Cybersécurité : une année 2020 sans précédent

Nous avons compté plus de 1450 attaques de ransomware connues, à travers le monde, cette année, dont une centaine en France – au jour où ces lignes sont publiées. C’est bien moins que la réalité, mais sans aucun doute possible bien plus qu’en 2019. Les rançongiciels se sont clairement imposés dans le paysage des menaces comme la principale actuellement.

Les cyber-délinquants ont fait la démonstration d’une agressivité impressionnante. Mais ils ont largement profité de pratiques défaillantes de gestion des vulnérabilités. Au premier semestre, ils n’ont pas manqué de chercher à prendre position dans des systèmes d’information rendus vulnérables par l’absence d’application de correctifs parfois disponibles de longue date. On pense notamment là aux systèmes d’accès à distance, ou aux serveurs VPN, avec la vulnérabilité CVE-2019-19871 pour les systèmes Citrix Netscaler Gateway, la CVE-2020-3452 pour les Cisco ASA, la CVE-2019-11510 pour les VPN Pulse Secure, la CVE-2020-5902 pour les systèmes F5, ou encore la CVE-2020-2021 pour les systèmes Palo Alto Networks et la CVE-2018-13379 pour les serveurs VPN Fortinet.

Ces têtes de pont ont parfois été revendues ou exploitées patiemment. Les rançonneurs de Dassault Falcon Jet nous ont ainsi indiqué être restés tapis dans le SI de leur victime pendant plus de six mois. D’autres têtes de pont sont établies par malspam, des courriels malveillants, impliquant Emotet, Trickbot ou encore Qakbot. Et cela n’en est pas moins préoccupant.

Mais il y a plus, et peut-être fallait-il bien cela pour conclure l’année en beauté : FireEye s’est fait dérober des outils offensifs développés en interne dans le cadre d’une attaque de grande ampleur sur la chaîne logistique du logicielle. Une attaque par rebond passée par l’éditeur SolarWinds et qui a affecté Microsoft et plusieurs administrations américaines, notamment.