2021: l'année qui va renverser la vapeur !

Trend Micro s'est livré au petit jeu des prédictions pour 2021 et le tableau n'est pas réjouissant pour les professionnels de l'informatique !

Dans son rapport "Turning the Tide" (Renverser la vapeur!), Trend Micro, l'éditeur de solutions de sécurité, livre ses prédictions pour 2021 après avoir recueilli l'avis de 500 responsables informatiques (CSO, CIO, CTO). Les réponses ne rassurent pas sur l'avenir des carrières de ces professionnels. Ainsi 41 % pensent que leur job sera remplacé par de l'intelligence artificielle d'ici 2030. Seulement 9 % sont convaincus du contraire. 32 % estiment que cette technologie permettra d'automatiser totalement la cybersécurité avec un recours restreint à l'intervention humaine. 19 % pensent que les attaquants vont utiliser l'Intelligence artificielle pour améliorer leur arsenal d'ici 2025. Bref un petit écart de quatre ans entre le canon et la cuirasse!

Un quart (24 %) voit les accès aux données liés à la biométrie ou une reconnaissance par ADN. Ils prédisent de plus que les entreprises vont largement alléger leurs investissements immobiliers alors que le travail à distance ou le télétravail devient la nouvelle norme. La 5G va transformer les infrastructures réseaux et la sécurité (21 %). Cette dernière sera plus automatisée et deviendra autonome.

En attendant le rapport conseille aux entreprises des remèdes assez classiques de formation et de surveillance permanente avec le maintien d'un contrôle strict des accès à la fois au réseau de l'entreprise mais aussi pour le réseau du travailleur distant en s'appuyant sur des stratégies Zero Trust. Un point spécifique est fait sur la sensibilisation et la formation des salariés sur la cybersécurité. Les professionnels de l'IT ont certainement plus d'imagination sur leur futur que sur les solutions qu'ils peuvent apporter dans la cybersécurité

Les Français plus enclins à recourir à la police en cas de cyber malveillance

Selon une étude de Prolifics Testing, sur la base des données de la Commission européenne, les citoyens français sont enclins à contacter la police lors qu'ils sont victimes d'une attaque cyber.

A partir des données de la Commission européenne, Prolific Testing a analysé la réaction de 1018 citoyens français victimes de cyber-crimes. Selon les types de crimes, ils réagissent assez différemment. En cas de vol d'identité ou de données, ils sont 77 % à contacter la police. 66 % contactent les forces de l'ordre en cas de fraude bancaire mais seulement 51 % ont ce réflexe en cas de rançongiciels. Ils contactent encore la police en cas de phishing (28 %) ou lorsque leur boîte mail ou leur compte de réseau social a été compromis (26 %). Ils ne sont plus que 17 % lorsqu'ils découvrent un logiciel malicieux sur leur PC ou tablette.

En cas de déni de service d'un vendeur ou d'un service auquel ils sont abonnés, les utilisateurs pour un tiers contactent directement l'entreprise. Ils sont un sur deux lorsque l'article acheté en ligne n'est pas livré ou ne correspond pas à leur commande ou à ce qui était proposé sur le site.

What action would French citizens take if victim to these cyber-crimes?
Cyber CrimePrimary Action% That Would Take this Action
Identity theft (i.e. stealing personal data)Contact the police77%
Online banking fraudContact the police66%
Being asked for payment to get back control of deviceContact the police51%
Purchased online goods not delivered, counterfeit or not as advertisedContact the website or vendor47%
Cyber attacks which prevent access to online services (e.g. banking etc.)Contact the website or vendor31%
Fraudulent emails requesting personal details (e.g. account logins, payment information etc.)Contact the police28%
Email or social network account being hackedContact the police26%
Discovering malicious software on deviceContact the police17%
Les actions choisies par les citoyens français en cas de crimes cyber.

