Crise Pandémique : faire face aux Cybercriminels ?

3 April 2020

« Il ne faut pas paniquer sur le cyber. Il faut cependant être très vigilant vis-à-vis de l’adaptation très rapide des petites arnaques : la crise sanitaire est une thématique supplémentaire pour escroquer les gens »

Guillaume Poupard, directeur de l’Agence nationale de sécurité des systèmes d’information (Anssi), le pompier numérique de l’Etat.

Soyons vigilants

Les pirates informatiques et escrocs tentent de profiter ou de tirer avantage de cette crise que nous traversons. Elle leur offre tout un champ de nouvelles opportunités à travers de nouvelles cibles et un sujet au centre de toutes les attentions.

Les Cybercriminels ont déjà démontré leur capacité à s’adapter à l’actualité et à profiter efficacement des opportunités qui se présentent pour attaquer les systèmes d’information personnels et professionnels en quête de profit facile.

Les nouveaux télétravailleurs sont de nouvelles cibles, les nouveaux moyens utilisés pour accéder aux SI de l’entreprise sont de nouvelles cibles, et le sujet même de la pandémie est un inducteur de stress qui modifie les comportements des utilisateurs.

Les individus comme leurs entreprises sont visés.

Activités cybercriminelles

Encore de nouvelles tentatives et cas de fraude ont déjà été identifiés depuis ces derniers jours

Des campagnes d’hameçonnage

4 000 sites internet liés au nouveau coronavirus ont été créés dont 5 % utilisés à des fins d’hameçonnage. Une technique qui consiste à extorquer des informations personnelles (mot de passe, données de carte bancaire) en se faisant passer pour un site légitime.

Les cybercriminels lancent des campagnes d’hameçonnage massives et profitent de la peur et la perte de vigilance des individus en cette période difficile. Ils exploitent des noms de domaine utilisant les termes “Corona” ou “Covid” pour diriger l’internaute vers de faux sites ou des procédures de login illégitimes.

Une nouvelle campagne de phishing du coronavirus répand le cheval de Troie Emotet. Elle utilise un faux rapport sur l’épidémie pour inciter les destinataires des e-mails à ouvrir un document qui détaille les mesures à prendre pour prévenir l’infection. Ironiquement, en prenant les mesures détaillées dans l’e-mail, les victimes téléchargent un virus appelé Emotet.

Le cheval de Troie TrickBot repose également sur une campagne de phishing par email. Cette campagne fut très active en Italie, pays fortement frappé par le Covid-19. Le message prétendument rédigé par un fonctionnaire de l’OMS donne accès à un document contenant des consignes de sécurité pour faire face à l’épidémie. Le document intègre des macros VBA piégées installant le trojan capable de capter des données bancaires dans l’ordinateur infecté.

Des applications mobiles frauduleuses

Les applications mobiles frauduleuses permettent aux pirates de voler des informations personnelles et d’en exiger une rançon dispendieuse auprès de particuliers.

CovidLock est un ransomware dissimulé dans une application Android qui prétend suivre l’évolution de l’épidémie de Covid-19 dans le monde. Une fois installé sur les smartphones des utilisateurs, CovidLock positionne un mot de passe sur les appareils qui en sont dépourvus. Les pirates exigent le paiement d’une rançon en bitcoin pour ne pas effacer ou divulguer les données personnelles et redonner à l’utilisateur la maîtrise de son smartphone.

Des attaques DDoS

Les centres de tests Covid-19, les hôpitaux, les agences de santé et l’ensemble des organismes de santé déjà sous tension font l’objet d’une recrudescence de cyberattaques visant la rupture d’activité.

Le saviez-vous ?

Les hôpitaux de Paris ont été la cible d’une attaque par déni de service (DDoS) le 22 mars dernier. Les attaquants ont émis une multitude de requêtes à destination des serveurs de l’AP-HP afin de saturer les systèmes d’information de l’hôpital.

Des faux emails des autorités de santé

L’agence du numérique en santé a récemment mis en garde contre « différents messages d’information sur le Covid-19 » qui, diffusés via « de faux e-mails des autorités de santé, de fausses notes internes en entreprise ou encore de fausses alertes de retard de livraison », dissimulant en réalité des virus informatiques fabriqués par des cybercriminels tentant d’exploiter la crainte des particuliers suite à la pandémie.

Le saviez-vous ?

Le 24 mars, l’agence Reuters a indiqué que des pirates informatiques avaient tenté de s’infiltrer dans la messagerie interne de l’OMS afin de voler les mots de passe de son personnel.

Des escroqueries aux faux ordres de paiement

Les criminels piratent les systèmes de messagerie électronique de sociétés ou recourent à l’ingénierie sociale afin d’obtenir des informations sur les systèmes de paiement, puis incitent des salariés à virer de l’argent sur leur propre compte bancaire.

Le saviez-vous ?

La Caisse d’Epargne était victime récemment de ce type d’escroquerie.

Émergence et propagation de pratiques commerciales trompeuses : achats en ligne

Des sites vendent des masques mais ne les livrent jamais ou délivrent du faux gel hydroalcoolique.

Des sites suspects ont été signalés par les autorités à la direction générale de la concurrence, de la consommation et de la répression des fraudes. Des appels aux dons frauduleux sont également à craindre.

Rumeurs sur les réseaux sociaux

Les informations sur le Covid-19 continuent d’alimenter les médias, le web et les réseaux sociaux, mais parfois dans de mauvaises directions. La désinformation prend plusieurs formes : de la simple approximation dans les chiffres aux révélations sans preuves. Les sujets sensibles à la désinformation, eux aussi, varient : traitant de la nature du virus et de son vaccin.

Les plus grands réseaux sociaux ont publié une déclaration commune promettant de lutter contre la fraude et de réduire la désinformation partagée sur leurs plateformes.

Le saviez-vous ?

L’OMS a décidé de lancer un plan de lutte contre la désinformation pour tenter de contenir cette “infodémie”.

Des vulnérabilités liées au VPN

Entre le 15 et le 22 mars, dans la première semaine de confinement, le recours au VPN par les entreprises françaises a augmenté de 20%.

La semaine précédant le confinement, l’usage de la connexion VPN avait déjà été sollicité en anticipation des mesures gouvernementales (+20%).

Les assaillants profitent de la généralisation du télétravail et de l’installation en urgence de VPN par de nombreuses entreprises en situation épidémique pour profiter des failles de sécurité produites. Ces vulnérabilités sont encore davantage exploitées si l’entreprise modère ses mises à jour du VPN pour assurer la continuité d’activité. La fuite d’informations ou d’identifiants guette les entreprises les moins vigilantes.

Certains nouveaux télétravailleurs sont trompés par de faux logiciels VPN porteurs de malwares qu’ils installent sur leurs postes professionnels.

2- Mesures de vigilance

Des gestes barrières simples et des bonnes pratiques doivent être adoptés et appliqués pour éviter tout risque d’attaques cybercriminelles

Méfiez-vous des messages (mail, SMS, chat…) ou appels téléphoniques d’origine inconnue ou inattendus, des liens suspicieux envoyés via Whats’App ou Facebook.

Ne communiquez jamais d’informations sensibles par messagerie ou téléphone.

N’installez pas d’applications en provenance d’un site Internet : ne téléchargez que des applications appartenant à des magasins officiels (Apple Store et Google Play Store).

Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien ce qui affichera alors l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance.

Appliquez les mises à jour de sécurité sur vos équipements connectés (serveurs, ordinateurs, téléphones…) dès qu’elles sont disponibles.

Soyez vigilants aux fausses informations : vérifiez toujours la source de l’information et ne propagez aucune information douteuse.

Utilisez des mots de passe uniques et solides et activez la double authentification chaque fois que possible. Connectez-vous dès que possible de façon sécurisée via un VPN.

3- Meilleure cyber résilience des entreprises

Sécuriser le télétravail

Procurez à vos collaborateurs des équipements nomades sécurisés.

Si ces équipements ne peuvent pas être fournis par l’entreprise, permettez un accès distant à certaines zones de votre système d’information via une connexion maîtrisée.

Maintenez un niveau de sécurité optimal de votre connexion d’accès distants (VPN).

Effectuez des actions de sensibilisation aux risques cyber inhérents au télétravail auprès de vos collaborateurs (Shadow-IT, interception de communications…).

Contrôlez régulièrement vos canaux d’interconnexion et vos services de flux.

Maîtrisez la sécurité de vos outils de télétravail collaboratifs (Teams, Zoom..).

Détecter les menaces

Consolidez les capacités humaines et matérielles de votre SOC.

Renforcez la surveillance des vulnérabilités de vos actifs les plus sensibles ou exposés sur Internet.

Musclez vos dispositifs de surveillance et éventuellement investir dans les outils de Threat Intelligence.

Recommandations

Il est recommandé de :

Contrôler les traces de votre entreprise sur Internet.
Vérifier les informations pouvant être captées par un cybercriminel sur vos sources ouvertes.
Maintenir une veille sur les cybermenaces externes renforcées par la situation pandémique.
Surveiller les moteurs de recherches, les sites internet, les réseaux sociaux, les plateformes de partage de fichiers etc. à l’aide de flux de cyber intelligence rattachés au Covid-19.

Réagir aux incidents

Consolidez ou créez des équipes capables d’/de :

Investiguer sur les actions illégitimes, de repérer des sources de menaces et de potentiels chemins d’attaque.
Appliquer le processus de gestion des incidents de l’entreprise.
Répondre à un incident et de mettre en place des mesures de résolution immédiatement.
Préparer un plan de retour à la normale.

Reposez sur un tiers ou une assurance pour transférer une partie des risques et des coûts de résolution de l’incident.

Gérer les crises cyber

Évaluez l’ampleur de l’attaque et ses impacts (circonscrite au système d’information, affectant des tiers, etc.).

Communiquez avec le top management sur la situation avec clarté et efficacité.

Suivez le processus de gestion de crise de l’entreprise.

En l’absence de processus clairement identifié, coordonnez la réponse à incident malgré la pression et capitalisez sur les crises préalablement vécues.

Documentez la gestion de chaque crise afin d’en tirer des enseignements pour les crises futures.

Maîtriser la sécurité de vos applications

Vérifiez l’exposition aux cybermenaces de vos chaînes applicatives majeures et de leurs infrastructures (Supply Chain, applications financières…).

Assurez-vous que :

Les vulnérabilités de vos applications d’entreprise sont corrigées ou que des mesures de sécurité compensatoires sont appliquées.
Vos applications ont été auditées conformément au plan d’audit.
Vos applications sont soumises à des scans de vulnérabilités.
Les chemins d’attaques identifiés sont interrompus.
Vos applications ne présentent pas de failles de sécurité à la conception ou ne contournent pas des référentiels de sécurité.

4- Avenir

Il est indispensable dans la crise que nous traversons de renforcer certains messages et d’ancrer des bonnes pratiques tant pour les entreprises que pour les collaborateurs qui constituent la dernière ligne de défense.

Cette crise est une formidable opportunité d’améliorer nos capacités, nos pratiques et nos mesures de sécurité.

Il est quasiment certain que de nouvelles manifestations du risque de pandémie se produiront dans le futur. La nature comme l’ampleur de ces futures crises sont des inconnues. Néanmoins, nous croyons qu’il est essentiel de renforcer la résilience face à ces scénarios. Les pays, les entreprises et les individus qui mettront le mieux à profit les enseignements de la crise actuelle auront un avantage déterminant face aux prochaines.