En introduction de ce panorama Vincent Strubel a expliqué qu’il y a eu en 2023 une augmentation de la menace de concernant l’extorsion de fond, le sabotage et l’espionnage en termes de cibles, de capacité et d’outillage des pirates...

Il a rappelé que ce panorama concerne uniquement les attaques traité par l’ANSSI n’est pas exhaustif de toutes les attaques. De plus l’ANSSI ne fait pas d’attribution formelle et ne mentionne pas les noms des victimes.

En termes d’espionnage la menace est constante dans le temps. Il y a eu une forte activité en 2023. Pour les acteurs il s’agit d’acteurs attribués en source ouvertes des chinois, des russes.
Les cibles restent les administrations les grands comptes, les Think Thanks, les Universités et centres de recherche, les opérateurs télécoms. La menace sur les institutions se double par des attaques sur les personnels. Parmi les tendances nouvelles de l’espionnage, l’ANSSI a constaté une augmentation des attaques contre des téléphones portables professionnels et personnels visant des individus ciblés, ainsi qu’une recrudescence de celles réalisées au moyen de modes opératoires associés publiquement au gouvernement russe contre des organisations situées en France.

De plus il y a toujours plus de re-compromissions et de poly-compromissions avec plusieurs attaquants qui se sont concentrés sur la ou les mêmes cibles.
Pour l’extorsion, il y a une industrialisation des attaques. Avec une augmentation des menaces sur des administrations, un peu moins de PME même si elles restent une cible de choix, les établissements de santé aussi n’ont pas été en reste...
Il explique outre le chiffrement, les attaquants procèdent à des vols de données voir une diffusion des données sensibles.

Les Hacktivistes ont été à l’origine de nombreux DDoS

Concernant la déstabilisation ou le sabotage il y a eu beaucoup d’Hacktivistes pro-russe qui ont commis des DDoS contre des cibles institutionnelles voir des universités ces attaques sont à faible niveau technique. Des hacktivistes détruisent aussi parfois des infrastructures. Il y a aussi des acteurs affiliés à la Russie qui ont mené des attaques techniques qui ont ciblé l’Ukraine avec des effets de bords en Europe. De plus des attaques avec un pré-positionnement de pirates sur des cibles sensibles sont à l’ordre du jour. Ces dernières, plus discrètes, peuvent néanmoins avoir pour objectif la conduite d’opérations de plus grande envergure menées par des acteurs étatiques attendant le moment opportun pour agir.

« Si les attaques à but lucratif et les opérations de déstabilisation ont connu un net regain en 2023, c’est encore une fois la menace moins bruyante, qui reste la plus préoccupante, celle de l’espionnage stratégique et industriel ainsi que du pré-positionnement à des fins de sabotage, qui a le plus mobilisée les équipes de l’ANSSI », déclare Vincent Strubel, directeur général de l’ANSSI.

Puis Mathieu Feuillade de l’ANSSI a rapporté que l’ANSSI a reçu 3703 signalements 2023 contre 3000 en 2022 dont 1112 avec des incidents de sécurité qui affecte un SI. Il note une augmentation assez forte par rapport à 2022.

Dans 23% des cas de signalements l’ANSSI contacte directement les victimes, dans 22% des cas ils arrivent par des sources ouvertes, 18% des cas viennent par des partenaires nationaux 10% par des victimes 5% par des partenaires internationaux.

Il y a eu de nombreux cas de poly-compromission avec des cas où il pouvait y avoir 5 à 6 attaques sur la même cible en provenance de la Russie, la Chine, l’Iran... Ainsi les défenseurs doivent investir lourdement pour y remédier.

Les ransomwares « à l’honneur » en 2023

Entre 2022 et 2023 il note une augmentation assez importante des activités à but d’escroquerie. Concernant les victimes, cette année il remarque une apparition des Associations et une augmentation des attaques sur les collectivités locales.

Mathieu Feuillade considère qu’il y a eu une forme de stabilité des acteurs dans le domaine de l’espionnage. Pour les ransomwares les acteurs sont mouvants on s’attend suite au démantèlement de Lockbit à ce que ce groupe se reforme cette année d’une manière sans doute différente.
Par ailleurs, des groupes étatiques commencent à prendre des technologies issue des acteurs des ransomwares. Il explique que le CERT.fr a été ciblé par des attaques en DDoS de même que d’autres CERT en Europe. Les dénis de services évoluent aussi de ce fait il faut adapter les contre-mesures.

La déstabilisation passe aussi par des attaques sur des médias comme celle sur Charlie Hebdo avec de figuration de la boutique en ligne et exfiltration de la base de données clients.

Les pirates sont à la recherche constante de furtivité par exemple utilisation de cybersécurité et des renseignements électroniques pour exfiltrer des donnés. Il faut donc utiliser du chiffrement robuste. Les pirates ciblent aussi les équipements périphériques qui sont difficiles à superviser ou des sous-traitants. L’ANSSI a publié un livre blanc sur ce sujet.

Il rappelle par exemple que Volthaifug a utilisé des outils d’administration comme les routeurs pour attaquer ses cibles. De ce fait il a fallu rechercher les comportements déviants pour le débusquer. Du côté chinois, les pirates utilisent des codes malveillants en passant par des infrastructures anonymisées avec une mutualisation de ces infrastructures du fait de leur coût. Souvent, ils se servent de routeurs plus ou moins mis à jour et/ou obsolètes. Les Infostealer sont un nouveau malware indétectable à la mode en il s’agit d’un logiciel espion utilisé pour récupérer des informations comme les mots de passe... sur les appareils, à l’insu des utilisateurs sont aussi en augmentation.

Il note une réorganisation des attaquants suites au démantèlement du groupe Cakbot un réseau de bonet qui a été recréé plus tard dans l’année.

Mathieu Feuillade constate une évolution dans les techniques de ransomwares. Parfois selon lui, il y a juste une exfiltration de données sans blocage ni chiffrement. Comme par exemple au CHU de Rennes par le groupe Bianlian idem pour le CHU de Brest. Cette technique ne perturbe le Chu que durant quelques mois et non comme d’autres cas ou la reconstruction est plus longue.

Il déplore qu’il y ait encore beaucoup d’équipements exposés sur internet. En effet, il constate une exploitation massives des vulnérabilités. De ce fait, les mise à jour doivent être faites dans un délai raisonnable.. Aujourd’hui les temps de mises à jour sont trop longs.
L’ANSSI a publié le top 5 des vulnérabilités sont celle sur VMWare, Cisco Citrix Atllassian Progress Software, Sans compter celles sur Microsoft Outlook, Fortinet, Ivanti, Citrix, Microsoft Office...

Vincent Strubel conclut en soulignant la menace qui plane sur les JO tant sur la cérémonie d’ouverture, mais aussi sur d’autres pans de cet événement. Depuis deux l’ANSSI s’y prépare en mettant un focus sur les acteurs des infrastructures critiques. Un focus est porté aussi sur les associations sportives, les établissements qui sont dans le domaine des médias, des organisations d’évènements... des kits d’entraînement ont été mis à disposition. L’Etat aussi a été entraîné à se préparer à cette menace. En effet, elle pose un double défi d’être plus efficace et de passer à l’échelle face à la menace systémique. Ainsi un travail est réalisé avec le C4, les services de renseignement, le ministère de La Défense... il a aussi insisté sur l’ouverture d’une agence à Rennes. Il a rappelé l’importance de NIS2 et le CRA (Cyber Resilence Act).
Il a rappelé qu’un écosystème est en train de se construire avec des CERT en région, un réseau de prestataires capables d’intervenir en cas d’attaque. De plus des actions spécifiques ont été menées pour mieux aider les acteurs de la santé.

La coopération au niveau nationale et internationale reste un atout dans la lutte contre la cybercriminalité

En outre, il a expliqué que l’ANSSI coopère avec le Ministère de la Justice, des polices au niveau international pour démanteler des groupes de cyber-attaquants. Il a souligné l’importance de la coopération internationale avec les alliés pour travailler sur les signalements. Il travaille aussi avec des États en matière de coopération contre les groupes de cybercriminels au niveau des ransomwares comme par exemple dans le cas du CRI.
Enfin, pour assurer la protection de la Nation dans les années à venir et faire face à la recrudescence constante des menaces et à l’amélioration continue des attaquants, l’ANSSI entend s’appuyer sur l’entrée en vigueur cette année de la directive NIS 2, qui permettra de réguler plusieurs milliers de nouvelles entités et de renforcer progressivement leur sécurité informatique. De plus, l’agence entend continuer à apporter son soutien aux opérations internationales visant à démanteler des réseaux cybercriminels, à l’image de celle menée à l’encontre du groupe Lockbit tout récemment.

« Le développement constant de la menace et des attaquants démontre la nécessité pour l’ANSSI de faire évoluer sa manière de travailler, en collaborant notamment avec de nouveaux acteurs, afin de mieux organiser et de renforcer la cybersécurité française », conclue Vincent Strubel.