Liens Pandémie-Cyber délinquance, les zones de clarté et la zone d'ombre

Quels liens voit-on, en ce début de troisième semaine de confinement français, entre l'épidémie actuelle de Coronavirus et la sinistralité Cyber, et avec quel niveau de lisibilité ?

Ce qui est déjà clair

• D'un point de vie statistique, il a été relevé ce mois-ci une explosion du nombre d'événements Cyber. Dans la plupart des cas, il s'agit de tentatives d'hameçonnage (en progression de 667 % dans la période du 1er au 23 mars selon Barracuda Networks ), dans le cadre d'escroqueries à la consommation et aux commandes ou de tentatives de détournement de monnaie scripturale. 
• On le savait d'ailleurs déjà, mais hélas ça se confirme, les périodes crises stimulent l'imagination des fraudeurs de toutes sortes et peuvent même faire naître des vocations.
• D'autres facteurs qui militent pour une aggravation de la cyber délinquance

Du côté de l'attaque 

Outre le caractère opportuniste des hackers que l'on vient d'évoquer, relevons que la cyber malveillance s'adapte particulièrement bien au confinement : c'est une activité totalement informationnelle, donc immatérielle, pratiquée en groupes virtuels, sans contrainte de distance, sans nécessité d'une présence physique sur les sites visés.

Du coté des victimes et de la défense 

- Le facteur aggravant le plus fondamental réside dans l'angoisse des différents agents économiques et leur attente légitime, mais aussi souvent irréaliste, d'informations et de solutions. Ce niveau anormalement élevé de stress, fortement réducteur de vigilance, est alimentée par un flux permanent d'informations et d'images d'une dureté et d'un pessimisme inimaginables il n'y a encore que quelques mois. Il est, de plus, renforcé par les mesures de distanciation sociale.

- La généralisation du télétravail qui met sous une pression particulière les processus et les solutions IT dédiés, mais aussi les néo télétravailleurs.

- La baisse de réactivité de la remédiation qui, à l'inverse de l'attaque, nécessite souvent une intervention sur site.

• Les groupes de hackers spécialisés en espionnage industriel (tel APT 41, très actif en ce moment) trouve dans ce contexte de nouvelles cibles extrêmement lucratives : celles qui détiennent des données stratégiques sur les projets de médicaments ou de vaccins ou encore sur la logistique des masques, des respirateurs et des tests. 

Ce qui est encore largement opaque

Il s'agit de l'évolution des attaques bloquantes pendant cette pandémie, principalement les ransomwares, secondairement les DDoS. Aujourd’hui, il apparaît, sans pour autant que l'on dispose de chiffres globaux assez précis, que les ransomwares sophistiqués ne sont pas plus nombreux que l'année dernière à la même époque. Ils se concentrent autour de l’activité du groupe de cyber malveillance Maze avec notamment à son palmarès en mars, après Bouygues en janvier, le spécialiste de la mercerie DMC et l’assureur Chubb. On sait que Maze profite souvent de ses attaques pour exfiltrer des données de ses victimes en vue d'augmenter la pression sur le paiement des rançons, par le biais d'une menace de diffusion. Il ne s'agit donc pas a priori d'espionnage industriel et le lien avec l'épidémie, s'agissant des secteurs de l'habillement et de l'assurance, n'est pas évident. On serait plutôt sur du business as usual.

Des ransomwares brouillants ou à effet de diversion, visant à faciliter la captation de données à valeur ajoutée, seraient davantage à redouter. Toutefois, leur existence, même si elle a été évoquée en 2019 à propos de la série d'attaques contre des prestataires d'Airbus, n'est pas formellement avérée.

Plus théoriquement, sur ce rapport entre l'épidémie et la fréquence des ramsomwares, deux positions radicalement inverses se détachent :

• Les entreprises, affaiblies par le fort ralentissement de leur activité, paieront les rançons plus facilement afin d'éviter d'aggraver encore leur situation (de fait, ce n'est pas ce qu'a fait DMC).
• Dans une période où de nombreuses entreprises sont au ralenti ou même arrêtées, la nuisance des blocages est moindre et le rendement des demandes de rançon d'autant diminué. Suivant ce raisonnement, le moment critique pour ce type d'atteintes surviendrait plutôt au moment de la reprise d'activité, surtout si elle s'opère en V. 

Quoi qu'il en soit, mener une veille attentive des événements Cyber, pour valider ou modifier les hypothèses que je viens de présenter, et toutes les autres, et informer très régulièrement les différentes parties prenantes en vue d'un partage d'analyses et de suggestions n'a jamais semblé aussi nécessaire.

Sign