Security Navigator 2023 FRENCH

Security Navigator
2023
Construire une société numérique plus sûre :
la contribution de notre Recherche
Security Navigator 2023 Préface
Le volume des incidents de cybersécurité

continue d’augmenter, mais à un rythme
beaucoup plus lent. Bien que cette guerre
ne soit pas gagnée, il y a des raisons de croire
que nous sommes déjà en train de gagner
certaines batailles.
Tout repose sur notre plateforme Core Fusion,

quiapermisd’identifier99incidents
0 de
sécurité potentiels ayant fait l’objet d’une
investigation.
Hugues Foulon
CEO Orange Cyberdefense Nos équipes CSIRT ont mené à ce jour
et Directeur Exécutif de 382 missions de réponse à incident, et nos
la stratégie et des activités Ethical Hackers ont pris en charge 1900 projets.
decybersécuritéchez Orange
Orange Cyberdefense est heureux de partager cette Voustrouverezàtraverscerapportl’unedenos

année encore le fruit d’une année de recherche en contributionsàl’eaortdeguerreparlepartagedenotre
cybersécurité et de services rendus aux entreprises dans vision du paysage actuel de la cybersécurité nourri par
le monde. Collectivement, nous avons traversé des mois nos 2700 expertes et experts répartis dans le monde, nos
particulièrement denses en évènements et apprentissages 17 SOCs, 13 CyberSOCs et notre CERT présents dans
desquels l’écosystème cyber ressort alerte et soudé. 8 pays sur lesquels repose notre leadership. Tout part
denotreCoreFusionplateform,quiapermisd’identifier
La cybermenace comme ennemi commun, omniprésent
99 000 incidents de sécurité potentiels ayant fait l’objet
et tentaculaire aiguise l’esprit collaboratif.
d’une investigation. Nos équipes CSIRT ont mené à ce jour
Nul ne peut nier dorénavant l’état de la menace que nous 382 missions de réponse à incident, et nos Ethical Hackers
relatons dans ces pages et cette prise de conscience ont pris en charge 1900 projets.
accrue des risques en matière de cybersécurité caractérise
C’estensemblequenousluttonsebcacementtoutaulong
– au-delà de l’incertitude ambiante – l’époque dans laquelle
du cycle de la menace, de la prévention à la réponse
nous entrons.
à incident, en nous appuyant sur notre expertise ainsi
Les cyberattaques font la Une des médias. La guerre en que sur les meilleures solutions du marché pour répondre
Ukraine rappelle avec fracas que notre monde digitalisé auxbesoinsspécifiquesdechaqueclient.
est aussi le théâtre de batailles virtuelles, de même que
Et c’est ainsi que nous parvenons déjà à gagner
les nombreux cas d’hôpitaux visés, de téléphones et
des batailles, observant cette année le nombre de
boîtes mail de grands dirigeants politiques piratés ou
ransomwares diminuer en moyenne pour les clients
d’entreprises attaquées mettant la clef sous la porte.
qu’Orange Cyberdefense accompagne.
Jamais le grand public n’a été autant sensibilisé et, avec lui,
l’attention portée par chaque acteur de la société monte JesuisdoncfierdepartagerleSecurityNavigatorédition
d’un cran. 2023 avec la communauté cyber, les décideurs et
lescitoyens.Unrendez-vousattenduquenousnous
Les enjeux de la cybersécurité se traitent maintenant
devons d’honorer depuis la tour de contrôle que représente
au plus haut niveau au sein des pouvoirs publics et des
OrangeCyberdefensedanslafilièreetnourriepar
comités exécutifs des grandes entreprises, deviennent
son positionnement singulier au sein de l’un des
une priorité pour l’artisan comme pour le patron de PME
plus grands opérateurs de télécommunication et ses
et un sujet d’inquiétude ou a minima d’interrogation des
263 millions de clients répartis dans 29 pays.
citoyens. Un mouvement sociétal de fond et collectif
nécessaire à tout basculement. Naviguons dans les sables mouvants du cyberespace
desquels nous pouvons nous extraire avec sérénité mais
La corrélation positive d’un risque grandissant et d’une
responsabilité et conscience. Ce rapport est le vôtre.
prise de conscience généralisée rend le travail des
Faites-en bon usage et tâchons de réussir ensemble
éclaireurs encore plus nécessaire, pour renseigner et
ce qui sera l’une des plus grandes missions de notre temps.
accompagner. Aucun acteur du secteur, privé ou public,
ne peut s’exonérer d’une mission transcendant l’intérêt Mercidevotreconfianceetbonnelecture!
individueletquenousaimonsdéfinir,chezOrange
Cyberdefense, comme la quête d’une société numérique
plus sûre.
Hugues Foulon
© Orange Cyberdefense www.orangecyberdefense.com

4 Security Navigator 2023 ←Vouspouveztoujoursreveniràcettepageencliquantici! Table of contents 5
Sommaire
Score CVSS par jour et par industrie .......................................................................................................... 73
Introduction: ce que vous devez savoir.................................................... 6
Indice de sévérité des résultats ....................................................................................................................74
Les statistiques de nos cyberSOCs : nos enseignements ................... 9 Répartition de l’ancienneté de la découverte par sévérité .........................................................................76
Dates de publication des CVE ..................................................................................................................... 77
Eaetd’entonnoir:del’alerteàl’incident ......................................................................................................10
Conclusion..................................................................................................................................................... 78
Types d’incidents...........................................................................................................................................11
Totaux.............................................................................................................................................................11 Avis de nos experts Chine : honeypot, un leurre dans l’usine...................
Détection:tendancesgénérales..................................................................................................................12 80
Méthodologie VERIS .....................................................................................................................................13
Incidents et visibilité.......................................................................................................................................16 Les malwares à l’assaut des usines : coup de projecteur
Incidents classés selon la taille des entreprises..........................................................................................18 sur l’industrie manufacturière......................................................................83
Ransomwares............................................................................................................................................... 22
Retour vers le futur ....................................................................................................................................... 84
Cyber-extortions............................................................................................................................................24
Comparaison des indicateurs clés.............................................................................................................. 85
Aperçu des secteurs d’activité..................................................................................................................... 28
Le secteur de l’industrie manufacturière est-il volontairement ciblé par les extorqueurs ?..................... 86
ServicesProfessionnels,ScientifiquesetTechnologiquesImmobilier,LocationetLeasing ................... 28
Nos clients du secteur de l’industrie manufacturière sont-ils confrontés à davantage d’incidents ?.......... 88
Industrie Manufacturière, Santé et Aide Sociale, Finance et Assurance .................................................. 30
Conclusion..................................................................................................................................................... 89
Vente au détail et Commerce, Transport et Stockage, Hôtellerie et Restauration ................................... 32
Infrastructures « Commande et Contrôle .................................................................................................... 34 Les récits du CSIRT & du Pentest .......................................................... 91
Conclusion..................................................................................................................................................... 37 CSIRTstory:BulldozersversusNinjas ....................................................................................................... 92
CSIRTstory:« çamordsurSharepointP.( S.Cliquezici) ! »....................................................................... 94
Avis de nos experts Allemagne : qui sont les pires hackers ?..................38
Pentestingstory:fairelelienentresleserreursinternesduserveuretlepiratagede .............
comptes 96
Cyberguerre : le cas de la crise ukrainienne......................................... 41 Pentestingstory:sésame,ouvre-toi! ......................................................................................................... 98
Évaluation des risques.................................................................................................................................. 42 Avis de nos experts France : une revue de la sécurité
Cequevouspouvezfaire ............................................................................................................................. 43 des blockchains........................................................................................ 100
Méthodes d’attaque ..................................................................................................................................... 45
Del’autrecôtédelafrontière:commentaireduresponsableduCERTd’OrangePologne ......................47 Petit format, grand facteur de risque : sécurité mobile..................... 103
Conclusion..................................................................................................................................................... 48 Données ..................................................................................................................................................... 104
Vulnérabilités iOS........................................................................................................................................ 105
World Watch: « Histoire d’histoires » ....................................................... 51
Vulnérabilités Android................................................................................................................................. 106
A propos des données ................................................................................................................................ 52
Sécurité des applications mobiles ............................................................................................................ 108
Bulletins par technologie ............................................................................................................................. 53
Patchs and versions.....................................................................................................................................110
Log4j:desjournauxnéfastes ...................................................................................................................... 55
Conclusion.................................................................................................................................................... 111
Vulnérabilités les plus connues ................................................................................................................... 57
Au nom du mal ............................................................................................................................................. 59 Avis de nos experts Afrique du Sud : la théorie de la pensée
Espionnage par téléphone ........................................................................................................................... 60 Undéfimentalpourlesresponsablesdelasécurité ..........................112
Conclusion..................................................................................................................................................... 61
Prévisions en matière decybersécurité : en avant toute !...................114
Avis de nos experts France : gestion des vulnérabilités
Une évolution inévitable des architectures ................................................................................................116
ebcaceen3 2 0 .............................................................................................62
Loisetréglementations:uncritèrecroissantdesélection .......................................................................117
De nouvelles cibles de choix 118
L’historique des vulnérabilités : l’évolution du maillon faible ............. 65
Du renouveau ancien ..................................................................................................................................119
Connaître ses faiblesses ............................................................................................................................. 66
Données des tests d’intrusion ..................................................................................................................... 68 Résumé : ce que nous avons appris .................................................... 120
Résultats des scans de vulnérabilités ......................................................................................................... 70
Vulnérabilités découvertes par jour...............................................................................................................71 Contributions, sources & liens .............................................................. 122
Comparaisonsectorielle:analyseduVSOC ............................................................................................. 72
© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

6 Security Navigator 2023 What you need
Introduction
to know 7
Introduction
Ce que vous Laurent Célèrier
devez savoir EVP Technology & Marketing

Orange Cyberdefense
Avec le retour de la guerre dans une Europe largement lesmécanismesdeprisesdedécisioncyber)ou , encore

digitalisée, notamment après l’épisode COVID qui a accéléré notre retour d’expérience sur la gestion opérationnelle
la transformation numérique de nos sociétés, une nouvelle de la crise ukrainienne.
phase stratégique débute. Dans ce contexte inédit, un
A ce propos, l’approche adoptée par le gouvernement
constat s’impose dès l’ouverture de ce Security Navigator:
ukrainien constitue un exemple particulièrement éclairant qui
plus que la menace en elle-même, c’est l’incertitude qui
doit, lui aussi, nous inspirer pour les années à venir. L’Ukraine a
atteint un niveau inégalé. Le temps n’est plus aux tempêtes
eneaetréussiàéviterl’eaondrementcyberpourtantannoncé,
ponctuelles et isolées que l’on traverse ou que l’on contourne.
en s’appuyant sur le triple soutien des Etats, du secteur privé
Lescrisessanitaires,géopolitiques,industrielles,financièreset
delatechetdesindividus:
logistiques s’enchaînent et s’entrecroisent rendant leur analyse
dibcileetlaprédictiondeleurévolutionincertaine. ▪ Les Etats d’abord, qui ont fourni un soutien précieux
en matière de renseignement sur la menace ;
Dans ce contexte singulier, la capacité à décider vite et bien,
malgrélesincertitudesetlescontraintesfinancières,sera ▪ Le secteur privé ensuite, dont bien sûr les entreprises
cyber mais également les fournisseurs cloud qui
déterminante pour assurer la résilience numérique de nos
ont contribué à assurer la résilience des données
organisations. Soutenir les CISO et CIO dans leur prise de
ukrainiennes ;
décision constitue la vocation principale de notre Security
Navigator 2023. ▪ Lesindividusenfin,partiesprenantesdesconflitscyber
actuels:lesbelligérantscherchentàfédéreràleurprofit
Notre contribution repose en premier lieu sur l’évolution des hackers isolés partout dans le monde.
de la menace que nous avons pu constater au travers de
nos activités opérationnelles, sur l’analyse que nous en Sansallerversledomainedel’oaensif,cetriptyquepeutnous
avons dressée et sur les enseignements que nous avons inspirerpourlesstratégiesdedéfense:ilestclépourchaque
pu en tirer. C’est là le cœur de ce Security Navigator, nourri organisationd’avoir) 1( lesoutiendesagencesétatiques
par les presque 100 000 incidents investigués cette année despaysdanslesquelselleopèrede ) 2 ( s’appuyersurdes
par nos SOCs et CyberSOCs, par les 3 millions de scans partenairescyberdeconfiancedusecteurprivéde ) 3 ( placer
de vulnérabilité réalisés par notre Vulnerability Operations l’humain aucœ
urdu dispositif de défense sensibilisation,
( mais
Center(VOC)ou
, encoreparlesrapports
02 1 rédigéspar aussi mécanismes deremontéed’alertes) .
notre équipe de pentesting. Ces données de terrain, que Mentionnonsenfinunedernièreapproche,àmêmedenous
nous sommes heureux de partager avec vous, permettent aideràprendredemainlesbonnesdécisions:chercher
d’identifierlestendancesdefondquiseconfirmentpar ( à réduire le niveau d’incertitude. Un tel objectif s’inscrit
exemple la pression intenable des vulnérabilités, avec un nécessairement dans le temps long et passe par une
tempsmoyendepatchingquenousobservonsàjours) 5 12 , réduction des externalités et des dépendances qui nourrissent
lesévolutionstechniquesetgéographiquesnotamment ( en l’incertitude.Cettedémarcheestcelledelasouveraineté.Chez
matièrederansomwares)mais , égalementd’étudierl’ampleur Orange Cyberdefense nous sommes convaincus qu’il s’agit
et l’impact des événements majeurs qui ont marqué l’année là d’une des tendances qui structurera le monde cyber de
écoulée,qu’ilssoientgéopolitiquesguerre ( enUkraine)ou demain, et qu’il nous faut bâtir dès aujourd’hui.
techniquescrise
( Log4j).
Que cela soit en partageant des données, en s’inspirant
Toutefois, connaître la menace c’est aussi savoir qu’elle des bonnes pratiques ou en apprenant à maîtriser nos
évoluesanscesse:sedéfendrec’estdonctirertousles dépendances futures, nous avons à apprendre les uns des
enseignements de 2022, mais aussi admettre qu’il nous autrespourfaireface,avecnosressourceslimitées,auxdéfis
faudraaaronterdesmenacesnouvellesenAu-. 3 20 delà cyberquiseprésententànous.Leseaetsd’unetelleapproche
des données historiques, nous avons donc souhaité partager sefontd’ailleursdéjàsentir:lesdonnéesquevousvous
avecvousdestémoignages,récitsetréflexionsqui,même apprêtezàdécouvrirdémontrentainsiunediminutiondes
si aucune situation n’est identique, sont autant de sources incidentsaaectantlesclientsquenousprotégeons.S’ilne
d’inspirationpourlescrisesàvenir:c’estlàlaforcedela faut évidemment pas y voir un faiblissement de la menace et
communauté de défense qu’il nous faut incarner. Nous vous relâchernoseaorts,ceconstatdoittoutefoisnouspousser
invitons donc à découvrir, au gré des pages de ce Security àl’espoir:malgrélesincertitudesetlescontraintes,lavictoire
Navigator, les récits d’intervention de nos équipes CSIRT est possible. Ce Security Navigator nous invite à la bâtir
etpentest,desarticlesderéflexionpar ( exemplesur ensemble:nousvousensouhaitonsbonnelecture!