Pas de trêve des confiseurs pour les hackers

Les cybercriminels ne prennent pas de vacances et le secteur public a été particulièrement touché lors de la période des fêtes. Ainsi la compromission de l'autorité vietnamienne de certification a permis une attaque à plus large échelle par rebond. Plus proche de nous, le Père Noël n'a pas pu protéger le parlement finlandais d'un cyberespionnage en règle. La cybercriminalité ne dort jamais. Entre Noël et le Nouvel An, au moins deux cyberattaques majeures ont été détectées, l'une visant le parlement finlandais, l'autre l'autorité de certification vietnamienne. Dans le cas du VGCA, ou Vietnam government certification authority, ESET a mis au jour une attaque visant l'institution. Le site web de l'autorité a ainsi été compromis dans le courant de l'été, les attaquants en profitant pour injecter un malware dans plusieurs des applications proposées par la VGCA.  Car en plus de délivrer des certificats électroniques, l'organisme gouvernemental vietnamien fournit toute une suite d'applications permettant à l'utilisateur final d'apposer sa signature électronique sur un document. Ce sont deux de ces outils, dans leur version Windows, qui ont été ciblés par les attaquants, qui semblent avoir procédé par rebonds. En d'autres termes, l'attaque de la VGCA n'était qu'une première étape : ESET explique que le malware en question, de conception relativement simple, sert surtout de porte dérobée, surnommée PhantomNet par les chercheurs, et de relais à d'autres programmes malveillants, embarquant l'outil tristement célèbre Mimikatz et permettant par exemple de "récupérer la configuration du proxy de la victime et l’utiliser pour contacter le serveur de commande et de contrôle (C&C)".  Pour l'entreprise de cybersecurité, "cela montre que les cibles sont susceptibles de travailler dans un réseau d'entreprise".  Mais ESET n'a pas été en mesure de trouver des données quant au but des attaquants ou au nombre de victimes. Informée, la VGCA avait déjà connaissance de l'intrusion et a mis en oeuvre des mesures correctives. 
Espionnage en Finlande, paralysie à La Rochelle
Du côté de la Finlande, c'est en début de semaine que le Parlement a annoncé avoir été victime d'une attaque. Les pirates visaient ici les comptes email de certains élus. L'intrusion, qui n'a rien d'accidentelle selon la police finlandaise, a eu lieu cet automne, mais n'a été repérée qu'en décembre.  Un autre pays scandinaves, la Norvège, a lui aussi été touché par une attaque similaire cet automne mais, si la Finlande explique mener l'enquête en coopération internationale, elle ne fait pas le lien avec l'attaque dont son voisin a été victime. Dans le cas finlandais, des informations ont été dérobées sans que la police ne divulgue le nombre de membres du Parlement concernés. Si ces attaques ont eu lieu bien avant la période des fêtes, et si ce sont surtout les autorités et les chercheurs en cybersecurité qui n'ont pas pris de vacances, les méchants eux aussi sont actifs en cette fin d'année 2020. S'en veut la preuve la paralysie des services administratifs de la ville de la Rochelle, comme le rapporte Sud-Ouest.  L'agglomération rochelaise est victime depuis au moins dimanche d'une cyberattaque très probablement un cryptolocker. "Les deux serveurs ont été fermés à titre préventif. Les boîtes mails des deux collectivités sont également fermées" explique la collectivité dans un communiqué qui ajoute que "les équipes sont toutes mobilisées depuis la détection du problème pour sécuriser les données".
Des hôpitaux et EHPAD visés
De même, le Centre hospitalier Albertville-Moûtiers, en Savoie, a été victime lundi 21 décembre d'un ransomware qui a mis en panne "un certain nombre d'équipements, de serveurs, de logiciels, ainsi qu'une partie du réseau informatique" selon le communiqué émis par l'hôpital. Deux EHPAD associés au CHAM ont également été affectés par cette attaque, tandis que les liaisons avec l'hôpital de Chambéry, qui partage sa direction avec son voisin d'Albertville, ont été coupées par mesure de précaution. Si l'ensemble du réseau informatique du CHAM a été mis à l'arrêt, empêchant l'accès aux dossiers médicaux dématérialisés des patients, les blocs opératoires et leurs matériels fonctionnent normalement.  Quelques jours avant, c'est l'hôpital de Narbonne qui était victime d'une cyberattaque. Ici, point de ransomware mais une tentative de cryptojacking. "Cette cyberattaque voulait utiliser nos serveurs pour créer de la cryptomonnaie" indique à L'Indépendant Richard Barthes, le directeur du centre hospitalier. Mais dans sa tentative de limiter l'intrusion, l'hôpital a dû fermer une partie de son système informatique, coupant les accès Internet et vers l'extérieur. 

