien comprendre il faut se placer dans la peau du hacker : un mail de phishing « classique » qui demande de changer le mot de passe de votre accès à votre compte en banque obtient un taux de pénétration de moins d’1 %... Imaginez ce même mail, en pleine crise du Covid-19, envoyé par votre assurance de santé, et vous proposant et par exemple une lettre d’informations sur vos remboursement de santé, en cas d’infection au Covid-19… cet email, qui colle beaucoup plus à l’actualité, est susceptible d’avoir des taux de retour bien plus intéressants : de 2, 3, ou même 4 % !
Plus qu’un email conforme à la charte graphique de l’entreprise, les hackeurs peuvent aussi faire du « mail spoofing », c’est-à-dire pirater l’entreprise pour envoyer des emails en son nom. Les organismes de santé sont, par exemple, la cible de ce type d’attaques en ce moment. C’est en effet le contexte très bien pensé qui fait le « succès » des hackeurs.
D’autres signes d’activité, comme l’achat massif de noms de domaine en lien avec le Covid-19 ou la disponibilité de « kits d’attaques » disponible pour quelques centaines de dollars, ont vocation à compromettre les postes. Aussi, des produits de soins contrefaits, circulent sur le darkweb, et pourraient avoir des conséquences sanitaires très importantes. Europol a publié les résultats de leur opération « Pangea » sur une semaine, début mars : 121 arrestations, 13 millions d’euros de produits pharmaceutiques saisis, 2500 liens de vente de ces produits retirés et 37 groupes criminels démantelés. Les pirates sont plus que jamais sur le pied de guerre.
Vers une « super-solution » antivirus ?
Les nouveaux usages de l’informatique moderne (Cloud, BYOD, remote-working,etc…) façonnent un nouveau paysage de menaces, que les cyber-attaques ne se privent pas d’utiliser. Les solutions de cybersécurité s’efforcent de tenir le rythme, pour ne pas perdre une course qui ne semble être sans fin… l’IT étant un des secteurs d’activité les plus dynamiques en terme d’évolution.
Pourrait-on alors envisager une « super solution » de cybersécurité protégeant les entreprises contre l’ensemble des vulnérabilités, et donc des attaques, comme on travaille aujourd’hui sur un « super vaccin » anti-grippe capable de protéger l’homme contre toutes les mutations du virus ?
Les similitudes existent bel et bien entre le virus informatique et le virus médical : on parle de nuisance, d’hôte infecté et de mutation du virus dans un domaine comme dans l’autre. Aujourd’hui, un virus bien connu des solutions de sécurité peut être réécrit pour que la signature du malware ne puisse être repérée par les solutions de sécurité. Certains virus sont même polymorphes : leur code se modifie constamment pour ne pas être décelé par des firewalls ou antivirus. Heureusement aujourd’hui, certaines solutions de cybersécurité sont capables de détecter et d’arrêter ces virus. En cybersécurité, comme en médecine, la recherche progresse constamment.
Néanmoins, aucune « super solution » protégeant contre toutes les attaques n’est actuellement envisageable, notamment car ce que représente l’ensemble des attaques aujourd’hui diffère de ce que cela représentera demain. En IT, les usages changent très vite, et les techniques utilisées par les hackeurs s’adaptent. Dans cette configuration, le rôle de la cybersécurité est surtout de s’adapter aux évolutions des usages IT, qui agrandissent nécessairement la surface d’attaque potentielle.
Comment se protéger face à ces attaques circonstancielles qui utilisent le coronavirus ?
Les attaques qui perdurent en ce moment sont celles liées au Covid-19. Dans ce cadre, il y a trois points de vigilances particuliers à observer.
1. Faire attention aux emails frauduleux
Il est essentiel de faire un point précis sur les risques liés au phishing, car c’est aujourd’hui le principal vecteur d’attaques. Il faut accorder une vigilance particulière aux mails traitant du Covid-19 car les campagnes de spams peuvent être très bien imitées (charte graphique, expéditeur, personnalisation du destinataire, etc.), mais également aux mails demandant la vérification d’une connexion ou le changement d’un mot de passe, même dans l’éventualité où ceux-ci proviennent d’une source fiable. Dans certains cas, par exemple pour des demandes de paiement de fournisseur, pensez à vérifier l’authenticité de la provenance du mail et de son expéditaire, par exemple via un appel téléphonique.
2. Se prémunir contre la compromission du poste
A minima, de bien mettre à jour tous les logiciels : navigateur web, antivirus, applications comme Adobe Reader, système d’exploitation, etc… Aussi, les télétravailleurs doivent vérifier que leur connexion WiFi est bien sécurisée - c’est le cas de la plupart d’entre elles, seules certaines clés de chiffrements sont facilement piratables, sur des installations anciennes. Dans la mesure du possible, il faut éviter au maximum de mélanger loisirs et travail sur le même équipement. En effet, un hacker pourrait profiter de votre environnement « privé » pour rebondir sur la partie « pro ». Votre entreprise a nécessairement mis en place des mécanismes de protection de votre messagerie « pro », qui est donc plus sécurisée que votre boite mail « privée ».
3. Déployer des politiques de cybersécurité adaptées
Les services informatiques des entreprises ne sont pas en reste, car en plus de devoir gérer une hausse non anticipée du besoin de connexion à distance, elles doivent également s’assurer de la mise en place de politiques de sécurité adaptées aux enjeux très forts qui entourent aujourd’hui la sécurité liée au travail à distance. Cela concerne à la fois les process (nouveaux flux d’approbation virtuelle, signature électronique, définition d’une assistance adéquate pour les utilisateurs grâce à la rotation du personnel, mise en place d’une procédure claire en cas d’incident majeur de sécurité, etc.), mais aussi les besoins de sécurité sur l’infrastructure : passerelle VPN, politique d’accès sécurisé aux applications de l’entreprise via le MFA, sécurité du poste de travail, renforcement de la vigilance sur la messagerie des salariés, etc.). Le challenge, pour les DSI, est de mettre en place, en quelques semaines, des projets habituellement considérés sur le long terme.
En conclusion, utilisateurs et entreprises doivent faire preuve de prudence et de vigilance. Si les bonnes pratiques des utilisateurs cristallisent la majorité des enjeux aujourd’hui, il reste encore un grand travail de formation à mettre en place. De nouvelles solutions émergent en ce sens pour former aux bons réflexes.
Il est primordial que les règles de base soient appliquées et respectées, particulièrement aujourd’hui car, plus que jamais, cette période de crise est une opportunité exceptionnelle pour les hackeurs de tromper notre vigilance.
Article écrit par David Clarys
Exclusive Networks vous aide à relever les défis du Home Office, visitez https://exn-france.fr/jetravaillealamaison