COVID-19 : VEILLE CYBERSÉCURITÉ #28 – 21 janvier 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Menaces

Attaque : Les documents confidentiels volés à l’Agence européenne des médicaments (EMA) suite à une cyberattaque auraient été modifiés avant d’être publiés sur Internet
Procédé : Vol de données
Cible : Agence européenne des médicaments (EMA)
Date de publication : 15/01/2021
Description : L’EMA a confirmé l’information rapportée par Cyble selon laquelle des documents confidentiels relatifs au vaccin de Pfizer/BioNTech ont été publiés sur le darkweb. L’Agence a également précisé que certains documents avaient été modifiés afin de saper la confiance des populations envers les vaccins contre le COVID-19. Le journal français Le Monde a récupéré une partie de ces données qui comprennent notamment des e-mails échangés entre des responsables européens.
Lien(s) :
https://www.ema.europa.eu/en/news/cyberattack-ema-update-5
https://www.lemonde.fr/planete/article/2021/01/16/vaccins-ce-que-disent-les-documents-voles-a-l-agence-europeenne-des-medicaments_6066502_3244.html

 

Attaque : Des cybercriminels usurpent l’identité de l’Organisation mondiale de la Santé (OMS) pour distribuer le malware Agent Tesla
Procédé : Campagnes de phishing
Cible : Industries américaines
Date de publication : 14/01/2021
Description : Proofpoint a découvert plusieurs campagnes de phishing exploitant le COVID-19. L’une d’entre elles prétend fournir un rapport de situation sur les dernières vaccinations et incite les victimes à ouvrir une pièce jointe malveillante contenant un fichier exécutable intégré. Une fois téléchargée, le malware se propage. Considéré comme un cheval de Troie d’accès à distance (RAT), l’Agent Tesla peut alors enregistrer les frappes du clavier (keylogger) et récupérer des mots de passe stockés dans le navigateur. Retrouvez notre focus sur l’Agent Tesla présenté dans un précédent bulletin de veille.
Lien(s) :
https://www.proofpoint.com/us/blog/threat-insight/attackers-use-covid-19-vaccine-lures-spread-malware-phishing-and-bec

 

Fraudes

Attaque : Des cybercriminels usurpent l’identité du National Health Service (NHS) britannique pour voler les données bancaires de leurs victimes
Procédé : Campagne de smishing
Surface/Application : SMS
Date de publication : 05/01/2021
Description : Les SMS frauduleux prétendent que leurs victimes sont éligibles à une vaccination contre le COVID-19 pour les rediriger vers une fausse page web imitant le NHS et les invitant à renseigner leurs informations personnelles (nom, adresse) ainsi que leurs coordonnées bancaires. La BBC rapporte que ce site web frauduleux aurait été supprimé depuis lors.
Lien(s) :
https://www.derbyshire.police.uk/news/derbyshire/news/news/forcewide/2021/january/circulating-fake-nhs-covid-19-vaccine-text-message/
https://www.bbc.com/news/uk-england-55560604

 

Attaque : Des cybercriminels prétendent que leurs victimes sont éligibles à un remboursement d’impôt dû au COVID-19 pour voler leurs informations bancaires
Procédé : Campagne de smishing
Surface/Application : SMS
Date de publication : 12/01/2021
Description : Les SMS frauduleux envoyés à des citoyens britanniques prétendent qu’ils ont le droit d’obtenir un remboursement d’impôt à hauteur de 230 livres sterling en raison d’un reconfinement au Royaume-Uni. Les victimes sont ensuite redirigées vers une fausse page web où elles sont invitées à fournir leurs coordonnées bancaires.
Lien(s) :
https://www.tradingstandards.uk/news-policy/news-room/2021/phoney-covid-19-lockdown-rebate-targeting-public

 

Attaque : L’identité du professeur Didier Raoult a été usurpée sur Facebook via une fausse page officielle publiant des messages à caractère tendancieux
Procédé : Usurpation d’identité
Surface/Application : Facebook
Date de publication : 15/01/2021
Description : Des personnes mal intentionnées ont profité de la médiatisation du professeur Didier Raoult pour créer une fausse page Facebook officielle et véhiculer, entre autres choses, des messages complotistes anti-vaccins. La page « Didier Raoult officiel » a été créée dès le début de la pandémie et comptait 50 000 abonnés avant d’être fermée par Facebook le 14 janvier à la suite d’un démenti du professeur lui-même.
Lien(s) :
https://www.numerama.com/politique/682191-anti-vaccin-et-extreme-droite-la-page-facebook-didier-raoult-officiel-etait-une-fausse.html

 

Attaque : Des cybercriminels exploitent le COVID-19 pour voler les informations personnelles et les identifiants de connexion d’employés américains
Procédé : Campagne de phishing
Surface/Application : E-mails
Date de publication : 12/01/2021
Description : Les e-mails frauduleux usurpent l’identité d’entreprises américaines et prétendent que leurs employés sont tenus de remplir un formulaire dans le cadre d’un protocole de dépistage au COVID-19 soi-disant mis en place par le département de Santé américain (HHS). Les victimes sont invitées à y renseigner leurs informations personnelles, leurs identifiants de connexion d’entreprise ainsi qu’à apposer une signature électronique.
Lien(s) :
https://cofense.com/blog/coronavirus-screening-testing