Palantir membre de Gaia-X

La sulfureuse société américaine est devenue l’un des membres Day 1 de l’initiative européenne, qui l’est de moins en moins quand bien même Palantir ne lésine pas sur les efforts d’explications pour justifier son adhésion à Gaia-X. 

Gaia-X semble de moins en moins Européen ! Malgré les volontés affichées par les exécutifs français et allemand de construire une infrastructure de données européenne, malgré OVH et Deutsche Telekom qui en sont le fer de lance, le projet ne manque pas d’interroger quant à la “souveraineté” dont il se veut l’étendard. Surtout avec l’adhésion de géants qui n’ont rien d’Européen, à l’instar des Américains Salesforce, Google Cloud, AWS ou Microsoft, ou des Chinois Alibaba Cloud et Huawei, confrontés sur le terrain des réseaux à l’hostilité des autorités européennes. 

Autant d’entreprises accueillies à bras ouverts dont pourtant les pratiques de leurs États respectifs quant aux données des utilisateurs européens mécontentent sur le Vieux Continent. Les inquiétudes relatives au FISA ou encore au Cloud Act ont ainsi mené à l’annulation du Privacy Shield ou encore à la remise en cause de l’hébergement du HDH français sur Azure. Or une dernière annonce d’adhésion à Gaia-X a fait réagir les défenseurs de l’idée d’une souveraineté numérique européenne : celle de Palantir. 

Justifications

L’entreprise américaine spécialisée dans l’analyse de données, financée par le renseignement US et ô combien controversée, indique ainsi avoir rejoint l’initiative européenne en tant que “Day 1 Member”. Et en explique les raisons dans un long post sur Medium. “Il est raisonnable de se demander pourquoi une entreprise comme Palantir Technologies, fondée dans la Silicon Valley et dont le siège social mondial est à Denver, Colorado, devrait considérer sa participation au projet comme importante, appropriée et conforme aux objectifs déclarés de promotion de la souveraineté et de la disponibilité des données en Europe” attaquent d’emblée Harkirat Singh, responsable technique de Palantir installé à Londres, et Robert Fink, ingénieur basé à Munich.

En plus de 17 ans de travail dans certains des environnements de données les plus sensibles au monde, nous avons acquis une compréhension de la manière dont des solutions technologiques complexes peuvent et doivent être entrelacées avec la gouvernance des données plus large et les contextes normatifs dans lesquels la technologie doit fonctionner. C'est précisément le point fort de notre expérience et de notre expertise, que nous espérons apporter à GAIA-X et aux écosystèmes de données européens au cours des prochaines années. C’est pourquoi nous avons décidé de rejoindre GAIA-X. Palantir

L’œil de Sauron 

Très bonne question, en effet. Les deux salariés de Palantir justifient cette adhésion par l’adéquation entre les défis que Gaia-X entend relever et les activités de l’entreprise : “les valeurs au cœur du projet GAIA-X sont, en effet, au cœur de notre propre mission en tant qu'entreprise : la protection des données, la sécurité des données et la souveraineté numérique des institutions que nous soutenons et des groupes qu'elles servent” écrivent Harkirat Singh et Robert Fink. “Certains peuvent à nouveau voir une contradiction entre coopération d'une part et sécurité d'autre part, entre souveraineté et disponibilité des données. La tâche pour nous, informaticiens et ingénieurs en logiciel, est de réfuter cette dichotomie. Pour nous, cette perspective est à la fois une opportunité de tirer parti de nos investissements en ingénierie à ce jour et un formidable défi pour les années à venir” concluent-ils.

Ce qui ne répond pas in fine à la dichotomie entre entreprise américaine et initiative européenne, et accessoirement entre ambitions de souveraineté et liens avec le renseignement. Surtout, outre Palantir, l’adhésion à Gaia-X de nombreuses sociétés non-européennes risque d’éloigner du projet certains clients potentiels à la recherche d’une solution véritablement européenne et non pas d’un imbroglio soumettant potentiellement leurs données à la surveillance américaine et chinoise. 

Ledger a-t-il minimisé l’ampleur de sa fuite de données ?

En juin dernier, le Français était victime d’un vol de données concernant ses bases e-commerce et marketing. Ce weekend, cette base a été publiée sur un forum, gratuitement et en libre accès, révélant que le nombre de personnes affectées est bien plus important que ne l’annonçait l’entreprise.

