Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
cyberattaque, Securite informatique

Augmentation de 550% du vishing, arnaque téléphonique

Les attaques par hameçonnage vocal (vishing ou voice phishing) auraient augmenté de près de 550 % au cours des douze derniers mois, selon le dernier rapport trimestriel sur les tendances en matière de menaces. Une hausse peu étonnante à la vue des méthodes pirates mises en place pour passer outre la double authentification.

Au cours du premier trimestre 2022, les sociétés Agara/Phishlabs ont détecté des centaines de milliers d’attaques phishing en provenance des réseaux sociaux, messageries électroniques ciblant un large éventail d’entreprises et de marques. Ce rapport analyse les principales tendances du paysage des menaces actuel.

Les attaques par vishing dépassent la compromission des e-mails

Depuis le troisième trimestre 2021, les attaques par vishing ont dépassé la compromission des e-mails professionnels, se positionnant comme deuxième source de menaces pesant sur les systèmes de messagerie électronique. À la fin de l’année, ces dernières représentaient plus d’une menace sur quatre, et cette tendance s’est poursuivie au premier trimestre 2022.

« Les campagnes de vishing hybride continuent de générer des chiffres stupéfiants, puisqu’elles constituent 26,1 % du volume total des attaques enregistrées jusqu’à présent en 2022 », indique John LaCour, de chez HelpSystems. « On assiste à une multiplication des acteurs de la menace qui délaissent les campagnes de phishing vocal standards pour lancer des attaques par e-mail malveillant en plusieurs étapes. Au cours de ces attaques, les hackers se servent d’un numéro de rappel inséré dans le corps de l’e-mail comme appât, puis s’appuient sur l’ingénierie sociale et l’usurpation d’identité pour inciter la victime à appeler et à interagir avec un faux représentant. »

Un chiffre qui pourrait étonner, mais qui pourtant montre l’évolution des pirates. Le blog ZATAZ, référence en matière des actualités liées à la lutte contre le cybercrime, révélait en 2021, une méthode pirate baptisée la méthode du « ALLO » qui consiste à appeler les victimes, par téléphone, pour leur soutirer les informations que les pirates informatiques ne possèdent pas déjà !

Autres enseignements de ce rapport

Les attaques par usurpation d’identité sur les réseaux sociaux sont en hausse. Depuis le deuxième trimestre 2021, le volume des usurpations d’identité ciblant les marques a bondi de 339 % et celui des usurpations d’identité de dirigeants de 273 %. D’après les résultats, les marques constituent des cibles faciles pour les cyber criminels, surtout lorsqu’elles sont associées à des opérations de contrefaçon de produits vendus au détail. Cependant, pour certaines attaques ciblées, des comptes sociaux de dirigeants sont utilisés pour renforcer le réalisme.

Les escroqueries par e-mail dont l’objectif est le vol d’identifiants restent le type de menaces par messagerie électronique le plus courant signalé par les collaborateurs, à hauteur de près de 59 % de tous les typologies de menaces rencontrées. Les vols d’identités ont augmenté de 6,9 % en volume par rapport au quatrième trimestre 2021.

Le paysage des malware est en constante évolution

Qbot a été une fois de plus le malware le plus usité par les acteurs de la menace pour servir leurs attaques par ransomware, mais Emotet a refait surface au premier trimestre prenant la première place du podium.

Alors que près de la moitié des sites d’hameçonnage s’appuient sur un outil ou un service gratuit, le premier trimestre 2022 a été le premier de cinq trimestres consécutifs où les services payants ou compromis (52 %) ont dépassé les solutions gratuites pour les mises en scène des sites de phishing.

« Comme la diversité des canaux numériques utilisés par les entreprises pour conduire leurs activités et communiquer avec les consommateurs se développe, les hackers disposent de multiples vecteurs pour conduire leurs exactions », ajoute John LaCour. « La plupart des attaques ne démarrent pas de zéro ; elles reposent sur la refonte de tactiques traditionnelles et l’intégration de multiples plateformes. Pour continuer à se protéger, les entreprises ne doivent plus uniquement se concentrer sur une protection périmétrique mais augmenter leur visibilité sur différents canaux externes, afin de recueillir des renseignements et de surveiller les menaces de manière proactive. En outre, les équipes de sécurité doivent investir dans des partenariats qui garantiront la prévention rapide et complète des attaques avant qu’elles n’entraînent des préjudices financiers et des atteintes à la réputation. »

Cybersécurité, Phishing

2,4 milliards de dollars de pertes à cause du phishing en 2021 selon le FBI

Avec près de 40% des plaintes pour des escroqueries en ligne portant sur le phishing, le FBI révèle dans son Internet Crime Report annuel* que ce type d’attaque a atteint les 2,4 milliards de dollars de dommages en 2021. Les cybercriminels passent par les mails pour diriger les internautes sur de faux sites et les inciter à partager des informations personnelles ou professionnelles.