 

Ressources utiles

Type de ressources : Google Maps permet désormais de localiser les centres de dépistage du COVID-19
Cible : Grand public en France
Date de publication : 08/01/2021
Description : Google Maps s’appuie sur les données du ministère de la Santé français pour permettre aux internautes de localiser rapidement un centre de dépistage. Ces informations seront mises à jour à mesure que les autorités référencent les centres. L’application n’est actuellement pas en mesure de préciser quel type de test est effectué dans les centres (PCR ou antigénique).
Lien(s) :
https://support.google.com/maps/answer/9795160

 

Type de ressources : La plateforme CovidTracker ajoute VaccinTracker, un outil de suivi de la campagne vaccinale en France
Cible : Grand Public en France
Date de publication : MAJ quotidienne
Description : Cet outil permet de visualiser l’évolution de la campagne de vaccination contre le COVID-19 en France, au niveau national et régional. Il exploite les données publiques relatives aux personnes vaccinées contre le COVID-19, librement accessibles sur le site web data.gouv.fr.
Lien(s) :
https://covidtracker.fr/vaccintracker/
https://www.data.gouv.fr/fr/datasets/donnees-relatives-aux-personnes-vaccinees-contre-la-covid-19/

 

Type de ressources : La prise de rendez-vous pour se faire vacciner contre le COVID-19 s’effectuera sur les plateformes en ligne Doctolib, Maiia et KelDoc
Cible : Patients âgés de plus de 75 ans, pompiers et aides-soignants de plus de 50 ans
Date de publication :
11/01/2020
Description : Les pouvoirs publics ont désigné Doctolib, Maiia et KelDoc comme outils de prise de rendez-vous en ligne. À ce titre, Doctolib a développé un logiciel de gestion spécialement adapté aux centres de vaccinations permettant notamment de prendre rendez-vous pour les deux injections de manière simultanée et respectant les délais sanitaires. Tous les centres de vaccination concernés devraient ainsi être référencés sur les plateformes avant le 14 janvier 2021, début de l’extension de la campagne vaccinale.
Lien(s) :
https://www.sante.fr/centres-vaccination-covid.html
https://f.hubspotusercontent30.net/hubfs/5479688/B2B%20-%20Press/210111%20-%20CP%20Vaccination%20Doctolib%20(1).pdf
https://www.cegedim.fr/Communique/Maiia-VaccinationAnti-covid19_11012021.pdf

 

Autres actualités

Pays : International
Sujet : Des cas contacts au COVID-19 n’ont pas été alertés à temps en raison d’un bug des notifications d’exposition sur les versions Android des applications de traçage des contacts
Date de publication : 13/01/2021
Description : The Verge rapporte que les applications de traçage de contacts utilisant le système de notifications d’exposition pour Android ne parvenaient plus à alerter les personnes ayant été en contact avec un cas avéré de COVID-19. Selon Google, aucune donnée de contact potentiel n’aurait été perdue et un correctif serait en cours de déploiement.
Lien(s) :
https://www.theverge.com/2021/1/13/22228594/google-coronavirus-tracking-app-exposure-notifications-issues-problems
https://www.brusselstimes.com/news/belgium-all-news/149074/problem-with-coronalert-tracing-app-no-longer-notifies-users-after-high-risk-contact-belgium-european-countries-update/

 

Pays : Royaume-Uni
Sujet : Le passeport d’immunité et de vaccination au COVID-19 développé par les sociétés britanniques Mvine et iProov entre en phase de tests
Date de publication : 13/01/2021
Description : Dans un communiqué conjoint, les deux entreprises ont affirmé que ce passeport aura pour but d’enregistrer et d’attester du résultat de test ou du statut vaccinal d’une personne tout en conservant son anonymat. Il sera testé par les directeurs de la santé publique au sein du National Health Service (NHS) en vue de déploiements locaux. De plus, ce passeport pourra être relié aux infrastructures du NHS déjà mises en place, permettant une meilleure adaptation aux besoins spécifiques des directeurs locaux. Les tests s’effectueront jusqu’au 31 mars 2021.
Lien(s) :
https://www.afp.com/en/news/1314/covid-19-passport-iproov-and-mvine-moves-trial-phase-202101120061241

 

Pays : Inde
Sujet : Des rapports de laboratoires incluant des résultats de tests COVID-19 de milliers de patients accidentellement exposés sur Internet
Date de publication : 05/01/2021
Description : BleepingComputer a constaté que ces rapports ont été indexés sur Google et qu’ils étaient hébergés sur les domaines « .gov.in » et « .nic.in » appartenant à des agences gouvernementales indiennes. En effet, les laboratoires sont tenus de rapporter les résultats des tests aux agences gouvernementales désignées via un portail web. Seulement, il semblerait que les PDF aient été hébergés sur le même CMS permettant de publier des documents accessibles au public. Après sa découverte, BleepingComputer a rapidement alerté les autorités en question.
Lien(s) : 
https://www.bleepingcomputer.com/news/security/indian-government-sites-leaking-patient-covid-19-test-results/