Depuis le 16 mars, Sopra Steria publie des bulletins quotidiens concernant la menace numérique en relation avec la crise du Covid-19. Ces derniers visent à fournir de la visibilité et de l’information concernant les menaces cyber en activité autour du Covid-19 pour tous types d’acteurs, quel que soit leur niveau de compétence en la matière.
Contactez-nous pour recevoir le détail de nos rapports
+ 667 % ! Telle est l’augmentation, sur le seul mois de mars 2020, du nombre d’attaques par spearphishing qui s’appuient sur le sujet du Covid-19. La crise du Covid-19 a en effet entraîné une forte hausse de la surface d’attaque cyber. En moins de 24h, près de 40 % des Français.es ont été poussé.es au télétravail obligeant les réseaux d’entreprises et domestiques à s’adapter très rapidement, parfois au détriment de leur sécurité. Hameçonnage "classique", attaque par point d’eau (watering hole), malwares, faux sites web, ransomware… Les cybercriminels, à commencer par les Advanced Persistent Threats (APT), profitent pleinement du manque de vigilance accru des internautes pour mener à bien leurs attaques. Mais à l’image des gestes barrières à adopter au quotidien pour lutter contre le Covid-19, les bonnes pratiques existent aussi en ligne pour se prémunir des virus informatiques.
En mars, Bitdefender relevait cinq fois plus d’actes de cybermalveillance directement liés au Covid-19 qu’en février, passant de 1 448 signalements en février à 8 319 rien que sur les quinze premiers jours du mois dernier. Un constat lié à l’évolution de la courbe de propagation de l’épidémie dans le monde. Ainsi, si la Chine était la cible privilégiée des cybercriminels début 2020, l’Europe a dû à son tour affronter une vague d’attaques courant mars avant les États-Unis en avril.
Tous égaux face aux virus
À l’image de la pandémie, la cybercriminalité n’a pas de frontière… ni de domaine de prédilection ! En effet, si le secteur de la santé peut sembler une cible plus facile pour certains hackers – l’OMS, le ministère américain de la Santé, l’hôpital de Brno en République Tchèque et l’AP-HP notamment ont été victimes de tentatives de piratage – aucune organisation ou entreprise n’y échappe.
Certes, certains groupes de piratage, comme Maze, se sont engagés à ne pas attaquer les établissements de santé jusqu’à ce que la situation se stabilise. Pour autant, 18 groupes APT (au minimum) n’hésitant pas à profiter de la crise actuelle ont été identifiés. La ville de Marseille et la Métropole Aix-Marseille-Provence ont ainsi fait l’objet de cyberattaques par ransomware à la veille du premier tour des élections municipales.
Tout comme la plateforme de visioconférence Zoom dont le nombre d’utilisateurs a "explosé" depuis février. En France, les téléchargements ont bondi de
80 % les deux premières semaines de mars par rapport à la moyenne des précédentes. Résultat : pas moins de 530 000 comptes utilisateurs ont ainsi été mis en vente sur le dark web suite à un acte malveillant.
Les Opérateurs d’Importance Vitale, cibles privilégiées
Si l’ensemble des secteurs et des structures sont touchés, certains semblent plus particulièrement visés, notamment les organisations dans les domaines des secteurs bancaires, de la défense, de l’aéronautiques, de l’énergie, du transport ainsi que les institutions gouvernementales. En ce sens, les Opérateurs d’Importance Vitale (OIV) se trouvent souvent en première ligne face à ces attaques.
Comment ? À travers les acteurs de leur chaine de valeur, notamment de la supply chain pour les filières industrielles, composés en majorité d’ETI ou de PME moins sécurisées – et donc plus vulnérables – et qui constituent autant de portes d’entrées dans les réseaux des OIV. Une fois le système d’information des fournisseurs infiltré, les pirates peuvent donc remonter toute la chaîne jusqu’à leur cible finale, à savoir : les grands donneurs d’ordre publics ou privés.
Les différentes techniques d’attaques
Pour parvenir à leur fin, les attaquants utilisent des techniques de plus en plus poussées. Désormais, la recrudescence d’infections par technique de point d’eau ou hameçonnage ne se limite plus à la sphère informatique mais touche également la sphère mobile. En 2019, les attaques visant les mobinautes avaient ainsi déjà triplé* : entre 15 et 30 % des installations d'applications mobiles recensées en France s’avéraient en effet frauduleuses. Aujourd’hui, le smishing (phishing par SMS) ou le nombre d’apps infectées explose.
Une fois l’app téléchargée, soit le malware qu’elle contient s’installe pour voler les identifiants ou les données du propriétaire, soit le ransomware verrouille le mobile et le pirate réclame une somme d’argent pour le débloquer. C’est pourquoi il est fortement déconseillé de télécharger toute application en lien avec le Covid-19 si vous n’êtes pas expert en cybersécurité !
Autre type attaque : les sites web frauduleux. On assiste depuis décembre dernier à une multiplication exponentielle du nombre de dépôts de noms de domaines liés au Covid-19 dont la moitié peut provoquer l’injection de logiciels malveillants. L’organisation de régulation des noms de domaine sur Internet (ICANN) a ainsi recensé en mars pas moins de 100 000 nouveaux sites web enregistrés sous des noms de domaine comportant des mots tels que "covid", "corona"et "virus". Les principaux risques encourus ? Au-delà du vol des données personnelles et de l’usurpation de l’identité de l’utilisateur, c’est tout le système d’information de l’entreprise qui est exposé. Et à travers lui, la perte de données industrielles, le vol de brevets ou de plans, etc.
Quels gestes barrières numériques adopter ?
Méconnaissance des bonnes pratiques, mauvais réflexes, curiosité des internautes, craintes liées au Covid-19… Tous les prétextes sont bons pour tromper la vigilance des télétravailleurs, souvent peu au fait des questions de sécurité liées à ce mode de travail. Le facteur humain reste la première cause de piratage en entreprise. L’erreur humaine serait ainsi impliquée dans plus de
90 % des incidents de sécurité : clic sur un lien de phishing, consultation d’un site web suspect, activation de virus ou autres menaces persistantes avancées, ordinateur non (ou peu) protégé, firewall désactivé, antivirus obsolète, logiciels non à jour, etc. En ce sens, la sensibilisation, la communication et la formation des utilisateurs restent le premier (et le meilleur) rempart face aux menaces.
En complément, il est recommandé aux équipes informatique et sécurité de mettre en place des gestes simples et des processus automatisés pour assurer un niveau optimal de protection :
- S’assurer que l’antivirus et que les solutions de sécurité sont à jour
- Utiliser un VPN pour protéger ses accès distants
- Vérifier régulièrement les marqueurs d’attaque (selon les recommandations de l’ANSSI)
- Renforcer l’étanchéité entre les applications personnelles et professionnelles mobiles (notamment dans le cadre d’une politique BYOD) afin de bien cloisonner les usages.
Malgré son ampleur, la crise du Covid-19 n’impose pas d’appliquer de barrières numériques particulières. Elle impose néanmoins de redoubler de vigilance face à l’explosion du nombre de menaces auxquelles les télétravailleurs (et par conséquent les entreprises) sont exposés. En appliquant ces bonnes pratiques, vous gagnerez alors en maturité cyber. Une prise de conscience globale auprès des différents acteurs de l’entreprise qui se veut gage d’une politique de sécurité pérenne lorsque sonnera l’heure de l’après-Covid.
*Selon la dernière édition du RSA Fraud Report édité par RSA Security