Si dans son rapport le FBI accorde une attention toute particulière aux mails professionnels des entreprises provenant des États-Unis ou qui y sont actives, le montant mondial total est par conséquent encore plus élevé car il s’agit d’un problème qui touche tous les internautes.

Ces risques peuvent alors être préjudiciables aux marques et sites qui vont voir leur image dégradée à cause d’une perte de confiance de la part de l’internaute après une mauvaise expérience.

Par conséquent, garantir aux utilisateurs qu’ils sont bien sur un site authentifié va, d’une part, les protéger dans leur démarche, mais également les rassurer. Une manière complémentaire pour les entreprises de renforcer la relation client à travers une expérience consommateurs sans risque et de gagner en e-réputation en instaurant une réelle confiance avec les clients. 

Si des indices et un peu d’attention permettent de déjouer cette arnaque courante : vérification de l’orthographe, l’URL du site en question, site certifié d’un label ; un manque de vigilance peut vite arriver et engendrer le vol de ses données.

Cybersécurité

Microsoft corrige 75 vulnérabilités dont 8 critiques

Microsoft corrige 75 vulnérabilités dont 8 critiques.

Dans le cadre du Patch Tuesday de mai, Microsoft a corrigé 75 vulnérabilités dont 8 sont classées comme critiques, pouvant entraîner une RCE ou une élévation de privilèges et a publié un avis de sécurité (ADV220001) pour Azure en réponse à CVE-2022-29972, une vulnérabilité d’exécution de code à distance (RCE) Zero-Day. Le Patch Tuesday du mois comprend aussi des correctifs pour deux autres vulnérabilités 0Day, l’une connue pour être activement exploitée (CVE-2022-26925), l’autre pour être publiquement exposée (CVE-2022-22713). Microsoft a corrigé divers problèmes dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation.

Principales vulnérabilités Microsoft corrigées

L’avis de sécurité du mois-ci concerne de nombreux produits Microsoft, dont Azure, les outils pour développeurs (Developer Tools), les mises à jour de sécurité étendue (ESU), Exchange Server, Microsoft Office et Windows. Au total, ce sont 97 produits/versions Microsoft concernés. Les téléchargements concernent Monthly Rollup (Déploiement mensuel), Security Only (Sécurité uniquement), Security Update (Mise à jour de sécurité) et ServicingStackUpdate (Pile de maintenance du système d’exploitation).

CVE-2022-21978 | Vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,2/10. Pour que l’exploitation de cette vulnérabilité fonctionne, l’attaquant doit être identifié sur le serveur Exchange en tant que membre d’un groupe ayant des privilèges élevés. Évaluation d’exploitabilité : Exploitation moins probable .

CVE-2022-22012 et CVE-2022-29130 | Vulnérabilité d’exécution de code à distance (RCE) dans le protocole Windows LDAP

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Un attaquant non authentifié peut envoyer une requête fabriquée de toute pièce sur un serveur vulnérable. Si l’exploitation réussit, le code malveillant de l’attaquant peut alors être exécuté dans le cadre d’un compte SYSTEM. Cette vulnérabilité est uniquement exploitable si la politique LDAP MaxReceiveBuffer est configurée avec une valeur supérieure à celle par défaut. Les systèmes configurés avec la valeur par défaut de cette politique ne devraient pas être affectés. Pour plus d’informations, consulter : politiques LDAP de Microsoft. Évaluation d’exploitabilité : Exploitation moins probable.

