2021, une année cyber-explosive qui aura radicalement changé la donne en matière de cybersécurité et de cybermenaces

Pour clore cette nouvelle année pandémique « en beauté », voici notre traditionnel bilan annuel sur les cybermenaces qui ont émaillé 2021, et ce qu’il nous faudra aussi retenir des derniers 365 jours, passés à lutter et à nous protéger également d’un virus, bien réel lui : celui de la Covid 19 !                 

Le nombre d’attaques informatiques contre les entreprises et les administrations françaises avait déjà quadruplé en 2020, par rapport à l’année 2019. Et les cyberattaques n’ont – fort logiquement – pas cessé de faire les gros titres de la presse, tout au long de cette année chaotique. Hacks, rançongiciels et confidentialité des données : un bilan 2021 très cyber-explosif ! Voici ce qu'il faudra en retenir… 

Le télétravail, un enjeu de taille pour la sécurité numérique des entreprises.

2021 restera indubitablement dans les mémoires comme une année funeste en matière virale… Mais pas uniquement en raison de la crise sanitaire virale de la Covid 19, qui ne cesse ne nous épuiser par vagues successives. Toutes nos vies en ligne ont, en effet, été radicalement impactées « numériquement », alors même que des changements notables en matière d’habitues sociétales s'accéléraient corrélativement au cœur même de tous nos domiciles. Le recours massif au télétravail, mais aussi aux réseaux sociaux et au stockage de nos données  personnelles et professionnelles dans le Cloud – pour conserver nos data, mais aussi préserver nos contacts avec le reste du monde – n’étant pas le moindre de ces multiples changements. Le télétravail, adopté en réponse à l’épidémie de Covid-19, s’est installé durablement dans les habitudes de nos concitoyens. Mais pour les pirates informatiques, cette tendance est naturellement une incroyable aubaine. Pour les entreprises, elle représente au contraire un défi majeur en matière de cybersécurité. L’utilisation des équipements professionnels à des fins personnelles et vice-versa, la multiplication des accès à distance, le recours au Cloud et aux applications en mode Saas, et l’essor des visioconférences ce sont d’ores et déjà installés dans nos usages collectifs. Mais ces nouveaux comportements multiplient a contrario les risques de failles humaines, et rendent les entreprises particulièrement vulnérables sur le plan technique. En 2021, tout l’enjeu a été – entre autres – de parvenir à sécuriser ce nouveau périmètre de travail très élargi.  

Quand la taille ne compte plus.

De grandes agences gouvernementales, et de très grandes entreprises privées de taille mondiale – mais aussi des chaînes d'approvisionnement en biens et matériels essentiels (comme l'essence, les matières premières ou les denrées d’alimentation) – ont été la cible d’innombrables cyberattaques, très sévères. Et celles-ci n’ont cessé de rythmer l’actualité durant toute l’année 2021 passée à un rythme effréné. Ce festival d’actions offensives a d’ailleurs commencé dès janvier 2021 aux Etats-Unis : l'Agence de Sécurité Nationale – NSA – et le FBI ont conjointement suggéré que la Russie était dissimulée derrière les attaque ayant eu lieu contre le logiciel « Orion » de SolarWinds, (cette entreprise américaine basée au Texas qui édite des utilitaires logiciels très largement utilisés par le gouvernement fédéral des Etats-Unis), mais aussi les chemins de fer, les hôpitaux, ainsi que les grandes entreprises technologiques de la Silicon Valley, dont la firme Microsoft elle-même. Les attaquants ont injecté un malware très puissant via une mise à jour du logiciel « Orion » commercialisé par SolarWinds, et que les entreprises clientes intègrent dans leurs propres systèmes informatiques. Des milliers de clients ont ainsi installé la mise à jour compromise, et les cybercriminels ont alors pu accéder dans la foulée à leurs systèmes. Au bilan, la cyberattaque de sur « Orion » de SolarWinds a visé près de 18 000 entreprises et agences gouvernementales aux États-Unis. Et de de son côté, le Kremlin a naturellement nié toute implication dans cette attaque.

En mai 2021, des attaques par rançongiciel ont touché « Colonial Pipeline », l’opérateur de l’un des plus grands oléoducs aux USA, et JBS USA Holdings, un grand opérateur dans la transformation de viande. Ces entreprises ont dû verser des millions de dollars et interrompre leurs activités, entrainant une hausse massive des prix de l'essence et des produits carnés. Une fois encore, la Russie a été accusée par les Etats-Unis d’être derrière ces attaques. De leur côté, les géants de la Tech n’ont pas été épargnés non plus : Apple et Facebook ont dû faire face à des menaces cyber qui mettaient en danger la sécurité et la vie privée de leurs utilisateurs. Dans le même temps, ces entreprises ont été confrontées à des questions très épineuses concernant la quantité de données clients qu’elles collectent (et les fins poursuivies à cet effet), qui pourraient être vulnérables en cas de cyberattaque… mais aussi de réquisition sauvage et sans autorisation par les centrales américaines, en vertu de la législation spéciale sur la sécurité nationale américaine. 

