Accueil Cybercriminalité Panorama de la cybercriminalité 2017 : ransomwares, logiciels légitimes infectés et attaques...

Panorama de la cybercriminalité 2017 : ransomwares, logiciels légitimes infectés et attaques Cloud

Panorama de la cybercriminalité en 2017

Le jeudi 18 janvier, le Clusif, Club de la sécurité de l’information français, présentait son panorama annuel de la cybercriminalité. Au menu : ransomwares, logiciels légitimes infectés et attaques Cloud.

150 personnes au moins- RSSI et responsables de la gestion des risques entre autres – avaient fait le déplacement pour assister à la présentation des membres du Clusif de son panorama de la cybercriminalité, rétrospective des cyberattaques de l’année écoulée, réalisée à partir de sources ouvertes. Un événement filmé, retransmis en direct sur le site du club professionnel.

Panorama de la cybercriminalité 2017
De nombreux experts se sont succédés à la tribune : le président du club Jean-Marc Grémy, Loïc Guézo de Trend Micro France, Hervé Schauer, expert en cybersécurité, Gérôme Billois de Wavestone, Erwan Brouder de BSSI, Michaël Jacques d’Inventiva, Franck Veysset de Michelin, l’avocate Garance Mathias du cabinet du même nom, Luc Vignancour de Marsh, Frédéric Fraisse du ministère de l’Intérieur et Jérôme Notin du site Cybermalveillance.gouv.fr.

 

Retour sur WannaCry et NotPetya

L’année 2017 a été marquée selon le club professionnel par les ransomwares. Hervé Schauer est revenu sur WannaCry et NotPetya, les deux logiciels malfaisants non-ciblés qui ont fait l’actualité par leurs destructions massives. La série de logiciels Petya, « apparus depuis mars 2016, ont changé la donne en chiffrant bas-niveau contrairement à leur prédécesseurs qui chiffraient les documents. » En 2017, apparaît un nouveau rançongiciel PetWrap, « une profonde amélioration faite à partir de Petya qui est commercialisée en mode ransomware as a service, où le distributeur partage les bénéfices avec les auteurs ». L’expert note : « Le plus intéressant est que PetWrap utilise aussi un service RDP (Remote Desktop Protocol) vulnérable pour se propager. » En avril 2017, les Shadow Brokers diffusent une nouvelle série d’outils « qui auront une forte incidence sur l’avènement d’une nouvelle génération de rançongiciels, avec les outils exploitant les failles de sécurité sur le partage de fichier sur tous les Windows, permettant une exécution fiable de commandes à distance », explique Hervé Schauer. Pour rappel Microsoft avait publié les correctifs de sécurité pour le partage de fichiers (SMB), mais il poursuit : « C’est là qu’est apparu WannaCry, un ver qui se propage grâce à l’exploitation de la faille sur SMB, appelée EternalBlue ». WannaCry cherche notamment à se propager sur les adresses IP locales. Hervé Schauer rappelle : « Une fois qu’il est dans un réseau il va très vite, il fait peur, au point de faire partie de l’actualité du journal de 20 h un dimanche soir ! ». Mais les conséquences n’ont pas été « aussi importantes que la médiatisation le laissait entendre », souligne l’expert qui relève l’effet bénéfique sur les professionnels qui ont su mettre en place des cellules de crise et faire un déploiement des correctifs de sécurité « plus rapide que jamais ».

WannaCry

Un mois et demi après le 27 juin apparaît NotPetya, introduit par un des deux logiciels de comptabilité ukrainien. NotPetya combine la stratégie de propagation de PetWrap, le chiffrement de la dernière version de Petya, plus deux codes d’exploitation issus du vol des Shadow Brokers à la NSA.

NotPetya

« Surprise, NotPetya n’est en fait pas un rançongiciel mais un wiper, un destructeur, il est impossible de récupérer ses données en clair ». Le spécialiste en déduit que l’aspect rançongiciel ne servait qu’à brouiller les pistes.

Doit-on ou pas payer la rançon réclamée par un ransomware ? En tout cas, il faut porter plainte, indique Garance Mathias, Avocate. Extorsion, chantage, remise de fonds sous contrainte, abus de confiance… de nombreux motifs juridiques peuvent être mis en œuvre.

Des attaques via des tierces parties

Gérôme Billois a de son côté bien fait réagir la salle, en rappelant certaines vulnérabilités, vraiment simples à exploiter, comme celle d’Apple concernant l’accès au compte root sans avoir besoin de mot de passe – « la vulnérabilité la plus facile du monde à mettre en œuvre », ou celle de Microsoft et de son Windows Defender, toutes deux corrigées depuis. Moins « drôles », des failles plus lourdes avec WPA2 et AMT d’Intel. Le responsable met justement en avant ces nouvelles vulnérabilités sur le matériel, avec les récentes Meltdown et Spectre, mais aussi le piégeage massif des logiciels « légitimes » (comme CCleaner ou MeDoc, le logiciel ukrainien impliqué dans NotPetya) et des fournisseurs de services (campagne Cloud Hopper par exemple). Quelques exemples marquants de fournisseurs majeurs « à l’origine, sans intention de nuire, de failles de sécurité très importante ».

Il fallait rappeler, comme l’a fait Erwan Brouder, les attaques récentes visant Equifax et Uber. Il s’est attaché à démontrer leur difficulté à gérer correctement la crise. « Dans un monde numérique, la confiance devient le capital à sauvegarder et la bonne préparation des processus de gestion de crise cyber au sein d’une organisation permet de limiter les impacts d’une cyber-attaque en protégeant cette confiance« , a conclu le spécialiste. A sa suite, Michaël Jacques a souligné que l’attaque visant Uber venait du Cloud, comme d’autres affaires, à l’instar de Deloitte. Les clients visés ont d’ailleurs parfois surpris, comme la NSA et l’armée américaine. Des données stockées sur AWS S3, certaines avec des attributs comme « Top Secret » ou « NOFORN » (No Foreign Nationals ) étaient en effet accessibles…

Les attaques visant les objets connectés ainsi que les enjeux géopolitiques ont également été évoqués.