CVE-2022-22017 | Vulnérabilité d’exécution de code à distance sur le client Bureau à distance

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour exploiter ces vulnérabilités, l’attaquant doit convaincre l’utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant peut exécuter du code sur le système de la victime dans le contexte de l’utilisateur ciblé. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-26913 | Vulnérabilité de contournement de la fonction de sécurité dans l’authentification Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,4/10. L’attaquant qui parvient à exploiter cette vulnérabilité pourra lancer une attaque Man-in-the-Middle (MITM) et déchiffrer et lire ou bien modifier le trafic TLS entre le client et le serveur. La disponibilité de la machine attaquée n’est aucunement impactée. Évaluation d’exploitabilité : Exploitation moins probable .

CVE-2022-26923 | Vulnérabilité d’élévation de privilèges sur les Services de domaine Active Directory

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Un utilisateur authentifié peut manipuler des attributs sur des comptes informatiques qu’il possède ou administre et obtenir ainsi un certificat auprès des Services de certificats Active Directory, ce qui pourrait entraîner une élévation de privilèges. 
Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-26937 | Vulnérabilité d’exécution de code à distance (RCE) au sein du système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Cette vulnérabilité peut être exploitée sur le réseau en passant un appel malveillant non authentifié auprès du service de système de fichiers réseau (NFS) afin de déclencher une exécution de code à distance (RCE). Cette vulnérabilité n’est pas exploitable dans NFSV4.1. Avant de mettre à jour votre version de Windows qui protège contre cette vulnérabilité, il est possible d’atténuer une attaque en désactivant les versions NFSV2 et NFSV3. Mais comme votre écosystème peut s’en trouver affecté, cette procédure ne doit être activée que sous la forme d’une atténuation temporaire. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-29108 | Vulnérabilité par exécution de code à distance sur Microsoft SharePoint Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour exploiter cette vulnérabilité, un attaquant doit être authentifié et avoir la permission de créer des pages. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-29133 | Vulnérabilité d’élévation de privilèges dans le noyau Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Dans ce cas, une attaque pourra être lancée avec succès depuis un environnement d’exécution AppContainer à faibles privilèges. L’attaquant peut obtenir des privilèges élevés puis exécuter du code ou accéder à des ressources à un niveau d’intégrité supérieur à celui de l’environnement d’exécution AppContainer. Évaluation d’exploitabilité : Exploitation moins probable .

Cybersécurité, Entreprise

Plus de la moitié des fuites de données découle de cyberattaques

Plus de la moitié des fuites de données découle de cyberattaques
Dans son dernier rapport d’activité, la CNIL révèle qu’en 2021 près de 6 notifications de fuite de données sur 10 découlaient de cyberattaques, notamment de ransomware, et non plus de mauvaises manipulations informatiques. Une hausse considérable par rapport à 2020. En cause, des fonctions cryptographiques obsolètes rendant les sites internet vulnérables, des moyens encore insuffisants aux regards des enjeux actuels en matière de cybersécurité, ou encore des mots de passe pas assez sécurisés.
Les techniques d’attaques ne cessent d’évoluer et aujourd’hui, si d’après le rapport les secteurs de l’action sociale et de la santé restent les cibles premières des cyberattaquants, la CNIL rappelle que toutes les entreprises peuvent être visées, peu importe le secteur.
Dans ce contexte, Laurent Maréchal, Technology Architect EMEA chez Skyhigh Security commente : « Ces dernières années ont été marquées par la migration des entreprises dans le cloud pour y stocker leurs données et applications métier, motivées par la nécessité d’agilité, d’adaptation, de flexibilité et d’innovation. Le cloud permet en effet d’adapter rapidement les capacités d’infrastructures technologiques aux besoins de l’entreprise.’« 
Néanmoins, de nouveaux risques de sécurité ont émergé avec l’usage de ces nouveaux environnements. En effet, cette migration a été relativement spontanée dans de nombreuses entreprises, et la question de la sécurité informatique n’a pas nécessairement été en tête des priorités. Combiné à l’usage du BYOD (l’utilisation de matériels personnels dans un cadre professionnel) ou du Shadow IT (l’utilisation d’applications non approuvées par un service IT), la surface d’exposition aux cyberattaques a considérablement augmenté. Et cela n’a pas échappé aux cybercriminels, qui tirent profit de la situation.
Les données constituent aujourd’hui une valeur importante pour de nombreuses entreprises, et la protection de l’information est devenue capitale comme peut le montrer le Service Veille ZATAZ.
Il existe aujourd’hui des solutions au niveau technologique qui peuvent améliorer considérablement la sécurité informatique. L’authentification multifactorielle ou l’approche « Zero Trust » selon laquelle la confiance n’est pas automatiquement accordée aux utilisateurs, mais où elle est gagnée en fonction des habitudes de connexion et des comportements, permettent de renforcer la sécurité. Mais pour protéger les données, il ne suffit pas de construire des périmètres et de garantir les accès par des politiques statiques.
« En effet, aujourd’hui, les données sont constamment créées, partagées et déplacées au sein de l’entreprise. Protéger la façon dont les données sont utilisées est un élément essentiel dans la réussite d’un projet Cloud, avec non pas un modèle de fermeture, mais d’ouverture maitrisée. » termine Laurent Maréchal.
Cybersécurité

