Editorial n°19 – Spécial COVID-19 : Quels risques cyber? Quelles mesures prendre face à ces risques?

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du Covid-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • d’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • de partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • de mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

La première newsletter est disponible à cette adresse en français : COVID-19 : VEILLE CYBERSÉCURITÉ #1, et en anglais : COVID CYBERSECURITY WATCH #1.

Le Coronavirus – scientifiquement désigné COVID-19 – a été observé pour la première fois en décembre dernier dans la province de Wuhan en Chine. Il s’est depuis répandu comme une traînée de poudre à travers 27 pays. En plus d’un taux de contamination inégalé depuis l’épisode de grippe espagnole du siècle dernier, le virus a frappé l’économie mondiale d’une force pareille à la crise financière de 2008. Les marchés du monde entier s’écroulent et entraînent avec eux tous les secteurs économiques. Celui de la santé surtout connaît le chaos face à l’arrivée massive de patients nécessitant une aide respiratoire, et au manque d’équipement nécessaire au traitement du virus – masques, ventilateurs et matériel de soins intensifs. Des mesures drastiques ont été prises par les états qui ferment leurs frontières et somment leurs citoyens de rester chez eux. On observe alors une activité numérique accrue, alors que les réseaux sociaux deviennent nos seuls moyens de communication, et que le télétravail prend peu à peu le dessus sur nos déplacements quotidiens.

Ces facteurs convergent vers la création d’un environnement particulièrement propice aux cyberattaques : la diffusion du virus s’est en effet accompagnée de la recrudescence des attaques surfant sur la vague du coronavirus. Les mois de février et mars ont donné lieu à de multiples incidents dans le monde cyber, notamment:

  • Des cyberattaques à l’encontre d’hôpitaux;
  • Des extorsions financières à grands coups d’arnaques (fausses attestations dérogatoires, vente de masques/gels hydroalcooliques);
  • Le renforcement des systèmes de surveillance chinois et israélien sur le compte de l’épidémie;
  • Des opérations de cyberespionnage à grande échelle visant des systèmes étatiques.

L’équipe de veille stratégique de digital.security se chargera, dans les semaines qui suivent, de publier une newsletter hebdomadaire en libre accès dédiée à l’évolution et l’impact de ce virus sur notre activité numérique et nos vies quotidiennes. Cette veille est destinée à identifier les menaces visant les systèmes informatiques, tout en partageant les ressources et bonnes pratiques à adopter afin d’appréhender les risques SSI. Afin d’être la plus exhaustive possible, cette veille se divisera en plusieurs catégories, et traitera à la fois:

  • Des menaces (campagnes de malware, phishing, cyberattaques);
  • Des fraudes (désinformation, arnaques) diffusées sur le web;
  • Des ressources disponibles pour appréhender cette crise sanitaire;
  • Et d’autres actualités relatives au Covid-19.

Dans le premier bulletin de veille publié la semaine du 16 mars 2020, nous avons ainsi recensé, entre autres, l’attaque par un acteur étatique du Ministère de la Santé américain en pleine crise sanitaire. L’« U.S. Health and Human Services Department” a en effet été victime d’une cyberattaque destinée à compromettre ses systèmes informatiques ainsi qu’à répandre des fakenews concernant les mesures adoptées par le gouvernement face au Covid-19. Les attaquants ont cherché à paralyser les serveurs du HSS en le saturant de millions de clics en l’espace de quelques heures. Dans un communiqué officiel, le secrétaire du département a assuré que l’attaque n’avait pas abouti, et qu’aucune dégradation du fonctionnement des systèmes n’avait été observée. Les attaquants sont cependant également responsables de la diffusion d’une campagne de désinformation faisant croire à la mise en quarantaine imminente du pays pour deux semaines.

L’activité la plus lucrative semble cependant être le phishing, en nette augmentation depuis le début de la crise, puisqu’il est en effet plus simple de se laisser avoir par un e-mail imitant à la quasi-perfection le communiqué officiel d’une autorité sanitaire. Une recherche menée par le cabinet Recorded Future a montré que la multiplication des noms de domaines en rapport avec la pandémie est révélatrice de la prolifération des acteurs « profitant » de la panique générale pour déclencher des cyberattaques de masse. Début mars, le nombre de noms de domaines en lien avec le COVID-19 grimpait à 800. Le suivi en direct de la création de ces domaines est d’ailleurs disponible depuis un tableau de bord créé à cet effet à l’adresse : https://1984.sh/covid19-domains-feed.txt.

Parmi les principales campagnes de phishing observées depuis janvier, on note AZORult, malware distribué par e-mail aux secteurs des transports, des industries, de la finance etc. sous la forme d’une feuille de route dictant les procédures à suivre par secteur pour faire face à la crise. Le téléchargement des fichiers attachés entraîne l’exploitation de la vulnérabilité CVE-2017-11882 de Microsoft Office, qui permet aux attaquants d’exécuter un code arbitraire sur les machines infectées et d’y installer « AZORult. », un malware voleur de données.

Le cabinet IBM X-Force a également identifié une chaîne d’e-mails compromis au Japon, à mesure que le pays s’adapte aux régulations conformes au coronavirus. Ces e-mails, supposés faire circuler des informations relatives à la situation, contiennent en réalité des fichiers Word porteurs d’une macro VBA, qui déclenche l’installation d’un script PowerShell puis du cheval de Troie Emotet.

Des fraudes se cachent également dans des communiqués de presse qu’on pourrait presque croire officiels, qui utilisent en réalité ceux produits par l’OMS ou le Centre de Contrôle des Pathologies américain pour tromper ses cibles. Dans certains cas, l’attaque a pour but d’obtenir les données des victimes à l’aide d’une fausse page de connexion, dans d’autres, elle les encourage à verser des dons aux hôpitaux sous forme de bitcoin.

Il est donc recommandé de ne pas baisser sa garde ! Le bulletin de veille disponible sur notre site IoT Security Watch se chargera d’établir un état des lieux régulier.