De plus en plus de villes, d'hôpitaux, d'infrastructures et d'entreprises sont visés par des cyberattaques en France. Emmanuel Macron a annoncé la mise en place d’un plan d’un milliard d’euros pour renforcer la cybersécurité des systèmes sensibles après les attaques contre plusieurs hôpitaux. Est-on à l'abri d'une attaque d'ampleur bien plus grave et dont l'auteur pourrait être un Etat ?
Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.
Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.
Certifié par l'Edhec et l'Inhesj en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.
Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.
Jean-Paul Pinte : Alors que l’on aurait pu s’attendre à un ralentissement des activités cybercriminelles durant le confinement on a plutôt assisté en 2020, selon ZDnet, à de nombreuses attaques de la part de cyber-délinquants de tout genre avec des modes opératoires souvent basés sur les rançongiciels mais aussi axés sur une ingénierie sociale de haut niveau.
Des recherches nous invitent aussi à déduire que le travail à distance serait devenu la source de 20 % des incidents de cybersécurité et que les rançongiciels seraient en plein boom !
Par exemple, l'Agence nationale de la Sécurité des systèmes d'information (ANSSI) révèle que la France est depuis au moins 2017 la cible de graves attaques informatiques.
Ainsi, on peut lire sur le site de Futura Sciences qu’entre 2017 et 2020, des pirates se sont introduits dans les réseaux de sociétés comme EDF, Total, Orange, Airbus, ou encore Air France, ayant en commun d'exploiter le logiciel Centreon. Centreon est une plateforme de surveillance des ressources informatiques développée par la société du même nom. Elle offre à peu près les mêmes fonctionnalités qu’Orion de SolarWinds dont la campagne de cyberintrusion a touché des dizaines de milliers de sociétés américaines d'importance et les institutions. Une attaque que les États-Unis avaient attribuée officiellement à des hackers russes sponsorisés par le Kremlin.
Pour 2021, cela démarre assez fort avec des attaques visant des mairies, des hôpitaux avec Dax, Villefranche Sur Saône, Tarare et Trévoux (Auvergne-Rhône-Alpes)
Nous n’en sommes pas aux premières fois pour ces secteurs d’activité et bien d’autres mairies, hôpitaux, ou collectivités ont déjà été l’objet d’attaques si l’on veut bien faire une veille sur le sujet.
Selon Zataz, en 2019, des piratages ont eu lieu à la fin du mois d’avril et ont également visé des domaines du site de l’Assemblée nationale. C’est une information qui est passée inaperçue selon Zataz, mais des dizaines de sites internet de mairies ont été visées par le même groupe de pirates informatiques. Derrière ces attaques se cache un groupe de nationalistes turcs, baptisé Akincilar. Les pirates auraient rapidement contourné les portails internet des villes, sur lesquels était affiché un message concernant le génocide arménien, pour lequel Emmanuel Macron a annoncé la création d’une journée de commémoration en France. On parlait déjà de ces attaques en 2013 avec la mairie de Bègles et Zataz de nous rappeler les attaques de 2014 où plusieurs dizaines de mairies du Nord de la France avaient été touchées.
En février 2020, la mairie de Combloux voit son service informatique piraté avec demande de rançon.
A Marseille : « Les dégâts sont assez lourds » après une attaque informatique contre la mairie et la métropole menée en mars 2020
Le 29 avril 2020, la mairie de Toulouse a été victime d'un piratage informatique. Ce jour-là, la retransmission du conseil municipal avait été momentanément interrompue vers 11h15. Le maire Jean-Luc Moudenc avait ensuite expliqué que c'est plus précisément le prestataire chargé de la retransmission, une société de production vidéo Multicam systems basée à Montreuil (Seine-Saint-Denis), qui avait été la cible de ce piratage.
Le 24 et 25 octobre 2020, des dizaines de sites français ont été piratés de la même manière que le site internet de la mairie d'Argenton-sur-Creuse. Le parquet de Paris avait lancé une enquête pour "atteintes à un système de traitement automatisé de données" et "apologie publique d'un acte de terrorisme". Un groupe Facebook spécialisé dans le piratage, basé au Bangladesh, a revendiqué l'attaque.
En octobre 2020, la mairie de Montdidier a été contrainte de changer son parc informatique après un double piratage. « Nous n’avions plus accès aux écrans », précise la maire, Catherine Quignon. Interrogée par le conseiller municipal, Tony Lheureux.
La Mairie de Mitry-Mory (Seine-et-Marne) a aussi été victime d'une cyber-attaque en octobre 2020 par un groupe de hackers qui demandait une rançon.
