Ce serait la troisième économie mondiale, loin devant le trafic de drogue ou d’armes.
138, c’est le nombre de groupes de cyber attaquants actifs suivis par les équipes du MITRE ATT&CK, mais les cellules de Threat Intelligence des acteurs de la Cyber en traquent plus de 200. Dans ce monde souterrain ou les groupes se font et se défont sans cesse, certains accèdent à la notoriété par le volume de leurs attaques ou encore pour avoir fait tomber des entreprises prestigieuses. Lapsus$, Lazarus, REvil et TrickBot sont aujourd’hui connus de tous et ont eu leur heure de gloire. D’autres sont plus secrets et uniquement identifiés par un numéro d’APT. Néanmoins, la menace qu’ils font peser sur les Etats, les entreprises et les particuliers est considérable. Le World Economic Forum estime qu’avec un chiffre d’affaires de 8 000 milliards de dollars(1), ce microcosme représente en 2023 la troisième économie mondiale.
Une activité qui s’est structurée en quelques décennies
Cette véritable industrie du crime s’est structurée en profondeur ces dernières années. On est désormais très loin du hacker solitaire de cinéma, comme le furent à leur époque le fameux Kevin Mitnick ou Kevin Poulsen qui infiltrait ARPAnet dès 1983 avec un TRS-80, ou encore Robert Tappan Morris, auteur du premier ver informatique distribué par Internet. L’économie du cybercrime se compose aujourd’hui de fournisseurs qui mettent sur le marché de simples listes d’email, les infoStealer comme Mars Stealer ou Raccoon Stealer qui visent les données confidentielles, ceux qui sont spécialisés dans le vol de credentials (login et mot de passe) et, bien évidemment le trafic de numéros de carte de crédit. Les Traffers sont pour leur part chargés de rediriger du trafic de site web au moyen de Malvertising ou de SEO Poisoning vers des sites web corrompus ou du trafic malveillant. Ils vont littéralement alimenter l’écosystème de nouvelles victimes.
Il y a aussi des fournisseurs de technologie qui développent des malwares, des experts qui recherchent les vulnérabilités dans les logiciels afin de mettre au point de nouvelles attaques, les fournisseurs de serveurs et autres réseaux de bots prêts à porter une attaque. Il y a même des acteurs qui se sont spécialisés dans la formation et qui proposent des guides et tutorials pour former du personnel et mettre en œuvre des tactiques d’attaque.
Il n’est même plus nécessaire d’être un informaticien très expérimenté pour mener des attaques. Le Darkweb propose une nébuleuse de fournisseurs de services leur proposant des solutions « As a Service » pour mener des attaques DDoS, des attaques de phishing ou de ransomware via des kits prêts à l’usage, ou encore transférer des fonds.
Ainsi, les fournisseurs de Ransomware as a Service recrutent des affiliés sur les forums et font appel à des sous-traitants, les IAB (Initial Access Brokers) qui sont chargés de les alimenter en points d’accès aux réseaux d’entreprise. Des groupes réputés tels que Lockbit, BlackCat ou Everest ont maintenant adopté cette démarche.
Une pandémie de ramsomwares qui a devancé celle du Covid
Illustration de cette industrialisation du cybercrime, la véritable épidémie de ransomwares qui n’a cessé de croître jusque vers 2021. Dès la fin des années 2010, le fléau des ransomwares s’est abattu sur les entreprises. Il y a eu le fameux Ryuk qui, à partir de 2015 a infecté plusieurs journaux américains dont le Los Angeles Times, de nombreux hôpitaux et, en France, Sopra Steria, l’Afnor. On a depuis assisté à une succession de vagues d’attaques et de groupes se succédant à la une de la presse.
