Bulletin d’information CYBER de votre CSIRT du 05/04/2024

Cellule de réponses aux incidents de sécurité

Dans ce bulletin, nous abordons les principaux défis et enjeux liés à la cybersécurité, soulignant l’impact considérable sur le cyberespace et l’importance cruciale d’une sensibilisation et d’une préparation adéquates face à ces menaces. Les récentes cyberattaques en France et à l’international révèlent la vulnérabilité croissante de nos outils numériques, désormais omniprésents dans divers secteurs, accentuant plus que jamais le besoin impérieux de sécuriser nos systèmes informatiques.

En bref…

Attaques cybernétiques des espaces numériques de travail : ce qu’il faut en conclure

Les récentes attaques visant les établissements scolaires rappellent à tous que n’importe quel système d’informations et de communication peut être utilisé pour nuire et que les menaces cybernétiques peuvent prendre de nombreuses formes. De plus en plus de cyberattaques ont lieu et si la menace est exponentielle, c’est qu’elle suit également l’accroissement constant de la numérisation de nos échanges. Tous les organismes, qu’ils soient publics ou privés, peuvent se retrouver menacés d’une manière ou d’une autre. Avec de nouvelles nécessités en matière de communication, apparues d’abord durant la crise sanitaire, puis avec les enjeux économiques et écologiques auxquels nous devons faire face aujourd’hui, de nombreuses entreprises se sont dotées d’outils répondant à ces besoins. Cependant, le manque de compréhension de ces systèmes, le manque de moyens, mais plus généralement l’ignorance des dangers présents sur internet, nous ont conduit à un écart immense entre le minimum de sécurité requis, passant d’abord par des bonnes pratiques, et leur application réelle. Dans le cas des attaques visant les établissements scolaires, la faille de sécurité utilisée étant principalement l’utilisation frauduleuse d’identifiants et de mots de passe volés. Une meilleure connaissance des moyens de conservation sécurisée des identifiants et la mise en place de systèmes d’identification à plusieurs facteurs auraient permis de limiter grandement la capacité d’action des attaquants. Pour plus d’informations sur les attaques ayant visé les Espaces numériques de travail des établissements scolaires, vous pouvez retrouver notre article traitant de ce sujet en suivant le lien ci-dessous.
https://urgencecyber-regionsud.fr/alerte-a-la-bombe-et-revendications-terroristes-dans-les-etablissements-scolaires/

Campagnes de phishing et d’arnaques téléphoniques touchant notre région

Depuis longtemps, les entreprises sont la cible d’arnaques exploitant le cyberespace, par le biais de l’usurpation d’identité pour accroître la crédibilité et induire en erreur employés ou dirigeants. Tirant parti de l’évolution numérique, notamment l’intégration des réseaux sociaux et de l’intelligence artificielle dans l’environnement professionnel, les fraudeurs ont peaufiné leurs techniques. Les campagnes de phishing sont désormais fréquentes, en France comme à l’international. Bien qu’il soit impossible d’atteindre une sécurité absolue, l’élément humain reste souvent le point vulnérable face à de telles menaces. Néanmoins, cette vulnérabilité peut être atténuée.
Récemment, une campagne a ciblé des entreprises de notre région. Suite à une tentative d’arnaque reçue par email puis par téléphone, se prétendant d’un organisme étatique et proposant d’économiser sur une facture via un rendez-vous en ligne avec un conseiller, un responsable nous a alertés. La crédibilité du stratagème est renforcée par l’emploi de terminologie technique et la perspective d’aides étatiques pour les entreprises privées. Après avoir recueilli des informations sur l’entreprise lors de la prise de rendez-vous sur un site fourni par lien email, l’arnaqueur a ensuite contacté la victime par téléphone.
Il est crucial de souligner que les techniques d’extraction de fonds varient, de la demande de paiement direct à l’acquisition d’informations permettant des opérations frauduleuses, telles que la souscription de crédits au nom de victimes ayant divulgué des données personnelles ou professionnelles suffisantes. Dans ce cas précis, la victime, croyant changer de fournisseur, aurait effectué le paiement de son propre chef.
Heureusement, cette tentative d’arnaque n’a pas entraîné de graves conséquences, mais il n’en va pas toujours ainsi. La vérification de la légitimité de toute démarche impliquant des paiements demeure la meilleure parade. Bien que perçue comme contraignante, cette approche, une fois instaurée, se révèle être peu restrictive et particulièrement efficace.
Constat réalisé par notre équipe

