Les hackers sont passés de la phase de développement de nouveaux malwares liés au Covid-19 à une phase de distribution. Le nombre de spams liés à la pandémie s’est envolé depuis le début du mois, selon Renaud Bidou, directeur technique Europe du Sud de l’éditeur Trend Micro, qui nous l’a expliqué lors d’une conférence de presse virtuelle ce jeudi 23 avril…
La crise sanitaire liée à la pandémie du Coronavirus a changé la donne en termes de cybersécurité. Les hackers les plus immoraux ont trouvé dans cette situation chaotique le terrain idéal d’amasser beaucoup d’argent rapidement. La crise sanitaire joue le rôle d’aimant pour ces pirates et ceux-ci sont passés à l’action. Alors que le 3 avril 2020, Trend Research avait mesuré 65,7 % d’email de spam liés au Covid-19, 26,8% de malwares et 7,5% d’URL malicieuses, une douzaine de jours plus tard, le spam représentait 95 % des attaques. Pour Renaud Bidou, directeur technique Europe du Sud de l’éditeur Trend Micro l’explication ne fait aucun doute : alors que les attaquants travaillaient sur les malwares jusqu’au mois de mars, ceux-ci passent à l’action et diffusent maintenant massivement leur réalisation auprès des particuliers et des entreprises. Déjà, lors du mois de mars, le nombre de campagnes de spam contenant les mots-clés Covid, Covid-19, CoronaVirus et ncov est passé à 4 028 à 897.711 en un mois. Le nombre de malwares a lui-aussi explosé, passant de 67 à 534 dans le même temps.
Des cibles tant parmi les particuliers que les entreprises
Beaucoup de particuliers sont confinés chez eux, stressés et avides d’informations sur l’épidémie. Ils sont prêts à cliquer sur toute information potentiellement nouvelle sur le Covid-19 et, d’un clic imprudent, l’internaute télécharge une application malicieuse comme CovidLock ou Cornavirus Update, ou tombe sur une URL malicieuse comme de faux sites de l’OMS ou du CDC, une fausse carte interactive Facebook de la pandémie, une fausse page d’accueil Netflix…
Les entreprises ont quant à elles basculé de force vers le télétravail généralisé, parfois sur des postes clients pas toujours aux normes de sécurité de l’entreprise. Cette situation unique a vu le recours massif à des services Cloud dont les entreprises ne maîtrisaient pas totalement la sécurisation. Renaud Bidou commente la succession de « révélations » quant au service de visio Zoom, star de cette épidémie. « Le télétravail est aujourd’hui synonyme de visioconférence et les outils Cloud ont été très largement utilisés. Beaucoup a déjà été écrit sur le manque de sécurité de ces services or il est difficile d’affirmer qu’un système n’est pas sécurisé. Bien souvent les utilisateurs n’ont pas mis en place les éléments de sécurité qui étaient à leur disposition. » Ainsi l’expert souligne que la campagne de bashing dont il estime que Zoom a été victime a été initiée par la capture écran de la conférence Zoom du gouvernement britannique postée par Boris Johnson. On pouvait lire à l’écran l’identifiant de la conférence et cette conférence n’était pas protégée. « Il n’est pas vrai de dire que Zoom n’est pas sécurisé. Le service fournit énormément d’éléments de sécurité. Avant la crise, ces éléments étaient dans les paramétrages avancés du service, mais il était déjà possible de mettre un mot de passe, de limiter les accès à des gens authentifiés, etc. Il y a eu ce phénomène de bashing sur Zoom, mais les autres services présentent exactement les mêmes caractéristiques qui ne peuvent pas être qualifiées de failles de sécurité. »
Des failles autrement plus sérieuses dans les outils de gestion à distance des serveurs
L’expert pointe des failles autrement plus sérieuses dans les outils de gestion à distance des serveurs mis en place par les équipes Ops en catastrophe avant le confinement. De même, certains usages du Cloud ne sont pas suffisamment sécurisés avec des applications internes qui ont été basculées vers le Cloud public en toute hâte. « Il s’agit par définition d’applications sensibles qui ont été basculées dans le Cloud sans véritablement prendre le temps de prendre en compte les problématiques de sécurité. Enfin, le Cloud public fait planer un sentiment de fausse sécurité. Dans le concept de responsabilité partagée, le fournisseur d’infrastructures Cloud garantit la disponibilité, l’accessibilité de ses services, il doit aussi fournir des éléments de sécurisation, comme le filtrage des connexions, des services d’authentification. Ce qui est souvent mal compris des DSI, c’est que la sécurisation des composants applicatifs reste de la responsabilité des entreprises, car chaque application à des contraintes différentes et chaque entreprise a des mécanismes d’authentification différents. » Les applications peu sécurisées qui étaient auparavant protégées par plusieurs lignes de firewall se retrouvent facilement accessibles via le Web, ce qui, selon Renaud Bidou, a entraîné une recrudescence des vols d’information.
Les applications peu sécurisées qui étaient auparavant protégées par plusieurs lignes de firewall se retrouvent facilement accessibles via le Web, ce qui entraîne une recrudescence des vols d’informations
Le secteur de la santé est devenu la priorité n°1 des attaquants
Mesure encore plus inquiétante, le système de santé est au cœur de ce maelstrom de nouvelles attaques : le taux d’incidents touchant un établissement de santé qui a été pris en charge par l’équipe de réponse à incident européenne de Trend Micro est passé de 5 % en moyenne en 2019 à 50 % en mars 2020 ! Les attaquants concentrent aujourd’hui leurs efforts pour paralyser ou faire tomber les systèmes informatiques des hôpitaux ou d’organisations liées à la santé telles que l’OMS afin de leur soutirer de grosses rançons. L’expert en cybersécurité ajoute : « Les attaques sur le secteur médical sont certainement les plus préoccupantes aujourd’hui car notre survie ne tient qu’à l’efficacité des professionnels de santé et le secteur est devenu la cible numéro 1 pour tous les types de menaces. » Les ransomwares capables de bloquer le système d’information restent une menace extrêmement aigüe pour les hôpitaux étant donné le niveau de charge des équipes. Ces établissements peuvent aussi être victimes de vols de données ou même de vols de matériels. On trouve ainsi des masques FFP2 ou même des respirateurs en vente sur le Dark Web.
« Le secteur de la santé est devenu la priorité numéro 1 pour les attaquants car c’est celui où il est possible de gagner le plus d’argent. Une rançon peut se chiffrer à plusieurs millions de dollars si l’attaquant parvient à bloquer le système d’information d’un centre hospitalier. C’est aussi le cas d’une attaque par déni de service qui réussit », Renaud Bidou
Trend Research a récemment observé des attaques par déni de service afin de bloquer les communications des établissements de santé. « C’est du jamais vu » s’indigne Renaud Bidou. « Cela n’aurait pas vraiment de sens en dehors d’une crise sanitaire telle que nous la connaissons. La crise est longue et les équipes doivent assurer la permanence du système d’information en 24/7. L’information doit pouvoir circuler rapidement et le déni de service est soudainement devenu un vecteur d’attaque pertinent pour les attaquants. » En outre, ces établissements font face à une augmentation considérable des événements de sécurité si bien que les équipes en charge de la sécurité et de la réponse à incident sont rapidement saturées face à cette charge des attaques.
Auteur : Alain Clapaud