On se souvient encore du ransomware TeslaCrypt en 2015, de Petya et Locky en 2016, de SamSam en 2018, puis de GoldenEye. En 2017, WannaCry a eu un énorme impact, avec plus de 200 000 machines touchées dans 150 pays. Le ransomware exploitait alors une vulnérabilité du protocole SMB v1 de Microsoft Windows baptisée EternalBlue qui fut découverte par Equation Group, une équipe affiliée à la NSA. Cette vulnérabilité fut révélée par le groupe The Shadow Brokers. Ce fut le point de départ de la vague WannaCry, puis du non moins célèbre NotPetya. Plusieurs années plus tard il sévissait encore, mais si les attaques de WannaCry étaient indiscriminées, ce n’était pas le cas de LockerGoga qui a épinglé l’industriel Norsk Hydro à son tableau de chasse. Proche de Ruyk, le ransomware allait aussi faire tomber Altran. Un clone de LockerGoga, Megacortex, avait immobilisé l’informatique du groupe M6, puis sévi chez Go Sport et au CHU de Rouen.
Sont ensuite apparus Ryuk en 2020, REvil, Darkside à l’origine de la célèbre attaque contre Colonial Pipeline et, bien entendu, la franchise Conti depuis 2022.
En 2023, Lockbit dont plus de 80% des victimes sont des PME, domine encore le « marché » du Ransomware. Le groupe devance BlackCat, Black Basta, Royal ou encore Clop. BlackCat avait frappé Inetum, puis Akka Technology en 2022, tandis que CryptoMix Clop est aussi très connu en France pour son attaque très médiatisée du CHU de Rouen en 2019.
Face à l’intensité des attaques, le nombre d’arrestations et de groupes démantelés peut sembler faible du fait de la localisation des attaquants, souvent basés en Russie, en Chine ou en Corée du nord. Parmi les succès récents, on peut noter le démantèlement de Trickbot un service type Malware as a Service en 2020, grâce à l’action de Microsoft. De même, un membre de Lockbit, notamment impliqué dans l’attaque de l’Hôpital de Corbeil-Essonnes a été arrêté au Canada en 2022 tandis que le FBI a fait fermer le site Dark Web du groupe HIVE en janvier 2023. Même un groupe décapité, comme le fut Lapsus$ après ses attaques sur Microsoft, Telegram et Nvidia, peut renaître de ses cendres. En dépit de plusieurs arrestations en 2022, le groupe s’est distingué par une série d’attaques sur Uber, Slack et Rockstar, le célèbre éditeur de GTA VI…
Des attaquants bien difficiles à mettre sous les verrous
Face à cette montée en flèche du crime Cyber, l’action des forces de l’ordre semble bien modeste. Il y a régulièrement de grandes opérations, dont récemment le démantèlement de la plateforme Genesis Market, avec 119 personnes arrêtées et pas moins de 17 pays impliqués. Récemment, deux membres du groupe Lapsus$ ont été jugés à Londres pour l’attaque contre Rocktar Games. Néanmoins, la forte concentration des groupes dans quelques pays d’où leur extradition est difficile, si ce n’est impossible, démontre la relative impunité de certains groupes, mais aussi le rôle des Etats dans ce qu’il faut appeler une guerre Cyber.
Derrière ces activités crapuleuses, de nombreux Etats ont mis en place des armées Cyber pour servir leurs intérêts. On sait que la Corée du Nord mise sur la Cyber pour rapatrier des devises dans le pays, mais aussi nuire à ses ennemis. Lazarus est certainement le plus connu des groupes nord coréens. On le suspecte d’avoir conçu le ransomware WannaCry, mais aussi d’être l’un des utilisateurs de Trickbot et d’avoir infecté le service de téléphonie IP 3CX. Pour sa part, le groupe Kimsuky vise en priorité la Corée du Sud et s’est notamment distingué par une attaque sur le producteur d’énergie Korea Hydro & Nuclear Power Co. en 2014. Originaire de Corée du Sud, le groupe Higaisa se charge de répliquer contre le voisin du nord.