8 Security Navigator 2023 Les statistiques de nos CyberSOCs 9
Carl Morris
Senior Security Research
Orange Cyberdefense
Diana Selck-Paulsson
Lead Security Research
Orange Cyberdefense
Les statistiques de nos CyberSOCs
Nos enseignements
Cette année a été mouvementée pour un certain nombre de raisons.
Bien sûr, la situation politique ne nous a pas épargnée. L’impact
total de la guerre doit encore être déterminé, et nous l’examinons
de plus près dans un chapitre séparé. Il y a aussi des changements
internes:nosanalystesontcommencéàadopterunnouveau
systèmedeclassificationquinouspermetdemieuxcomprendre
ce qui s’est réellement passé. Nous avons recueilli des incidents
auprès des CyberSOCs du monde entier et normalisé les données
dans le cadre du processus d’analyse.
En outre, pour la première fois, nous avons également mis en
corrélation ces ensembles de données avec des informations
obtenues à partir de la gestion des vulnérabilités et des rapports
de tests d’intrusion, mais aussi des données de World Watch et
des observations de nos CERT, de nos laboratoires d’épidémiologie
etd’autreséquipesderecherche,afindedresseruntableauplus
précis de la manière dont nous en sommes arrivés là, et comment
ces tendances vont probablement façonner l’avenir. Bien que
certains de ces ensembles de données aient leur propre chapitre
dans ce rapport, nous les prenons en compte constamment pour
valider nos conclusions.
Comme mentionné dans les rapports précédents, il est important
de garder à l’esprit que tous ces incidents sont en fait des attaques
quiontétéprévenuesetstoppées.S’ils’agitd’uneréabrmationque
nos clients sont bien protégés, il est également important de ne pas
tomberdanscequiestappelé« biaisdesurvie»[1].

À propos des données Types d’incidents Événements, incidents,

▪ Nombre total d’incidents : 99 506 (contre 94 806 en 2021 soit 5 % d’augmentation) Ennous
, 2 02 avonsdétectélestypesd’incidentssuivants: incidentsconfirmés
Petitrappelterminologique:les Événements
« »quiremplissent
▪ Surcespotentielsincidents,92 912 pourraientêtreconfirméscommevraispositifs
Malwares : logiciels malveillants tels que certaines conditions sont enregistrés et considérés comme
incidents de sécurité, en baisse de 14 % desIndicateursdeCompromissionIoC) ( des
, attaquesou
ransomwares.
▪ Période analysée : octobre 2021 à septembre 2022 desvulnérabilités.Un« incident »seproduitlorsqu’unouplusieurs
événements sont corrélés ou signalés pour investigation par
▪ Sources des données : pare-feux, répertoires et annuaires, proxys, terminaux, EDR, Anomalies réseau et applications : tunnels, un de nos analystes de sécurité. Un Incident est considéré
IPS,DNS, DHCP, SIEM et notre plate-forme de détection des menaces alertesIDS/IPSetautresattaquesliéesautrafic comme« Confirmé »quand,avecl’aideduclientouàladiscrétion
réseau ou aux applications. del’analyste,nouspouvonsdéterminerquelasécuritéaeneaet
été compromise. Dans ce rapport, nous utilisons le terme « vrais
Anomalies système : événements directement liés positif
»True
( Positives)pourdésignercesincidentsconfirmés.
àl’OSetauxcomposantsassociéspilotes
( cessant Les« incidentsavéréslégitimes »True
( Legitimateincidents)sont
defonctionner,interruptionsdeservices). desIncidentssignalésetidentifiéscommedesactivitéslégitimes
avecl’aidedesclients.Leterme« fauxpositif »False
( Positive)
Anomalies de compte : attaques par force brute, désigne les menaces qui étaient en réalité des fausses alertes.
usurpations d’identité, mouvements latéraux,
Eaet d’entonnoir
élévation de privilèges ou incidents similaires. Totaux
de l’alerte à l’incident
99 506 Violation des politiques de sécurité : installation
de logiciels non pris en charge ou connexion de
périphériques non autorisés au réseau.
Cette année, nos données nous permettent de réaliser une
comparaison directe sur 12 mois complets. Nous sommes
ravisd’annoncerquenotrebaseclientss’estànouveauétoaée
Incidents potentiels et que les données de 44 % de clients supplémentaires
ontétéinclusesdanscerapportannuel.Cettehausseassez
Ingénierie sociale : toute tentative de tromper
importante a eu un impact relativement faible (+5 %) sur
les utilisateurs, par exemple via le phishing
le nombre d’incidents de sécurité à gérer. Nos données
et l’usurpation d’identité.
révèlent cependant que cette augmentation de notre clientèle
29 291
s’est majoritairement produite au cours des 4 derniers mois. En
prenant en compte la période d’été plus calme et les processus
d’intégration obligatoires, le niveau d’incidents serait inférieur.
Incidents confirmés (29,43 %) Vue d’ensemble Nousavonsenregistréunemoyennedeincidents43 confirmés

par mois et par client au cours des 12 derniers mois, contre 40
Comme les années précédentes, nous tenterons de vous fournir
àlamêmepériodel’andernier.Cechiareaconsidérablement
une vue d’ensemble des informations extraites de nos données
diminué au cours des 4 derniers mois en raison de la croissance
d’incidents pour mettre en lumière des tendances applicables à
de notre clientèle et des processus d’intégration associés.
l’ensemble du paysage des menaces. Nous avons ainsi recueilli
unvasteensemblededonnéeschezleséquipesopérationnellesAu total, 99 506 incidents ont été enregistrés, puis examinés
d’Orange Cyberdefense, notamment dans les 17 SOCs et par nos analystes sécurité dans l’un de nos CyberSOCs.
13 CyberSOCs chargés d’accompagner nos clients dans Cesenquêtesontpermisd’extraire92 912 « vraispositif
»chez
le monde entier. nos clients, soit 29 % du total des incidents examinés. Ensuite,
0 1 étaient
% des« incidentsavéréslégitimes »et5 des
% « faux
40% 19% 12% 8% 4% 3% Comme dans notre précédent Security Navigator, nous avons
la chance de pouvoir nous appuyer sur une année entière de
positifs»,lesrestants
%6 étantdesrésultatsnonconcluants.
données, du 1er octobre 2021 au 30 septembre 2022. Nous
pouvons ainsi réaliser des comparaisons directes avec le
rapport de l’année dernière, lorsque c’est possible et pertinent,
*Arrondi à des chiffres entiers, il manque 14% : autres (DDOS, erreurs)
afindesoulignerlesévolutionssignificativesdesmenaces
Malwares Anomalies Anomalies Anomalies Violation des Ingénierie observées dans notre base de clients et détecter d’éventuelles
applications & réseau système de compte politiques de sécurité sociale corrélations avec l’ensemble du paysage cyber.

32
Détection : tendances générales Méthodologie VERIS 7% 25
Selonnotretraditionnelsystèmedeclassification,
7%
Dans notre dernier rapport, nous avons annoncé
%
les Malwares restent en tête du classement puisqu’ils l’adoption de la norme sectorielle VERIS 25% Hacking/Pentesting
représententdes % 04 incidentsconfirmés.Ils’agit (VocabularyforEventRecordingandIncident 17% Utilisation frauduleuse
d’une légère augmentation par rapport aux 38 % Sharing)pourlaclassificationdenosincidents. 17% Malware
enregistrés l’an dernier. Les anomalies réseau et
10%
applications arrivent en seconde place, mais leur part Nous avons intégré cette nouvelle méthodologie 12% Erreur
a chuté de 22 à 19 %. Bien qu’elle ne soit pas comparable progressivement et exécuté les deux systèmes de 10% Inconnu
à la chute de 13 % enregistrée l’an dernier, il s’agit tout classificationenparallèle,afindepouvoirfournir 7% Autre(s)
de même d’un net déclin. les analyses ci-contre sur la base de notre système
7% Social
declassificationtraditionnel
« ».DesvaleursVERIS
Avec une part de 11,5 %, les anomalies système clôturent 3% Physique
ontétéattribuéesàdes
% 62 incidentsvérifiés,
ce top 3 des principaux types d’incidents, en hausse de 9 %
%
ce qui nous a permis de fournir des analyses 2% Environnement
12
parrapportauxchiaresenregistrésdansledernierrapport.
supplémentaires.
17
Les anomalies de compte ont abandonné la troisième
%
place et se retrouvent quatrièmes du classement. Comme
les anomalies réseau et applications, ce type d’incident a
enregistré un fort déclin, de 13 à 8 %, quittant ainsi le top 3.
Si son ordre a légèrement évolué, le top 4 des incidents
reste identique à celui des précédentes versions du Security
17 %
Navigator,mêmes’ilestengrandepartieinfluencéparles
technologies mises en œuvre et l’intérêt accru de nos clients VERIS: acteurs, cibles et actions
pour la détection.
Alors qu’elles avaient augmenté dans le dernier rapport,
les violations des politiques et l’ingénierie sociale ont chuté
pour atteindre 3,8 % et 3,5 %, respectivement. Ces types
d’incidents ne doivent pourtant pas être pris à la légère.
Lanaturedesattaquesd’ingénieriesocialerenddibcile
leur détection à l’aide de solutions techniques. Les violations
de politiques ne peuvent être détectées et exploitées
qu’avecdesniveauxdejournalisationsubsantsdans
tous les systèmes.
Cette année, les dénis de service sont apparus dans
le classement, même si nous n’en avons dénombré que
23 sur toute la période. Ils ont tous été détectés dans
de« grandes »entreprises,oùdesservicesdedétection
adéquats sont plus fréquemment présents.
Acteur Categorie Action Cible

Catégories VERIS Ce que VERIS nous révèle Tendances VERIS

Les sept principales catégories utilisées dans la méthodologie VERIS Certaines catégories de la méthodologie VERIS correspondent AveclaclassificationVERIS,leHackingestlepremiertype
sontassezdiaérentesdenoscatégoriestraditionnelles
« »: parfaitement à nos anciennes catégorisations, par exemple d’incident présent dans nos données. Pour nos besoins,
%
2.9
les Malwares et l’ingénierie sociale. Cependant, alors que nous avons également inclus les tests d’intrusion dans cette
Malware : tout logiciel, script ou code malveillant exécuté sur un
la catégorie Malwares comportait le plus grand nombre catégorie. Ils représentaient 25 % de tous les incidents
appareilpourmodifiersonétatousonfonctionnementsansle
1
Source d’incidents détectés dans notre précédente analyse, soit 40 % confirmésclassésàl’aidedunouveausystème.Ilest
consentementéclairédupropriétaire.Parexemple:virus,vers,
des incidents, elle arrive désormais en seconde place avec intéressant de noter que la quatrième catégorie d’incidents
logiciels espions, keyloggers, backdoors, etc.
47.1%
47.1% Interne
seulementLa. % 7 1 catégorie« utilisationabusive »,avec% 7 1 confirmésestcelledeserreurs.Lesentreprisesonttout
37.2% Externe
Hacking : selon VERIS, toute tentative d’accéder ou de nuire des incidents, se place aux côtés des Malwares. Les catégories intérêt à surveiller ce domaine de très près et à appliquer des
12.9% Inconnue
volontairementàdesactifsinformationnelssansautorisationou ( les plus proches seraient les violations des politiques et les mesures d’atténuation simples et relativement peu onéreuses,
1.8% Partenaire(s)
enallantau-delàdesautorisations)encontournantouendéjouant anomalies de comptes, qui représentaient 12 % du total des notamment en mettant en place de solides processus de
1% Autre
desmécanismesdesécuritélogiques.Parexemple:forcebrute, incidents.Silacatégorieutilisation
« abusive
»faitréférence gestionduchangement.Lecoûtfinancieretl’atteinteà
37.
injection SQL, cryptanalyse, déni de services, etc. au potentiel problème de la menace interne ou de l’abus de la réputation en cas de divulgation involontaire de données
% confiancedelapartdetiers,n’oublionspasquelesactivités ou de systèmes sur Internet à la suite d’une simple erreur ou
2
Tactiques sociales : ruse, manipulation, intimidation, etc. visant
non malveillantes sont elles aussi incluses. d’uneerreurdeconfigurationpeuventêtreconsidérables.
à exploiter la composante humaine ou les utilisateurs des actifs
informationnels.Parexemple:pretexting,phishing,chantage,
menaces, arnaques, etc.
Utilisation abusive : utilisation de ressources organisationnelles ~47 % des incidents sont causés par
oudeprivilègesattribuésàdesfinscontrairesàcellesprévues.Par des sources internes, et non externes.
exemple:abusadministratifs,violationsdespolitiques,utilisation
d’actifs non approuvés, etc. Ces actions peuvent être de nature Top 20 des principaux incidents relevés
malveillante ou non. L’utilisation abusive s’applique uniquement aux Incidents les plus observés par VERIS : sous-action et leur catégorie
partiesquibénéficientd’uncertaindegrédeconfiancedelapartde .1%
l’entreprise, par exemple les initiés et les partenaires. 17 0% 2% 4% 6% 8% 10% 12% 14%
Cible
29
.9%
Actions physiques : toutes les menaces volontaires impliquant la Attaque web (Hacking/tests d’intrusion)
29.9% Terminal
proximité,lapossessionoulaforce.Parexemple:vol,altération, 8.8% utilisateur final
Matériel/logiciel/script/solution non approuvé (Utilisation abusive)
espionnage, sabotage, accès aux appareils en local, agression, etc. 23.5% Serveur
11.8% Compte Scan de ports (Hacking/tests d’intrusion)
Erreur :touteslesactionsréaliséesou
( nonréalisées)de 8.9% Inconnu
Dysfonctionnement (Erreur)
8.9 %
manièreincorrecteouaccidentelle.Parexemple:omissions, 8.8% Réseau