Le RGPD et le Défi des Violations de Données : Une Analyse par la Cnil

Depuis l’instauration du Règlement Général sur la Protection des Données (RGPD), la Commission Nationale de l’Informatique et des Libertés (Cnil) a constaté une tendance croissante des notifications de violations de données, avec 17,483 cas signalés depuis 2018, majoritairement issus du secteur privé. L’année 2023 a marqué un tournant avec un nombre record de sanctions imposées par la Cnil, comprenant 168 mises en demeure, 33 rappels à la loi et 42 amendes, atteignant près de 90 millions d’euros. Cette statistique révèle une vigilance accrue et une application stricte des normes de protection des données personnelles. Le RGPD vise à renforcer la protection des données personnelles au sein de l’UE, mais son application soulève des questions, notamment sur son impact différentiel entre grandes et petites entités. Les grandes entreprises, dotées de ressources substantielles, semblent mieux équipées pour se conformer aux exigences du RGPD, soulevant des préoccupations sur l’équité de la régulation.
L’augmentation des notifications de violations ne traduit pas nécessairement une hausse du nombre réel d’incidents, mais reflète la complexité de l’écosystème numérique actuel. Entre meilleure conformité au RGPD et multiplication des cybermenaces, démêler les causes de cette augmentation reste délicat. Le secteur privé, et particulièrement les PME, domine les déclarations, tandis que le secteur public contribue à une part significative.
Les violations résultent souvent de cyberattaques, avec une prédominance des rançongiciels et du phishing. Ce panorama souligne des défis spécifiques à chaque secteur, invitant à une vigilance renforcée. La Cnil note que le délai de constatation d’une violation est en moyenne de 113 jours, bien que la moitié soit détectée en moins de 10 heures.
Face à ces enjeux, la Cnil rappelle l’importance cruciale du respect des procédures de notification dans les 72 heures suivant la découverte d’une violation, sous peine de sanctions sévères. Ce cadre réglementaire strict vise à garantir une meilleure protection des données personnelles et à sensibiliser les acteurs à l’importance de la cybersécurité.
Sources :
https://www.zdnet.fr/actualites/rgpd-5-ans-et-des-violations-de-donnees-qui-grimpent-390268.htm

Plus généralement

La feuille de route numérique de la France : impossible sans une prise de conscience globale

Marina Ferrari, secrétaire d’État chargée du Numérique, a dévoilé la stratégie numérique de la France, alignée sur les objectifs de l’Union européenne jusqu’en 2030. Cette stratégie comprend la numérisation de 250 démarches de services publics essentiels et vise la généralisation de la fibre optique sur l’ensemble du territoire d’ici fin 2025. Ce plan fait partie de l’initiative européenne de la « Décennie numérique », qui a pour but d’améliorer les compétences numériques, les infrastructures numériques, de transformer les entreprises et d’accélérer la numérisation des services publics. Un rapport de l’UE avait auparavant mis en évidence le retard de la France dans ces domaines, notamment auprès des TPE et PME.
La France s’est engagée à former 400 000 professionnels du numérique d’ici 2027, avec un budget de 60 millions d’euros alloué au projet CMA dans le cadre de la stratégie quantique QuanTEdu-France. L’UE ambitionne que 80 % des citoyens âgés de 16 à 74 ans disposent de compétences numériques de base. La numérisation intégrale des démarches publiques les plus courantes est également prévue pour la fin de 2025, envisageant un accès universel aux dossiers médicaux en ligne pour tous les Européens.
Cette stratégie souligne une fois de plus la nécessité de la transition numérique dans de nombreux domaines, mais la prise de conscience des risques associés à cette transition doit être une priorité afin de garantir son succès.
Source:
https://www.usine-digitale.fr/article/la-france-devoile-sa-feuille-de-route-numerique-pour-s-aligner-avec-les-objectifs-de-l-union-europeenne.N2210454

La France face à des défis de sécurité numérique : des dispositions importantes à prendre