Le groupe de cybercriminels «DoppelPaymer» a revendiqué son intrusion sur le réseau informatique de la municipalité, selon une information du Parisien.
L'utilisation de «ransomwares», ou logiciels de rançon, est souvent le mode opératoire retenu : «Les hackers trouvent le moyen d’infiltrer un réseau, de le cartographier et de détruire les sauvegardes. Ils lancent ensuite le logiciel de rançon qui chiffre les données et les rend inaccessibles», détaille Jérôme Notin, directeur de cybermalveillance.gouv.fr, un dispositif d’assistance aux victimes de cyberattaques.
Et la liste est encore longue pour les mairies !
En ce qui concerne les hôpitaux, en dehors de Dax et Villefranche Sur Saône, on peut citer Narbonne en décembre 2020. Cette cyberattaque, probablement venue de l’étranger, n’avait pas pour objectif de détourner les données de patients ou encore de se les approprier: " Cette cyberattaque voulait utiliser nos serveurs pour créer de la cryptomonnaie, une sorte d’opération bernard-l’hermite en quelque sorte", précise Richard Barthes.
"Les cybercriminels tentent en effet d'exploiter la peur liée à la pandémie pour s'infiltrer sur les réseaux informatiques, y compris sur ceux des établissements de santé. Le secteur de la santé est en première ligne et doit à tout prix se protéger des cybermenaces pour être en mesure d’assurer pleinement ses missions, un enjeu national majeur", insiste-t-on du côté d'Avast.
Un chiffre illustre bien ce phénomène selon Europe 1 : +500% en un an, dans le monde, pour les cyberattaques visant des établissements de santé, selon le cabinet PwC. La France n'échappe pas à cette hausse notable. Comme partout ailleurs, pendant longtemps, les hôpitaux étaient épargnés par les cybercriminels qui ciblaient plutôt les particuliers et les entreprises. La première grosse alerte, en France, a été l'attaque visant le CHU de Rouen en novembre 2019. Mais le point de bascule, c’est le début de la crise du Covid. L’AP-HP a été visée pendant le premier confinement et depuis, les cyberattaques sont de plus en plus fréquentes.
Rappelons aussi que le groupe de pirates informatiques, qui a gravement perturbé le fonctionnement du CHU de Rouen avec un rançongiciel le week-end du 16 et 17 novembre 2019, n’en était pas à son coup d’essai. Il avait tenté de s’en prendre sans succès à plusieurs autres hôpitaux, avait indiqué Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Aujourd’hui ce sont toutes les organisations qui doivent faire face au fléau de la cybercriminalité et principalement aux rançongiciels. Il y a fort à parier que d’autres modes opératoires verront le jour dans le temps selon une ingénierie sociale évoluant avec une observation accrue du terrain de la part des cyberdélinquants.
27 hôpitaux attaqués en 2020 a indiqué mercredi le secrétaire d'Etat à la Transition numérique Cédric. Les administrations, les banques, les mairies, les collectivités et toutes les entreprises comme nous l’avons dit plus haut se tiennent sur le qui qui-vive et personne n’est à l’abri de telle ou telle forme de cyber-attaques.
La difficulté dans la lutte contre la cybercriminalité est la même que pour celle contre le terrorisme, on ne peut vraiment prévoir tous les modes opératoires même si des organismes comme l’ANSSI (une des plus hautes autorités françaises sur les questions de cybersécurité), Europol, l'ONU, le Conseil de l'Europe, Interpol, l’OTAN et d'autres organisations internationales sont depuis longtemps sur le pont avec leurs services d’investigation et de veille au même titre que nos services d’ordre tels la Gendarmerie Nationale et la Police qui ont aujourd’hui bien à eux leurs services spécialisés dans le domaine.
Contrairement à ce qui aurait pu se passer il y a seulement 5 à 7 ans la collaboration internationale ainsi qu’une synergie a pris place pour faire face au phénomène même si rien n’est inattaquable de nos jours.
Fin 2019, L'INHESJ (Institut National des Hautes Études de Sécurité et de Justice) a tenté de représenter ces différentes entités sur une figure unique.
Il est de plus en plus question aujourd’hui de Threat Intelligence, méthode et technique qui permettent d'identifier et d'analyser les cybermenaces visant votre entreprise. La définition de la Threat Intelligence est souvent simplifiée ou confondue avec d'autres termes liés à la cybersécurité. La plupart du temps, les gens confondent « données sur les menaces » et « Threat Intelligence ». Les données sur les menaces répertorient une liste de menaces éventuelles nous explique la société Kaspersky.