Mi-juillet, l'editeur français d'une solution de portefeuilles de cryptomonnaies, Ledger, révélait avoir été victime d'une fuite de données. Celle-ci avait eu lieu trois semaines plus tôt, lorsqu'une tierce partie non autorisée accédait à une portion de la base de données marketing et e-commerce de la plateforme, en exploitant une API apparemment défaillante. Dans sa communication, Ledger assurait que les informations personnelles dérobées contenaient un million d'adresses mail, utilisées à des fins de newsletter, ainsi que, pour 9500 clients, des informations supplémentaires telles que leurs noms, numéros de téléphone, adresses postales et produits commandés sur Ledger. Ces informations sont depuis exploitées par des cybercriminels dans le cadre de campagne de phishing. 

Mais un rebondissement vient de mettre à mal la communication officielle de l'entreprise. Dimanche, un utilisateur de forum RaidForum a mis en ligne deux fichiers, contenant des informations dérobées lors de cette attaque. Or si l'un des deux .txt contient le million d'adresses mails, l'autre comprend les informations relatives à 272 853 commandes passées sur le site de Ledger, dont 16 000 en France selon Bitcoin.fr, qui a le premier rapporté cette information. Si les doublons ne sont pas à exclure, le volume de données dérobées va bien au-delà des 9500 clients d'abord annoncés par la plateforme. 

Le CEO de Ledger, Pascal Gauthier, a pris la plume hier pour défendre l'entreprise, niant toute minimisation de l'impact de la violation de données. "Au moment de l’incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (logs) disponibles. Cet examen nous a permis de confirmer qu’environ 1 million d’adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d’informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone)" écrit-il. Il reconnaît pourtant que la base de données publiée sur RaidForum concerne environ 272 000 utilisateurs, tout en soulignant que "ces détails ne sont pas disponibles dans les logs que nous avons pu analyser". 

9500 ou 272 000 ?

Pascal Gauthier insiste en outre sur le fait que les crypto-wallets et les assets qui y sont stockés sont en sécurité et n'ont pas été compromis par le vol. Par contre, les données dérobées sont utilisées dans le cadre de campagne de phishing, Les hackers cherchant justement à mettre la main sur les informations d'authentification des utilisateurs. "Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales" martèle le CEO.

Pourtant, le responsable de la mise en ligne de la base de données semble en désaccord avec cette affirmation de Pascal Gauthier. "Vous devriez avoir honte de la manière dont vous conduisez votre business et gérez la confidentialité de vos utilisateurs" reproche-t-il à l'entreprise, dénonçant plus loin les "mensonges" de Ledger, aussi bien sûr l'ampleur de la fuite que sur son impact sur ses utilisateurs. L'auteur du post explique avoir vu sur un autre forum que la base avait été revendue pour 5 bitcoins. Il ajoute ultérieurement, après modification de la publication originale, ne pas être le premier à relayer cette base gratuitement, ni en être le propriétaire. 

Alerte sur Chrome

La semaine dernière, Google a lancé une mise à jour de son navigateur web Chrome qui corrige une série de failles de sécurité, dont quatre ont été classées comme très graves. Les vulnérabilités concernent les versions Windows, macOS et Linux du navigateur populaire.

Trois des vulnérabilités les plus graves sont des failles de type « use-after-free ». La première faille de sécurité, indexée comme CVE-2020-16037, affecte le composant presse-papiers de Chrome. La seconde, CVE-2020-16038, réside dans le composant média de Chrome. Quant à CVE-2020-16039, elle affecte plutôt le composant des extensions du navigateur. La quatrième vulnérabilité de haute gravité, appelée CVE-2020-16040, est un bug de validation de données insuffisant dans le moteur JavaScript V8.

La mise à jour corrige au total huit vulnérabilités, Google en répertoriant spécifiquement six, dont les correctifs ont été apportés par des chercheurs externes. Outre les quatre bugs de haute gravité mentionnés précédemment, le géant technologique a également révélé deux autres failles, toutes deux classées comme de gravité moyenne. La version 87.0.4280.88 de Chrome pour Windows, Mac et Linux corrige les vulnérabilités qu’un attaquant pourrait exploiter pour prendre le contrôle d’un système affecté. Si les mises à jour automatiques sont activées, votre navigateur devrait se mettre à jour tout seul. Vous pouvez également mettre à jour manuellement votre navigateur en vous rendant dans la section « À propos » de Google Chrome, qui se trouve dans la barre de menu sous Aide.

