MEMORABILIA

Multiplication des cyber-attaques en France : sommes-nous vraiment protégés d’un Pearl Harbor numérique ?

Scroll down to content

De plus en plus de villes, d’hôpitaux, d’infrastructures et d’entreprises sont visés par des cyberattaques en France. Emmanuel Macron a annoncé la mise en place d’un plan d’un milliard d’euros pour renforcer la cybersécurité des systèmes sensibles après les attaques contre plusieurs hôpitaux. Est-on à l’abri d’une attaque d’ampleur bien plus grave et dont l’auteur pourrait être un Etat ?Jean-Paul Pinte. ATLANTICO 19 février 20212

***************

Atlantico.fr : Une nouvelle vague de cyberattaques ont lieu en France en ce début d’année. La ville d’Angers a notamment été atteinte, tout comme les centres hospitaliers de Dax ou Villefranche-sur-Saône. Après d’importantes cyberattaques en fin d’année pendant le second confinement, celles-ci semblent se poursuivre. Sont-elles de même nature et de même origine ?

Jean-Paul Pinte : Alors que l’on aurait pu s’attendre à un ralentissement des activités cybercriminelles durant le confinement on a plutôt assisté en 2020, selon ZDnet, à de nombreuses attaques de la part de cyber-délinquants de tout genre avec des modes opératoires souvent basés sur les rançongiciels mais aussi axés sur une ingénierie sociale de haut niveau.

Des recherches nous invitent aussi à déduire que le travail à distance serait devenu la source de 20 % des incidents de cybersécurité et que les rançongiciels seraient en plein boom !

Par exemple, l’Agence nationale de la Sécurité des systèmes d’information (ANSSI) révèle que la France est depuis au moins 2017 la cible de graves attaques informatiques.À LIRE AUSSIBayrou agace Macron mais la proportionnelle le titille, Darmanin agace la majorité; Marine Le Pen surveille Zemmour, Bolloré et Macron s’apprivoisent; Affaire Duhamel : mais comment est vraiment morte Marie-France ?

Ainsi, on peut lire sur le site de  Futura Sciences qu’entre 2017 et 2020, des pirates se sont introduits dans les réseaux de sociétés comme EDF, Total, Orange, Airbus, ou encore Air France, ayant en commun d’exploiter le logiciel Centreon. Centreon est une plateforme de surveillance des ressources informatiques développée par la société du même nom. Elle offre à peu près les mêmes fonctionnalités qu’Orion de SolarWinds dont la campagne de cyberintrusion a touché des dizaines de milliers de sociétés américaines d’importance et les institutions. Une attaque que les États-Unis avaient attribuée officiellement à des hackers russes sponsorisés par le Kremlin.

Pour 2021 cela démarre assez fort avec des attaques visant des mairies, des hôpitaux avec Dax, Villefranche Sur Saône, Tarare et Trévoux (Auvergne-Rhône-Alpes)

Nous n’en sommes pas aux premières fois pour ces secteurs d’activité et bien d’autres mairies, hôpitaux, ou collectivités ont déjà été l’objet d’attaques si l’on veut bien faire une veille sur le sujet.

Selon Zataz, en 2019, des piratages ont eu lieu à la fin du mois d’avril et ont également visé des domaines du site de l’Assemblée nationale. C’est une information qui est passée inaperçue selon Zataz, mais des dizaines de sites internet de mairies ont été visées par le même groupe de pirates informatiques. Derrière ces attaques se cache un groupe de nationalistes turcs, baptisé Akincilar. Les pirates auraient rapidement contourné les portails internet des villes, sur lesquels était affiché un message concernant le génocide arménien, pour lequel Emmanuel Macron a annoncé la création d’une journée de commémoration en France. On parlait déjà de ces attaques en 2013 avec la mairie de Bègles et Zataz de nous rappeler les attaques de 2014 où plusieurs dizaines de mairies du Nord de la France avaient été touchées.À LIRE AUSSINicolas Sarkozy aurait déjà été vacciné contre la Covid-19

En février 2020, la mairie de Combloux voit son service informatique piraté avec demande de rançon.

A Marseille : « Les dégâts sont assez lourds » après une attaque informatique contre la mairie et la métropole menée en mars 2020

Le 29 avril 2020, la mairie de Toulouse a été victime d’un piratage informatique. Ce jour-là, la retransmission du conseil municipal avait été momentanément interrompue vers 11h15. Le maire Jean-Luc Moudenc avait ensuite expliqué que c’est plus précisément le prestataire chargé de la retransmission, une société de production vidéo Multicam systems basée à Montreuil (Seine-Saint-Denis), qui avait été la cible de ce piratage. 