La Threat Intelligence est donc toujours selon cette société un élément crucial de tout écosystème de cybersécurité. Un programme de cyber Threat Intelligence peut :
Un programme de Threat Intelligence bien structuré permet à votre entreprise de détecter les cybermenaces et d'éviter que des violations de données ne révèlent des informations sensibles.
En identifiant et en analysant les menaces, un programme de Threat Intelligence repère les schémas utilisés par les pirates et aide les entreprises à mettre en place des mesures de sécurité pour les protéger contre de futures attaques.
Les pirates sont de plus en plus intelligents, jour après jour. Pour y faire face, des spécialistes de la cybersécurité partagent les stratégies observées avec des informaticiens pour créer une base de connaissances collective permettant de lutter contre la cybercriminalité.
Même si leurs auteurs restent souvent inconnus et difficiles à arrêter, une action policière coordonnée des Etats-Unis, de la France, d'autres pays de l'UE et de l'Ukraine ont réussi en janvier à démanteler le réseau du logiciel malveillant Emotet.
Selon le communiqué d’Europol, qui a coordonné l’enquête pendant deux ans, l’infrastructure d’Emotet reposait sur « plusieurs centaines de serveurs situés dans le monde entier (…) utilisés pour gérer les ordinateurs infectés et continuer à se propager ».
Les autorités de plusieurs pays ont, à travers une action coordonnée, « pris le contrôle de cette infrastructure pour la faire tomber de l’intérieur », détaille Europol, qui ajoute que les ordinateurs infectés par Emotet ont été redirigés pour communiquer avec des serveurs contrôlés par les forces de l’ordre.
Le dangereux cheval de Troie Emotet détecté en 2014 apparait et disparait de temps à autre et s’en ai pris à l’administration française avec le lancement de campagnes de Phishing — il peut envoyer plus de 500 000 emails frauduleux par jour — pour inciter ses cibles à télécharger un cheval de Troie du même nom. Une fois installé sur un ordinateur, le logiciel malveillant est capable d’aspirer des mots de passe, de dérober certains documents, et profitera de vulnérabilités pour se propager automatiquement aux autres appareils du réseau informatique.
Emotet est souvent accompagné par TrickBot, un malware connu pour accéder à l’Active Directory, un outil central de Windows, qui permet aux administrateurs de gérer l’organisation du réseau. En ouvrant cette porte, TrickBot permet le déploiement d’un rançongiciel, qui bloquera l’intégralité du système et mettra l’entreprise dans une position très compliquée.
Autre succès, l'arrestation de membres du groupe de "rançongiciel" Egregor qui a frappé ces derniers mois le groupe Ouest-France, entre autres.
Les services de sécurité ukrainiens (SBU), aidés d’enquêteurs français, ont appréhendé, le 9 février, plusieurs membres d’un groupe de cybercriminels soupçonnés d’avoir propagé Egregor, un rançongiciel. Il s’agit d’une souche différente de celle qui a successivement touché, ces derniers jours, les hôpitaux de Dax (Landes) et de Villefranche-sur-Saône (Rhône).
Le groupe publiait les données des victimes réticentes à payer !
Le fonctionnement d’Egregor est représentatif de la manière dont se déroulent aujourd’hui les attaques par rançongiciel. Après avoir exploré en profondeur le réseau informatique de leur victime, les pirates utilisant ce programme malveillant exfiltraient les données qu’ils jugeaient les plus sensibles avant de faire détonner le rançongiciel de manière à occasionner un maximum de dégâts. Egregor fait partie des rançongiciels réclamant des rançons extrêmement élevées, parfois supérieures à 3,3 millions d’euros.
Un aperçu du site utilisé par Egregor pour diffuser les données de ses victimes.
Capture d'écran (Source)
Dans un communiqué, du 4 novembre 2020, Guillaume Poupard, directeur général de l’ANSSI auditionné au Sénat, affirmait que les groupes terroristes s’appuient sur les moyens numériques pour développer leurs réseaux et communiquer, tout en ajoutant que « les attaques informatiques graves à visée terroriste n’existent pas encore ».
Le chercheur principal de l’Institut pour la sécurité et le renseignement en Californie, Barry Collin. Dit que, le cyberterrorisme serait la corrélation liant le terrorisme et le cyberespace qu’il définit comme « le lieu où les programmes informatiques fonctionnent et où les données circulent ».