WithSecure France, anciennement F-secure, étoffe son offre de services pour les professionnels

F-Secure corporation a scindé ses opérations, en mars 2022, en deux activités distinctes : F-Secure pour les solutions destinées au grand public et WithSecure™ pour les solutions destinées au monde professionnel. Cette nouvelle marque, développée en étroite collaboration avec les employés, les partenaires revendeurs et les clients, inaugure une nouvelle ère pour les services et solutions de sécurité destinés aux entreprises.

En effet, WithSecure™ apporte de nouvelles briques à sa division Business Unit Solutions, avec des services spécialisés, axés vers des services managés (comme pour la détection et la réponse aux incidents) ainsi que vers des services de consulting et d’accompagnement. Certains n’étaient disponibles que dans quelques pays d’Europe, et sont désormais déployés sur l’ensemble du territoire français avec une équipe dédiée pour accompagner ces changements.

La solution Countercept déjà existante est désormais enrichie par les services :

– CSPM (Cloud Security Posture Management), qui fournit une assistance pour la configuration des services Cloud. Ce service a pour but d’aider à réduire les vulnérabilités liées aux mauvaises configurations, aux permissions trop importantes et au non-respect des bonnes pratiques. La posture de sécurité Cloud s’ne retrouve renforcée.

– ASM (Attack Surface Management), dont la fonction est d’analyser la surface d’attaque externe à une entreprise. C’est un service entièrement managé qui offre une visibilité immédiate sur l’état des services, données et assets exposés sans avoir besoin d’un service interne dédié à cette tâche. Cela donne une vision du point de vue du Hacker afin d’anticiper une potentielle attaque.

Pour en savoir plus sur cette solution cybersécurité.

À propos de WithSecure™

WithSecure™ est le partenaire européen de référence en matière de cybersécurité depuis plus de 30 ans. Nous accompagnons les fournisseurs de services informatiques, les MSSP et des multinationales, qui nous font confiance, à travers des modèles commerciaux flexibles et adaptés au marché. Nous leur fournissons une cybersécurité axée sur les résultats, pour les protéger en toutes circonstances et garantir le bon fonctionnement de leurs activités. Notre protection basée sur l’IA sécurise les endpoints et protège les environnements cloud. Nos outils intelligents de détection et de réponse sont pilotés par des experts qui identifient les risques, assurent une recherche proactive des menaces et neutralisent les attaques en temps réel. Un service de consulting expert est également disponible pour les entreprises qui souhaitent renforcer leur résilience. WithSecure™, anciennement F-Secure Corporation, a été fondée en 1988 et est cotée au NASDAQ OMX Helsinki Ltd.

Cybersécurité

Département de l’Aude : cyberattaque durant 3 mois !

Une nouvelle cyberattaque détectée à l’encontre d’un Département français. Durant trois mois, des pirates ont peut-être pu accéder aux données internes ! Cela vient confirmer l’importance de la cyber prévention à tous les niveaux.

Suite à une attaque informatique du 30 septembre au 15 novembre 2021, un accès illégal au serveur de messagerie a entraîné la perte de la confidentialité des données du Département de l’Ord. Par conséquent, toute personne ayant communiqué par e-mail ou ayant fait l’objet d’e-mails du département pourrait se faire voler des informations. On peut dire que dans ce contexte, la protection de l’identité numérique est très importante.

Si des indices et un peu d’attention peuvent stopper cette arnaque courante de l’hameçonnage (phishing) : correcteur orthographique aux abonnés absents, URL de sites usurpateurs, etc ; le manque de vigilance peut vite arriver et conduire au vol de vos données. Une bonne protection antivirus offre également la possibilité de protéger les postes de travail sans obliger les utilisateurs à les gérer.

