Annecy : quand les attaquants se font (encore) couper l’herbe sous le pied

Annecy a échappé au pire. Dans les colonnes de nos confrères du Dauphiné Libéré, Aurélien Modurier, adjoint au maire d’Annecy en charge de la transition numérique, estime que les investissements réalisés après la cyberattaque de l’automne 2021 ont porté leurs fruits : « le budget dédié à la cybersécurité a été multiplié par huit, il est passé de 50 000 à 400 000 euros et on devrait atteindre le demi-million », indique-t-il. 

Dès lors, pour l’élu, cela ne fait pas de doute : cette augmentation de budget, « c’est clairement ce qui nous a permis d’éviter une seconde cyberattaque ». En fait, l’entretien accordé à nos confrères suggère une situation plus nuancée.

Car c’est avant tout le travail de l’Agence nationale de la sécurité des systèmes d’information (Anssi) qui a permis d’éviter le pire : elle, « qui surveille les adresses IP de ce groupe [impliqué dans l’attaque, NDLR], a vu une activité suspecte sur Annecy et nous a alertés ».

Aurélien Modurier joue ensuite sur les mots, indiquant que les attaquants « ont effectivement tenté d’entrer » alors qu’il semble bien qu’ils y étaient parvenus puisque « le cloisonnement de nos systèmes par briques de sécurité, qu’on a mis en place depuis 2022, les a empêchés d’aller plus loin ».

En fait, ce scénario en rappelle un autre : la cyberattaque avortée contre le CHU de Brest, début mars. Là encore, tout a commencé par une alerte émanant de l’Anssi. La suite, Jean-Sylvain Chavanne, RSSI de l’établissement, la racontait déjà dans nos colonnes deux semaines après l’incident.

Courant septembre, l’Anssi a publié un rapport complet sur l’incident, expliquant que, « le jeudi 9 mars 2023, [l’Agence] a émis un signalement concernant la compromission de l’un des serveurs du centre hospitalier universitaire de Brest ». 

Cette alerte n’était pas le fruit du hasard : elle avait été rendue possible « par des investigations menées par l’Anssi depuis des années ». 

Ces investigations portent sur le mode opératoire d’un acteur malveillant catalogué FIN12. Il serait « responsable d’un nombre conséquent d’attaques par rançongiciel sur le territoire français ». Parmi ceux employés : Ryuk, Conti, Hive, BlackCat, et Nokoyawa, voire Play et Royal. 

La connaissance et le suivi de l’infrastructure associée permettent vraisemblablement à l’Anssi de détecter d’éventuelles attaques dans leurs phases initiales. De nombreux acteurs du renseignement sur les menaces cherchent ainsi activement les serveurs et balises Cobalt Strike, notamment, fréquemment utilisées dans le cadre d’attaques comme porte dérobée.

Timeline FR (12 mois glissants)