La Commission présente son projet de cybersécurité

Margaritis Schinas, vice-président de la Commission européenne, et Thierry Breton, commissaire au Marché intérieur, ont dévoilé les grandes lignes de la future politique européenne en matière de cybersécurité, politique qui s’appuiera en grande partie sur la directive NIS, dont la révision a été présentée mercredi. 

L’UE est sur le front du numérique. Dans la foulée de la présentation de ses Digital Services Act et Digital Markets Act, la Commission européenne prépare sa nouvelle politique en matière de cybersécurité. Ou plus exactement la mise à jour de la stratégie actuelle. Dans une tribune publiée dans Sud-Ouest, Thierry Breton, commissaire au Marché intérieur, et Margaritis Schinas, vice-président de la Commission européenne, livrent leur vision de ce que doit être l’Europe de la cybersécurité, estimant tout d’abord que l’UE “a toujours été à la pointe de la cybersécurité : c’est le premier endroit dans le monde où 27 pays ont convenu ensemble d’une approche commune, d’un cadre réglementaire pour la cybersécurité, dite directive NIS, et même d’un plan directeur de riposte aux cyberattaques de grande ampleur en Europe”.

Toutefois, face à des menaces qui gagnent en puissance, notamment lors de la pandémie qui a vu les attaques contre les établissements de santé, les laboratoires et les organismes européens se multiplier, les deux Commissaires considèrent que l’Europe se doit de “renforcer ses moyens technologiques, opérationnels et politiques lui permettant de faire face à une cyberattaque d’ampleur” et appellent à la mise en place d’un cyberbouclier, lequel s’incarne dans la stratégie européenne dévoilée mercredi. 

Refonte de NIS

Celle-ci se concentre sur la révision de la directive NIS de 2016, qui a entre autres défini et harmonisé les obligations en termes de cybersécurité qui s’imposent aux opérateurs de services essentiels, équivalents européens de nos opérateurs d’importance vitale, les fameux OIV. NIS2 prévoit ainsi des mesures de surveillance plus strictes ainsi que des nouvelles sanctions administratives qui tomberaient en cas de  manquement aux obligations de gestion des risques de cybersécurité et de déclaration, tandis que le champ des opérateurs essentiels est élargi à huit nouvelles catégories d’acteurs incluant les services postaux ou encore l’industrie pharmaceutique. “Nous proposons donc d’étendre et de renforcer les obligations des acteurs économiques autour de règles communes et harmonisées, en particulier pour assurer la sécurisation des chaînes de valeurs, comme celle par exemple de la fabrication des vaccins, des centres de données, ou des entreprises de télécoms” souligne le duo de commissaires. 

Globalement, la refonte de la directive comprend des “exigences de sécurité renforcées avec une liste de mesures ciblées comprenant la réponse aux incidents et la gestion des crises, la gestion et la divulgation des vulnérabilités, les tests de cybersécurité et l'utilisation efficace du chiffrement” ainsi que la sécurisation des supply chains et de nouvelles obligations quant aux rapports d’incidents. Et, surtout, la direction d’une entreprise sera tenue pour responsable du respect des obligations de mise en place de mesures de gestion des risques.

Réseaux et coordination 

En résumé, un tour de boulon dans le sens d’une responsabilisation des entreprises quant aux enjeux de cybersécurité. Outre NIS2, Margaritis Schinas et Thierry Breton insistent sur le rôle que l’intelligence artificielle doit jouer dans la détection en amont d’une attaque des signaux faibles, fixant un objectif : réduire à quelques minutes le temps de détection d’une intrusion. Ce pourquoi l’UE lancera “un réseau européen de centres opérationnels interconnectés (SOC)”, ou “gardes-frontières cyber” selon les commissaires. 

Enfin tous deux appellent au renforcement de la coopération opérationnelle au niveau européen, déplorant des États qui avancent en ordre dispersé. Si l’Enisa est en charge de l’accompagnement des États sur les questions de cybersécurité, la directive NIS2 compte également s’appuyer sur la mise en place prochaine de CyClone, réseau des agences de cybersécurité européennes, qui aura pour mission de “soutenir la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle au niveau de l'UE”. 