Le phishing, largement utilisé par les cybercriminels, implique de fausses informations qui encouragent le partage de données personnelles. Ces risques peuvent être préjudiciables aux marques et aux sites Web, car les internautes perdent confiance après une mauvaise expérience, ce qui se traduit par une image ternie.

Ainsi, assurer aux utilisateurs qu’ils se trouvent bien sur le site qu’ils recherchent les protégera dans leur démarche tout en les rassurant. Une manière complémentaire pour les entreprises de renforcer la relation client à travers une expérience consommateur sans risque et d’acquérir une réputation numérique en instaurant une véritable confiance avec les clients.

Ce n’est pas le premier Département français à subir une cyberattaque. En 2018, le Département du Nord se retrouvé ponctionné de plusieurs centaines de milliers d’euros suite à une fraude aux présidents (fraude aux faux virement. Le Département de l’Ardèche, en avril 2022, se retrouvait avec des données exfiltrées par des pirates informatiques du groupe LockBit 2.0.

Cybersécurité

Quelle est la sécurité des services de stockage en ligne ?

Une nouvelle étude affiche des résultats peu rassurants sur l’état des lieux de la cyber protection en 2022.

La société Acronis, spécialiste de la cybersécurité, vient de dévoiler ses résultats concernant sa nouvelle étude sur l’état des lieux de la cyber protection en 2022. 6 200 responsables et utilisateurs informatiques de 22 pays, dont la France, ont été interrogés. Les résultats exposent certaines des lacunes les plus critiques apparaissant dans les pratiques de cyber protection aujourd’hui.

En 2021, 80 % des entreprises utilisaient jusqu’à 10 solutions différentes pour la protection des données et la cybersécurité – pourtant, plus de la moitié d’entre elles ont subi des temps d’arrêt dus à la perte de données. Cette année : 78 % des organisations gèrent jusqu’à 10 solutions différentes, tandis que 76 % d’entre elles subissent des temps d’arrêt dus à la perte de données – soit une augmentation de 25 % par rapport à 2021. Plus inquiétant encore, la réflexion sur le meilleur stockage en ligne en terme de sécurité ne semble pas une priorité.

Les organisations traitent encore la cyber protection comme un élément « utile » et non comme une « nécessitée » : la moitié des organisations au niveau mondial allouent moins de 10% de leur budget informatique global à la sécurité informatique. Seules 23 % des entreprises dans le monde investissent plus de 15 % de leur budget informatique global dans la sécurité.

Comme l’explique l’étude, un tiers des responsables informatiques ne font que des sauvegardes hebdomadaires, tandis que 25 % font des sauvegardes mensuelles. L’utilisation des meilleures pratiques de sauvegarde est en baisse dans l’ensemble de l’entreprise – seulement 15 % des équipes informatiques des organisations y adhèrent.

86 % des entreprises sont préoccupées par la menace d’une augmentation des cyberattaques à caractère politique, causée par la détérioration du climat géopolitique avec, entre autre, la guerre déclarée par la Russie à l’Ukraine.

43% des utilisateurs effectuent les mises à jour une semaine ou plus après la publication d’une mise à jour – parmi eux, 7% mettent plus d’un mois (!) pour effectuer les mises à jour recommandées. Une grosse baisse du temps de réponse par rapport à 2021. 66% des utilisateurs ne sauraient ou ne pourraient pas dire si leurs données ont été modifiées.

Hacking

Les satellites Viasat attaqués par un essuie-glace

Le 24 février 2022, l’armée Russe envahissait l’Ukraine. Une attaque terrestre, aérienne, maritime et numérique. Parmi les dommages collatéraux, une cyberattaque à l’encontre des communications gérées par les satellites Viasat.

Souvenez-vous, le 24 février 2022, alors que l’armée Russe envahissait l’Ukraine, des milliers de clients et utilisateurs de communication passant par les satellites ViaSat se retrouvaient sourds et muets. Un essuie-glace russe était passé par là. Un Wiper, baptisé AcidRain par la société américaine SentinelOne, aurait fait le grand ménage dans l’informatique satellitaire.