mauvaisesconfigurations,erreursdeprogrammation,fauxpaset 17.1% Autre Phishing (Social)
débordements, dysfonctionnements, etc.
11 Adware (Malware)
. 8% . 5%
Environnement : phénomènes naturels tels que les tremblements
Utilisation abusive du net (Utilisation abusive)
de terre et les inondations, mais également tout risque associé à 23
l’environnement immédiat ou à l’infrastructure dans lesquels les Non concluant (Hacking/tests d’intrusion)
actifssetrouvent.Parexemple:pannesdecourant,interférences
Downloader (Malware)
électriques, fuites de canalisation et conditions atmosphériques.
Les actifs les plus ciblés parmi nos clients Négligence (Erreur)
En combinant la sous-action et la catégorie VERIS, nous pouvons sont les terminaux (~30 %) et les serveurs.
approfondir la cause réelle des incidents enregistrés. Comme nous Mauvaise configuration (Erreur)
pouvons le voir, les deux sous-actions de la catégorie Hacking/ Backdoor (Malware)
Tests d’intrusion sont les attaques web et le scan de ports, qui 1
représentent près de 22 % des incidents. Nous constatons des
3 3 22 Abus de privilege (Utilisation abusive)
similaritésaveclerapportDBIR«2 0 2 deVerizon »,quicitecomme Force brute (Hacking/tests d’intrusion)
principalvecteurd’attaqueles applications
« web
»,classéesdans Faux positifs FP
Spam(Social)
la catégorie Hacking. 88.9% Activité légitime
2.9% Données incorrectes Utilisation abusive de l’accès au web (Utilisation abusive)
Danslacatégorie«utilisationabusive »,lasous-action« matériel/
2.5% Mauvaises
logiciel/script/solutionnonapprouvé »arriveendeuxièmeposition configurations Utilisation d’identifiants volés (Hacking/tests d’intrusion)
des types d’incidents les plus rencontrés, avec près de 10,5 %. 2.2% Autres Ver (Malware)
Dans nos données, ces incidents impliquent généralement des 2.0% Error an corr. rule
tentatives d’installation de logiciels illégaux/crackés ou non 1.3% Infrastructure Mauvaise manipulation des données (Utilisation abusive)
autorisés, l’utilisation de générateurs de clés, l’utilisation de Tor pour 0.3% Service
C2 (Malware)
contourner les contrôles Internet ou la présence de potentiels outils
et scripts de hacking. Cette sous-action et cette catégorie pourraient
également être appliquées à l’utilisation du shadow IT, une technique 8 8.9 %
selon laquelle des salariés déploient ou utilisent leur propre matériel,
généralement dans le but de contourner certaines restrictions.
~89 % des faux positifs sont causés
par l’activité légitime des utilisateurs.

2 Couverture inférieure aux recommandations De manière générale, le rapport entre les vrais positifs et
Incidents et visibilité Impact d’une couverture accrue les faux positifs augmente au fur et à mesure que le score
3 Couverture appropriée, incluant tous les basiques
Dans le domaine de la sécurité, les nombreux indicateurs et Avec un score de couverture comme base de référence, nous decouvertureaugmente.C’estassezlogique:lorsque
4 Bonne couverture, incluant tous les basiques et d’autres
points de données présentent tous leurs propres avantages et pouvonsanalyserlesévolutionsdunombred’incidentsvrais ( notre niveau de visibilité sur n’importe quel domaine de
fonctions
inconvénients. Néanmoins, ils sont tous impactés par l’absence etfauxpositifs)lorsquelacouvertureaugmente. notre environnement augmente, nous détectons davantage
d’une base de référence pertinente. Nous pouvons déterminer 5 Couverture complète d’incidents malveillants. Cependant, le nombre de faux positifs
Sans surprise, le nombre global d’incidents par client
les secteurs les plus touchés en fonction du nombre d’incidents, que nous devons traiter augmente bien plus rapidement. Une
augmente en fonction du score de couverture évaluée.
mais par rapport à quoi ? Est-ce révélateur du volume de protection accrue améliore la sécurité, mais génère davantage
Domaines couverts
tentatives d’attaques ou d’attaques réussies, ou simplement Si dans la plupart des cas, nous pouvons supposer qu’une « d’interférences ».
de la taille des entreprises de ce secteur, ou bien encore du ▪ Sécurité périmétrique couvertureaccruesignifiedavantaged’incidents,qu’ilssoient
Journaux de pares-feux, journaux WAF, journaux IDS/IPS, Il semblerait qu’un schéma se dessine, dans lequel une
niveau de visibilité que nous avons sur ces entreprises ? confirmésouanecdotiques,l’ampleurréelledel’augmentation
journaux de passerelle e-mail, journaux d’accès VPN / à couvertureaccrueaméliorel’ebcacitédeladétection…
Ces problématiques sont particulièrement présentes dans dépend tout autant de la maturité en matière de sécurité.
distance jusqu’à un certain point. Passé un niveau de couverture
les services managés de détection des menaces tels que ceux
que nous proposons, car nous sommes confrontés à un très ▪ Sécurité interne
Cette corrélation entre la visibilité et les incidents signalés
est intuitive, mais il est important de s’en rappeler lors de
donné,lavisibilitéaugmenteetl’ebcacitédiminue.
large éventail de capacités de détection sur l’ensemble de nos JournauxAD/Authentification,journauxdepares-feux
l’analyse des données de sécurité, qu’il s’agisse des nôtres
clients. Curieusement, nous avons du mal à gérer ce problème
avec l’ensemble de données dont nous disposons.
▪ Infrastructure ou en général. Nouvelle comparaison selon
Journaux DHCP, journaux de requête DNS,
journaux de serveur Web / applications Web L’analysedenoschiaresrévèleceàquoinousnousattendions, les secteurs et tailles d’entreprise
Dans ce rapport annuel Security Navigator, nous tentons d’y
voir plus clair en présentant des analyses sur le niveau de ▪ Infrastructure Internet
àquelquesdétailsprès:danschaquedomainededétection,
le nombre d’incidents vrais positifs augmente avec une
Lorsqu’il est disponible, le niveau du score de couverture
permet d’analyser notre comparaison des niveaux d’incidents
couverturedontbénéficientnosclientsentermesdecapacités Journaux de serveur Web / applications Web,
couverture de détection accrue. La seule exception semble danslesdiaérentssecteursettaillesd’entreprises.
de détection, et l’impact que celui-ci peut avoir sur le volume et journaux de proxy Web
concerner le niveau de couverture 5, soit 100 %, pour lequel
le type d’incidents que nous signalons. ▪ Réseau on constate une chute du nombre d’incidents. Nous pensons Nousréalisonsunemodificationsimplesurlesvolumes
Pourcefaire,nouscréonsunindicateursimpleafindedéterminer TraficInternet,Traficest-ouestinterne, que cela est lié au niveau de maturité générale des clients avec d’incidents pour prendre en compte le niveau de couverture
l’étendue de la couverture en services de détection parmi NetworkTrabcAnalysisNTA) ( ce niveau de couverture. Le faible nombre de clients dans ce relatif:nousdivisonslenombred’incidentsparlescorede
les clients de notre ensemble de données. Nos scores de ▪ Terminaux groupe se distingue par d’autres facteurs bien plus pertinents couverture estimé et nous le multiplions par le score maximum
possible. Pour faire simple, plus le score de couverture estimé
« couvertureévaluée »,allantdeà0 correspondent
,5 Antivirus, EP/EDR, Sysmon, MS Defender queleniveaudecouverture.Ledomaine« terminaux»faitfigure
d’unclientestbas,pluscettemodification« boostera »
auxniveauxsuivants: ▪ Cloud, PaaS & SaaS d’exception, puisqu’un excellent niveau de couverture génère
le nombre d’incidents dans cette comparaison. Si un client
AzureAD,
- Audit,KeyVaultVM,
& O3Lacework
, 56 et systématiquement un nombre plus élevé d’incidents vrais et
Niveau du score de couverture faux positifs. dispose du plus haut niveau de couverture possible, nous
Mondoo, Palo Alto Prisma Cloud, Checkpoint Cloudguard,
prenons simplement en compte le nombre réel d’incidents
0 Aucune couverture plateformes telles que Adaptive Shield Pour faire simple, les mesures de détection au niveau des observés.
1 Couverture minimale terminauxnesontprobablementjamais trop
« nombreuses».
Avec ce calcul simple, nous pouvons désormais comparer
Une situation similaire apparaît lors de l’analyse des résultats les entreprises et les secteurs grâce à la prise en compte de
faux positifs en fonction du score de couverture. leurs niveaux relatifs de couverture.
Couverture
Quelle visibilité avons-nous sur l’ensemble de nos clients dans chaque secteur ? Nous représentons ci-dessous l’échelle
relative de la couverture évaluée dans chaque domaine. Comme il s’agit d’une nouvelle approche, nous ne disposons pas
encore d’une évaluation complète de la couverture pour tous les secteurs.
Couverture par domaine de sécurité Incidents relatifs à la couverture

pour chaque secteur d'activité par secteur d’activité Vrais positifs (VP) ajustés
Faux positifs (FP) ajustés
Répartition de notre surveillance selon les différents secteurs Nombre d'incidents par secteur d’activité en tenant compte des niveaux de couverture Taux de couverture
Nbr de clients Perimètre Internet Sécurité Interne Infrastructure Réseau Terminaux Cloud 60% 100000
90000
50%
80000
70000
40%
60000
30% 50000
55%
40000
20%
34% 30000
28%
23% 22% 20000
10% 21% 19%
16% 15%
10% 10000
0% 0
e
ue
if s
es
rs
tio t
r iè e
ce
qu s,
il
iq s
g a s,
et ,
g
ra e n
lic
ch de
al
ag
io
io
ta
bl i c e
tu tri
in
si
re
e
ue
ge
s
n
at
ni e l
d e re
is
iq
de rc e
qu s,
iq s
g a s,
es
re
s
ci
an
ct
at
lic
al
au m
ue
ub
de
oi
as
bl i c e
ck
dé i
nc
ac u s
r iè
pr
c h nn
uc
s if, A
bl
ni e l
d e re
et i è
iq
ka
es
pu r v
z
So
ci
m
ru
st e
ue
il
b
tL
ur
de me
p
Le
c h nn
r
to
re
pu
u f In d
ra
ta
bl
et r i è
re e r g
tu
Te sio
de
n e
Pu rv
So
Pu
Éd
le a r
oc
or
st
ss
es
S
te
ce
de t
nt
tS
Pu
su
ac
Te sio
n Se
n tr a
le a r
tr o , C
on
om
f
et
n
St
et e s
In
de é b
ce
a
tio s
es
ce
es
tE
c
en
an
tio
As
tr o , C
te
uf
r a re
n
tio nis
i
et fes
et
p é ne s
tio s
f
rv
et
C
er
es H
ic
ic
an
e s ro
tio
e
tio
an
m
st
tr a tr e
i s ut
tr a
or
an
p é ne s
et
Se
rv
ce
rv
m
es i
és
e s ro
rt
qu P
se
si
G Adm
st
in A
tr a
de Mi
m
ca
sp
is Au
is
Se
M
Se
om
po
e
As
an
qu P
if i s
si
ét
tis
de Mi
in
nc
r ie
Lo
nt ce
is
an
As
if i s
ci
ns
n
m
C
in
er
et
nt c e
na
st
ie rvi
Fi
ic
Tr
So
r,
Ad
a
m
iv
et
rv
du
é
ilie
ie rvi
Tr
Fi
m
Sc Se
in
n
Ad
,D
nt
s
se
é
Ad
io
m
Sc Se
In
ob
de
n
nt
Sa
ts
ct
io
Ad
et
Sa
m
té
Ar
n
ct
tr a
tio
Im
ep
tr a
Ex
pt
es
xc
Ex
e
G
xc
(e
(e
Incidents classés selon la taille des entreprises

Nous cartographions les incidents détectés à travers Larépartitiondesclientschezlesquelsnousavonsrecueilli
nosclassifications,enintégrantcertainesdonnées des données pour ce rapport indique une augmentation
Petites entreprises
« démographiques »duclient,notammentlatailledel’entreprise. proportionnelle de 27 % du nombre d’entreprises dans DansceSecurityNavigator,lesentreprisesdepetite « »taille De par leur nature, il est raisonnable de s’attendre à ce que
lacatégoriepetite
« ».Lesgrandesetmoyennesentreprises moins
( desalariés)
01 représentaientdes % 64 clients les« grandes »entreprisesenregistrentleplusgrandnombre
Nousdiaérencionslestaillesd’entreprisessuivantes: ont proportionnellement chuté de 10 et 23 %, respectivement. dont les données ont été utilisées dans ce rapport, soit d’incidents,puisquelenombreélevédesalariéssignifie
▪ Micro-entreprise 1-9 Au cours des 12 derniers mois, notre clientèle a augmenté
dans les trois catégories.
un volume total d’incidents de 15,5 %. Les incidents vrais
positifsconfirmésreprésentent9, 3dans 1% cettecatégorie
davantagedeterminaux,deserveursetdetraficréseau,etdonc
davantage de journaux et une plus grande surface d’attaque.
▪ Petite 10-49 d’entreprises.Prèsdelamoitié9de 4 )( % cesincidentsvrais Cependant, nous pouvons également supposer qu’elles
▪ PME 50-249 Cette année, nos données révèlent que les grandes
entreprises ont été touchées par 5 fois plus d’incidents
positifs ont été enregistrés dans la catégorie Malwares, contre
seulement 35 % l’année dernière, dans la continuité des
bénéficientdemesuresdeprotectionsupérieuresàcellesdes
entreprises plus petites, avec davantage de couches de défense.
▪ ETI 250-999 confirmésquelespetitesoumoyennesentreprises. hausses annuelles constatées pour les incidents Malwares Il est donc intéressant de noter que la répartition des incidents
C’est presque 3 fois plus que le nombre d’incidents
▪ Moyenne 1000-9 999
combiné dans ces deux catégories. Au total, les grandes
:2 0 :Nous
2 941., )2%0 5:3 ,90%21 40 :2,( % 0 1
constatons également qu’en dehors des anomalies système
suitlemêmeschémaqueceluides« petites »entreprises.
▪ Grande > 10 000 entreprisescomptabilisentdes % 27 incidentsconfirmés qui ont connu une hausse de près de 5 %, les volumes de tous
sur l’année écoulée. les autres types d’incidents ont chuté, les catégories anomalies Synthèse sur la méthodologie VERIS
réseau et applications et anomalies de compte ayant chuté Selon la répartition des catégories VERIS, les Malwares sont
chacune de 10 %. présents en bien plus faible quantité dans les incidents vrais
positifs de toutes les catégories d’entreprises par rapport
ànotreclassificationtraditionnelle.Celas’expliquecarles
Moyennes entreprises
17%
12% 12%
catégories VERIS décrivent ce que nous pensons être arrivé,
%
14 Lesentreprisesdetaille moyenne
« »comptententre0 1
et 9 999 salariés. Cette année, elles représentent 35 % des
alorsquenoscatégoriestraditionnellesreflètentlamanière
dontl’incidentaétédétecté.Latendanceseconfirmepour
1
22
clients de ce rapport et près de 25 % des incidents détectés, les« moyennes»entreprises,bienmoinstouchéesparcette