Le 24 et 25 octobre 2020, des dizaines de sites français ont été piratés de la même manière que le site internet de la mairie d’Argenton-sur-Creuse. Le parquet de Paris avait lancé une enquête pour « atteintes à un système de traitement automatisé de données » et « apologie publique d’un acte de terrorisme ». Un groupe Facebook spécialisé dans le piratage, basé au Bangladesh, a revendiqué l’attaque.À LIRE AUSSICovid-19 : la France n’est « pas assez armée » pour le séquençage des variants, selon le Professeur Philippe Juvin

En octobre 2020, la mairie de Montdidier a été contrainte de changer son parc informatique après un double piratage. « Nous n’avions plus accès aux écrans », précise la maire, Catherine Quignon. Interrogée par le conseiller municipal, Tony Lheureux.

La Mairie de Mitry-Mory (Seine-et-Marne) a aussi été victime  d’une cyber-attaque en octobre 2020 par un groupe de hackers qui demandait une rançon.

Le groupe de cybercriminels «DoppelPaymer» a revendiqué  son intrusion sur le réseau informatique de la municipalité, selon une information du Parisien.

L’utilisation de «ransomwares», ou logiciels de rançon, est souvent le mode opératoire retenu : «Les hackers trouvent le moyen d’infiltrer un réseau, de le cartographier et de détruire les sauvegardes. Ils lancent ensuite le logiciel de rançon qui chiffre les données et les rend inaccessibles», détaille Jérôme Notin, directeur de cybermalveillance.gouv.fr, un dispositif d’assistance aux victimes de cyberattaques.À LIRE AUSSILa Défenseure des droits a franchi les limites de l’imbécilité…

Et la liste est encore longue pour les mairies !

En ce qui concerne les hôpitaux, en dehors de Dax et Villefranche Sur Saône, on peut citer Narbonne en décembre 2020. Cette cyberattaque, probablement venue de l’étranger, n’avait pas pour objectif de détourner les données de patients ou encore de se les approprier: «  Cette cyberattaque voulait utiliser nos serveurs pour créer de la cryptomonnaie, une sorte d’opération bernard-l’hermite en quelque sorte », précise Richard Barthes.

« Les cybercriminels tentent en effet d’exploiter la peur liée à la pandémie pour s’infiltrer sur les réseaux informatiques, y compris sur ceux des établissements de santé. Le secteur de la santé est en première ligne et doit à tout prix se protéger des cybermenaces pour être en mesure d’assurer pleinement ses missions, un enjeu national majeur », insiste-t-on du côté d’Avast.

Un chiffre illustre bien ce phénomène selon Europe 1 : +500% en un an, dans le monde, pour les cyberattaques visant des établissements de santé, selon le cabinet PwC. La France n’échappe pas à cette hausse notable. Comme partout ailleurs, pendant longtemps, les hôpitaux étaient épargnés par les cybercriminels qui ciblaient plutôt les particuliers et les entreprises. La première grosse alerte, en France, a été l’attaque visant le CHU de Rouen en novembre 2019. Mais le point de bascule, c’est le début de la crise du Covid. L’AP-HP a été visée pendant le premier confinement et depuis, les cyberattaques sont de plus en plus fréquentes.À LIRE AUSSIRefus de soins et handicap en période de Covid : peut-on encore tolérer ces discriminations ?

Rappelons aussi que le groupe de pirates informatiques, qui a gravement perturbé le fonctionnement du CHU de Rouen avec un rançongiciel le week-end du 16 et 17 novembre 2019, n’en était pas à son coup d’essai. Il avait tenté de s’en prendre sans succès à plusieurs autres hôpitaux, avait indiqué Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Aujourd’hui ce sont toutes les organisations qui doivent faire face au fléau de la cybercriminalité et principalement aux rançongiciels.  Il y a fort à parier que d’autres modes opératoires verront le jour dans le temps selon une ingénierie sociale évoluant avec une observation accrue du terrain de la part des cyberdélinquants.

Ces attaques semblent montrer que nous ne sommes pas encore suffisamment protégés contre la cybercriminalité. Est-on à l’abri d’une attaque d’ampleur bien plus grave (au-delà de la cible locale de l’hôpital ou de la mairie) dont l’auteur pourrait être un Etat (type cyberterrorisme) ?

À LIRE AUSSILa restriction des visites dans les hôpitaux, Ehpad, maisons de repos et autres centres de convalescence est-elle vraiment justifiée d’un point de vue sanitaire ?