L’agence européenne du médicament piratée

L’EMA, ou European Medecines Agency, a été victime d’une cyberattaque, révélée le 9 décembre. Il ne s’agit que de la dernière attaque en date contre une agence de santé ou un laboratoire, alors que les campagnes de vaccination débutent partout dans le monde. Ni BioNTech ni Pfizer n’ont été directement impactés, mais les attaquant sont toutefois eu accès aux documents relatifs au vaccin qu’ils ont élaboré. 

Après AstraZeneca ou encore l’OMS, c’est au tour de l’Agence européenne du médicament d'être victime d’une cyberattaque. Dans un court communiqué en date de 9 décembre, l’EMA annonce avoir “fait l'objet d'une cyberattaque” et signale ouvrir une enquête mais ne pas être en mesure de fournir des détails supplémentaires pendant la durée des investigations . 

Faute d’informations, les conjectures vont bon train, accompagnées de l’habituelle valse des attributions. La Corée du Nord, également suspectée d’être derrière l’attaque contre AstraZeneca, et la Russie sont au banc des accusés, quoique personne ne soit pour l’heure en mesure de fournir la moindre preuve incriminante. Force est toutefois de constater que les recherches autour des vaccins contre le Covid-19 intéressent les hackers et sont devenus un sujet géopolitique. 

Haro sur les vaccins

L’attaque contre l’EMA a donc pu faire craindre le pire notamment quant au vaccin développé par BioNTech et Pfizer. Ceux-ci n’ont pas été directement impactés par l’attaque, en ce que les attaquants n’ont pas accédé par rebond aux systèmes d’information du laboratoire et de la biotech. 

Cependant, cette dernière indique dans un communiqué que “certains documents relatifs à la soumission réglementaire pour le candidat vaccin COVID-19 de BioNTech et de Pfizer, BNT162b2, qui étaient stockés sur un serveur EMA, ont été illégalement consultés”. BioNTech ne précise pas la nature des données auxquelles les attaquants ont eu accès mais ajoute ne pas avoir connaissance de l’identification des participants à l’étude clinique à travers les informations compromises. 

FireEye attaqué

Le spécialiste de la cybersécurité a été récemment victime d'une attaque. L'entreprise est avare en détails techniques, mais assure que les attaquants sont certainement soutenus par un Etat, en ce que leur intrusion était particulièrement sophistiquée, utilisant des techniques inédites. 

Les cyberattaques frappent sans distinction administrations, entreprises, particuliers... et même les spécialistes de la cybersécurité. FireEye vient d’en faire l’amère expérience. La société américaine a en effet été victime d’une attaque. Et malgré une communication abondante de FireEye sur le sujet, on n’en sait que très peu sur les attaquants, leurs méthodes et leurs buts. Ni même la date exacte de l’intrusion. 

Le patron de FireEye, Kevin Mandia, a pris la plume mardi pour signaler que “récemment, nous avons été attaqués par un acteur hautement sophistiqué”. De l’attaquant, le CEO explique qu’il est très certainement soutenu par un Etat. 

Sur la base de mes 25 années en cybersécurité et en réponse aux incidents, j’ai conclu que nous assistons à une attaque de la part d’un pays doté de capacités offensives de haut niveau. Cette attaque est différente des dizaines de milliers d'incidents auxquels nous avons répondu au fil des ans. Les attaquants ont adapté leurs capacités spécifiquement pour cibler et attaquer FireEye. Ils sont hautement qualifiés en sécurité opérationnelle et ont exécuté leur attaque avec discipline et concentration. Ils ont opéré clandestinement, en utilisant des méthodes qui contrecarrent les outils de sécurité et les examens forensic. Ils ont utilisé une nouvelle combinaison de techniques dont nous ou nos partenaires n’avons pas été témoins dans le passé. Kevin Mandia CEO de FireEye

Les attaquants, dont FireEye ne détaille pas comment ils se sont introduits dans les systèmes de la société, ont mis la main sur un certain nombre d’outils développés par FireEye pour effectuer des tests d’intrusion, dits “Red Team” (par opposition à Blue Team qui, dans ce genre d’exercice, désigne les défenseurs). “Ces outils imitent le comportement de nombreux acteurs de la menace cyber et permettent à FireEye de fournir des services  de diagnostic de sécurité essentiels à nos clients” ajoute l’entreprise.