4 4
4 4
pourd’incidents
% 6,3 1 confirméscommevraispositifs.Dans catégoried’incidentsqueleurshomologuesde petite
« »et
13%
43%
cette catégorie d’entreprises, les 3 principaux types d’incidents « grande »taille.Nousnesommespasencoreenmesurede
49%
confirméssontlesAnomaliesRéseauetApplications, ) % 3 ( déterminer pourquoi, car nous ne disposons pas de données

11%
8% lesAnomaliessystèmeet ) % 1 2 ( lesMalwares. ) % 7 1 ( VERIS sur 12 mois pour l’ensemble des clients analysés.
Ceschiarescontrarientlestendancesobservéesdansles
Petites Moyennes Grandes La catégorie la plus représentée parmi toutes les entreprises,
%
« petites »et« grandes

»entreprises,oùlesMalwarespassent
voirelaplusélevéedansles«grandes »entreprises,est
entreprises entreprises entreprises de la troisième à la première position. Le schéma est similaire
33
10
19 1% % à celui de l’an passé, à l’exception des Anomalies Système

Hacking/testsd’intrusion.Sonpérimètreassezvasteet
2
l’intégration des activités de tests d’intrusion légitimes

% 17 %
qui ont pris la place des Anomalies de compte, en seconde
expliquentcechiareassezélevé.Ilestcependantintéressant
position cette année.
de noter que ce pourcentage est plus élevé dans les
« petites»et« moyennes»entreprisesquedansles grandes
« »
Malwares Réseau & Apps Système Compte Violation des politiques de sécurité Ingénierie sociale Autres
Grandes entreprises entreprises, avec 34 et 36 % respectivement,
contre seulement 19 %.
Les« grandes »entreprisesdeplusdesalariés 0 01
représentent 18 % des clients de ce rapport. Cependant, Tandis que les catégories Malwares et Hacking/tests d’intrusion
malgré leur plus faible représentation, elles ont généré près représententplusdelamoitiédesincidentsconfirmésdans
les« petites»et« moyennes»entreprises,lestypesd’incidents
Nouvelle catégorisation par VERIS de 60 % des incidents que nous avons traités et 72,5 %
desincidentsconfirméscommevraispositifs.Larépartition sontbienmieuxrépartisdanslesgrandes « »entreprises.
desincidentsconfirmésestsimilaireàcelledes petites
« » C’est particulièrement probant lorsque l’on s’attarde sur les 3
6 1 8% 4 5
3 9% entreprises, les 3 principaux types d’incidents étant les principauxtypesd’incidentsHacking, ( Malwares/testsd’intrusion
5 3 23 13% Malwaresles, ) % 34 ( AnomaliesRéseauetApplications) % 7 1 (
etlesAnomaliesSystème Par
. ) % 0 1 ( rapportàl’année
etutilisationabusive)dont
, lespourcentagessontéquivalentsou
très proches. Parmi les causes possibles, on peut citer le fait que
%
2
les grandes entreprises disposent de budgets et de ressources

2 9%
dernière, le volume d’incidents Malwares est resté identique,

9%
les Anomalies Réseau et Applications ont légèrement chuté plus conséquents pour adopter une approche basée sur de
19%
et les Anomalies de compte ont été remplacées à la troisième multiplescouchesdeprotection.Résultat:lesmenacessont

19%
34%
plus fréquemment détectées ou évitées.

7% 3
place par les Anomalies Système.

13 %
Petites Moyennes Grandes

% 18
7
6% % %
22% 3 19
Environnemental Erreur Hacking/Pentesting Malwares Utilisation frauduleuse Physique Social Autres Inconnu

20 Security Navigator 2023 Les statistiquesCyberSOC
de nos CyberSOCs
statistics 21
Incidents par taille d’entreprise

Evolution du nombre d'incidents au cours de l'année Grandes Moyennes ETI PME Microentreprises
2500
2021 2022
2000
1500
1000
500
0
Oct Nov Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep
Malwares relevés par client par taille

d’entreprise
Nombre d’incidents malware confirmés par client, regroupé par taille d’entreprise 2020 2021 2022
500
400
300
200
100
0.
Grande Moyenne Petite
Sur une base normalisée, nos grands clients génèrent environ Nous notons également, cependant, que les grandes
deux fois plus d’incidents liés aux logiciels malveillants que entreprises dans le graphique ci-dessus ont une visibilité totale
leurs homologues de taille moyenne. Les petites entreprises, surlesévénementsdesécuritédeleursterminauxy( compris
quant à elles, subissent environ deux fois moins d’incidents leurEDRetlatélémétrienativedeMicrosoft)alors , que
liés aux logiciels malveillants. Cela s’explique par le fait les petites entreprises n’ont atteint qu’un niveau de 68%.
que le nombre d’incidents liés aux logiciels malveillants est
directement proportionnel au nombre de terminaux.

Ransomwares
Contexte Ransomwares dans le CyberSOC Ransomwares dans World Watch
Priorité 1 Priorité 2 Priorité 3 Priorité 4
En 2019, un groupe spécialisé dans le ransomware baptisé Lafigureci-dessousillustrelafréquencedesignalementde Un nouveau ransomware baptisé White Rabbit a été rendu
25
« Mazeteam »acommencéànommerethumilierpubliquement Ransomwares dans nos bulletins World Watch. public. Il s’agit d’un malware relativement peu volumineux, basé
des victimes de ransomwares. Le succès de cette technique
d’extorsion a été reconnu par d’autres groupes, qui l’ont depuis
largement adoptée. 20
2021 2022 Le paysage des ransomwares a été chargé, avec d’importants
pics en mars et avril 2022, suite aux divulgations des journaux
sur des mécanismes anti-analyse similaires à ceux utilisés par
le ransomware Egregor.
de conversation de Conti et aux activités du groupe Lapsus$, En mars, le ransomware Hive a choisi le langage de
La« doubleextorsion »impliquel’utilisationdeleaksitessurle sur fond de guerre en Ukraine. Ces acteurs ne sont bien programmation Rust pour son malware. À cette époque,
dark Web, créés par des acteurs malveillants pour divulguer les 15 entendu pas les seuls contributeurs. ce malware avait échappé aux services de détection avant
données sensibles de leurs victimes et exercer une pression d’êtreidentifiéparunchercheur.
REvil est un nom bien connu dans l’univers du ransomwares,
sur ces dernières. Ces sites sont accessibles à tous, ce qui
maislegroupeafinipars’attirerlesfoudresdugouvernement LockBit est l’un des groupes de ransomwares les plus
nous permet d’appréhender en partie la typologie et le volume 10 américain. Se sentant menacé, il a progressivement réduit prolifiquesdel’annéesi , 2 0 2 l’onconsidèrelenombrede
de ces activités criminelles.
ses activités en octobre 2021. REvil a également annoncé le victimes répertoriées sur son leak site. LockBit a annoncé
Depuisl’adoptiondecettepratiquede double
« extorsion »par piratage de son infrastructure, sans spécialement chercher à la sortie de la version 3 de son malware. Les nouvelles
d’autres acteurs malveillants, nous avons détecté en moyenne 5 savoir qui en était l’auteur. À la grande surprise générale, les fonctionnalités permettent aux attaquants de neutraliser
près de 19 leak sites actifs sur le dark Web chaque mois. Pris USA et la Russie ont déclaré collaborer dans la lutte contre certainsprocessusdéfinisavantledébutduchiarement
ensemble, ces sites répertoriaient en moyenne 221 victimes REvil. À la mi-janvier 2022, la Russie a annoncé avoir arrêté des données. LockBit s’est développé en l’absence d’autres
par mois en 2021, soit une hausse de 51,8 % du nombre de 0 de potentiels suspects entretenant des liens avec REvil/ groupes tristement célèbres tels que Babuk, DarkSide, REvil
Q4 Q1 Q2 Q3
victimes par rapport à 2020. Sodinokibi. Malheureusement, les progrès n’ont été que de et Conti. Paradoxalement, LockBit aurait subi une attaque
Nos CyberSOCs n’avaient pas créé de catégorie standard pour courte durée. En avril 2022, des opérations de ransomwares entraînant la divulgation du code source de son malware.
les ransomwares par le passé. Sur les 10 700 vrais positifs similaires à celles de REvil ont à nouveau été détectées. Malheureusement, cet événement pourrait générer des
Rappel terminologique classés selon la nouvelle méthodologie VERIS, seuls 29 ont été variantes du nouveau malware, créées par d’autres acteurs
Evil Corp, un groupe de cybercriminels russes connu pour
Telleslespiècesd’unpuzzle,nosmultiplesensemblesde répertoriés en tant que Ransomwares. Nous avons néanmoins désireuxdeprofiterdel’expérienceetdusuccèsdesauteurs
avoir créé le malware bancaire Dridex, aurait adopté le malware
donnéesnousoarentdiversesperspectivessurleproblème misenplaced’autresmoyensdedétectionspécifiques LockBitpourchiarerlesdonnéesdesesvictimes.Plustard,
du malware LockBit. Cette hypothèse a déjà été testée
des« ransomwares ».Nousdevonsdoncapporterdes pouridentifierlesransomwares.Encombinantlesdonnées lorsqu’une analyse a indiqué la présence de similitudes entre
Microsoft a révélé qu’Evil Corp faisait des tests sur un malware
précisions terminologiques. obtenuesviacesdeuxméthodes,nousobtenonslafigureci- les codes de BlackMatter et LockBit 3.0. Plusieurs raisons
USB pouvant générer un ver informatique ou se répliquer.
dessus. pourraientl’expliquer,cequisignifiequ’iln’existepasforcément
DansnosdonnéesdesCyberSOCs,leterme« ransomware » Emotet est une plateforme de malwares dangereuse et de lien avec la divulgation du code source de LockBit.
désignetoutincidentimpliquantunetentativedechiarement Si nous sommes régulièrement confrontés à des incidents trèsebcace,ferméeparlesautoritésdébutSi . 1 20 le Les auteurs de malwares sont connus pour s’échanger
des données, mais également tout incident pouvant être lié à confirmésliésàdesRansomwares,leurvolumeest
mondeentierpensaitenavoirfiniavecEmotet,cen’était des fragments de code compilés et recollés.
des souches de ransomwares ou à des acteurs malveillants minusculeencontexte.Laraisonesttrèssimple:une
malheureusement pas le cas. Le groupe dénommé Conti aurait
du ransomware à n’importe quel point de la chaîne de frappe. attaqueparransomwareréussie,c’est-à-direlechiarement BlackBastautiliseunmalwaredechiarementcapablede
ressuscité Emotet pour tourmenter de nouvelles victimes.
de données ou toute forme d’extorsion, reste un événement ciblerleshyperviseurstelsquelesserveursVMwareESXipour
La« cyber-extorsion »ouCy-Xdésignel’actecriminelconsistant extraordinaire, dont se chargent souvent nos équipes du Un nouveau ransomware intitulé Nokoyawa a été découvert chiarerplusrapidementlesdonnées.Suiteàuneanalysedu
à extorquer une rançon à une victime. CSIRT. Les CyberSOCs gèrent plutôt les premiers signaux des etpourraitentretenirdesliensavecHive.Aumomentoùila ransomware Black Basta, Cybereason a révélé des liens étroits
attaques par ransomware. À ce stade précoce de la chaîne de été découvert, Nokoyawa ciblait des victimes en Amérique du avecConti,confirmantcequebeaucoupsupposaientdéjà.
« La Cy-X est une forme de criminalité informatique qui frappe d’une attaque, les indicateurs peuvent évoluer pour se Sud, notamment en Argentine. Les analyses publiées à son
Certains groupes, comme Vice Society, utilisent plusieurs
compromet la sécurité d’un actif numérique d’une entreprise transformerenfaillesenl’absencederéponse.Ilestdibcilede sujet révèlent que le groupe utilise Cobalt Strike. Les incidents
ransomwares. Vice Society est connu pour avoir utilisé
confidentialité,
( intégritéoudisponibilité)etexploitela connaître les intentions de l’attaquant, et lorsque l’incident est impliquant Conti révèlent également la présence de Cobalt
lesmalwaresZeppelinetHelloKitty,maiségalementpour
vulnérabilité ainsi créée pour extorquer un paiement. » par
( définition)détectéetcontré,l’incidentdeRansomwarequi Strike dans le cadre des activités post-exploitation.
avoir exploité de nouvelles vulnérabilités graves telles que
aurait pu apparaître peut ne jamais se matérialiser.
PrintNightmare, liée à l’impression Windows.
Ransomwares dans les bulletins World Watch

30
25
2021 2022
20
15
10
0

Cyber-extortions Nous surveillons cette tendance de très près et communiquons

à ce sujet depuis un moment, jusqu’à l’attaque du Costa Rica
par Conti en avril 2022.
L’évolution des cibles des acteurs malveillants pourrait donc
expliquer certaines des tendances observées en victimologie
danslesdiaérentspays.
Victimes de cyber-extorsion au fil du temps
Ces évolutions ont accéléré sur les 6 derniers mois de notre Noustentonsd’expliquerlabaissedeschiaresdeCy-Xdans
350 période de reporting, avec des chutes de 34 %, 33 % et notresynthèseàlafindece rapport.
2020 2021 2022 20 % au R.-U., aux USA et en Europe respectivement, et des
hausses de 30 % et 33 % en Asie de l’Est et en Asie du Sud-
Comme nous le mentionnons à plusieurs reprises dans ce
300 Security Navigator, au début de l’invasion russe en Ukraine,
Est sur la même période.
nos équipes polonaises ont remarqué une brève chute de la
Comment ces évolutions s’expliquent-elles ? Tout d’abord, cybercriminalité, car les criminels de la région étaient impactés
250
regardons du côté des groupes d’acteurs malveillants. et perturbés par les conséquences de la guerre. Dès avril,
leschiaresontcommencéàaugmenterànouveau.Nous
MêmesilaplupartdesattaquesdeCy-Xsontdavantage
200 pensons que la cyber-extorsion connaîtra une évolution
aléatoires que ciblées, nous avons remarqué que Conti était
similaire dans le reste du monde.
responsable de 19 % du total des victimes canadiennes entre
octobre 2020 et octobre 2021. Au cours des 12 derniers mois Pour illustrer cela, nous pouvons voir les barrières culturelles et
150
entre
( octobreet 1 20 octobreles
, ) 2 0 2 activitésdeContise linguistiques auxquelles sont confrontés les extorqueurs comme
sont arrêtées, ce qui a entraîné une diminution considérable les parois d’un barrage. En présence de facteurs systémiques
100 du nombre de victimes. L’acteur malveillant Everest a contribué delacyber-extorsion,le« niveaudel’eau»continuedemonter,
à 10 % des victimes canadiennes pendant la « précédente entraînant une inévitable rupture des installations. Après avoir
périodedemois21 »,maisn’afaitqu’uneseulevictimeau surmonté un nombre d’obstacles limité, l’eau peut continuer
50 cours des 12 derniers mois. sa course. Les pays occidentaux développés pourront peut-être
gérerlefluxdevictimesàleursportes,maiss’ilsyparviennent,
Enrevanche,lenombredevictimesauRoyaume-Uniencore (
nous pensons que les activités criminelles déborderont dans
0 unpaysanglophone)aaugmentédepar % 12 rapportaux
Jan Fev Mar Avr Mai Juin Juil Aout Sep Oct Nov Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep Oct Nov Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep d’autres pays plus petits et non anglophones, dans lesquels
12 mois précédents. Le groupe LockBit2, actif pendant les deux
lesgouvernementsnepourrontpasoarirlesoutienpolitique
périodes, a enregistré 5 % de victimes britanniques pendant
dontnousbénéficionsenOccident.Lacompromissiondu
la première période, contre plus de 23 % ces 12 derniers
gouvernement costaricain par Conti en avril de cette année
mois. LockBit3, la nouvelle version de LockBit2, a fait grimper
Les pays anglophones représentent une cible confortable et et celle du parlement monténégrin par le groupe Cuba laissent
Surveillance des sites de menaces Cy-X familière pour les acteurs malveillants qui ont peu d’expérience
les compteurs de 5 % au R.-U. Cela suggère que le groupe
présager une évolution dans ce sens.
d’acteurs malveillants LockBit a fait 5 fois plus de victimes
Début 2020, nous avons augmenté nos capacités de recherche à l’international et des compétences linguistiques limitées. britanniques pendant l’année écoulée que l’année précédente.
pour mieux comprendre la menace de la cyber-extorsion. Nous Les régions telles que l’Asie, l’Afrique et l’Amérique du Sud ou
recueillons des données par l’intermédiaire d’un aspirateur de les pays nordiques et européens non anglophones sont donc
site qui surveille les leak sites connus des acteurs malveillants malheureusement peu représentés dans notre ensemble de
de la double extorsion. Ce processus automatisé nous fournit données.
des points de données simples, par exemple le groupe d’acteurs
malveillants impliqué, les victimes de l’attaque, etc.
Nous constatons pourtant quelques évolutions à ce sujet
depuis 2021.
Victimes de Cyber-extorsion:
Nous enrichissons ensuite ces données manuellement, chaque
mois. Nous cherchons des informations sur les victimes pour
Commel’indiquelafigureàdroite,nousavonsconstatéune variation géographique
comprendre la victimologie de chaque menace. Nous allons
chute de 8 % aux USA au cours des 12 derniers mois, et Delta régional du nombre de victimes (comparaison sur 12 mois) 12 derniers mois 12 mois précédents Delta %
une chute considérable de 32 % du nombre de victimes au
aussi loin que possible dans nos recherches sur le déroulement 1200
Canada.
de l’attaque. Nous étiquetons les données saisies en fonction 182%
des types d’attaques, nous essayons de déterminer si la De manière générale, si le nombre de victimes observables a
victime a payé la rançon et nous documentons la quantité sensiblement diminué depuis octobre 2021, nous remarquons 1000 148%
de données dérobées. Nous classons ensuite les types de également que la situation géographique des victimes évolue, 138%
données volées selon la méthodologie VERIS. des USA et du Canada, en passant par le Royaume-Uni et
l’Europeoccidentale,auprofitdurestedumonde. 800
Répartition de la Cy-X selon les pays Bien que le nombre de victimes en Chine ait augmenté de 100%
Les grands pays anglophones sont les plus touchés par ce
, % 2 8 1 chiarerestefaibleparrapportàd’autresrégions.La 79%
la cyber-extorsion, principalement en raison de la taille de leurs deuxièmeplusgrandehausseconcernelarégion Autres
« »qui 600
économies. Sur les 10 pays enregistrant le plus grand nombre a enregistré une hausse de 148 %. Cette catégorie regroupe
de victimes, 7 font également partie des plus grandes de nombreux pays, mais elle nous indique clairement que la 37%
44%
économies mondiales en PIB nominal pour 2022. Plus 50%
menace évolue, impactant la quasi-totalité des autres pays. 400
l’économie est imposante, plus les entreprises sont nombreuses, 21%
LenombredevictimesdanslespaysnordiquesDK, ( SE, 21%
plus il existe de victimes potentielles, plus il est facile de les 18% 0%
NO,FI)etauMoyen-OrientAE,( SA,BH,QA,TR,JO,KW, 8%
compromettre. 200 0% 0%
SY,LB,OM,etc.a
) plusquedoublé,mêmes’ilrestefaibleen -8%
Selon nous, les exceptions à cette règle que sont l’Inde, le proportion.
Japon et la Chine s’expliquent en grande partie par les barrières -32%
L’AmériquelatineCR, ( BR,CO,PR,AR,MX,CL,PE,BO,DO,
culturelles et linguistiques, qui compliquent les activités 0
EC,VE,HN,PA,PY,NI,GT,etc.a
) égalementrejointletop5 Canada République Europe Inde USA Royaume Middle Nordics Autre AU & NZ Asie du Afrique Asie Russie Amérique Asie Asie de l’Est
d’extorsion ciblant les sièges des entreprises dans ces régions.
des régions les plus touchées. populaire
de Chine
-Uni East Sud-Est du Sud Latine Centrale (Ex RPC)

Répartition de la Cy-X selon les secteurs Méthodes d’extorsion 2022 2021
L’analysedessecteurslesplustouchésparlaCy-Xoare
de nombreuses similitudes avec les schémas observés
Inconnu 6
3
Evolution des victimes par acteur
Essor et déclin des groupes d'extorsion 2022 2021
précédemment. L’industrie manufacturière reste le secteur
le plus touché, avec un nombre de victimes quasi identique Revente 64
49 1400
ces deux dernières années, ce qui contrarie la tendance observée
ailleurs. Un cinquième du total des victimes appartient au secteur 22 8 16 12 12
24 3
de l’industrie manufacturière. Menace DDOS 55 18
8 2 7 7
7 6 5 4 3 3 3
1200 32 9
43
Nous constatons cependant une évolution quant à la probabilité 52 0 -9
-43 -22-17
68 28 -11
que la victime ait payé les acteurs malveillants. Alors que nous DDoS -30 1 2 0
66
116
avions enregistré une probabilité de paiement de 5 % entre 1000
octobre 2020 et septembre 2021, nous constatons désormais Extorsion 219 100
-23-15 -193 -8
de données 2
que le secteur aurait payé dans près de 8 % des incidents au
140
cours des 12 derniers mois. 800
Chiffrement 2210
2151 -196
Nous constatons également une légère évolution du type de données
240
d’extorsion, ce qui pourrait expliquer la hausse de la probabilité 0 500 1000 1500 2000 2500
600
de paiement. Si la plupart des incidents ont été classés en tant L’extorsion de données désigne le vol de données sans -179
454
qu’incidentsdechiarementstandarden les
, 1 2 0 2 / 0 2 0 2 incidents chiarementpardesacteursmalveillantsetlamenacede
« d’extorsiondedonnées »sanschiarementontaugmentéces divulgation des données dérobées. 400
-125
12 derniers mois. Dans les cas de vol de données avec menace -81
de divulgation, les victimes paient souvent moins cher que dans Étant donné que les victimes semblent avoir appris à se protéger -91 -47
contrelesattaquesdechiarement,notammentendéployantdes -45
lescasoùellesdoiventégalementacheterlaclédedéchiarement. 200 -44
La probabilité de paiement augmente naturellement lorsque les sauvegardes, certains acteurs malveillants tels que Black Basta -28
-24-17
prix sont moins élevés. Cette tendance générale s’observe dans le ont décidé de se concentrer uniquement sur ce nouveau type
paysagedesmenacesdeCy-X,maissembleégalementprésente d’extorsion.
0
dans le secteur de l’industrie manufacturière. Nous avons également constaté un déclin de l’utilisation des
LockBit2
Conti
LockBit3
ALPHV (BlackCat)
HiveLeaks
Black Basta
ViceSociety
Pysa
Clop
LV
Snatch
Grief
Quantum
BlackByte
Cuba
AvosLocker
Haron
Spook
RagnarLocker
Lorenz
SunCrypt
Everest
Onyx
Sabbath
RansomEXX
BlackMatter
Marketo
Moses Staff
Arvin Club
BianLian
Entropy
Ransomhouse
Payloadbin
Rook
Yanluowang
Daixin
Groove
CHEERS
Pandora
REvil2
REvil
Xing
Bonaci
NightSky
AtomSilo
Egregor
Avaddon
DoppelPaymer
Netwalker
Darkside
Ragnarok
Babuk
Prometheus
Nefilim
MountLocker
Lessecteurs
01 lesplustouchésparlaCy-Xsontidentiques attaques DDoS dans le cadre de l’extorsion. Il semblerait que le
à ceux que nous avons observés l’an passé, hormis quelques rapport coût-avantage de cette forme d’attaque n’en vaille plus la
modificationsdanslesproportions.Nouscontinuonsàpenser peine.
que les tendances sectorielles ne révèlent pas un ciblage L’ADNdecetteformedecybercriminalitén’estpaslechiarement,
spécifiquedesattaquants,maisplutôtquelessecteurslesplus mais l’extorsion, c’est-à-dire le fait de dérober quelque chose qui
touchés sont, d’une manière ou d’une autre, particulièrement adelavaleurpourlavictimeafinderécupérerunerançon.Les
vulnérables. criminels devraient continuer à s’adapter et à trouver de nouvelles
En 2022, l’extorsion de données prédomine, tandis que l’extorsion formes d’extorsion, tandis que les victimes devront évoluer pour
divulguer des échanges internes provenant de leurs serveurs
« traditionnelle
»parchiarementadiminué. lessurmonter,jusqu’aujouroùnousparviendronsànousattaquer Acteurs malveillants de la Cy-X de messagerie, révélant ainsi de précieuses informations sur
aux facteurs systémiques de cette forme de criminalité.
Après le démantèlement de Conti au 2e trimestre 2022, la dynamique du groupe. Dans son chant du cygne, Conti a
Victimes de Cy-X par secteur d'activité Lockbit2 et Lockbit3 sont devenus les deux plus grands
acteurs de la cyber-extorsion en 2022, avec plus de 900
perpétré une dernière attaque massive sur le gouvernement
costaricain entre avril et mai 2022.
Nombre de victimes pour 2021 et 2022 pour chaque secteur d’activité 2022 2021
victimes combinées. Conti reste cependant l’acteur le plus
prolifiquedenotreensemblededonnées. Cette compromission a gravement perturbé le pays et le
Industrie Manufacturière
président nouvellement élu a dû déclarer un état d’urgence
Services Professionnels, Scientifiques et Techniques
Sur les 20 acteurs observés en 2021, 14 n’apparaissent plus national.
Commerce de détail
dans le top 20 établi en 2022, ce qui montre à quel point
Construction
les groupes de cyber-extorsion périclitent rapidement. Nous D’autres événements fascinants ont également fait la une.
Commerce de gros avons suivi 49 acteurs en 2021, contre 47 en 2022. Cependant,
Finance et Assurance larépartitiondesvictimesentrecesdiaérentsgroupes Le groupe LockBit a déclaré avoir hacké le fournisseur
Santé et Assistance Sociale a radicalement changé. d’identité numérique Entrust en aout 2022. Quelques jours plus
Services Éducatifs
tard, LockBit a annoncé avoir subi une attaque DDoS, laissant
penser qu’il s’agissait peut-être de représailles de la part de
Administratif, Aide, Gestion des déchets
Administration publique La Cy-X dans World Watch sa dernière victime.
Inconnu Le groupe Lapsus$ a également hacké plusieurs grandes

La cyber-extorsion est apparue régulièrement dans nos
Transport et Stockage bulletinsWorldWatchdesderniers
21 mois.L’aaairelaplus entreprises, notamment Nvidia, Samsung, Okta, la société
Information notoire est celle de Conti. informatique Globant, Uber et le développeur de jeux vidéo
Autres Services (excepté Administration publique) Rockstar Games. Semblant sortir de nulle part, leurs attaques
Immobilier, Location et Leasing En février, alors que les forces armées russes arrivaient sur ont fait grande impression, si bien que leur haute visibilité
Hébergement et Services de Restauration le sol ukrainien, le groupe a publié un communiqué de soutien a entraîné l’arrestation de plusieurs suspects au Royaume-Uni.
Services Publics à la Russie. Cela a signé leur arrêt de mort. Certains membres
Arts, Divertissement et Loisirs
de Conti se sont sentis insultés et un individu a décidé de
Gestion des Sociétés et Entreprises
Mines, Carrières, Extraction de pétrole et de gaz
Agriculture, Sylviculture, Pêche et Chasse
0 100 200 300 400 500 600

Aperçu des secteurs d’activité Sources des incidents par secteur d’activité
Larépartitionàdroiteoareunaperçudetouslessecteurs Les acteurs externes proviennent généralement de l’extérieur Répartition des incidents confirmés par VERIS par acteur et secteur activité Externe Interne Partenaire Inconnu
d’activité de nos clients et des acteurs malveillants auxquels del’entreprise:individus,hackersmalveillants,groupes 100%
ils ont été confrontés, proportionnellement. S’il s’agit d’un d’acteurs malveillants soutenus par les états, APT, anciens
90%
nouvel ensemble de données appliquant la méthodologie salariés, etc. Les acteurs internes agissent au sein de
VERIS encore en développement, cela nous permet tout l’entreprise. Il peut s’agir de salariés, de consultants, de 80%
de même d’avoir une première idée des secteurs qui sont stagiaires, etc. Les partenaires, tels que les sous-traitants, 70%
davantage touchés par des acteurs malveillants internes que fournisseurs, et services informatiques externalisés, sont
par des acteurs malveillants externes. Par ailleurs, ces résultats des tiers. 60%
peuventêtreinfluencésindividuellementparlescapacités 50%
Notons également que les actions à l’origine des incidents
de détection de chaque client dans le secteur respectif.
de sécurité peuvent être de nature malveillante ou non 40%
Toutefois, il est très étonnant de constater que de nombreux malveillante, volontaire ou involontaire.
30%
secteurs semblent davantage confrontés à des menaces
internes qu’à des menaces externes. 20%
10%
Servicesprofessionnels,scientifiquesettechnologiques 0%
il
ue
s
riè e
qu s,
ci té
tio t
iq f
G n
n
ta
ic
tif
nc
ag
io
in
bl sau
ra en
tu tri
de tio
io
ni el
iq
So an
re
es
az
bl
dé
a
as
at
ue
ra
ck
ac us
st gem
al
ct
ch nn
uc
bl
et rac
Pu
Pu (
rm
ce e S
Ce secteur est dans le top 3 de notre clientèle, soit 13 % Enobservantl’évolutiondesincidentsdesécuritéconfirmés
Le
su
ru
de
to
n es
Pu
uf nd
Te sio
Éd
le xt
fo
st
As
es
tS
Re ber
an d
au
tio rvic
et
an I
ce
tro , E
n
et s
In
on
es
st s
ic
e
tio
te
n
et
si oin
de é
er
tra se
Pé res
rv
du total des clients du domaine services professionnels. aufildutemps,nouspouvonsremarquerqueleurniveauest
tio
ic
es o
H
tra
or
m
Se
rv
As S
qu P
ca
nc
in es
de rriè
sp
om
M
is
Se
ifi s
Lo
m utr
na
in
nt ce
an
a
C
Concernant l’augmentation des incidents de sécurité, nous constant chaque mois, à l’exception de deux pics en janvier et
is
es
m
,C
Fi
Ad A
ie rvi
r,
Tr
Ad
ilie
ic
et
es
Sc Se
rv
ob
in
Se
constatons que 10 % du total des incidents de sécurité septembre 2022.
M
m
et
Im
potentiels proviennent de ce secteur. Nos analystes sécurité
GrâceauxinformationsdelaclassificationVERIS,nous
ontanalyséplusdeincidents
08 1 desécuritéconfirmésdans
4 4
constatonsquecesecteuradavantagesouaertdesacteurs
ce secteur.
malveillantsinternesce 94, )( % quisignifiequelesecteur
Lapremièrecatégoried’incidentsdesécuritéconfirmés
est anomalies réseau et applications avec 37 %, un résultat
des services professionnels est confronté à un problème
de« menaceinterne ».Lesprincipales
3 menacesinternes % 2
similaireàceluidel’annéedernière:du 1 2%0 5(3 totaldes observéessont:utilisationabusiveduNet,Matériel/logiciel/
8%
incidentsconfirmésétaientliésauréseau)Les . anomalies script/solution non approuvé et dysfonctionnements. Les
systèmereprésentent91des % incidentsconfirmés,unchiare acteurs malveillants externes ont généré des incidents vrais
semblable aux 20 % enregistrés l’an dernier. Les incidents positifs dans 35 % des cas, 15 % du total des vrais positifs
liés à l’Ingénierie sociale ont étonnamment été divisés de plus n’ontpaspuêtreidentifiésetont % 0 2, 1 étéclassésdans
19 %
demoitié,soitdes%4 incidentsconfirmés,contrel’an %31 lacatégoriepartenaires
« »,c’est-à-direqu’ilsontétécausés
dernier. Les anomalies de compte ont également diminué par des tiers. Les 3 principales causes d’incidents externes
proportionnellement pour atteindre 7 % du total des incidents, étaient:attaquesweb,scandeportsetspam.
contre 12 % l’an dernier.
Immobilier, location et leasing

Seuls 2 % de nos clients appartiennent à ce secteur et ils Lorsque nous analysons les données via la méthodologie
32
38%
contribuent également à 2 % des incidents de sécurité entrants VERIS, nous constatons une proportion égale d’incidents
confirmésdécoulantd’acteursmalveillantsinternesetexternes.
24%
en termes de volume. Nos analystes sécurité ont néanmoins
enquêtéetdétectéenviron90incidents
0 desécuritéconfirmés. Ces deux catégories représentent 39 % des incidents, tandis
Ce secteur se démarque avec un taux proportionnellement quen’ont
%7 1 pasétéidentifiésetont
% 4 étécauséspar
41%
élevé de vrais positifs. La moitié des incidents signalés ont des partenaires, c’est-à-dire des tiers.
étéconfirmés,92 étaient
% desIncidentsavéréslégitimeset
En termes de volume, les principales catégories d’actions
seulement 17 % étaient des faux positifs, les 5 % restants étant
malveillantessont:spamspardesacteursmalveillants
nonidentifiés.
externes, phishing par des acteurs malveillants externes et
Si l’immobilier représente proportionnellement un faible nombre utilisation abusive du net par des acteurs malveillants internes.
de clients et d’incidents, la première catégorie est celle des Les attaques web sont la troisième catégorie d’actions
Malwares conformément
,) % 1 4( àlatendancegénérale.Par malveillantes externes. Les dysfonctionnements arrivent
rapportàl’annéedernière,lescasdeMalwaresconfirmésont en deuxième position des incidents internes, suivis des
représenté seulement 16 % de l’ensemble des vrais positifs. spamsd’origine
( interne,paroppositionauxspamsd’origine
externequisontl’actionmalveillantelaplusreprésentée).
Les anomalies réseau et applications arrivent en deuxième
Étonnamment, 14 incidents de sécurité ont été causés par
30
%
placeavecdes % 03 incidentssuivies ,:) 1 %207 (3 des
des partenaires en raison d’un manque de capacité.
anomaliessystèmeavec Dans
.:) 1 %20 8 (2 % 4 2 l’ensemble,
le secteur immobilier enregistre la plus grande proportion Lenombred’incidentsdesécuritéconfirmésaugmentede
d’anomalies système, après le secteur transport et stockage. manière stable entre octobre 2021 et le pic de septembre 2022.
Cependant, ces deux secteurs sont relativement peu
représentés dans notre clientèle.
Malware Réseau & Apps Système Compte Violation des Politiques de Sécurité Ingénierie Sociale Autres
Arrondi
* auchiareentier

3
6%
Industrie manufacturière
L’industrie manufacturière est encore une fois le secteur le plus Lerestedesdonnéesn’apaspuêtreidentifiéparlesanalystes.
représenté, du point de vue du nombre de clients et du nombre
12%
Parmi les incidents de sécurité attribués à des acteurs
d’incidents. Environ 28 % de nos clients proviennent de ce
malveillantsexternes,lesprincipales
3 attaquessont:
37
secteur, pour une part de 31 % de l’ensemble des incidents
les attaques web, le scan de ports et le phishing. Dans
potentiels. Nos analystes ont travaillé sur plus de 7 000
les incidents d’origine interne, nous avons enregistré les 3
%
incidentsdesécuritéconfirméssurlapériodesélectionnée.
actionsmalveillantessuivantes:matériel/logiciel/script/solution
Ils ont déterminé que 37 % de ces incidents étaient liés à
non approuvé, dysfonctionnement, backdoors.
des Malwares, 23 % étaient des anomalies réseau et
applications et 19 % étaient des anomalies système.
Enanalysantlesincidentsconfirméspourlesquelsnous
disposons de données extraites de la méthodologie VERIS,
19 %
nous constatons que ce secteur est confronté à davantage
d’acteurs malveillants internes, soit 58 % des incidents,
contre 32 % d’incidents d’origine externe et 1 % d’incidents
« partenaires
»,c’est-à-diredestiers.
Santé et Aide Sociale

13 23%
En quatrième position, le secteur de la santé représente 7 % Le secteur de la santé enregistre donc la plus haute proportion
% 22
de nos clients. Comme l’année dernière, le secteur de
la santé est 7e en termes de volume d’incidents signalés.
d’incidents de sécurité externes. Cependant, puisqu’une
partie des données seulement a été classée à l’aide de la
12
%
Lesincidentsconfirmésproviennentprincipalementdes méthodologieVERISetqueseulslesincidentsconfirmés
catégoriesanomaliesréseauetapplicationsincidents , ) % 36 ( sontanalysés,cechiarepeutêtrerelativementfaible.Ilnous
liésàdesMalwareset ) % 2 ( anomaliesdecomptes. ) % 11 ( apporte néanmoins quelques informations intéressantes. Ce
Ce secteur est le seul à être principalement touché par résultat est d’ailleurs conforme aux résultats du Data Breach
desincidentsanomaliesréseauetapplicationsconfirmés. andInvestigationsReportDBIR) ( 2 02 dans
[2]
, lequelVerizon
L’ingénierie sociale a chuté, passant de 5 % du total des constateégalementquecesecteurquisouaraitplutôtde
incidentsconfirmésà. % 3 « menacesinternes »aétédeplusenplustouchépardes
acteurs malveillants externes ces dernières années, suite
Lorsque nous analysons les données via la méthodologie
au développement de ses surfaces d’attaque Web.
VERIS, nous constatons que ce secteur a principalement
souaertd’incidentsdesécuritéd’origineexterne,puisque% 6 7
dutotaldesincidentsconfirmésselonlaclassificationVERIS
ont été attribués à des acteurs malveillants externes, tandis
que 18 % étaient d’origine interne et 0,61 % provenaient
de partenaires.
6 3% 8%
Finance et Assurance
Le secteur de la Finance a perdu une place en termes de Ducôtédescausesdesincidentsconfirmés,plusdelamoitié %
8
proportion des incidents de sécurité potentiels. Occupant des incidents répertoriés provenaient d’un acteur malveillant
40%
auparavant la quatrième place, le secteur Finance et assurance externeet ) % 6 5 ( untiersd’unacteurmalveillantinterne. ) % 3 (
est désormais 5e avec 9 000 incidents de sécurité signalés. Lerestedesdonnéesn’apaspuêtreidentifiéparlesanalystes.
Ce secteur représente 13 % de notre clientèle.
Comme les années précédentes, ce secteur enregistre
Alors que nous avions observé une chute des incidents l’un des plus forts taux d’ingénierie sociale. Sur l’ensemble
20 %
Malwaresconfirmésl’annéedernière,noussommescette desincidentsconfirmés,plusdesont %8 classésdansla
année confrontés à une proportion bien plus élevée d’incidents catégorie Ingénierie sociale. Dans ce rapport, seul le secteur
Malwaresconfirmésquelesdeuxannéesprécédentes.Les publicenregistredavantagedecasd’Ingénieriesociale, ) % 5 1 (
casdeMalwaresconfirmésreprésententuneproportionde proportionnellement.
contre
, % 04 des
%51 incidentsdesécuritéconfirmésl’année
Les 3 principales catégories d’incidents de ce secteur étaient
dernière. Soulignons également que le nombre d’incidents de
lesMalwaressuivis
94, )( % desincidentsliésauréseau
sécuritéconfirmésaréduitdemoitiéparrapportauxchiares
et
) % 3 2 ( desanomaliessystèmeNous . ) % 02( constatons
de l’année précédente.
une évolution importante des proportions du top 3 et des
Concernantl’évolutiondesincidentsconfirmés,lesecteur
Finance enregistre une hausse stable entre octobre 2021
catégoriesparrapportauxchiaresdel’annéeprécédente.
Plusieurs raisons peuvent l’expliquer, notamment des 23%
et septembre 2022, avec un léger pic en juin 2022. modificationsdesfonctionnalitésdedétection,delabase
de clients et du paysage mondial des menaces.
Malwares Réseau & Apps Système Compte Violation des Politiques de Sécurité Ingénierie Sociale Autres
Arrondi
* auchiareentier

Vente au détail et Commerce 5

Le secteur de la vente au détail représente 6 % de nos clients et
21 % des incidents de sécurité signalés. Il se place en deuxième
Noussommesenmesuredel’abrmergrâceauxdonnées
partiellesauxquellesnousavonsappliquélaclassification
5 2
7%
position en termes de volume d’incidents de sécurité analysés VERIS. Les acteurs malveillants internes sont responsables de
par nos équipes. Un tiers des incidents signalés sont des Vrais des
%4 incidentsconfirmés,contrepour
% 53 lesincidents
15%
positifs, soit 3 500 enquêtes sur la période sélectionnée. causés par des acteurs malveillants externes. Les 19 %
restantsn’ontpaspuêtreidentifiésparlesanalystesetunpeu
Avec une part de 39 %, les anomalies réseau et
plus de 3 % des incidents sont liés à des tiers, c’est-à-dire des
applications représentent la principale catégorie d’incidents.
partenaires de nos clients.
Proportionnellement, il s’agit d’une hausse considérable
par rapport à l’an dernier, puisque 22 % des vrais positifs En analysant plus en détail les actions malveillantes, nous
étaient des incidents liés au réseau et aux applications. Il en constatons que les incidents de sécurité internes liés à
9%
va de même pour les Malwares, avec une légère hausse des du matériel, des logiciels, des scripts et des solutions
incidentsconfirmésparrapportàl’annéeprécédente:1 20 ( non approuvés arrivent en première position en termes
Les
.:) 2 %0 27 , % 3 2 casd’Ingénieriesocialeontdiminué, de nombre d’actions et d’acteurs. Viennent ensuite les
mais la vente au détail demeure le 3e secteur le plus touché par attaques externes telles que le phishing, les attaques web
ce type d’incidents. etl’utilisationd’identifiantsvolés.Lesacteursmalveillants
internes ont également généré des incidents de sécurité liés
Comme d’autres secteurs analysés dans cette édition, la vente
38%
à une mauvaise utilisation des privilèges et à des erreurs de
au détail est davantage touchée par des menaces internes que
configuration.
8%
par des incidents d’origine externe.
34
Transport et Stockage
%
Le secteur transport et stockage représente 4 % de notre D’après les connaissances extraites des données VERIS,
clientèle et 2 % des incidents signalés. L’analyse détaillée des nous constatons une proportion supérieure à la moyenne de
28 %
vrais positifs nous révèle qu’un tiers d’entre eux étaient liés à menacesinternes.Eneaet,des % 46 incidentsconfirmés
uneformedeMalwares,suivisdesanomaliessystème) % 8 2 ( classés selon la méthodologie VERIS étaient d’origine interne.
etdesanomaliesréseauetapplicationsCurieusement,. ) % 62( 32 % provenaient d’une source externe, 3 % des données n’ont
les violations de politiques arrivent en quatrième position. paspuêtreidentifiéesetétaient
%1 liésàdespartenairesde
D’une année sur l’autre, le niveau des Malwares est resté nos clients. Les actions malveillantes d’origine interne étaient
similaire, les incidents liés au réseau sont proportionnellement lessuivantes:Utilisationabusivedunet,matériel/logiciel/script/
plus élevés et les anomalies système ont considérablement solution non approuvé et dysfonctionnements. Les acteurs
augmenté.:) 2 %0:281 ,20% (7 malveillants externes ont contribué aux données d’incidents
par l’intermédiaire du scan de ports, des attaques web et de
5 25%
l’utilisationabusivedunetpar ( oppositionàl’utilisationabusive
41
dunetd’origineinterne).
Hôtellerie et Restauration
Cesecteuresttrèsspécifiqueetdoitêtreabordéavec Plus de la moitié des incidents sont liés à des acteurs
prudence. Alors qu’il représente seulement 2 % de nos malveillantsd’origineinternequi ) % 56 ( utilisentdumatériel,
clients, le volume d’incidents reçus correspond à 10 % de des logiciels, des scripts et des solutions non approuvés.
nos incidents de sécurité entrants. Les données que nous Les incidents de sécurité Adware ont été classés « non
observons sont donc en grande partie déterminées par le concluants».Celaseproduitlorsquenousnedisposonspas
cadre de détection appliqué. Bien que cela soit vrai pour desubsammentd’informations.Lesincidentsd’origineexterne
toutes nos données et analyses d’incidents, les résultats que représentent une part de 28 % et comprennent les attaques
nous observons découlent des capacités de détection mises web, les backdoors et les vers.
en place. Par conséquent, ce secteur enregistre une quantité
disproportionnéed’incidentsMalwaresconfirmés,soit90%
de tous les incidents de sécurités avérés. Ce résultat est
90%
similaire à celui de l’an passé. Nous retrouvons ensuite
l’ingénieriesocialeles , ) % 5 ( anomaliessystèmeet
)% 4(
lesincidentsliésauréseau<1( . ) %
Malwares Réseau & Apps Système Compte Violation des Politiques de Sécurité Ingénierie Sociale Autres
Arrondi
* auchiareentier

des systèmes distants. Metasploit, à l’image de nombreux outils

Infrastructures « Commande desécuritédel’information,peutêtreutiliséàdesfinslégitimes
et Contrôle »
La« KillChain »cyberdécritlaséried’étapesmises
et illégitimes.
En 2009, le Metasploit Project a été acheté par Rapid7,
Utilisation des outils C&C
Distribution détectée sur les serveurs du Framework C&C Cobalt Strike Metasploit PlugX Pupy PoshC2 Brute Ratel
enuvre
œ quasisystématiquementparunattaquantafin une société de sécurité fournissant des solutions de gestion
de compromettre et d’exploiter un réseau. La mise en place unifiéedesvulnérabilités.Metasploitestfinalementdevenu 100%
d’uneinfrastructure Commande
« etContrôle »C&( C)estune une infrastructure de développement d’exploits de facto, souvent
étapedécisivedelaKillChain,quipermetàl’attaquantd’exécuter accompagnée de modules tiers visant à préciser l’exploitabilité, 90%
des commandes sur un ordinateur compromis et de récupérer les risques et les mesures de remédiation d’un bug donné. Cette
les données dérivées de ces commandes. Aux balbutiements du approche modulaire, permettant de combiner n’importe quel
80%
piratage informatique, ces infrastructures étaient instables, peu exploit avec n’importe quelle charge malveillante, est un atout
fiablesetfacilesàdétecter.Ellesseperdaientfacilementetétaient majeur de l’infrastructure, ce qui en fait un outil plébiscité par les
dibcilesàdéployeràgrandeéchelle. chercheurs en sécurité, les créateurs d’exploits et de charges 70%
malveillantes…etbiensûrlesacteursmalveillants!
Une brève histoire du C&C 60%
Lors de la convention DEF CON d’aout 1998, le célèbre hacker

L’arrivée de Cobalt Strike
50%
SirDystic,membredugroupe« CultoftheDeadCow »,avait Plus récemment, l’utilisation de l’outil baptisé « Cobalt
présentéunoutilbaptisé« BackOrifice ».Selonlegroupe,l’outil Strike»alittéralementexplosée.SelonleMITRE,Cobalt
étaitconçupourdémontrerleniveaudesécuritéinsubsant Strike est un outil commercial d’accès distant, tout inclus, 40%
des systèmes d’exploitation 9x de Microsoft Windows. Back se présentant comme un « logiciel de simulation d’attaque
Orificeestunprogrammeinformatiqueprétendumentdéveloppé conçu pour exécuter et émuler les actions post-exploitation 30%
pour«l’administrationdessystèmesàdistance ».Ilpermetà d’acteursmalveillantsexpérimentés »[5]. Ses capacités de
un utilisateur de contrôler un ordinateur exécutant le système post-exploitation interactives englobent un large éventail
20%
d’exploitation Microsoft Windows depuis n’importe quel site de tactiques, toutes exécutées depuis un système unique
distant.Sil’objectifdeBackOrificeestlégitime,parexempleà et intégré. Outre ses propres fonctionnalités, Cobalt Strike
desfinsd’administrationàdistance,d’autresfacteurslerendent exploite les capacités d’autres outils connus tels que Metasploit 10%
compatible avec une utilisation illégale. Le serveur est masqué etMimikatz.
en cas d’examen rapide des utilisateurs du système. Puisqu’il
Selon un rapport du groupe de recherche Talos de Cisco publié Jan Fev Mar Avr Mai Juin Juil Aout Sep Oct
peut être installé sans interaction avec l’utilisateur, le serveur
en 2020, 66 % des attaques par ransomwares du trimestre
peut être distribué sous la forme d’une charge malveillante dans
impliquaient le déploiement de Cobalt Strike. D’autres équipes
un cheval de Troie[3].
BackOrificeestl’ancêtredetouteunenouvelleséried’outils
de recherche sont parvenues à des résultats similaires.
À la recherche des serveurs C&C ▪ Depuisnovembrenous
, 1 20 avonsidentifié35 2 5 1 7
Les versions piratées de Cobalt Strike sont devenues une arme adresses IP de ce type.
d’accès à distance déployés par les hackers pour contrôler
secrètement les ordinateurs corrompus.
de choix dans l’arsenal des hackers criminels. Les infrastructures C&C doivent toutes communiquer en dehors ▪ Ces données exceptionnelles nous fournissent de
du réseau compromis, d’une manière ou d’une autre, pour établir précieuses connaissances sur l’évolution des outils des
Metasploit et Cobalt Strike sont toujours abondamment utilisés
Metasploit a été créé par H. D. Moore en 2003 comme un outil un lien avec l’attaquant. Cela implique souvent de communiquer attaquants.
par les hackers, mais de nombreuses autres infrastructures
de réseau portable . Comme d’autres produits grand public avecun« serveur»quijouelerôledecentredecommunication
▪
[4]
C&C sont également exploitées quotidiennement. Nos équipes Les serveurs C&C ne sont pas tous détectables à travers
comparables tels que Canvas d’Immunity ou Core Impact de entre l’attaquant et les ordinateurs compromis. Pour Cobalt Strike,
de détection des menaces suivent d’ailleurs pas moins de 21 des processus d’analyse active. Nous avons pourtant
Core Security Technologies, Metasploit peut être utilisé pour cetéléments’appelle« TeamServer ».
ensembles d’outils communément utilisés. obtenu de bons résultats avec les 21 variantes de la liste
tester les vulnérabilités des systèmes informatiques ou pénétrer
Afindemieuxprotégernosclients,nousvoulonssavoiroù ci-dessus.
Ransomware: techniques used by cyber-attackers

se trouvent ces serveurs pour détecter toute tentative de ▪ Comme l’ont suggéré d’autres chercheurs, la grande
communicationdepuisunsystèmeinterne.Untraficexistantentre
Les techniques utilisées par les cyber attaquants un appareil interne et un serveur C&C connu indique clairement
majoritéduC&Cdenotreensemblededonnées) % 48 (
provient de Cobalt Strike et Metasploit.
Cartographie des machines & comptes,
de données exploitables CobaltStrike/Metasploit qu’une compromission est en cours.
Vos IP sont référencées
Alors que Cobalt Strike représentait 68 % du total des serveurs
dans des bases Étant donné que ces serveurs peuvent être mis sur pied et fermés C&Cquenousavionspuidentifieraucette , 1 T420 proportion
Identification des solutions de sécurité Legitimate
sur un coup de tête, la seule façon de les surveiller consiste a chuté pour atteindre 56 % en octobre 2022. Pendant cette
Des identifiants de vos collaborateurs
sont référencés dans des collections Localisation des sauvegardes Accès distant légitime à réaliser des analyses proactives. Notre équipe Advanced période, l’infrastructure Metasploit est passé de 9 à près
de leak
Intelligence & Detections a développé une fonctionnalité deet
% 7 1 PlugXestpassédeà2, 0 Le
. % 8 nombrede
1. 3. 5. permettant de rechercher proactivement des signatures de serveursC&CPlugXidentifiésapresquedoubléentreavrilet
Recherche Reconnaissance Contrôle serveursC&CconnussurInternet,delesvérifieretd’envoyerces
de cibles facile interne et Commande octobre cette année. Nous ne savons pas vraiment pourquoi,
informationsànosCyberSOCsàdesfinsdesurveillance. maisPlugXgagneduterrain.Uneétudepeuprécisedes
al
géolocalisations IP suggère que la plupart de ces serveurs

Mo
tér
uv
t la
sont situés en Asie.

em
en
en
em
t la
Nous avons commencé à surveiller Brute Ratel en juillet 2022

uv
tér
Mo
seulement.
al
2. 4. 6.
Intrusion Elévation Exploitation
de privilège
Phishing externe ou interne Mimikatz Chiffrement
Exploitation de vulnérabilités Optionnel : identification

LaZagne et destruction des sauvegardes
Utilisation de leak user/mdp ZeroLogon (depuis été 2020) Optionnel : exfiltration

et exploitation de données sensibles
Téléchargement de malware
par vos utilisateurs

Qakbot vs Bumblebee
Au cours des 6 derniers mois, nous avons également constaté
une hausse constante de la taille de l’écosystème C&C
Bumblebee.
Conclusion
Danslafigureci-dessous,nouscomparonsBumblebee
et le tristement célèbre Qakbot, actif depuis 2007. Qakbot
représente moins de 1 % de notre ensemble de données et
Bumblebee vs. Qakbot
Bumblebee seulement 0,4 %. Pourtant, la situation évolue.
Bumblebee Qackbot Les Malwares demeurent le premier type d’incident, suivis par les anomalies
100% réseau et applications. Ces deux catégories se suivent de très près, avec
delégèresvariationsdansquelquesraresoccasions.L’identificationdes
90%
27.22% incidents avérés qui ont un impact sur l’activité est un processus fastidieux.
80% Sur l’ensemble des incidents traités, environ 29 % ont eu une forme d’impact
70%
49.75%
sur nos clients.
60% Cette année, nous avons sélectionné la méthodologie VERIS pour classer
les données et mieux comprendre la nature des incidents. Une partie
50%
seulementdel’ensemblededonnéesabénéficiédecetteapproche,mais
40% elle nous a laissé entrevoir les possibilités de ces données plus détaillées.
72.78%
Un des principaux avantages est la possibilité de distinguer les incidents
30%
50.25%
d’origine externe des incidents d’origine interne. Les entreprises se voient ainsi
20% oarirlapossibilitéderéduireleurnombred’incidentsenseconcentrantsur
ces transgressions internes.
10%
0%
Vuesàtraversleprismedesanciennesclassificationsdesdonnées,les
les 6 derniers mois les 2 derniers mois petites et grandes entreprises de notre ensemble de données luttent à leur
échellecontredesmenacessimilaires.Cependant,lasituationestdiaérente
Nous pouvons ainsi supposer que l’acteur malveillant sil’onencroitlesclassificationsVERIS.Lesincidentssontmieuxrépartis
Bumblebee est très actif et en bonne santé. dans les grandes entreprises que dans les petites entreprises, où l’on retrouve
Cesévolutionsreflètentl’utilisationdenouveauxoutilspar principalement les catégories Hacking/tests d’intrusion et Malwares. Dans
les attaquants, nous devons donc les surveiller avec attention. les moyennes entreprises, les anomalies réseau et application et les anomalies
système représentent près de la moitié des incidents vrais positifs. Dans
Mi casa es su casa le jargon VERIS, il s’agit des catégories Hacking/Tests d’intrusion et erreurs.
Les études portant sur cet ensemble de données nous
permettent d’établir d’autres observations, notamment la Le secteur de l’industrie manufacturière demeure notre plus grande
fréquence d’utilisation des adresses IP pour héberger plusieurs préoccupation, puisqu’il continue à enregistrer le plus grand nombre
infrastructures C&C distincts. d’incidents traités, en pourcentage du nombre total. Les secteurs de la vente
Il est rare que plus de deux infrastructures soient hébergées au détail et des services professionnels clôturent le top 3 en occupant
sur le même serveur. La présence de deux infrastructures les deuxième et troisième places, respectivement. Les trois secteurs sont
sur le même serveur est quant à elle fréquente, et il s’agit
souvent de Cobalt Strike et Metasploit. Dans les rares cas confrontés à des problèmes de menaces internes, même si l’industrie
oùnousobservonsunetroisièmeinfrastructurecelle-ciest manufacturière est la plus touchée. Nous avons constaté une baisse générale
généralementassezobscure.CobaltStrikeetMetasploit des incidents dans le secteur de la santé et de l’aide sociale, ce qui est
sont le duo favori sur les serveurs observés ces 12 derniers
une bonne nouvelle.
mois. Ce n’est pas vraiment surprenant, lorsque l’on sait que
ce sont les deux infrastructures les plus courantes. Pourtant,
il est intéressant de connaître les associations appréciées
La création du score de couverture à l’occasion de ce Security Navigator
des attaquants. ouvre la voie à une discussion sur l’impact d’une approche de sécurité
Unevisionentièrementdiaérenteémergelorsquenousretirons
mature. Nous avons constaté que les entreprises plus matures du point de
Cobalt Strike et Metasploit de cette analyse. Les infrastructures vue de la couverture de sécurité devront travailler plus dur pour repousser
C&Clesplussouventassociéssont« covenant»et« poshc2 ». les incidents. Nous avons tous déjà entendu le dicton populaire « Vous ne
Grâce à une surveillance proactive des serveurs C&C, points pouvez pas gérer ce que vous ne mesurez pas .» Pourtant, plus vous mesurez,
névralgiques de la chaîne de frappe des attaquants, nous plus vous aurez à gérer. C’est peut-être l’occasion de mettre en place des
sommes en mesure de détecter davantage de compromissions ajustements précis et réguliers et des solutions de sécurité évolutives,
encours.Lesdonnéesgénéréesparcesactivitésoarentdes
connaissances précieuses sur l’évolution du comportement capables de gérer le volume croissant de données.
desattaquantsaufildutemps.