27 hôpitaux attaqués en 2020 a indiqué mercredi le secrétaire d’Etat à la Transition numérique Cédric. Les administrations, les banques, les mairies, les collectivités et toutes les entreprises comme nous l’avons dit plus haut se tiennent sur le qui qui-vive et personne n’est à l’abri de telle ou telle forme de cyber-attaques.

La difficulté dans la lutte contre la cybercriminalité est la même que pour celle contre le terrorisme, on ne peut vraiment prévoir tous les modes opératoires même si des organismes comme l’ANSSI (une des plus hautes autorités françaises sur les questions de cybersécurité), Europol, l’ONU, le Conseil de l’Europe, Interpol, l’OTAN et d’autres organisations internationales sont depuis longtemps sur le pont avec leurs services d’investigation et de veille au même titre que nos services d’ordre tels la Gendarmerie Nationale et la Police qui ont aujourd’hui bien à eux leurs services spécialisés dans le domaine.

Contrairement à ce qui aurait pu se passer il y a seulement 5 à 7 ans la collaboration internationale ainsi qu’une synergie a pris place pour faire face au phénomène même si rien n’est inattaquable de nos jours.

Fin 2019, L’INHESJ (Institut National des Hautes Études de Sécurité et de Justice) a tenté de représenter ces différentes entités sur une figure unique.À LIRE AUSSIMarseille : Samia Ghali se confie sur CNews sur les difficultés de la lutte contre le trafic de drogue et sur la réalité de l’économie parallèle 

Il est de plus en plus question aujourd’hui de Threat Intelligence, méthode et technique qui permettent d’identifier et d’analyser les cybermenaces visant votre entreprise. La définition de la Threat Intelligence est souvent simplifiée ou confondue avec d’autres termes liés à la cybersécurité. La plupart du temps, les gens confondent « données sur les menaces » et « Threat Intelligence ». Les données sur les menaces répertorient une liste de menaces éventuelles nous explique la société Kaspersky.

La Threat Intelligence est donc toujours selon cette société un élément crucial de tout écosystème de cybersécurité. Un programme de cyber Threat Intelligence peut :

  • Empêcher la perte de données

Un programme de Threat Intelligence bien structuré permet à votre entreprise de détecter les cybermenaces et d’éviter que des violations de données ne révèlent des informations sensibles.

  • Faciliter la mise en œuvre des mesures de sécurité

En identifiant et en analysant les menaces, un programme de Threat Intelligence repère les schémas utilisés par les pirates et aide les entreprises à mettre en place des mesures de sécurité pour les protéger contre de futures attaques.À LIRE AUSSIGérald Darmanin veut reconquérir les électeurs du RN ou de LFI. Mais à quel prix ?

  • Partager les informations

Les pirates sont de plus en plus intelligents, jour après jour. Pour y faire face, des spécialistes de la cybersécurité partagent les stratégies observées avec des informaticiens pour créer une base de connaissances collective permettant de lutter contre la cybercriminalité.

Même si leurs auteurs restent souvent inconnus et difficiles à arrêter, une action policière coordonnée des Etats-Unis, de la France, d’autres pays de l’UE et de l’Ukraine ont réussi en janvier à démanteler le réseau du logiciel malveillant Emotet.

Selon le communiqué d’Europol, qui a coordonné l’enquête pendant deux ans, l’infrastructure d’Emotet reposait sur « plusieurs centaines de serveurs situés dans le monde entier (…) utilisés pour gérer les ordinateurs infectés et continuer à se propager ».

Les autorités de plusieurs pays ont, à travers une action coordonnée, « pris le contrôle de cette infrastructure pour la faire tomber de l’intérieur », détaille Europol, qui ajoute que les ordinateurs infectés par Emotet ont été redirigés pour communiquer avec des serveurs contrôlés par les forces de l’ordre.À LIRE AUSSILes deux domiciles de Jean-Claude Gaudin, ex-maire de Marseille perquisitionnés

Le dangereux cheval de Troie Emotet détecté en 2014 apparait et disparait de temps à autre et s’en ai pris à l’administration française avec le lancement de campagnes de Phishing — il peut envoyer plus de 500 000 emails frauduleux par jour — pour inciter ses cibles à télécharger un cheval de Troie du même nom. Une fois installé sur un ordinateur, le logiciel malveillant est capable d’aspirer des mots de passe, de dérober certains documents, et profitera de vulnérabilités pour se propager automatiquement aux autres appareils du réseau informatique.

Emotet est souvent accompagné par TrickBot, un malware connu pour accéder à l’Active Directory, un outil central de Windows, qui permet aux administrateurs de gérer l’organisation du réseau. En ouvrant cette porte, TrickBot permet le déploiement d’un rançongiciel, qui bloquera l’intégralité du système et mettra l’entreprise dans une position très compliquée.