Le chasseur chassé

Ainsi, on trouve parmi les programmes dérobés des scripts basiques destinés à automatiser certaines tâches, jusqu’à des frameworks complets. On ne pourra immédiatement s’empêcher de penser au vol d’outils à la NSA en 2016, outils dont les failles qu’ils exploitaient seront par la suite réutilisées pour WannaCry. Toutefois FireEye minimise la portée de cette attaque, soulignant qu’une partie des programmes dans les mains des attaquants sont open source, et qu’aucun ne contient de failles zero day. 

L’expert en cybersécurité ajoute ne pas penser que “ce vol améliorera considérablement les capacités globales de l'attaquant” et n’a pas repéré d’utilisation de ses outils à des fins malveillantes jusqu’à présent, suggérant que l’intrusion n’est peut-être pas si récente. Il précise avoir déployé “des centaines” de contre-mesures afin d’atténuer les risques d’exploitation des programmes volés. Mais ces outils étaient-ils le but de l’attaquant ? FireEye compte parmi ses clients de grandes entreprises et des agences gouvernementales, dont les données seraient précieuses pour un acteur “state-sponsored”. 

Bien que l'attaquant ait pu accéder à certains de nos systèmes internes, à ce stade de notre enquête, nous n'avons vu aucune preuve que l'attaquant a exfiltré les données de nos systèmes principaux qui stockent les informations client de notre réponse aux incidents ou de nos missions de conseil, ou les métadonnées collectées par nos produits dans nos systèmes dynamiques de renseignement sur les menaces” assure FireEye, qui précise néanmoins qu’il préviendra ses clients si jamais cette affirmation devait finalement se révéler fausse

NortonLifeLock met la main sur Avira

Ce qui reste de Symantec, rebaptisé NortonLifeLock, est encore combatif. L’entreprise annonce le rachat de l’Allemand Avira pour 360 millions de dollars, espérant pénétrer de nouveaux marchés en surfant sur le modèle freemium de sa nouvelle acquisition.  En 2019, suite au rachat de la majeure partie des actifs de Symantec par l’ogre Broadcom, le reste de l’entreprise, concentré autour de ses activités d’antivirus grand public, devenait NortonLifeLock. L’entreprise annonce aujourd’hui avoir mis la main sur son concurrent allemand, Avira, pour un montant de 360 millions de dollars.  Fondé en 1996, cet éditeur d’antivirus est aujourd’hui présent sur 30 millions de terminaux. Son adoption est favorisé par son modèle freemium, à l’instar de nombreux autres antivirus boxant dans la même catégorie (Avast, ByteDefender, AVG), Avira dénombrant 1,5 million de clients payants. Ce qui n’est guère glorieux : au début de la décennie, l’éditeur recensait 100 millions d’utilisateurs. 
NortonLifeLock s’attaque à l’Europe
Du fait des difficultés de la société allemande, son fondateur l’avait d’ailleurs revendue en avril dernier au fonds Investcorps. C’est à ce dernier que NortonLifeLock rachète Avira, une opération qui devrait être bouclée d’ici à la fin du premier trimestre 2021. «Je suis ravi d'accueillir Avira dans la famille Norton. Nous nous efforçons d'apporter la cybersécurité à tous, et l'acquisition d'Avira ajoute une activité en croissance à notre portefeuille, accélère notre croissance internationale et étend notre modèle de commercialisation avec une solution freemium de premier plan » explique Vincent Pilette, le CEO de NortonLifeLock. Ce faisant, NortonLifeLock compte s’appuyer sur cette acquisition pour accélérer sa croissance en Europe et sur les principaux marchés émergents et profiter du modèle freemium d’Avira pour toucher un plus grand nombre de clients. L’apport de la clientèle payante de l’éditeur allemand devrait d’ailleurs ajouter trois points à la croissance de Norton, anticipe l’entreprise. 

Locky : Alexander Vinnik condamné en France

Si le ressortissant russe n’a pas été reconnu coupable d’être l’instigateur du ransomware, la justice française l’a condamné pour blanchiment des fonds extorqués par le biais de Locky. Alexander Vinnick est toujours sous le coup de deux procédures d’extradition, une de la Russie et l’autre des États-Unis. 

