XY Magazine

La cyber criminalité toujours plus forte

Listen Later

La cyber criminalité toujours plus forte. De part sa nature la cyber menace reste le principal risque. Le monde digitalisé et l’affranchissement des frontières place les systèmes numériques face à une menace toujours plus forte.

Tendances de la cyber criminalité en 2024

L’année 2024 a été marquée par une pression « omniprésente et persistante » des acteurs cybercriminels d’une part, et des acteurs « réputés liés à la Russie et à la Chine » d’autre part. Clairement l’ANSSI désigne la menace par pays.

Le nombre de signalement a augmenté de de 15% des signalements traités par rapport à 2023 (4386 signalements en 2024).

Les attaquants liés à l’écosystème cybercriminel, à la Chine et à la Russie constituent les trois principales menaces pour les systèmes d’information critiques et l’écosystème national.

C’est ici l’illustration de la guerre hybride que mènent ces pays contre les démocraties. Avec peu de moyens et à distance, ils mènent une guerre de désinformation, de perturbation.

2. Exploitation des Vulnérabilités sur les Équipements de première ligne:

Les attaquants ont largement profité des « nombreuses vulnérabilités non corrigées sur des équipements en bordure des systèmes d’information pour s’y introduire », compromettant souvent « des centaines voire des milliers d’équipements dans un temps très bref ».

Les concepteurs de structures de réseaux et de logiciels associés sont encore trop peu préoccupés de sureté.

Le CERT-FR a traité 40 dossiers de coordination de vulnérabilités en 2024, un chiffre en augmentation constante.

Plusieurs évolutions réglementaires, notamment l’adoption du Cyber Resilience Act (CRA) par l’UE en octobre 2024, visent à améliorer la sécurité des produits et la prise en compte des vulnérabilités, avec une obligation de signalement.

Ce ne sont pas les textes qui vont dissuader les cyber attaquants. Il faut avant tout disposer de mesures et contre mesures. Etre le plus souverain possible sur la maitrise des codes sources et des dispositifs.

3. Ciblage de la Chaîne d’Approvisionnement (Supply Chain) :

Les attaques visant la chaîne d’approvisionnement « pour atteindre des cibles finales d’intérêt » se poursuivent et sont en « constante expansion depuis la fin des années 2010 ».

Ces attaques peuvent cibler des logiciels (compromission d’éditeurs, ajout de code malveillant dans des projets open source comme l’attaque contre XZ Utils en 2024) ou des prestataires de services informatiques. Dans ce domaines les collectivités et services publics sont visés en priorité.

Les groupes cybercriminels exploitent également le « manque de maturité de certains prestataires de services dans leurs pratiques de sécurité ».

4. Évolution de l’Outillage et des Infrastructures d’Attaque :

  • Réseaux et infrastructures d’anonymisation : Leur utilisation se poursuit, notamment par des acteurs « réputés liés à la Chine » et, dans une moindre mesure, à la Russie. Ces réseaux complexifient l’attribution des attaques.
  • Utilisation des mêmes ressources par différents acteurs : « Des codes et des services malveillants d’origine cybercriminelle sont également utilisés par des hackers réputés étatiques. » On constate bien des échanges d’informations entre la Chine et la Russie et des groupes criminels qui agissent comme des corsaires.
  • Mercenariat et prestataires de service : Le secteur continue sa croissance, avec un écosystème diversifié incluant des entreprises privées, des mercenaires et des prestataires travaillant pour des états. La fuite de données de l’entreprise chinoise I-SOON a révélé ses liens avec plusieurs hackers réputés chinois et illustre un modèle où le ciblage peut se faire en vue d’un contrat ultérieur avec des entités gouvernementales.
  • Ciblage des appareils mobiles : Les logiciels espions fournis par des entreprises étrangères constituent une menace majeure pour l’acquisition de renseignement. Des cas d’espionnage de personnalités politiques ont été rapportés.

    • 5. Finalités des Attaques :

    • Attaques à but lucratif : Elles restent importantes, principalement via le rançongiciel et le vol de données. L’activité des groupes de rançongiciel s’est maintenue à un niveau élevé en 2024. Les attaquants ciblent de plus en plus les serveurs de stockage Cloud et les hyperviseurs. L’ANSSI a suivi 144 compromissions par rançongiciel en 2024, avec LockBit 3.0, Ransomhub et Akira comme souches les plus représentées.
    • Désorganisation de l’écosystème cybercriminel : L’année 2024 a été marquée par le démantèlement partiel de groupes majeurs comme LockBit et l’exit scam de BlackCat, entraînant une réorganisation de l’écosystème avec l’émergence de nouveaux groupes moins sophistiqués utilisant des codes sources divulgués. C’est le principe de ces groupes d’être fluides et adaptatifs.
    • Déstabilisation : On note une « hausse des attaques à finalité de déstabilisation, notamment opérées par des groupes hacktivistes. » Ces attaques ont ciblé de petites installations industrielles (énergie renouvelable, assainissement de l’eau), avec des actions ayant parfois mené à l’arrêt d’installations. Les attaques par DDoS ont connu une « intensité accrue » en 2024, ciblant des entités publiques et privées, y compris des infrastructures de télécommunications critiques comme le Réseau interministériel de l’État (RIE).
    • Espionnage : Les attaques à finalité d’espionnage restent celles qui mobilisent le plus les équipes de l’ANSSI. Les entités stratégiques sont des cibles récurrentes des acteurs étatiques. On a observé des campagnes liées à des intérêts stratégiques russes (APT28, Nobelium), chinois (Mustang Panda, RedJuliette) et iraniens (APT42) ciblant divers secteurs (gouvernemental, diplomatique, recherche, télécommunications, transport maritime). Le ciblage du secteur des télécommunications est particulièrement intense, avec l’utilisation d’outils spécifiques et des compromissions pouvant durer plusieurs années. Les compromissions d’opérateurs de télécommunications sont susceptibles de porter atteinte à la confidentialité des données échangées par les utilisateurs.

      • Conclusion :

      Le Panorama de la cybermenace 2024 de l’ANSSI dresse un tableau préoccupant d’une menace persistante et en évolution. L’augmentation des signalements, l’exploitation continue des vulnérabilités, le ciblage sophistiqué de la chaîne d’approvisionnement, la diversification des outils et des infrastructures d’attaque, ainsi que la montée des attaques à visée de déstabilisation soulignent la nécessité pour les organisations de tous secteurs de renforcer significativement leurs mesures de cybersécurité.

      Qui sont les cyber criminels qui ciblent la france

      En 2024, la France a été confrontée à la menace de divers acteurs cyber, comme le soulignent les sources :

      • L’écosystème cybercriminel : Ce groupe constitue une menace omniprésente et persistante. Les acteurs cybercriminels sont principalement motivés par le gain financier, à travers des activités telles que les attaques par rançongiciel et l’extorsion, ainsi que le vol et la fuite de données. L’ANSSI a observé un maintien à un niveau élevé de l’activité cybercriminelle en 2024. Des groupes de rançongiciels, malgré des opérations de démantèlement, restent très actifs et ciblent indistinctement la plupart des secteurs, en privilégiant les pays riches. L’utilisation d’infostealers dans les chaînes d’infection menant aux rançongiciels s’est intensifiée. De nombreuses entités françaises, publiques et privées, ont été victimes de fuites de données diffusées par ces acteurs.
      • Acteurs réputés liés à la Russie : Ces acteurs représentent également une menace persistante pour la France. Leurs activités sont souvent orientées par la recherche d’informations pouvant soutenir les efforts militaires ou diplomatiques russes, notamment dans le contexte de la guerre en Ukraine. Des modes opératoires tels qu’APT28 (associé au GRU) et Nobelium (réputé lié au SVR) ont continué à cibler des secteurs d’intérêt stratégique pour la Russie, incluant des entités gouvernementales, diplomatiques et de recherche françaises. Ces acteurs utilisent des réseaux d’anonymisation et montrent une porosité avec des outils d’origine cybercriminelle. Certains groupes hacktivistes pro-russes peuvent également être affiliés à des États.
      • Acteurs réputés liés à la Chine : Tout comme les acteurs liés à la Russie, ils constituent une menace majeure pour la France. Leurs motivations principales sont l’espionnage stratégique et économique, ciblant de larges secteurs et zones géographiques. L’utilisation de réseaux d’anonymisation est une caractéristique de ces acteurs, complexifiant leur identification et leur suivi. L’ANSSI a observé un ciblage intense du secteur des télécommunications en France par ces acteurs.
      • Groupes hacktivistes : Ces groupes, souvent motivés par des causes politiques ou idéologiques et liés à l’actualité internationale (guerre en Ukraine, conflit au Proche-Orient), ont intensifié leurs attaques à finalité de déstabilisation en 2024. Ils recourent principalement aux attaques par DDoS, à la défiguration de sites web et aux revendications d’exfiltration de données. Des tentatives de sabotage de petites installations industrielles ont également été observées. Des groupes pro-russes et pro-palestiniens ont été particulièrement actifs autour des JOP24.
      • Acteurs offensifs réputés iraniens : Ces acteurs ont été associés à des opérations d’espionnage à l’encontre de think tanks, d’organismes de recherche et d’universités françaises. Le mode opératoire APT42 a été employé pour cibler des individus et, dans une moindre mesure, des organisations considérées comme une menace pour la stabilité du régime iranien, incluant des chercheurs, journalistes et dissidents.
      • Mercenariat et prestataires de service : L’ANSSI constate le développement d’un écosystème privé au sein des États, notamment en Chine, ainsi que l’existence d’entreprises de lutte informatique offensive privée (LIOP), de mercenaires et de prestataires travaillant pour des États. Ces acteurs fournissent des outils et des services offensifs qui peuvent être utilisés par divers commanditaires, y compris des acteurs étatiques et cybercriminels, complexifiant l’attribution des attaques. Le ciblage des appareils mobiles est une des menaces majeures liées à ces acteurs, avec l’utilisation de logiciels espions.

        • Il est important de noter que l’ANSSI observe une porosité croissante entre ces différents profils d’attaquants, avec l’utilisation des mêmes outils et infrastructures par des acteurs aux motivations diverses. Cette complexité rend l’attribution des attaques de plus en plus difficile.

        Source

        Rapport ANSSI sur la menace cyber en 2024

        L’ANSSI renforce ses compétences

        The post La cyber criminalité toujours plus forte first appeared on XY Magazine.
        ...more
        View all episodesView all episodes
        Download on the App Store
        XY MagazineBy Régis BAUDOUIN