Autre succès, l’arrestation de membres du groupe de « rançongiciel » Egregor qui a frappé ces derniers mois le groupe Ouest-France, entre autres.

Les services de sécurité ukrainiens (SBU), aidés d’enquêteurs français, ont appréhendé, le 9 février, plusieurs membres d’un groupe de cybercriminels soupçonnés d’avoir propagé Egregor, un rançongiciel. Il s’agit d’une souche différente de celle qui a successivement touché, ces derniers jours, les hôpitaux de Dax (Landes) et de Villefranche-sur-Saône (Rhône).À LIRE AUSSICette souveraineté industrielle à laquelle aspire le gouvernement sans jamais se donner les moyens de l’atteindre 

Le groupe publiait les données des victimes réticentes à payer !

Le fonctionnement d’Egregor est représentatif de la manière dont se déroulent aujourd’hui les attaques par rançongiciel. Après avoir exploré en profondeur le réseau informatique de leur victime, les pirates utilisant ce programme malveillant exfiltraient les données qu’ils jugeaient les plus sensibles avant de faire détonner le rançongiciel de manière à occasionner un maximum de dégâts. Egregor fait partie des rançongiciels réclamant des rançons extrêmement élevées, parfois supérieures à 3,3 millions d’euros.

Un aperçu du site utilisé par Egregor pour diffuser les données de ses victimes.À LIRE AUSSIL’abstention, pire ennemie d’Emmanuel Macron pour 2022 ?

Capture d’écran (Source)

Peut-on s’attendre à des actes cyber-terroristes d’un autre genre ?

Dans un communiqué, du 4 novembre 2020, Guillaume Poupard, directeur général de l’ANSSI auditionné au Sénat, affirmait que les groupes terroristes s’appuient sur les moyens numériques pour développer leurs réseaux et communiquer, tout en ajoutant que « les attaques informatiques graves à visée terroriste n’existent pas encore ».

Le chercheur principal de l’Institut pour la sécurité et le renseignement en Californie, Barry Collin. Dit que, le cyberterrorisme serait la corrélation liant le terrorisme et le cyberespace qu’il définit comme « le lieu où les programmes informatiques fonctionnent et où les données circulent ».À LIRE AUSSIEgalité des chances : l’ascenseur social doit partir du rez-de-chaussée

Le cyberterrorisme, reposerait donc davantage sur des motivations d’ordre politiques et idéologiques. Selon la définition du Conseil de l’Europe, le cyberterrorisme est « l’usage d’Internet pour des objectifs terroristes ». De manière plus poussée, l’objectif est de causer des dommages physiques ou des perturbations graves des infrastructures vitales d’un État pour intimider ou contraindre un gouvernement ou sa population à poursuivre des objectifs politiques ou sociaux.

On peut le dire aujourd’hui des tentatives ont déjà eu lieu dans le monde. A Oldsmar, en Floride,une intrusion informatique s’est traduite par la manipulation de la composition chimique des eaux de la ville. Le cybercriminel a augmenté le taux de soude caustique, aussitôt rétabli au niveau par les employés. L’intrus est resté quelques minutes dans le système !

Les Etats-Unis et Israël ont été de grands précurseurs en la matière, avec Stuxnet, le fameux virus introduit en 2010 par les services secrets des deux pays dans un ordinateur du complexe nucléaire iranien. Il a entraîné des dysfonctionnements majeurs dans leur parc de centrifugeuses utilisées par Téhéran pour l’enrichissement de son uranium. En Ukraine, en 2015, une cyberattaque a provoqué une importante coupure d’électricité pendant plusieurs heures dans l’ouest du pays. L’attaque a été attribuée à la Russie, qui n’a jamais reconnu sa responsabilité. En 2017, à la suite de dysfonctionnements dans un complexe pétrochimique au Moyen-Orient, le groupe français Schneider Electric s’est rendu compte que son système Triconex, pilotant la sécurité industrielle du complexe, avait été piraté et que de mystérieux acteurs avaient pu le manipuler.

Eau, électricité, santé, transports… Face à une menace grandissante, les secteurs vitaux devront s’organiser.À LIRE AUSSIBruno Le Maire joue la souveraineté française à petit prix

Emmanuel Macron annonce ce jeudi une enveloppe d’un milliard d’euros pour créer un « écosystème de la cybersécurité ». A quoi servira cet argent ? Est-ce un signe encourageant de la prise en compte de la menace cyber par le gouvernement ?

