Professionnalisation de la cybercriminalité : quels enjeux pour la protection des données personnelles ?
Rédigé par Gaston Gautreneau
-
09 juin 2022A l’heure de l’explosion des attaques de type rançongiciels, le LINC dresse le tableau des constats réalisés au cours de l’année 2021 sur l’évolution de la menace cybercriminelle.
Face à l’évolution des menaces, quels constats ?
Dans un monde où le numérique est devenu central et où l’hyperconnectivité engendre la multiplication des risques, le besoin de sécuriser l’ensemble des environnements informatiques est primordial.
On constate une réelle prise de conscience liée à ces enjeux de cybersécurité au sein des organismes. Celle-ci passe par le développement des échanges entre les responsables des métiers, les responsables de la protection des données, les responsables des risques et de la sécurité et la direction des systèmes d’information. Cette pluridisciplinarité est une nécessité.
Malgré cette évolution, le fait que les règles de bases en sécurité des systèmes d’information, qui constituent pourtant des fondamentaux, ne soient toujours pas respectées est un mal qu’il faut corriger. A cet égard, le segment des organismes de taille moyenne, souvent encore insuffisamment équipés en matière de sécurité informatique, constitue une priorité pour la CNIL : ce type d’organisme a été particulièrement touché par la vague de rançongiciels qui frappe l’ensemble des entreprises et administrations depuis quelques années et notoirement en 2021 (voir encadré).
Nous pouvons retenir par exemple le chiffrement des échanges sur supports numériques amovibles, ainsi que la mise en œuvre d’un chiffrement de surface (c’est-à-dire l’intégralité) des disques des ordinateurs portables, qui font souvent défaut.
Alors que l’accès à de nombreux services est conditionné à l’utilisation de mots de passe, et dans un contexte de menace accrue sur la sécurité des données, la CNIL a publié un projet de recommandation sur les mots de passe pour garantir un niveau de sécurité minimal en la matière. Ce projet de recommandation couvre quatre aspects de la gestion de mots de passe auxquels sont associées des menaces récurrentes bien identifiées : la création du mot de passe, l’authentification, la conservation et le renouvellement
Le CLUSIF (Club de la sécurité de l'information français) note dans son dernier rapport MIPS [1] (Menaces informatiques et pratiques de sécurité en France) publié en 2020 que : « le chiffrement continue sa (trop lente ?) progression à 59 % (vs 40 % en 2018) sur les PC portables et 59 % (vs 42 % en 2018) pour le chiffrement des échanges ».
La CNIL constate également de son côté des manquements liés à ce défaut de déploiement de solutions de chiffrement, tant lors des contrôles que dans le cadre des notifications de violations de données qui lui sont faites. La mise en place de ces solutions doit devenir un réflexe.
Bilan 2021 des notifications de violations de données personnelles
L’année 2021 a vu le nombre de violations de données notifiées à la CNIL en progression de 79% par rapport à l’année précédente. En effet, la CNIL a reçu 5037 notifications de violations de données à caractère personnel, contre 2821 en 2020. En moyenne, plus de 14 notifications ont été reçues par jour ouvré et plus de 420 notifications sont reçues par mois. Par ailleurs, des « pics » de notifications sont parfois observés, notamment lorsqu’un sous-traitant informe ses nombreux clients, responsables de traitement, d’une violation de données le concernant. Ainsi, ceux-ci étant tenus de notifier la CNIL sous 72 heures, comme prévu par l’article 33 du RGPD, jusqu’à 300 notifications ont été reçues sur une seule journée cette année.
24% des notifications concernaient des données sensibles (les catégories particulières de données définies à l’article 9 du RGPD), chiffre légèrement en hausse par rapport à 2020 (17%).
Les secteurs d’activité notifiant le plus
L’administration publique représente un peu plus de 12% des notifications reçues. Le secteur de la santé et de l’action sociale est, quant à lui, celui pour lequel le nombre de notifications a le plus progressé par rapport à 2020 (191% de progression). En effet, cette année encore, de nombreuses collectivités territoriales (telles que les communes ou les métropoles) et des organismes de santé (en particulier des établissements hospitaliers), ont souffert d’incidents de sécurité notamment liés à des attaques par rançongiciel.
Il est important de noter que toutes les tailles d’organismes sont concernées par des incidents de sécurité, des multinationales aux très petites entreprises.
Nature et causes des violations notifiées
Comme en 2020, la majorité (80%) des notifications de violations reçues par la CNIL concerne une perte de confidentialité [1]. Bien que le RGPD considère qu’une violation de données personnelles peut aussi résulter d’une perte d’intégrité[2] ou de disponibilité[3], il transparait de nos statistiques que ce type de violation reste encore méconnu des responsables de traitement ou bien par le fait que les responsables de traitement ne pensent pas à notifier ce type d’atteinte. Il est important de retenir le fait que l’indisponibilité de données fait aussi partie des violations de données nécessitant une notification de l’organisme dans le cas où elle présenterait un risque élevé concernant les droits et libertés des personnes concernées, puisqu’elle est caractérisée par une incapacité à donner accès à ces données.
Par ailleurs, l’obligation de notification à l’autorité de protection des données d’une violation de données s’impose pour toute violation de sécurité ayant une origine accidentelle ou illicite à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Force est de constater que près de la majorité des notifications reçues par la CNIL en 2021 concerne une violation de données ayant pour origine un acte externe malveillant (piratage, vol d’un support physique ou les arnaques au faux support techniques).
[1] Perte de confidentialité : les données sont rendues accessibles à une personne non autorisée.
[2] Perte d’intégrité : les données sont modifiées illégitimement.
[3] Perte de disponibilité : les données ne sont plus accessibles pendant un certain temps.
Cybercriminalité, qualification des acteurs, professionnalisation et rentabilité
Qui dit professionnalisation…
Pour compléter ces constats réalisés par la CNIL dans le cadre de ses activités, il semble important d’aborder, au travers d’éléments issus notamment de rapports parlementaires, l’étendue de cette criminalité et par là même l’ampleur de la menace.
La prise de conscience est en effet un élément nécessaire à une meilleure compréhension des enjeux de cybersécurité et de protection des données. Devant l’évolution constatée du nombre d’attaques, on ne peut que constater la professionnalisation des équipes cybercriminelles, que leur intérêt soit uniquement financier, qu’il soit de déstabiliser les organisations attaquées, ou que ces attaques soient mises en œuvre dans un but d’espionnage.
Il faut distinguer deux types de criminalité numérique. La cybercriminalité, dont les ressources utilisées, les technologies, tout comme les cibles, sont dans l’espace numérique. On parle alors de piratage informatique, de défacement de site web, de logiciels malveillants tels que les rançongiciels ou les attaques par déni de service distribué lancé à partir d’un réseau de machines zombies, par exemples et rendant indisponible un site web. Mais il existe également une criminalité basée sur des délits plus classiques. Par exemple, celle du vol, de l’escroquerie ou de la fraude, dont le support numérique et notamment la connectivité proposée par l’Internet et la mise en ligne de certaines informations rendues plus aisément accessibles, représentent des technologies numériques facilitatrices de cette criminalité.
Comme l’indiquent les sénateurs Sébastien Meurant et Rémi Cardon dans leur rapport d’information sur la cybersécurité des entreprises fait au nom de la délégation aux entreprises, la cybercriminalité s’industrialise [2].
A titre d’exemple, pour le seul rançongiciel Sodinokibi (également connu sous le nom de REvil), pour l’année 2020, la rentabilité des attaques est estimée à environ 123 millions de dollars. Estimation faite par IBM Security X-Force dans son rapport X-Force Threat Intelligence index 2021 [3]. On retiendra également de ce logiciel malveillant, qu’il représente une évolution du modèle économique de ces attaquants, vers celui du rançongiciel en location ou ransomware as a service (RaaS). Ce modèle permet de démultiplier la rentabilité de l’outil ainsi développé, par la revente de celui-ci auprès d’autres groupes cybercriminels.
Cet exemple illustre la multiplication des services mis en œuvre par ces groupes cybercriminels. En effet, la revente de cet outil nécessite, pour assoir sa notoriété, que le service après-vente et le paramétrage de celui-ci apporte toute satisfaction à ses clients futurs. La multiplication de ces services, payants, constituant une source de revenus supplémentaires pour les criminels.
Ce logiciel malveillant s’attache également, au-delà du chiffrement classique mis en œuvre par les outils de rançongiciels habituels, à exfiltrer les données. IBM Security X-Force estime dans ce même rapport, que REvil aurait permis l’exfiltration de 21,6 terabytes de données pour la seule année 2020.
Cette cybercriminalité a par ailleurs changé, délaissant les particuliers pour s’orienter de façon privilégiée vers les entreprises jugées plus rentables.
… dit rentabilité financière !
Dans un article paru sur Bleeping Computer [4], Lawrence Abrams évoque le fait qu’un groupe cybercriminel utilisant simplement un outil de compression de données (7Zip) a été en mesure de lancer une attaque leur permettant un gain de l’ordre de 260 000 USD en l’espace de 5 jours. L’attaque tient compte des recommandations de rigueur pour contrer les rançongiciels, faites notamment par la CNIL, à savoir déployer des sauvegardes (la CNIL précise qu’il est important autant faire se peut que ces sauvegardes soient conservées de façon déconnectée). En effet, ce rançongiciel s’attaque spécifiquement aux solutions de stockage en réseau (NAS en anglais pour network access storage) d’une marque bien connue du secteur. Par ailleurs, et cela démontre le professionnalisme de ces attaques, le montant de la rançon est dimensionné au regard de la typologie des cibles de cet outil malveillant : « Il semble que les auteurs de la menace connaissaient bien leurs cibles puisqu'ils ont fixé le prix de leur rançon à seulement 0,01 bitcoin, soit environ 500 dollars […] » (traduction LINC).
On comprend dès lors que l’organisation de ces groupes d’attaquants est complexe et distribuée. Des équipes développent les outils et en font la maintenance pour proposer un service après-vente de qualité. D’autres équipes sont, grâce à ces outils, en capacité de lancer des attaques pour le compte de clients qui ne seraient pas en capacité ou n’auraient pas la volonté de les lancer par eux-mêmes. Des équipes marketing vendent ces solutions d’« attaque sur étagère » en en faisant la promotion sur les réseaux criminels, qu’il s’agisse de fourniture d’outils ou de services (produire les attaques pour le client). Enfin, d’autres équipes encore, sont en charge des demandes de rançons, alors que certaines vendent les données ainsi dérobées au plus offrant ou leur permettent de lancer des campagnes de phishing (sur les personnes concernées par les données impactées) pour multiplier les sources de revenus ou initier de nouvelles attaques.
L’hameçonnage, comme le rappel Cybermalveillance dans son rapport d’activité 2020 reste la mère des attaques. « Si l’hameçonnage représente la première cause de recherche d’assistance sur la plateforme en 2020 avec près de 30 % des recherches d’assistance et plus de 300 000 consultations des articles dédiés, l’ampleur de ce phénomène est beaucoup plus importante que ce que les chiffres laissent envisager à première vue. En effet, lorsqu’une tentative d’hameçonnage atteint son objectif, de nombreuses autres cybermalveillances peuvent être permises : un piratage de compte en ligne, un rançongiciel, un débit bancaire frauduleux, ou encore un faux ordre de virement peuvent en être les conséquences. »
L’infographie ci-dessous détaille les coûts associés à une attaque par rançongiciel, et propose une analyse de la rentabilité d’une campagne d’attaques sur une vingtaine de cibles réalisée par un groupe de cybercriminels affiliés à une plateforme de ransomware as a service. Cette analyse infographique est fondée sur la consolidation d’éléments des équipes de réponse aux incidents du CERT-Wavestone, de rapports d’analyses publiques des milieux cybercriminels et des retours du groupe de travail de l’Institut Montaigne [5].
Cependant, comme l’indiquent Mme Sophie Joissans et M. Jacques Bigot, sénateurs et rapporteurs du rapport d’information sur la lutte contre la cybercriminalité fait au nom de la commission des affaires européennes et de la commission des lois : le montant du produit de la cybercriminalité est aujourd’hui impossible à évaluer de façon rigoureuse.
Organisation par famille
La magistrate Myriam Quémener insiste dans ce même rapport [6] sur la reconversion vers la cybercriminalité de certaines organisations criminelles.
En effet, la rentabilité importante de ces actions peut constituer une source de financement de ces organisations. La possibilité d’agir à distance multipliant grandement les cibles potentielles ainsi que le sentiment d’impunité généré par ce type de criminalité.
En 2019, les entreprises Thalès et Verint ont publié un annuaire mondial des groupes de pirates informatiques les plus dangereux. Il liste une soixantaine d’organisations, divisées en quatre familles d’attaquants en fonction de leurs motivations et de leur objectif final :
- 49 % sont parrainées par des États ; elles visent des cibles présentant un intérêt sur le plan géopolitique et visent des données sensibles ;
- 26 % sont décrites comme des « hacktivistes » ; leur motivation est idéologique, ils vont chercher à prendre le contrôle du site web d’un organisme officiel ou à en empêcher l’accès ;
- 20 % sont des cybercriminels au sens strict, animés par une motivation pécuniaire ;
- 5 % enfin sont des groupes terroristes qui vont chercher à propager leurs idées ou à détériorer les systèmes informatiques de leurs cibles.
L’exemple du groupe LAPSUS$ montre par ailleurs que ce n’est pas tant une question de montée en compétence technique que d’ingénierie sociale : « Contrairement aux groupes de rançongiciels, LAPSUS$ pénétrait majoritairement ses cibles via « social engineering », cherchant à soudoyer ou tromper ses employés ou partenaires, tels que les services et centres d'appels d'assistance à la clientèle ».
Face à la professionnalisation de la sphère cybercriminelle, il n’est dès lors plus question de mettre de côté la prise en compte des enjeux de cybersécurité au sein des organismes. Encore trop souvent jugé comme étant uniquement du domaine technique, la cybersécurité est trop fréquemment écartée des sujets des dirigeants.
Par ailleurs, du fait de la pandémie, le recours massif au télétravail, dans l’urgence, a parfois contribué à fragiliser les systèmes d’information des organismes. En particulier, cela a pu engendrer des mauvaises pratiques qui ont favorisé les attaques par rançongiciels et par hameçonnage.
La prise de conscience de cette réalité du monde cybercriminel, nécessite pour chacun de nous d’agir aujourd’hui, tant à titre professionnel que personnel, dans le sens de la protection des données et du respect des règles de la cybersécurité.
[1] https://clusif.fr/publications/mips-2020-menaces-informatiques-et-pratiques-de-securite-en-france-edition-2020-rapport-global/
[2] http://www.senat.fr/notice-rapport/2020/r20-678-notice.html
[3] https://www.ibm.com/downloads/cas/YL2RN2JR
[4] https://www.bleepingcomputer.com/news/security/a-ransomware-gang-made-260-000-in-5-days-using-the-7zip-utility/
[6] https://www.senat.fr/rap/r19-613/r19-613.html