L’année 2024 est particulièrement significative pour le secteur de la cybersécurité en France, marquée par les Jeux Olympiques et la transposition de la directive européenne Network and Information Security 2 (NIS 2) en octobre. Cette mise à jour législative vise à renforcer la résilience face aux cyberattaques de milliers d’organisations françaises en élargissant les exigences de la première version de 2016. NIS 2 élargit son application à 18 secteurs clés, contre 10 auparavant, incluant des domaines vitaux comme l’énergie, la santé, et le secteur bancaire, et précise des critères de taille et de chiffre d’affaires pour déterminer les structures concernées. De quelques centaines, le nombre d’entités obligées de renforcer leurs mesures de cybersécurité pourrait atteindre entre 10 000 et 15 000, incluant désormais la chaîne de valeur des PME.
L’ANSSI, responsable de l’application de cette directive, précise que certains aspects, notamment l’intégration des collectivités territoriales, restent à définir, donnant aux États membres une certaine flexibilité dans la transposition du texte. Des sanctions financières substantielles sont prévues pour les entreprises défaillantes, allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial. Les organisations devront également signaler rapidement à l’ANSSI toute cyberattaque subie, une mesure destinée à améliorer la collecte de données sur ces incidents.
Malgré l’imminence de ces changements, l’ANSSI assure qu’elle ne sanctionnera pas immédiatement les entités non conformes en octobre, soulignant son rôle d’accompagnement. Cette période de transition coïncide avec la préparation à des événements majeurs comme les Jeux Olympiques, ajoutant une pression supplémentaire sur les acteurs du secteur pour adapter leurs pratiques et infrastructures à cette nouvelle réglementation.
Source:
https://siecledigital.fr/2024/04/04/le-monde-de-la-cybersecurite-se-prepare-au-bouleversement-nis-2/

Élections européennes 2024 : La désinformation est une menace considérable

Pour la première fois, une réunion a été organisée au SGDSN en prévision des élections européennes du 9 juin, afin de sensibiliser les partis politiques aux risques de cyberattaques et d’ingérences étrangères, récemment illustrés par des fuites de données massives affectant France Travail, des services ministériels et des établissements scolaires.
Cette initiative, accueillant dix-sept partis, vise à prévenir les manipulations susceptibles d’influencer les résultats en faveur d’États étrangers, dans un contexte de tensions internationales. Stéphane Bouillon a souligné l’importance de ces élections comme cibles de manipulations, évoquant des exemples récents de corruption et d’ingérences lors des campagnes électorales. Les participants ont discuté des cyberattaques, de la diffusion de fausses informations, et des menaces d’espionnage, mettant en lumière la nécessité d’une vigilance accrue face à des enjeux législatifs majeurs.
Viginum a identifié cinq cas concrets d’ingérences numériques étrangères suite aux élections de 2022, soulignant l’importance de cette préparation.
Source:
https://www.francetvinfo.fr/elections/europeennes/elections-europeennes-2024-les-partis-politiques-francais-sensibilises-au-risque-considerable-d-ingerences-etrangeres_6457943.html

Pour aller plus loin :

Restructuration au sein des groupes de Pirates: Pas toujours une bonne nouvelle.

Les efforts récents des gouvernements des États-Unis et de l’Union européenne pour démanteler des opérations de ransomware de grande envergure, telles que LockBit et ALPHV/BlackCat, commencent à perturber le monde du cybercrime. Bien que ces groupes aient tendance à réapparaître après leur prétendue disparition, les actions entreprises affectent profondément leur dynamique interne et leur crédibilité auprès des affiliés, qui réalisent les attaques en leur nom. En conséquence, ces derniers se détournent de plus en plus vers de nouveaux acteurs du ransomware-as-a-service (RaaS) offrant une plus grande confiance.
Le rapport de GuidePoint Security souligne que ces efforts de démantèlement contribuent à instaurer une méfiance parmi les groupes RaaS et leurs affiliés, incitant ces derniers à explorer d’autres options. Par exemple, après l’opération contre ALPHV, qui a tenté de reconstruire son influence par des promesses non tenues et une escroquerie de sortie, sa crédibilité a été sérieusement entachée. LockBit a également subi un coup à sa réputation, à la suite d’une opération des forces de l’ordre révélant sa collaboration potentielle avec elles.
Face à la décrédibilisation de groupes établis, des startups RaaS émergent, offrant des conditions plus avantageuses et tentant de capter la confiance des affiliés. Ces nouveaux venus, comme Cloak et Medusa, proposent des taux de partage des bénéfices attractifs et des modèles de coopération flexibles pour séduire les anciens affiliés de groupes plus importants.
Cette période de transition dans le paysage des ransomwares, marquée par une compétition accrue et une recherche de confiance, témoigne de l’adaptabilité et de la réactivité constantes de la cybercriminalité. Les actions des forces de l’ordre, même si elles ne parviennent pas toujours à éliminer définitivement les menaces, contribuent à remodeler les relations et les stratégies au sein de la communauté des ransomwares.
Source:
https://www.darkreading.com/threat-intelligence/after-lockbit-alphv-takedowns-raas-recruiting-drive

