Vu d’Israël. Dans le monde, des cyberattaques phénoménales et sans précédent.

Microsoft Exchange : plus de 60 000 entreprises utilisatrices victimes d’une attaque zero-day

Microsoft Exchange Server, le serveur de messagerie électronique de Microsoft, utilisé par de nombreuses entreprises et organisations à travers le monde, comportait plusieurs failles zero-day qui ont pu être exploitées par des cybercriminels. Les failles zero-day sont des défauts, présents dans les logiciels, qui viennent d’être découverts et non encore patchés. Ces failles permettent aux hackers, pendant cette fenêtre de temps critique, d’exploiter des vulnérabilités dans la sécurité du logiciel et de mener des attaques dites “zero-day”.

En 2021, un groupe de pirates chinois baptisé Hafnium a utilisé les failles zero-day de Microsoft Exchange pour prendre possession de l’intégralité de leur messagerie. Plus de 60 000 entreprises³ ont été touchées, dont 30 000 aux États-Unis. Cette cyberattaque est particulièrement critique, car en accédant aux ressources de la messagerie d’une entreprise, les cybercriminels peuvent accéder, en plus d’informations sensibles, aux identifiants et aux mots de passe des collaborateurs pour élargir ensuite le périmètre de l’attaque.

“Une attaque basée sur un “zero-day” peut devenir tragique pour une entreprise. Le principal risque est la diffusion de la vulnérabilité, sur les réseaux de pirates, avant la publication de l’éditeur concerné. Cela permettrait au cybercriminel d’exploiter la faille parfois pendant de nombreuses semaines avant l’élaboration du patch. Par ce biais, certaines données sensibles et confidentielles peuvent être divulguées ou exploitées à des fins mercantiles.

Face à ce type d’attaque, 3 grandes réponses existent :

● Des scans de vulnérabilité : ce sont des logiciels qui vont scanner et analyser le réseau ou le système à la recherche de faiblesses de sécurité.

● Des sondes de détection et de prévention (“IPS : Intrusion Prevention System”) : elles détectent l’exploitation d’une faille par un pirate en surveillant le trafic du réseau interne par exemple.

● Le “Security Operation Center” : c’est une véritable tour de contrôle. Elle récupère toutes sortes d’événements en provenance du SI et des systèmes de sécurité installés par l’entreprise, pour détecter des comportements anormaux. Si elle en détecte, elle lance l’alerte immédiatement pour réduire le délai d’intervention.”

Amazon Web Services, la plus grande attaque par déni de service distribuée (DDoS)

Une attaque par déni de service a pour but de surcharger un réseau ou une cible afin d’entraver son bon fonctionnement. Concrètement, les attaques DDoS envoient souvent des milliers de requêtes sur un même site web, par exemple, pour submerger son infrastructure et le rendre inaccessible depuis Internet.

Amazon Web Services, division d’Amazon dédiée aux services de cloud computing pour les entreprises et particuliers, a subi en février 2020 une attaque DDoS sans précédent. Cette attaque a été menée pendant 3 jours de manière ininterrompue, enregistrant un volume record de 2,3 Térabits par seconde. Malgré tout, AWS a été capable d’encaisser sans connaître de dysfonctionnements majeurs.

“Les DDoS visent souvent les e-commerçants et les fournisseurs de service en ligne et la non-disponibilité de leur site web ou application engendre directement des pertes financières.

Cette attaque est la plus grosse attaque DDoS jamais enregistrée, avec un volume de surcharge inédit, on parle de “téra-attaque”. Pour anticiper ce type d’attaque dites Volumétriques,, il est nécessaire de protéger en amont ses accès internet par des solutions hébergées au cœur du réseau FAI (Fournisseur d’Accès Internet) ou d’installer dans le cloud une solution de redirection pour nettoyer et supprimer le trafic indésirable. En complément, mettre en place un équipement dédié à la lutte DDoS ou devant ses serveurs exposés et critiques, est aussi très recommandé contre une famille d’attaque DDoS spécialisées contre les applications.”

Meow : une cyberattaque qui supprime des banques de données

En 2020, une série de cyberattaques baptisée “Meow” a supprimé plusieurs banques de données, partout dans le monde. Ces banques de données avaient plusieurs points communs : elles étaient stockées dans le cloud, mal configurées, et dénuées de mesure de protection. Les entreprises victimes de ces attaques, ont tout simplement perdu l’intégralité de leurs données hébergées dans le cloud.