Locky avait fait les gros titres en 2016, avant de se faire discret puis de revenir en force l’année suivante, ciblant tout particulièrement des entreprises françaises. Ce ransomware n’opère désormais plus, mais il continue de faire l’objet d’une bataille féroce entre juridiction. L’un des suspects, l’homme d’affaires russe Alexander Vinnik, avait été arrêté en Grèce en juillet 2017. Il fait alors l’objet d’une enquête pilotée par Europol, ainsi que d’un mandat d’arrêt de la justice américaine. 

Alexander Vinnik était accusé d’opérer BTC-e, une plateforme d’échanges de cryptomonnaies utilisée pour blanchir les sommes extorquées par Locky. Son procès vient de s’achever en France. Pour l’accusation, il est non seulement derrière BTC-e, mais aussi à l’origine du ransomware lui-même. La procureure s’appuyait sur les informations d’Europol, qui désignaient Vinnik comme le donneur d’ordre. 

Guerre des juridictions

Les juges n’ont toutefois pas suivi cet avis, estimant que l’accusation n’avait pas fourni la preuve d’une implication directe du ressortissant russe dans l’opération du ransomware, un point que soutenait sa défense. Il est toutefois reconnu coupable de blanchiment en bande organisée et condamné à 5 ans de prison et 100 000 euros d’amende, ainsi qu’à l’acquittement de dommages et intérêts envers les parties civiles. 

Le feuilleton judiciaire semble désormais clos, du moins du côté français. Car Alexander Vinnick fait toujours l’objet d’un mandat d’arrêt et d’une demande d’extradition des autorités américaines, qui l’accusent d’être le cerveau derrière Locky. Mais la Russie demande elle aussi l’extradition de son ressortissant, accusé dans son pays natal de fraude.

3,5 millions d’emplois non pourvus dans la cybersécurité au niveau mondial en 2021

C’est le constat auquel est parvenu PWC. Le cabinet d’étude a mené une enquête au niveau mondial : il en ressort que le premier problème des dirigeants est, encore et toujours, de dénicher les compétences. En France, 61% des répondants prévoient de recruter l’année prochaine. 

C’est un marronnier pour le secteur de la cybersécurité : la pénurie de talents. Il n’est une surprise pour personne que les entreprises ont du mal à recruter. Selon une étude de PWC, 3,5 millions de postes en cybersécurité resteront non pourvus dans le monde en 2021. Plus de la moitié des  dirigeants au niveau mondial prévoient d’embaucher du personnel de cybersécurité à plein temps durant l'année à venir, et plus de 22% déclarent qu'ils vont augmenter leurs effectifs d’au moins 5%. Dans l’Hexagone, 61% des entreprises interrogées prévoient d’augmenter leurs effectifs l’année prochaine. 

Une entreprise française sur deux va d’ailleurs augmenter l’enveloppe allouée à la cybersécurité en 2021 : les budgets cyber semblent être les grands gagnants de la crise sanitaire. Avec le recours massif au télétravail et l’accroissement de la surface de menaces en résultant, les entreprises ont pris conscience de l’intérêt d’avoir une stratégie en matière de sécurité de leurs systèmes d’informations, et, selon PwC, elles cherchent à rationaliser ces politiques grâce à l’automatisation des technologies.

Moins de techno, plus d’organisation

Mais la réponse aux attaques semble aujourd’hui moins technologique qu’organisationnelle. Pour Jean-Bernard Rambaud, Associé au sein du pôle Cyber Intelligence chez PwC France et Maghreb, sous l’effet de la Covid-19, les entreprises ont repensé leurs stratégie et, “désormais moins axés sur les technologies, les responsables cybersécurité travaillent davantage en collaboration avec les équipes métiers, ce qui renforce la résilience de l’organisation dans son ensemble. La cybersécurité est une thématique de plus en plus abordée dans toutes les décisions métiers de l’entreprise”.

Conséquence : la moitié des entreprises sont davantage disposées à mettre de la cyber dans chacune de leurs décisions opérationnelles. Elles n’étaient qu’un quart l’an dernier. De même, 51% des dirigeants interrogés veulent davantage échanger de manière fréquente avec leur responsable de la sécurité des systèmes informatiques. Côté français, 40% des répondants observent que la crise sanitaire a intensifié les interactions entre les équipes de sécurité et les dirigeants ou les conseils d'administration. Bilan de ce “shift” organisationnel, les trois quarts des entreprises considèrent avoir progressé dans leur manière de répondre aux incidents.