Le cyberterrorisme, reposerait donc davantage sur des motivations d’ordre politiques et idéologiques. Selon la définition du Conseil de l’Europe, le cyberterrorisme est « l’usage d’Internet pour des objectifs terroristes ». De manière plus poussée, l’objectif est de causer des dommages physiques ou des perturbations graves des infrastructures vitales d’un État pour intimider ou contraindre un gouvernement ou sa population à poursuivre des objectifs politiques ou sociaux.
On peut le dire aujourd’hui des tentatives ont déjà eu lieu dans le monde. A Oldsmar, en Floride,une intrusion informatique s'est traduite par la manipulation de la composition chimique des eaux de la ville. Le cybercriminel a augmenté le taux de soude caustique, aussitôt rétabli au niveau par les employés. L’intrus est resté quelques minutes dans le système !
Les Etats-Unis et Israël ont été de grands précurseurs en la matière, avec Stuxnet, le fameux virus introduit en 2010 par les services secrets des deux pays dans un ordinateur du complexe nucléaire iranien. Il a entraîné des dysfonctionnements majeurs dans leur parc de centrifugeuses utilisées par Téhéran pour l’enrichissement de son uranium. En Ukraine, en 2015, une cyberattaque a provoqué une importante coupure d’électricité pendant plusieurs heures dans l’ouest du pays. L’attaque a été attribuée à la Russie, qui n’a jamais reconnu sa responsabilité. En 2017, à la suite de dysfonctionnements dans un complexe pétrochimique au Moyen-Orient, le groupe français Schneider Electric s’est rendu compte que son système Triconex, pilotant la sécurité industrielle du complexe, avait été piraté et que de mystérieux acteurs avaient pu le manipuler.
Eau, électricité, santé, transports… Face à une menace grandissante, les secteurs vitaux devront s’organiser.
Suite à cette succession d’incidents graves dans une période déjà bien perturbé, le gouvernement a décidé de mettre le paquet au niveau de la gestion de la cybercriminalité ambiante autour des hôpitaux.
Après avoir discuté avec les dirigeants de deux hôpitaux victimes de cyberattaques, le président Emmanuel Macron a annoncé une série de mesures dédiées à la protection des établissements de santé.
Selon ce site, le président de la Fédération hospitalière française (FHF) Frédéric Valletoux a pris la parole au micro de France Info, pour demander une aide renforcée aux pouvoirs publics : « Les hôpitaux doivent faire partie des cibles protégées au premier niveau, c’est une demande que l’on fait déjà depuis un moment au gouvernement. Ils doivent nécessiter de protections supplémentaires et d’un accompagnement supplémentaire. »
Il est donc prévu d’investir un milliard d’euros d’investissements pour la cybersécurité qui va être dirigé vers le secteur dans les 5 années à venir, dont la moitié depuis les caisses de l’État, d’après La Tribune.
720 millions de fonds publics renforceront la filière et tripleront son chiffre d’affaires à 25 milliards d’euros en 2025.
Pour y parvenir, il compte répéter une stratégie qu’il a déjà appliquée au développement des startups françaises :
176 millions pour renforcer la résilience de l’administration
Ils serviront à soutenir sur 5 ans les besoins du secteur public, notamment les hôpitaux et les collectivités définis comme prioritaires.
C’est l’Anssi (agence nationale de sécurité des systèmes d’information) qui sera chargée d’encore mieux protéger et former les administrations, c’est pourquoi elle va recevoir 136 millions d’euros sur les 176 millions de l’enveloppe. L’agence est en première ligne lors des incidents cyber critiques, en tant que Cert (« Computer Emergency Response Team » ou « équipe de réponse aux incidents ») français. Elle est notamment convoquée au chevet des organisations frappées par les terribles rançongiciels nous rappelle le site Cyberguerre.numerama.com.
Les effectifs de l’Anssi devraient passer à 600 personnes fin 2021 contre 400 en 2017.
L'Anssi a aussi financé un clip qu'elle espère voir devenir viral, diffusé notamment par le compte Twitter de la présidence de la République, pour sensibiliser les Français au risque de cyberattaques.
"Si t'as un problème tu vas sur le site de l'Anssi": le clip de 2 minutes 55 a été tourné par le producteur de la série Le Bureau des Légendes, et met en scène une spécialiste informatique de la DGSE constamment dérangée par des membres de sa famille en butte à des attaques informatiques, banales ou plus graves.
Le gouvernement n’a donc pas oublié cette fois qu’il convient de guérir le mal à la racine en formant au plus tôt les jeunes et moins jeunes à la cybersécurité. Un beau pas avait déjà été fait avec le site informationnel Cybermalveillance.com !
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !