Covid-19 : un calme relatif avant une seconde vague de menaces ?

La Cyber Threat Coalition, qui rassemble près de 3 300 spécialistes du renseignement sur les menaces du monde entier, publie chaque semaine un point de situation. Le second dresse un état des lieux qui n’est guère plus rassurant et peut laisser des préparatifs pour de nouvelles opérations.

De nombreux domaines utilisant le thème de la pandémie de coronavirus Covid-19 ont été déposés principalement durant la seconde quinzaine du mois de mars. Mais le niveau de risque associé, selon DomainTools, s’est plutôt inscrit à la baisse après un pic mi-mars. Rassurant ? Pas tant que ça. Car les données de Sophos montrent que les internautes visitent significativement des sites Web dont le nom de domaine peut être relié à la crise sanitaire actuelle.

Pour Rich Harang, chez Sophos, « même une minorité de menaces utilise la pandémie comme leurre, certains de ces domaines pourraient être utilisés à des fins malicieuses ». Alors pour lui, il est essentiel que les entreprises utilisent les listes de blocage de domaines et d’URL malicieux, « tout particulièrement si les cyberdélinquants passent du rhabillage à la création de nouveaux vecteurs d’attaque ».

Car pour l’instant, les menaces utilisent majoritairement « des vecteurs d’attaque existants adaptés aux thèmes liés au Covid-19 ». Microsoft et FireEye l’ont eux-mêmes observé et souligné. Pour ce dernier, les e-mails malicieux utilisant le thème de la pandémie n’ont même représenté que 2 % de tous ceux observés sur sa base installée au mois de mars. La menace n’en est pas moins significative : selon Microsoft, tant des acteurs soutenus par des états que des cyberdélinquants simplement mafieux, visent des établissements de santé et utilisent le thème du Covid-19 pour berner leurs cibles.
Les autorités britanniques et américaines ont d’ailleurs alerté sur ce dernier point. Chez Kaspersky, Félix Aimé l’assure : « les campagnes dévoilées ne sont que la partie émergée de l’iceberg. Certains attaquants utilisent des leurres autour du Covid-19/Sars-cov-2, d’autres espionnent leurs cibles pour voir comment ils gèrent la crise, quelles sont leurs recherches et leurs prochaines actions ».

Mais pour Allan Liska, de Recorded Future, attention aux menaces visant les personnels soignants : ils « sont soumis à une importante pression et cela les rend vulnérables aux cyberattaques, en particulier celles utilisant une forme d’usurpation d’identité ». La semaine dernière, sur LinkedIn, Anthonin Hily, directeur technique cybersécurité monde de Sogeti, l’assurait : la menace « change d’orientation ».

Selon lui, « pour le moment, il s’agissait de phishing grossier, de mails frauduleux, d’attaques frontales sans réelle dangerosité. […] Mais ce qui remonte des profondeurs n’est pas très beau. Certains grands groupes d’attaquants s’organisent ». Pour eux, « la tentation est visiblement trop forte. Il faut “taper” ». Y compris sur les établissements de santé. Le Français en est conscient depuis plusieurs semaines : il propose ses services pour identifier les équipements vulnérables exposés par des établissements de santé et assure en avoir déjà averti certains.

Mais il va falloir s’attendre à plus, et notamment à des opérations visant les télétravailleurs. Bitdifender alertait ainsi fin mars sur une attaque visant certains routeurs domestiques et visant à modifier leurs réglages DNS afin d’orienter leurs victimes en devenir vers un site Web distribuant un maliciel spécialisé dans le vol de données. Mais pas sans exploiter le thème de la pandémie, bien sûr. Zscaler a observé quant à lui des opérations s’appuyant sur de faux sites Web de services de VPN pour piéger les internautes.