Ce code malveillant aurait de grande similitude avec un cousin du nom de VPNFilter. Ce « virus » aurait infecté plus de 500 000 modems sur le sol de l’Oncle Sam. Lors de la cyber attaque de « pluie acide », des milliers de modems Viasat sont tombés en panne en Ukraine, mais aussi dans toute l’Europe, dont la France.

Viasat explique que les pirates, qui seraient Russes, sont passé par un outil VPN mal configuré. AcidRain n’avait plus qu’à être lancé. Il a écrasé les informations de chaque modem, les rendant inutilisables. Le merdier n’a pas été corrigé rapidement. En France, NordNet, l’une des victimes collatérales, expliquait ne pas pouvoir agir dans un temps raisonnable. Le manque de pièce ne permettant pas de remplacer les modems. Il faut dire aussi qu’aucune mise à jour en ligne n’était possible. Il faut remplacer physiquement le matériel.

AcidRain est le septième wiper découvert depuis la guerre en Ukraine.

Cyber-attaque, DDoS, Securite informatique

Plus de 9 millions d’attaques DDoS en 2021

Pirates, services DDoS-for-Hire et autres armées de botnets de classe serveur ont facilité le lancement d’attaques de plus en plus sophistiquées. Plus de 9 millions de cyberattaques de type DDoS en 2021 !

La nouvelle étude semestrielle Threat Intelligence Report de la société Netscout affiche une année 2021 très « hard » du côté de la cyber. Au cours du second semestre 2021, les cybercriminels ont lancé environ 4,4 millions d’attaques par déni de service distribué (DDoS), portant à 9,75 millions le nombre total d’attaques de ce type effectuées au cours de l’année. Bien qu’en baisse de 3 % par rapport au record établi au plus fort de la crise sanitaire, ces attaques se poursuivent à un rythme supérieur à 14 % aux niveaux pré pandémiques.

Le second semestre 2021 a été marqué par la mise en place d’armées de botnets de très grande puissance et par un rééquilibrage entre les attaques volumétriques et les attaques par voie directe sans usurpation ; créant des procédures opérationnelles plus sophistiquées pour les attaquants, qui ont pu ajouter de nouvelles tactiques, techniques et méthodes à leur arsenal.

« S’il est tentant de considérer la baisse du nombre total d’attaques comme un recul de l’activité des cybercriminels, nous avons constaté une activité sensiblement plus importante par rapport aux niveaux antérieurs à la pandémie, a déclaré Richard Hummel, responsable des renseignements sur les menaces de NETSCOUT. En réalité, les attaquants innovent et utilisent en permanence de nouvelles techniques, telles que les botnets de type serveur, les services DDoS-for-Hire et le lancement accru d’attaques par voie directe, qui contribuent à la transformation permanente du paysage des menaces. »

Hausse des extorsions DDoS et des ransomwares — Trois campagnes DDoS de grande ampleur ont eu lieu simultanément, établissant un nouveau record. Des gangs de ransomware, parmi lesquels Avaddon, REvil, BlackCat, AvosLocker et Suncrypt, ont été identifiés alors qu’ils utilisaient le DDoS pour extorquer leurs victimes. Forts de ce succès, certains groupes de ransomwares exploitent des opérateurs d’extorsion DDoS se faisant passer pour des affiliés — c’est le cas par exemple d’une campagne d’extorsion DDoS signée par REvil.

Les services Voix sur IP, à leur tour victimes d’extorsions DDoS — Des campagnes d’extorsion DDoS ont été menées à travers le monde par un imitateur de REvil contre plusieurs prestataires de services de téléphonie sur Internet (VoIP). L’un d’eux a fait état d’une perte de comprise entre 9 et 12 millions de dollars à cause des attaques DDoS.

Les services DDoS-for-Hire simplifient le processus d’attaque — NETSCOUT a examiné 19 services DDoS-for-Hire, ainsi que les moyens qu’ils utilisent pour éliminer les exigences techniques et le coût de lancement d’offensives DDoS de grande envergure. Ensemble, ils proposent plus de 200 types d’attaques.

Les attaques ont progressé de 7 % dans la région APAC, mais reculé dans les autres régions — Dans un contexte géopolitique tendu en Chine, à Hong Kong et à Taïwan, la région APAC a connu la plus forte augmentation du nombre d’attaques en variation annuelle par rapport aux autres régions du monde.