L’importance de la sécurité des bases de données : Il faut apprendre des erreurs des autres

Le cloud gouvernemental indien, S3WaaS, a récemment résolu une fuite de données majeure révélée en 2022 par le chercheur en sécurité Sourajeet Majumder. Cette fuite, résultant d’une mauvaise configuration de base de données, a exposé des informations sensibles sur des centaines de citoyens, incluant des données sur la vaccination COVID-19, les passeports, et les numéros d’identification gouvernementaux. Malgré la découverte de la vulnérabilité, des fuites ont persisté jusqu’à ce qu’une couverture médiatique par TechCrunch incite les autorités à intervenir. Cependant, les données étaient déjà accessibles publiquement en ligne et auraient été vendues sur un forum cybercriminel avant sa fermeture par les autorités.
Les victimes de cette fuite de données sont exposées à des risques d’escroquerie par usurpation d’identité et de phishing. Le chercheur met en garde contre les conséquences de la divulgation d’informations sensibles sur la santé, qui pourrait entraîner discrimination et rejet social, appelant cet incident un signal d’alarme pour des réformes de sécurité. Ce cas souligne le problème persistant des bases de données mal configurées, exposant des données personnelles sur des sites publics sans protection adéquate, un problème qui n’est pas unique à l’Inde mais a également affecté des pays comme le Brésil.
Source:
https://siecledigital.fr/2024/04/03/les-donnees-de-citoyens-indiens-fuitent-apres-une-faille-de-securite-dans-le-cloud-du-gouvernement/

De multiples failles dans les produits Microsoft : le géant victime de son succès.

Microsoft, en tant qu’un des acteurs les plus importants du domaine informatique, joue un rôle central dans l’écosystème technologique mondial. Cette position implique non seulement une grande responsabilité mais aussi une exposition accrue aux cyberattaques. Récemment, le Comité d’examen de la cybersécurité (CSRB) des États-Unis a pointé du doigt Microsoft pour des failles de sécurité qui ont facilité l’intrusion du groupe chinois Storm-0558 dans une vingtaine d’entreprises en Europe et aux États-Unis. Les critiques du CSRB concernent une série d’erreurs évitables de Microsoft, révélant une culture d’entreprise insuffisamment axée sur la sécurité et la gestion des risques.
Ces incidents, qui ont inclus l’exfiltration de données sensibles et l’exploitation de vulnérabilités au sein d’Exchange Server, auraient pu être évités avec une meilleure sécurisation des services et une détection interne plus efficace des compromissions. Les vulnérabilités, comme CVE-2024-21410, ont mis en lumière les défis auxquels Microsoft doit faire face dans la protection contre les attaques de type « man-in-the-middle » et les attaques de relais NTLM. La réponse de Microsoft à ces incidents inclut l’extension des capacités de journalisation gratuite pour les agences fédérales américaines et l’encouragement à l’application immédiate des correctifs de sécurité.
La situation appelle à une amélioration substantielle de la sécurisation des services offerts par Microsoft. Étant donné l’importance cruciale de Microsoft dans l’infrastructure informatique globale et le niveau de confiance accordé par les clients pour la protection de leurs données, il est impératif que Microsoft adopte une nouvelle culture de la sécurité. Cela implique l’implémentation de contrôles modernes, l’adoption de normes minimales pour l’audit, l’intégration de normes d’identité numérique, et une transparence accrue dans la divulgation des incidents et vulnérabilités. Ces mesures sont essentielles non seulement pour rétablir la confiance mais aussi pour prévenir les incidents futurs, garantissant ainsi la sécurité des données et des opérations des utilisateurs à travers le monde.
Sources:
https://www.zdnet.fr/pratique/tout-ce-que-vous-devez-savoir-sur-le-nouveau-piratage-de-microsoft-exchange-server-39965192.htm
https://thehackernews.com/2024/04/us-cyber-safety-board-slams-microsoft.html

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *