Pourquoi tant de cyberattaques ?

Dans le monde, plus de 4 500 cyberattaques rapportées dans la presse et/ou revendiquées sur des vitrines de franchises de ransomware ont été relevées, en 2023. C’est 50 % de plus qu’en 2022. En France, elles étaient 211 connues publiquement ; probablement seulement un dixième, environ, de la réalité. 

Vous trouvez que c’est beaucoup ? Vous avez raison. Mais c’est vraisemblablement très peu, par rapport aux opportunités à disposition des cybercriminels. 

Pour lancer leurs attaques, ils disposent, grosso modo, de quatre principaux vecteurs d’acquisition d’accès initiaux : les identifiants collectés dans le cadre d’opérations de phishing ; ceux obtenus par l’exécution d’un maliciel dérobeur, un infostealer ; une tête de pont, comme un cheval de Troie, installée par exemple via une pièce jointe malicieuse ; ou encore l’exploitation d’une vulnérabilité non corrigée sur un système exposé directement sur Internet, de préférence permettant l’accès à distance à des ressources d’un système d’information. 

Pour les vulnérabilités, 2023 a été riche en opportunités. Des affidés de franchises telles que LockBit, Alphv/BlackCat ou encore le groupe Cl0p, pour ne citer qu’eux, s’en sont donnés à cœur joie. Côté têtes de pont, QakBot, avant la vaste opération lancée contre lui à la fin du mois d’août, ce n’était rien moins que 26 000 machines injectées en France, entre septembre 2022 et le 15 juin 2023.

Sur le front des infostealers, ce n’est guère mieux : plus de 43 638 000 identifiants compromis en France, selon Recorded Future, à raison de 60 identifiants de compte par PC infecté, en moyenne. Hudson Rock a, quant à lui, spécifiquement relevé plus de 5 400 collaborateurs d’entreprise, en France, dont des identifiants professionnels ont été compromis par infostealer, en 2023. 

En somme, le potentiel de nuisance n’est pas pleinement exploité. Pourquoi ? Assurément pas parce que les défenses sont trop robustes pour l’empêcher ou le détecter. Il est bien plus vraisemblable que les cybercriminels manquent de bras. 

De fait, la monétisation d’un accès initial passe par sa vente à une franchise de rançongiciel ou des affidés qui se chargeront de lancer l’offensive. Mais cette vente ne survient que si l’accès est dûment qualifié et que l’organisation concernée s’avère alléchante. 

Cette étape de qualification demande des recherches, du temps. Les courtiers en accès initiaux n’ont certes que ça à faire, mais encore faut-il qu’ils aient le temps de traiter tous les accès à leur disposition. Et qu’ils arrivent ensuite à séduire, comme tout bon commercial. 

Vient ensuite la question des effectifs disponibles pour lancer les attaques : pourquoi un groupe ou un attaquant achèterait-il plus d’accès qu’il n’est en mesure d’en exploiter ? Conti a plus ou moins réussi à attirer et faire monter en compétences des nouvelles recrues pour renforcer ses effectifs. Mais probablement pas suffisamment pour faire croître significativement l’écosystème cybercriminel. 

Certaines opérations peuvent s’industrialiser, comme Cl0p en a fait la démonstration avec les campagnes GoAnywhere, PaperCut ou encore MOVEit, mais ce n’est pas le cas de la plupart des cyberattaques avec extorsion. Loin de là.

Certains fins observateurs sont ainsi formels : « il y a tellement d’accès initiaux dans la nature qu’il n’y a pas assez de personnes pour les utiliser ». L’un des symptômes de la situation ? Des milliers de logs d’infostealers sont distribués gratuitement, chaque mois, sur des canaux Telegram spécialisés. 

Clairement, de nombreuses victimes potentielles s’ignorent. Avec un peu de chance, les accès initiaux disponibles les concernant seront désuets – changements de mots de passe, déploiement de l’authentification à facteurs multiples (MFA), etc. – avant que quiconque ne s’y intéresse. 

Face à cela, il est urgent d’améliorer une défense qui, dans toutes ses composantes, n’est manifestement pas au niveau. Un cybercriminel bien connu, lié notamment aux activités de la franchise mafieuse LockBit, nous l’a d’ailleurs confié en septembre 2023 : « les attaques sérieuses ne peuvent être menées que par un très petit nombre de personnes ».

Publication initiale le 18 septembre 2023. Mis à jour le 21 février 2024.