Les armées de botnets de classe serveur débarquent — Les cybercriminels ont non seulement augmenté le nombre de botnets connectés à l’Internet des objets (IoT), mais également enrôlé des serveurs de très forte puissance et des périphériques connectés de grande capacité, avec notamment les botnets GitMirai, Mēris et Dvinis.

Les attaques par voie directe gagnent en popularité — Les groupes de hackers ont submergé les entreprises par leurs attaques DDoS de type TCP Flood et UDP Flood, également connues sous le nom d’attaques par voie directe ou sans usurpation. Parallèlement, le recul de certaines attaques par amplification a fait baisser le nombre total d’agressions.

Les pirates ciblent principalement certaines activités — Les secteurs les plus touchés sont les éditeurs de logiciels (hausse de 606 %), les agences et courtiers d’assurance (+257 %), les fabricants d’ordinateurs (+162 %) et les collèges, universités et établissements d’enseignement professionnel (+102 %).

L’attaque DDoS la plus rapide en hausse de 107 % par rapport à l’année précédente — Regroupant les vecteurs DNS, d’amplification DNS, ICMP, TCP, ACK, TCP RST et TCP SYN, l’attaque multi vectorielle lancée contre une cible russe a atteint le débit de 453 millions de paquets par seconde (Mpps).

Justice, Mise à jour, Téléphonie

Starlink interdit en France ?

Des associations environnementales françaises font interdire dans l’hexagone le service Starlink d’Elon Musk.

L’affaire pourrait prêter à sourire, mais démontre que les lobbyings de tous poils sont aux aguets dés qu’il s’agit de faire interdire des avancés technologiques qui ne vont pas dans leur sens. Alors que de nombreux français, en zones blanches (sans possibilités de connexion) ne peuvent exploiter le numérique, des services tels que ceux proposés par l’entreprise d’Elon Musk permettent de ne plus être hors du XXIe siècle.

Le 5 avril, le Conseil d’Etat a retoqué une décision de l’ARCEP (le gendarme des fréquences radios en France) datant de janvier 2021 qui permettait à Starlink de proposer ses accès Internet par Satellite. Le Conseil d’État a reproché à l’Arcep de ne pas avoir mis en place « une consultation du public » afin de faire jouer la concurrence. Bilan, il est reproché, non pas des ondes qui pourraient détruire la nature. Il est expliqué que cet accord était « susceptible d’avoir une incidence importante sur le marché de la fourniture d’accès à internet à haut débit, et d’affecter les utilisateurs« .

Les associations Priartem et Agir pour l’environnement vont demander, sept mois plus tard, l’annulation de l’autorisation ARCEP/Starlink. Ils vont mettre en avant un défaut de mise en concurrence pour faire couper Starlink. Les associations s’y prendront à trois fois. Après un refus, en septembre 2021, remise sur le tapis en décembre 2021, puis en mars 2022. La troisième sera la bonne ! Ces associations sont spécialisées dans « la prévention des risques liés aux technologies électromagnétiques ». Elles vont gagner en mettant en avant « Une incidence importante sur le marché de la fourniture d’accès à internet à haut débit […] sans avoir préalablement procédé à une consultation du public. »

Couper, pas couper ?

Couper Starlink Internet Services Limited, en France. Cela va surtout le rendre un peu plus lent. Les informations vont être routées, prendre d’autres chemins, sans passer par les vertes prairies locales. Le hic va surtout être pour les utilisateurs d’aujourd’hui. Vont-ils encore avoir le droit d’utiliser leur matériel et, dorénavant, les fréquences interdites ? J’imagine déjà la tête de nos amis frontaliers en Suisse, Belgique, … passant par la bande fréquence « Made in France » (0,95-12,70 GHz de haut en bas et 14,00-14,5 GHz de bas en haut). Le document du Conseil D’Etat semble préciser que l’interdiction vise les liaisons entre un satellite et le sol, et pas un satellite vers les paraboles Starlink au sol. Bref, c’est capillotractée.

Je suis impatient de voir venir des propositions alternatives françaises pour sortir du noir les zones blanches, avec l’aide de ces associations ! En attendant, Arianespace a signé un contrat avec Amazon pour envoyer vers l’infini et haut delà les satellites Kuiper. Mission, diffuser de l’Internet à haut débit d’ici à 2030.