Outre la fameuse unité 61398 de l’Armée populaire de libération (nom de code APT 1), la Chine soutient de nombreux groupes dont l’activité principale est le Cyber espionnage. C’est le cas du groupe Patchwork qui s’est illustré en 2018 par une série d’attaques de Spear Phishing visant les Etats-Unis. Zirconium s’est spécialisé sur les attaques de VIP, notamment lors de la campagne présidentielle américaine de 2020. Hafnium vise aussi les Etats-Unis et s’est distingué par son attaque sur Microsoft Exchange en 2021, exploitant plusieurs vulnérabilités inédites. L’attaque avait déclenché une réaction immédiate de la Cybersecurity Infrastructure and Security Agency (CISA) américaine afin d’appliquer en urgence les correctifs nécessaires. On évoquait à l’époque près de 30 000 organisations américaines concernées par de potentielles fuites de données…
Les Etats-Unis et leurs alliés du Five Eyes et Israël ne sont pas en reste. On se souvient de l’attaque Stuxnet sur le programme nucléaire et dont le ver aurait été développé conjointement par la NSA et l’unité 8200 de l’armée israélienne.
La Cyber, une arme de guerre à part entière
C’est sans doute le conflit russo-ukrainien qui illustre le mieux le rôle de la Cyber pour les Etats. Le jour même de l’invasion, le 24 février 2022, le réseau satellite KA-SAT de Viasat, notamment utilisé par l’armée ukrainienne était mis hors service par une attaque informatique. Celle-ci sera officiellement attribuée à la Russie quelques mois plus tard.
Quelques semaines après l’invasion de l’Ukraine, une vaste cyberattaque était menée par l’unité 74455 du GRU, le service de renseignement de l’armée russe. Son objectif était de couper l’ensemble du réseau électrique ukrainien au moyen d’un malware. Celui-ci a pu être détecté à temps même si Viktor Zhora, le responsable de la défense Cyber du pays, a reconnu que neuf sous-stations électriques avaient été touchées temporairement. Cette attaque faisait écho à une attaque réussie par le groupe russe Sandworm en 2015 et qui avait privé d’électricité 230 000 personnes dans plusieurs oblasts ukrainiens pendant quelques heures.
Tout au long de l’année 2022 la Russie a mené de multiples attaques DDoS contre son voisin, notamment en missionnant les groupes NoName057, Killnet, Anonymous Russia et The Passion group. Des attaques visant à effacer le contenu des disques durs des machines infectées par le malware CaddyWiper.
Dès que les européens se sont rangés aux côtés de l’Ukraine, ceux-ci sont devenus à leur tour des cibles pour les groupes Russes. Par exemple, après des opérations similaires contre l’Italie, la Pologne et le Royaume-Uni, le groupe NoName057 a brièvement immobilisé les sites Web de l’Assemblée Nationale et du Sénat français le 27 mars 2023.
L’Ukraine a bien évidemment répliqué à ces multiples attaques. Le 26 février naissait l’IT Army of Ukraine, un appel aux volontaires voulant attaquer la Russie. Fin juillet 2022, le ministère de la transformation digitale ukrainien annonçait plus de 6 000 attaques informatiques menées contre des ressources Web russes, notamment contre la bourse de Moscou, la banque Sberbank ou encore, plus anecdotique, l’attaque du système informatique des taxis Yandex, ce qui a créé des embouteillages artificiels dans Moscou. L’Ukraine a reçu le soutien d’Anonymous. Il y a eu notamment le piratage de 400 caméras de sécurité en mars 2022 mais qui est aussi officiellement entré en guerre contre le groupe Killnet.
Qu’il s’agisse de groupes motivés par l’appât du gain, par le nationalisme ou parfois des motifs religieux, l’industrie du Cybercrime va continuer à perdurer en parallèle à une cyber guerre larvée entre les Etats. Un environnement notoirement hostile dont il faut prendre la mesure lorsqu’on sécurise son système d’information.
(1) “2022 Official Cybercrime Report”, eSentire / Cybersecurity Ventures, 2022