Le groupe de hackers, à l’origine de ces attaques, n’a jamais envoyé de demandes de rançon à ses victimes. La seule trace visible de leur passage était la suppression pure et simple des données non protégées et une signature, le mot “meow”. Plusieurs chercheurs en cybersécurité y ont vu une manière de dénoncer et de punir les manquements des entreprises en matière de cybersécurité de leurs actifs dans le Cloud. Il existe en effet de nombreuses solutions adaptées aux spécificités du Cloud pour protéger les données et les applications qui s’y trouvent.

“Les données présentes dans le cloud sont souvent moins maîtrisées que celles hébergées dans ses data-center. Aujourd’hui, des systèmes tels que le Cloud Access Security Broker (CASB) vont surveiller les configurations des applications SAAS et remonter un rapport d’alerte à l’administrateur et/ou utilisateur qui sont souvent à l’origine de l’attaque. On cite souvent l’exemple de l’espace de partage Cloud ouvert à tout public par mégarde et contenant des documents sensibles et se mettant à s’y voir déposer des malwares”.

Acer, victime d’une attaque par ransomwares inédite avec 50 millions de dollars de rançon

Un ransomware (ou rançongiciel) est un programme malveillant et dévastateur, souvent dissimulé dans une pièce jointe, qui chiffre les données stratégiques d’une entreprise, les rendant ainsi inutilisables. Dans le cas de ce type d’attaque, le but des cybercriminels est d’effectuer une demande de rançon pour fournir la clef de déchiffrement.

En 2021, le fabricant informatique Acer a été victime d’un rançongiciel pour lequel il s’est vu demander par les hackers la somme record de 50 millions de dollars en échange de la restitution de ses données. Ceux-ci menaçaient notamment de faire fuiter des informations sensibles, comme des documents financiers de ses filiales en Australie, Malaisie, Vietnam, Indonésie, Singapour, USA, Inde, Philippines et au Japon. Si Acer a émis aux hackers une contre-proposition à hauteur de 10 millions de dollars, la finalité de la négociation n’a pas été rendue publique à ce jour.

“Au-delà des conséquences dramatiques de pertes de données, d’indisponibilité ou de paiement de rançon (qui n’est jamais recommandé), l’entreprise s’expose à une sanction liée aux données personnelles volées ou divulguées. En effet, la CNIL peut contrôler et sanctionner l’entreprise dans le cadre du Règlement Général sur la Protection des Données (RGPD) en raison de la violation de ces informations sensibles.”

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a observé une hausse considérable des attaques par rançongiciel contre les organisations françaises : +255 % en 2020 par rapport à 2019.

“Une attaque par ransomware provient de plus en plus souvent d’un poste de travail (clic d’un lien ou document infecté, connexion à un serveur wifi non protégé …). On se concentre de plus en plus autour de solutions autour du poste de travail, qui est bien plus exposé aux risques avec l’avènement du télétravail généralisé. Par exemple, un “Endpoint Detection and Response” (EDR) associé à un Next Gen SOC (“Security Operation Center automatisé”) permettrait d’anticiper, de détecter et d’agir rapidement contre les attaques sur les postes de travail, serveurs et appareils mobiles.”

Sefri-Cime : une arnaque au président colossale

En matière de cybersécurité, l’email est souvent le point faible des entreprises. Les cyberattaques par email, de plus en plus perfectionnées, consistent souvent à usurper l’identité d’un tiers ou à envoyer une pièce jointe ou un lien infecté. L’arnaque au président est une attaque qui consiste à se faire passer pour un dirigeant afin de demander des ordres de virement vers un faux compte.

Le promoteur immobilier Sefri-Cime, promoteur immobilier, a subi une arnaque au président de grande ampleur. Une comptable a en effet reçu des emails d’un cybercriminel se faisant passer pour son dirigeant, qui lui demandait d’effectuer discrètement des opérations bancaires en vue d’une prochaine introduction en bourse. Un deuxième escroc, se faisant passer pour un avocat de la société KPMG, a également demandé des virements bancaires à cette même personne. Au total, 33 millions d’euros ont ainsi été détournés par les cybercriminels, un montant record en France.

“Si la sensibilisation des collaborateurs joue un rôle essentiel dans la détection des emails malveillants, il existe des solutions performantes pour se protéger de ce vecteur d’attaque. Par exemple, des programmes analysent et filtrent les emails pour lutter contre les malwares (logiciels nuisibles). Ils scannent également leur contenu (texte et images) et évaluent en temps réel la sécurité de chaque URL contenu afin d’éviter le phishing. Certaines solutions s’appuient sur le machine learning pour confirmer l’identité de l’envoyeur et éviter les impostures”.

Résultat : les responsables sont amenés à colmater les brèches avec des briques de sécurité assemblées à la manière d’un patchwork… rendant de plus en plus difficile la gestion du réseau.