Ransomware : même les géants de la place ne sont pas à l’abri.

En 2021, les ransomwares (ou « rançongiciels ») sont resté une arme de choix pour la foultitude de pirates informatiques. Selon l’ANSSI (Agence nationale de la sécurité des systèmes d'information), ils ont représenté la menace informatique la plus sérieuse en raison du nombre d’attaques quotidiennes, mais aussi de leur impact potentiel sur la continuité d’activité des entreprises. Pour en apprendre davantage sur le paysage actuel des cybermenaces, Google a même analysé plus de 80 millions d'échantillons de ransomware à travers son service « VirusTotal ». Au total, 130 familles de malwares ont ainsi été comptabilisées sur la période de janvier 2020 à septembre 2021. Sur les 140 pays ayant participé à cette étude de la multinationale, c'est Israël qui a fourni le plus d'échantillons, avec une augmentation de 600% par rapport à sa base de référence. Suivi par la Corée du Sud, le Vietnam, la Chine, Singapour, l'Inde, le Kazakhstan, les Philippines, l'Iran et le Royaume-Uni. Le rapport fait état d'au moins 130 familles de ransomwares distribuant près de 30 000 virus. GandCrab était la famille la plus active, suivie par Babuk, Cerber, Matsnu, Congur, Locky, Teslacrypt, Rkor et Reveon. Plus généralement, 100 familles de ransomwares ne cessent jamais, quelle que soit la période considérée, l’étude a constaté deux pics d'activités sur la période étudiée. Le premier est lié à GandCrab, dont le distributeur a finalement été arrêté en Biélorussie en août 2020. Le second, en juillet 2021, concerne Babuk à l'origine d'une cyberattaque contre la police métropolitaine du district de Columbia, l’un des services de police les plus importants des Etats-Unis. Il avait revendiqué un vol de 250 Go de données. Face à la prolifération des ransomwares, les Etats-Unis ont rapidement durci le ton, en adoptant par exemple un nouveau cadre sur les flux de cryptomonnaies, au cœur de la stratégie des cybercriminels.

La fermeture sur le territoire américain des principaux opérateurs à l'origine du blanchiment d'argent par ce moyen, a eu pour objectif prioritaire de bloquer les criminels. Ces derniers ne pourront plus convertir ou stocker les cryptomonnaies récupérées sous forme de rançon. Dans ce contexte, la plateforme Suex a ainsi été mise sur la liste noire de « l'Office of Foreign Assets Control » (OFAC) le 21 septembre 2021 dernier, l'organisme de contrôle financier américain dépendant du Trésor. Les ressortissants et les entreprises américaines n'ont désormais plus le droit d'utiliser cette plateforme pour effectuer des transactions en cryptomonnaies. 

Quelques nouveautés cependant.

Dernière nouveauté à date, qui tend à se propager rapidement en matière de ransomware, tel un effet de mode : la double extorsion. Autrement dit, les malfaiteurs ne se contentent plus uniquement de chiffrer les données. Ils les exfiltrent également et menacent naturellement de divulguer les plus sensibles d’entre elles. Objectif final recherché : exercer la pression la plus forte pour faire grimper les enchères, et donc les gains criminels.  Dans son rapport « État de la menace rançongiciel » publié en février 2021, l’ANSSI constatait en outre qu’aucun secteur d’activité n’était réellement épargné. Les attaques informatiques seraient toutefois particulièrement en hausse à l’encontre des entreprises de services numériques, des secteurs de la santé et de l’éducation. Mais aussi, celui des collectivités locales et territoriales.

Cette année nous a également appris que l'époque des ransomware « low-cost » ou « bas de gamme » utilisés par des scripts « kiddies » est belle et bien révolue. Les rançongiciels, qui chiffrent les disques durs d’un ordinateur jusqu'à ce que les victimes paient une rançon pour obtenir des outils permettant de déverrouiller leurs données, représentent indubitablement un marché juteux. Les cybercriminels ont d’ailleurs ciblé de très grandes entreprises prêtes à payer le prix fort pour recouvrer leur data, et par la même  occasion éviter toute cessation d’activité. Ce qui aurait un coût catastrophique. C'est ce qui s'est d’ailleurs passé dans les deux cas que sont celui de Colonial Pipeline, de JBS USA, qui ont fait la une des journaux. Les deux entités ont versé à ce titre des millions de dollars de rançon sous forme de bitcoin. Mais ces deux attaques particulièrement  médiatisées en 2021 sont loin d'être les seules. Selon un rapport du département du Trésor américain daté du mois d’octobre 2021, les paiements suspects imputables à des ransomware signalés par les banques et autres institutions financières ont totalisé 590 millions de dollars pour les six premiers mois de cette année. Un montant en très nette hausse comparé aux 416 millions de dollars de paiements suspects signalés durant toute l'année 2020.