Suite à cette succession d’incidents graves dans une période déjà bien perturbé, le gouvernement a décidé de mettre le paquet au niveau de la gestion de la cybercriminalité ambiante autour des hôpitaux.

Après avoir discuté avec les dirigeants de deux hôpitaux victimes de cyberattaques, le président Emmanuel Macron a annoncé une série de mesures dédiées à la protection des établissements de santé.

Selon ce site, le président de la Fédération hospitalière française (FHF) Frédéric Valletoux a pris la parole au micro de France Info, pour demander une aide renforcée aux pouvoirs publics : « Les hôpitaux doivent faire partie des cibles protégées au premier niveau, c’est une demande que l’on fait déjà depuis un moment au gouvernement. Ils doivent nécessiter de protections supplémentaires et d’un accompagnement supplémentaire. »À LIRE AUSSICovid-19 : les hôpitaux français doivent passer en « organisation de crise »

Il est donc prévu d’investir un milliard d’euros d’investissements pour la cybersécurité qui va être dirigé vers le secteur dans les 5 années à venir, dont la moitié depuis les caisses de l’État, d’après La Tribune.

720 millions de fonds publics renforceront la filière et tripleront son chiffre d’affaires à 25 milliards d’euros en 2025.

Pour y parvenir, il compte répéter une stratégie qu’il a déjà appliquée au développement des startups françaises :

  • Plus de la moitié de l’enveloppe, soit 500 millions d’euros, va être allouée à la recherche. Le gouvernement veut faire émerger des outils français, et il financera les centres de recherche publics, et certaines collaborations public-privé à la recherche d’innovations de pointe.
  • Aussi en ligne de mire : faire émerger au moins trois nouveaux cadors du secteur, des startups devenues « licornes », valorisées à plus d’un milliard d’euros. Pour cela, le gouvernement va y consacrer plus de 200 millions d’investissements. La France paraît bien loin de cet objectif. Comme le rappelle la Tribune, sur les 10 licornes françaises, aucune n’évolue actuellement dans le domaine. Et la semaine dernière, deux des startups les plus en vue du secteur, Alsid et Sqreed, ont été rachetées par des entreprises américaines, Tenable et Datalog…
  • Symbole de la stratégie française, le Campus Cyber devrait ouvrir à La Défense (à l’ouest de Paris) en septembre 2020, selon Le Figaro. C’est un grand bâtiment de plus de 20 000 m2, qui va regrouper une soixantaine d’organisations : grands groupes, des PME, mais aussi des organismes publics, des associations, encore des startups. Le gouvernement l’envisage comme un « porte-avions » du secteur, capable de faire émerger des projets français d’ampleur. Ce regroupement n’est pas sans rappeler Station F, le bâtiment parisien dédié aux startups, sorte d’épicentre de la mouvance française.

176 millions pour renforcer la résilience de l’administrationÀ LIRE AUSSIEtienne Mougeotte : « Vive les médias du futur »

Ils serviront à soutenir sur 5 ans les besoins du secteur public, notamment les hôpitaux et les collectivités définis comme prioritaires.

C’est l’Anssi (agence nationale de sécurité des systèmes d’information) qui sera chargée d’encore mieux protéger et former les administrations, c’est pourquoi elle va recevoir 136 millions d’euros sur les 176 millions de l’enveloppe. L’agence est en première ligne lors des incidents cyber critiques, en tant que Cert (« Computer Emergency Response Team » ou « équipe de réponse aux incidents ») français. Elle est notamment convoquée au chevet des organisations frappées par les terribles rançongiciels nous rappelle le site Cyberguerre.numerama.com.

Les effectifs de l’Anssi  devraient passer à 600 personnes fin 2021 contre 400 en 2017.

Un clip avec des acteurs du « Bureau des Légendes »À LIRE AUSSILa France, une démocratie en péril : l’abstention conduit vers un suffrage censitaire

L’Anssi a aussi financé un clip qu’elle espère voir devenir viral, diffusé notamment par le compte Twitter de la présidence de la République, pour sensibiliser les Français au risque de cyberattaques. 

« Si t’as un problème tu vas sur le site de l’Anssi »: le clip de 2 minutes 55 a été tourné par le producteur de la série Le Bureau des Légendes, et met en scène une spécialiste informatique de la DGSE constamment dérangée par des membres de sa famille en butte à des attaques informatiques, banales ou plus graves. 

Le gouvernement n’a donc pas oublié cette fois qu’il convient de guérir le mal à la racine en formant au plus tôt les jeunes et moins jeunes à la cybersécurité. Un beau pas avait déjà été fait avec le site informationnel Cybermalveillance.com !

***************

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :