Cybersécurité : le nouveau directeur de l’Anssi partage ses préoccupations pour 2023

Nommé le 4 janvier à la tête de l’Agence nationale de la sécurité des systèmes d’information, Vincent Strubel a tenu sa première conférence de presse. Au programme, un panorama des menaces et tendances regardées avec attention par l’agence.

Mardi 24 janvier, le Campus Cyber de la Défense, accueillait Vincent Strubel, nouveau directeur de l’Anssi, pour sa première conférence de presse. Et il a commencé celle-ci par un hommage appuyé à son prédécesseur, Guillaume Poupard. « Il avait l’habitude de beaucoup parler aux journalistes ; j’ai la même conception de mon rôle et nous ne manquerons pas d’occasions d’échanger » a notamment souligné celui qui vient de passer deux ans et demi à la direction de l’Opérateur des systèmes d’information interministériels classifiés (Osiic).

La première occasion d’échanges était donc la présentation du Panorama de la Cybermenace de l’agence, dans sa 2e édition, mais dont le lancement l’an dernier n’avait pas pu faire l’objet d’une présentation au public en bonne et due forme. « Il résume la menace telle que vue par l’Anssi, ce qui ne peut pas être exhaustif, mais avec tout de même une bonne portée statistique » a résumé le nouveau directeur.

Avec un message clé : une bonne préparation de la part des organisations permet aujourd’hui d’éviter beaucoup des conséquences, autrement désastreuses, que peuvent avoir une cyberattaque. Un appel à l’action d’autant plus important alors que le contexte en 2023 va être particulier pour la France : outre la poursuite de la guerre en Ukraine, facteur majeur de déstabilisation pour toute l’Europe, l’Hexagone accueillera coup sur coup dans les prochains mois la Coupe du Monde de Rugby 2023 et les Jeux olympiques et paralympiques 2024 ; deux évènements qui vont attirer l’attention des criminels, arnaqueurs et espions en tout genre. Et sur la même période, la directive européenne NIS 2, entrée en vigueur en janvier 2023, va être transposée dans le droit français d’ici octobre 2024 : elle aura pour effet de multiplier par dix en France le nombre d’acteurs classés comme « opérateurs de services essentiels (OSE) » en passant le nombre de secteurs de l’économie concernée de 19 à 35.

La guerre en Ukraine, vecteur de menaces cyber mais pas une « cyberguerre »

Vincent Strubel - Directeur Général de l'Anssi_600x400

Vincent Strubel – Directeur Général de l’Anssi

Interrogé par plusieurs journalistes sur l’actualité de l’invasion de l’Ukraine par la Russie, Vincent Strubel a décrit le regard que portait son agence sur la situation. « Je me méfie du terme cyberguerre qui a été beaucoup utilisé, car ce à quoi nous assistons, c’est tout simplement une guerre, qui a certains effets dans le cyberespace » a-t-il résumé, en insistant avant tout sur la violence du conflit dans le monde matériel. Mis à part le sabotage documenté, et attribué à la Russie, du réseau satellitaire KA-SAT, quelques heures avant le début des hostilités, ce sont pour lui plutôt les menaces de déstabilisation qui ont le plus évoluées avec la guerre.

Si le cyber-activisme, orchestré plus ou moins officiellement, s’est pour l’heure contenté d’une intense guerre informationnelle, il pourrait très bien « monter en gamme » en 2023. L’Anssi porte donc une vigilance accrue sur les secteurs des médias, des administrations et de l’énergie… en France. « Vis-à-vis de l’Ukraine, l’Anssi a aidé en partageant de l’information avec les centres de réponses à incidents, mais nous n’avons pas envoyé d’agents sur le terrain » a clarifié Vincent Strubel.

Lors de l’année 2022, l’Anssi a dû traiter moins d’attaques qu’en 2021, tout en estimant que la menace se maintient à un niveau élevé. En effet, les incidents traités étaient souvent plus graves et, surtout, un certain nombre ont été signalés et traités directement au niveau des CSIRT (Computer security incident response team, NDLR) régionaux et sectoriels qui commencent à se mettre en place partout en France.

Comparaison attaques_anssi

Open Licence (Etalab – V2.0)

 

« Hackers à louer »

Pour autant l’Anssi met en garde contre l’amélioration globale des techniques des assaillants. « Il existe une convergence des outillages qui prend plusieurs formes. Nous constatons la récupération et le partage des codes cybercriminels, y compris par des Etats, pour brouiller les pistes et être moins identifiables. Nous voyons aussi une proximité renforcée entre certains groupes cyber et des Etats » a détaillé Mathieu Feuillet, sous-directeur Opérations de l’Anssi. Le déclenchement de la guerre en Ukraine a notamment vu plusieurs groupes déclarer leurs allégeances, voire s’entredéchirer à l’image de Conti.

Une situation qui va coexister également en 2023 avec la prolifération des outils commerciaux légaux, notamment de PenTest et d’audit, détournés par les attaquants, à l’image de Cobalt Strike. Dans certains cas, la problématique va également plus loin avec la vente « d’outils offensifs clés en main » principalement à des Etats, comme l’ont montré les révélations sur l’entreprise israélienne NSO, à l’origine du logiciel espion Pegasus. L’année 2022 a vu des exemples documentés de détournement de telles solutions à des fins d’espionnage politique et économique. Qui plus est, au-delà des vendeurs d’outils, se développement maintenant des activités de prestation de services de type « Hacker for Hire » (« hacker à louer » NDLR), aux finalités moins sophistiquées, mais qui ont notamment été utilisées à l’encontre de militants qui s’opposaient à la tenue de la Coupe du Monde de Football au Qatar.

Du ciblage de routeurs jusqu’au chiffrage d’hyperviseurs de machines virtuelles

Mathieu Feuillet - Sous directeur des opérations à l'Anssi

Mathieu Feuillet – Sous directeur des opérations à l’Anssi

L’autre grande tendance qui s’est renforcée en 2022 et doit être surveillée pour les mois à venir, est pour l’Anssi le « ciblage direct des routeurs et pare-feu afin de créer une infrastructure d’anonymisation pour les attaquants » a mis en lumière Mathieu Feuillet. « La personne ou l’organisation propriétaire du routeur n’est pas la cible finale. Ces réseaux d’anonymisation prospèrent car les routeurs ne sont pas maintenus et patchés, alors qu’ils sont par nature connectés à internet. Il n’est pas rare de voir plusieurs groupes de hackers différents utiliser les mêmes réseaux ! ». En 2022, l’Anssi a d’ailleurs dû intervenir auprès d’une grande entité avec une forte empreinte internationale, dont les passerelles chiffrant les échanges entre les différentes activités mondiales avaient été compromises : des espions lisaient en clair les données qui devaient être protégées, avec clairement l’intention d’en faire une exploitation de long terme.

Pour leur part, les médiatiques ransomwares sont toujours tout en haut de la liste des préoccupations en matière de menace. Mais l’Anssi note aussi aujourd’hui qu’un certain nombre de groupes spécialisés dans les rançongiciels sont passés en partie ou intégralement à une activité de vol de ressource informatique, c’est-à-dire un détournement de la puissance de calcul des ordinateurs, pour pouvoir plutôt faire du crypto-minage, jugé plus rentable.

Plus inquiétant, c’est bien l’espionnage, moins spectaculaire mais très insidieux, qui préoccupe aujourd’hui Vincent Strubel et Matthieu Feuillet. Les attaques en profondeur visent de plus en plus l’écosystème des grandes organisations, à travers tous leurs fournisseurs de « services particuliers » et notamment numériques, plutôt que de chercher à pénétrer directement dans le système d’information.

Les spécialistes notent aussi qu’au-delà des exploitations nombreuses de vulnérabilités informatiques, qui ne sont pas assez patchés par les entreprises malgré la mise à disposition de correctifs de sécurité, c’est aussi le ciblage des solutions de virtualisation qui se multiplient. En effet, leur compromission permet d’affecter en profondeur le système d’information. « Ces systèmes méritent d’être considérés comme des éléments très sensibles, car parvenir à chiffrer les hyperviseurs de machines virtuelles d’une entreprise peut rapidement la bloquer » estime Mathieu Feuillet.

« Les cybercriminels sont opportunistes. Ils s’en prennent aux cibles les plus faciles. Pour faire une analogie : quand on est poursuivi par un lion, la priorité n’est pas tant d’être plus rapide que lui, plutôt que de courir plus vite qu’un autre. C’est-à-dire qu’un bon niveau d’hygiène informatique et de sécurité permet d’éviter beaucoup de problèmes » a insisté en conclusion le directeur de l’Anssi, en renvoyant notamment au guide publié par l’agence sur la lutte contre les ransomwares.