Dans la foulée de ses différentes actions, le gouvernement fédéral américain a promis d'intensifier son combat contre les crimes informatiques. En octobre dernier, la Maison-Blanche a organisé à cet effet un sommet international de lutte contre les rançongiciels qui comprenait des représentants de plus de 30 pays. Les membres du groupe se sont ainsi engagés à partager des informations, et à travailler de concert pour traquer et poursuivre les cybercriminels à l'origine des attaques par ransomware. Un pays manquait naturellement à l’appel : la Russie de Poutine, que les États-Unis et d'autres pays désignent nominativement comme l’hébergeur en chef des groupes de cybercriminels à l'origine des cyberattaques, voire de les encourager, de les financer ou de les commanditer. Un mois auparavant, le département du Trésor américain avait annoncé qu'il sanctionnerait les échanges de cryptomonnaies, les compagnies d'assurance et les institutions financières qui faciliteraient les paiements de ransomware. 

Le scandale PEGASUS : ou la grande bataille autour de la confidentialité des données.

Cette année, Apple s'est retrouvé à la croisée des chemins, dans l’arène médiatique, en matière de protection de la vie privée. Le fabricant de l'iPhone a été contraint de repousser une menace de piratage externe qui mettait en danger la sécurité et la vie privée de ses utilisateurs, tout en essayant de trouver par ailleurs un équilibre dans ses propres pratiques de confidentialité des données. En septembre, la firme à la pomme a publié un correctif d'urgence pour iOS afin de combler des failles qui rendaient les iPhone, iPad et Apple Watch vulnérables au logiciel espion d’espionnage Pegasus, développé par le groupe israélien NSO.

Bien que ce puissant spyware n'ait représenté une menace que pour les utilisateurs les plus en vue (journalistes, opposants politiques, dirigeants, hauts fonctionnaires, Présidence française, etc…) qui pouvaient être la cible de pirates d'État, cette vulnérabilité a mis la marque à la pomme  en position très délicate vis-à-vis de ses clients, et de sa promesse utilisateur, alors que l’un de ses axes marketing habituels repose justement sur la sécurité absolue de ses produits phares. Le géant californien a également suscité la controverse en proposant une fonction qui permettrait de scanner les appareils de la marque à la recherche d'images d’abus d'enfants. Les spécialistes de la protection de la vie privée et de la sécurité informatique, comme d’autres détracteurs, ont estimé que cette approche revenait à créer une porte dérobée qui pourrait être exploitée par des gouvernements désireux de limiter la liberté d'expression. Face au tollé général produit par cette initiative, Apple a finalement retardé le déploiement de cette nouvelle fonctionnalité. La renvoyant indubitable à aux calendes grecques. 

Les vols de données se sont multipliés dans proportions inimaginables.

Selon l'Identity Theft Resource Center, les violations de données rendues publiques au cours des neuf premiers mois de l’année 2021 ont dépassé le total de l’année 2020. La chaîne de grands magasins Neiman Marcus, la plateforme boursière Robinhood, l'hébergeur GoDaddy et l'opérateur de téléphonie mobile T-Mobile figurent parmi les entreprises touchées par des intrusions informatiques ayant entraîné le vol de données clients. California Pizza Kitchen et McDonald's ont signalé des attaques qui ont compromis des données relatives à leurs activités et leurs employés. Des cybercriminels ont dérobé des données appartenant à l’éditeur de jeux vidéo Electronic Arts, notamment le code source du jeu « FIFA 21 ». Plus récemment, Planned Parenthood Los Angeles a confirmé avoir été la cible d’une attaque survenue en octobre dernier, qui a exposé des dossiers de patients, et notamment des noms, des dates de naissance, des adresses, des numéros d'identification d'assurance et des données cliniques, telles que des diagnostics, des traitements et des prescriptions.

L’intelligence artificielle et l’informatique quantique n’ont pas encore été réellement exploitées à des fins malveillantes par les hackers en 2021 ! Mais pour combien de temps encore ?

Les entreprises ont bien compris le potentiel de l’intelligence artificielle (détection, analyse et surveillance des logiciels suspects, réactivité en cas d’attaque…). Mais les pirates informatiques aussi ! En 2021, les premières attaques numériques portées par l’IA ont été détectées. Même s’il ne s’agit encore que de balbutiements, la menace est prise très au sérieux par les experts du secteur de la cybersécurité, puisque cette technologie peut leur permettre également d’améliorer considérablement leur campagne de phishing, d’automatiser leurs attaques, de détecter les logiciels antivirus pour mieux les contourner et contourner aussi les solutions de sécurité mises en œuvre pour contrecarrer leurs actions offensives… Notons au passage que cette nouvelle occurrence de menace doit être anticipée dès aujourd’hui, car l’informatique quantique, pourrait à plus ou moins long terme – en théorie – remettre en cause les systèmes de cryptographie actuels, sur lesquels repose en définitive la protection des données les plus sensibles (bancaires, médicales, personnelles, stratégiques, militaires, etc.). Et dans un contexte international parfaitement délétère et durci sur le plan géopolitique, il est indispensable d’agir très en amont pour garantir la sécurité numérique des entreprises et de tous nos écosystèmes de vie. Vaste programme. De quoi alimenter en expectatives et en suspense induit, les premières semaines d’une nouvelle année qui s’annoncent d’ores et déjà très riches en rebondissements sur le plan géostratégique, politique et cyber.