38 Security Navigator 2023 Avisdenosexperts:Allemagne 39
CONTI : crimes, cyberterrorisme et Russie, la Mère-Patrie

De nombreuses activités de Conti sont considérées comme psychologique, notamment le fait de proposer une « relation
Qui sont les pires hackers ? venant de Russie[9]. Curieusement, certains membres seraient
originaires d’Ukraine. Une partie des membres du gang est
fidèleàl’agendarusse.Leurrelationestmêmeprobablement
bien plus profonde que cela[10]. Les conversations de CONTI
commerciale»auxvictimespourdéguiserunetentative
d’extorsion brutale.
CONTI est une organisation criminelle transnationale bien rodée.
L’impact de CONTI sur la réponse à incident qui ont fuité indiquent que d’anciens soldats russes auraient
rejoint leurs rangs et ont mentionné dans leurs conversations
Ils ont également démontré leurs capacités en menant des
attaques sérieuses contre le Costa Rica[12]. Les autorités
qu’ilsétaientenCriméeen En
. 4 1 0 2 eaet,desmembresont nationales ont d’ailleurs réagi en conséquence et déclaré
CONTI était l’un des plus grands groupes de ransomwares au monde et probablement le plus antisocial (malveillant) mentionné leur présence en Crimée en 2014[11]. En février 2022, que l’incident était un acte de guerre à l’encontre du pays[13].
de tous. Mais alors pourquoi, selon moi, se démarquent-ils dans ce « secteur » de l’extorsion numérique ? certains membres ont déclaré aider la Russie dans sa guerre Pour certains, CONTI est allé trop loin en s’en prenant à un
Cettequestionmérited’êtredéveloppée,enparticulierdansuncontexteoùlesransomwaresfontplanerunemenacesur contrel’Ukraine.Parlasuite,unmembreabliéadivulguédes gouvernement. Cette ultime attaque ferait partie d’une stratégie
la sécurité économique de nations toutes entières, aux quatre coins du monde. Les attaques par ransomwares de CONTI conversations et des informations sur le fonctionnement du pour détourner l’attention de l’arrêt progressif des activités du
ontdeseaetsàlafoispsychologiques,politiquesetéconomiques.Commençonspardéterminercommentellesmodifient gang.Cedernierasoudainementmisfinauxcommunications groupe, suite à la divulgation de leurs données en mars 2022[14].
notre vision du cybercrime, en adoptant le point de vue d’un acteur de la réponse à incident. parmessagerie,uneinformationvérifiéedansnosdonnéesde
Mais l’histoire ne s’arrête pas là. Le groupe semble tout
recherche.
Simone Kraus, Junior Security Analyst, Orange Cyberdefense simplement s’être séparé, mais les attaques par ransomwares
Cetterelationdecauseàeaetpeutexpliquerlaressemblance actuelles de groupes tels que Royal laissent à penser que des
entre les activités de CONTI et les tactiques réelles de guerre membres de CONTI les ont rejoints[15].
Commentcetacteura-t-ilpumodifiernotrefaçondepenser? Activité des discussions du groupe Conti Membre A Membre B

30,000
Au premier trimestre 2020, Orange Cyberdefense a lancé un projet visant à suivre et documenter les données 2020 2021 2022
Nombre d’enregistrements
25,000
divulguées par des ransomwares. Nous avons constaté une multiplication par neuf du nombre de fuites par
double extorsion entre janvier 2020 et août 2021. L’activité Ransomwares était en forte augmentation à la période 20,000
oùCONTIétaitleplusactif.Outrelamenaceexistentielledécoulantdusuccèsdecesattaquesparextorsion,les 15,000
conséquences psychologiques peuvent s’avérer désastreuses et ne doivent en aucun cas être sous-estimées.
10,000
5,000
Une tactique : blâmer et humilier la victime 0

Juin Juil Aout Sep Oct Nov Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep Oct Nov Dec Jan Fev Mar
EntraitantavecCONTI,quevoussoyezunevictimeouunacteur
delaréponseàincident,vousconstatezquecegangarecoursa Pourquoi les groupes comme CONTI représentent-ils un tel
des ruses psychologiques pour convaincre ses victimes de payer.
Techniquement,CONTIchiaretouslesfichiersaprèsqueleuropérateur danger pour notre sécurité économique ?
ort Chat
a fait une copie des sauvegardes et les a supprimées. Les cibles de CONTI Supp Le cybercrime est souvent dénué d’empathie, de moralité, SelonleconceptRATRoutine
( ActivityTheory) , le crime
[20]
l’attaque par ransomwares n’ont généralement aucune chance de d’intégrité ou même de culpabilité. Les cybercriminels ont est favorisé par plusieurs facteurs, parmi lesquels l’absence
restaurer leurs systèmes. Pour accroître l’humiliation et la pression unevisioncognitivementdissonantedumonde:ilsnepensent de garde-fous[21]. Cela peut faire référence à des contrôles
exercée sur les victimes, les données sont volées dans le but qu’à leur propre personne, à exploiter et à manipuler les desécuritéinsubsants,parexempleunemauvaisegestion
d’être divulguées en cas de non-paiement de la rançon. Sur le plan autres[16]. Ils représentent une véritable menace pour la société, des patchs, mais également à une pénurie d’experts en
psychologique, cette double humiliation peut laisser des traces et miner notammentparcequ’ilsévoluentdansunenvironnementoù cybersécurité ou à du personnel avec des connaissances
le moral des personnes chargées de régler la situation, mais également les répercussions sont peu probables[17]. insubsantesdansledomainedelasécurité.Maiscelaneveut
de l’ensemble de l’entreprise[6]. pas dire que la victime est responsable. Pourtant, même dans
Les attaques visant les infrastructures stratégiques représentent
les grandes entreprises ayant implémenté des « meilleures
Suiteauchiarement,l’attaquantexpliqueauxvictimesqu’ellessont aujourd’hui une menace constante. Les terroristes parviennent à
pratiques »,leshackersparviennentàchiarerdesactifs
responsables de l’incident. Pire encore, leur opérateur ose présenter pirater réseaux, hôpitaux, installations de traitement des eaux ou
stratégiques.
l’attaque comme une relation commerciale, pourtant inexistante. stations logistiques[18]. La guerre est souvent déclarée en ligne
CONTIoareses« services »,commesilegroupen’étaitpasàl’origine avant d’arriver sur le terrain. En Ukraine, des hackers russes ont Tout le monde, ou presque, court un risque en permanence.
de cet état d’urgence. En usant de stratagèmes psychologiques, piraté les médias et les infrastructures plusieurs jours avant que
les cybercriminels tentent de faire culpabiliser la victime et déguisent le premier coup de feu ne soit tiré[19].
leurs actes d’extorsion criminels en proposant leur aide[7].
Le vol de données,
àl’origined’unepertedeconfiance
Conclusion : peut-on vraiment faire pire ?
Une attaque par ransomwares a de graves conséquences psychologiques CONTI est le gang de hackers le plus recherché au monde. Une récompense de 10 millions de
sur les employés de l’entreprise, les partenaires commerciaux et les clients. dollarsestoaertepourlacapturedesesmembres.Lesautoritésaméricaineslesconsidèrent
L’incidentrendupublicprovoqueunerupturedeconfiance,d’autantplus comme un groupe terroriste. Ils sont toujours présents dans certains groupes comme Black Basta,
lorsque des données sont divulguées. Sur le long terme, cela peut briser Blackbyte ou Royal.
les liens noués entre tous les acteurs impliqués, ce qui nuit à la réputation
Que peut-on apprendre en analysant des groupes comme CONTI ? Nous devons apporter
etàl’activitédel’entreprise,parfoisaupointoùcelle-ciestincapablede
une réponse générale, mondiale et plus coordonnée face aux menaces de Cy-X. Les membres
s’en relever[8]. Les témoins de telles attaques à l’encontre de leur entreprise
d’un groupe de ransomwares cherchent souvent le prestige avec leurs actions criminelles.
changentdéfinitivementdepointdevuesurlesransomwares.Ilnes’agit
Ils ont même fait étalage de leur richesse mal acquise, en posant en photo devant des voitures
plus d’un problème de sécurité, c’est une menace réelle pour l’activité.
deluxe,tandisqueleursvictimessupportaientlescoûtsfinanciersetpsychologiquesdeleurs
J’ai vu des entreprises subir deux attaques.
actes pendant la pandémie. Qu’est-ce qui pourrait être pire ? Les cybermenaces d’extorsion en
général devraient être contrées de manière globale et plus coordonnée pour stopper les groupes
cybercriminels comme CONTI.
40 Security Navigator 2023 Cyberguerre:lacriseukrainienne
41
Charl van der Walt

Head of Security Research
Orange Cyberdefense
Cyberguerre
Le cas de la crise
ukrainienne
Toutconflitinternationalentraînedesrépercussionsmajeures
sur le reste du monde, y compris sur le cyberespace. Exception
faitedesmenacesspécifiquesquiplanentsurlesorganisations
« directement »impliquéesdansleconflit,lesrisquessontdécuplés
pour tout le monde.
Bienquenoussoyonscapablesd’identifiercertainsacteurset
méthodesspécifiquessusceptiblesd’êtreimpliquésdansce
conflit,lagrandemajoritédesorganisationsdoitseconcentrer
sur ce phénomène d’augmentation globale du risque.
Il convient alors de garantir un état de préparation général, tout
enadoptantunestratégieebcacededéfenseenprofondeur
pourréagiràdiversesmenacespouvantémergerdececonflit.

43
Évaluation des risques Internet, un véritable champ de bataille

Acteurs malveillants
Le cybermonde est peuplé d’attaquants compétents et motivés.
Internet prend progressivement l’allure d’un champ de bataille
avec un nombre croissant d’attaques DDoS, de défacements
de sites Web et de fuites de données. Plus inquiétant
Ce que vous pouvez faire
Les défenseurs ne doivent pas perdre de vue ce paysage global encore,l’organisationcriminelledecyber-extorsionCy- ( X) Nous estimons également que l’adoption de bonnes pratiques de défense en
des menaces. CONTI a annoncé prendre parti pour la Russie et être prête profondeur pour atténuer la menace actuelle posée par les ransomwares constitue
à attaquer des infrastructures critiques si le pays était ciblé unebaseraisonnablededéfensecontrelesattaquesnonspécifiques:
La Russie est considérée comme le principal belligérant dans
par des cyberattaques[25]. Bien qu’il ait fait marche arrière
ceconflitetlescyberattaquesserontprobablementmenées
sur ses propos, un des membres a divulgué des journaux
par des groupes ou des équipes bien connus de la communauté
de conversations internes de l’année passée, dans ce qui Identifieretpatchertouteslestechnologiesexposées Surveillance des activités malveillantes sur le réseau
de la cybersécurité. Ces groupes sont désignés par les termes
semblerait être un acte d’hostilité à l’encontre du groupe[26]. sur internet
menacespersistantesavancéesAPT) ( ouacteursmalveillants.
Des fuites ultérieures ont permis aux analystes sécurité LamatriceMitreATT&CKconstitueunebonneréférencepour
L’Ukraineaégalementrecrutéune« Arméeinformatique »[22] qui
d’accéderàunvéritabletrésord’informations:codesource Vousdeveznotammentimplémenterl’accèsàdistance(VNCet identifierleséventuelsanglesmortsdansvotretélémétrie.
cible les infrastructures russes et potentiellement les entreprises
de CONTI, données diverses telles que des journaux de MicrosoftRDP)l’accès
, àdistancesécurisé(VPNparexemple) Ellel peut vous aider à étendre vos capacités de détection, par
actives dans le pays ou entretenant des relations commerciales
conversation, des logiciels malveillants, des informations sur et d’autres technologies de sécurité telles que les pare-feux. exemple avec la surveillance de l’exécution des principaux
avec celui-ci. Nous y reviendrons plus tard.
les victimes et le mode opératoire du groupe. Une de nos utilitaires système intégrés[36].
Il n’est cependant pas recommandé de se concentrer équipes d’experts analyse actuellement ces données, mais cela Mettreenuvre
œ uneauthentificationmultifacteur
uniquement sur les menaces connues. Les contrôles mis prendra du temps compte tenu de la quantité d’informations. surlesinterfacesd’authentification Impliquezleséquipesderéponseàincident,carilpeutêtre
enplacedoiventcorrespondreàdesphasesspécifiquesde intéressant de connaître les données à recueillir pour des
Les autorités ukrainiennes sont parvenues à recruter une
la chaîne de frappe, en fonction des capacités de l’entreprise [23]. Cette étape est cruciale pour toutes les interfaces connectées enquêtes judiciaires.
« Arméeinformatique »etluiontfournidesguidespourprocéder
Lastratégielaplusebcaceserademettreenuvre œ des à la Toile, car elle peut considérablement réduire le risque de
à des attaques DDoS sur des cibles russes. Elles ont également
mesures de protection contre tout un éventail de menaces compromission. Gestion continue des vulnérabilités
félicité le collectif Anonymous pour ses actions. Le groupe est
à n’importe quelle phase de la chaîne de frappe.
à l’origine de la fermeture du site Web de Russia TV, une chaîne Sauvegardes fréquentes des actifs critiques pour Hiérarchisezlespatchsdevulnérabilitésenfonctionde
Niveau de menace russe publique[27]. D’autres attaques de sources inconnues l’activité l’existence d’exploits connus et actifs. Cela s’applique à
ontpermisàdeshackersdediauserdesmessagesetdes l’infrastructure autant qu’aux logiciels et appareils des
Lesinformationssontassezlimitéesetnoussommes musiques pro-Ukraine sur plusieurs chaînes de TV russes[28]. L’idéal est de compléter ces sauvegardes par des sauvegardes utilisateursfinaux.
confrontés à des manques de renseignements. Nous ne hors-ligne.Testezl’intégritédecessauvegardesrégulièrement
pouvons pas estimer avec précision l’ampleur potentielle de D’autresformesdehacktivisme
« »ontégalementétéconstatées
enBiélorussie,oùlegroupe« CyberPartisans »apiratéle en restaurant des fonctions critiques. Les services connectés à Internet et présentant des
ceconflitetlesrisquesquechaquepartieestprêteàprendre. vulnérabilités connues doivent être patchés.
La meilleure approche consiste à faire preuve de vigilance et à réseau ferroviaire national pour perturber les mouvements
des troupes russes en Ukraine[29]. Un poste de contrôle Protection des terminaux et lutte contre les logiciels
se préparer à une éventuelle dégradation de la situation. malveillants Segmentation du réseau
des frontières ukrainien a également été touché par un
Selon le code couleur de Cooper[24], nous adoptons l’état logiciel malveillant de type Wiper qui a impacté des milliers
« d’Alerte»orange)
( un
, étatdevigilanceactiveinvitantàélaborer de personnes fuyant le pays pour échapper à la guerre [30]. Testezcessolutionsetidentifiezleséventuelsanglesmorts. Identifiezleszonesdeconfianceetmettezenuvre œ des
desplanspourgérerlesscénariosdesmenacesidentifiées.CetUngroupeabliéàAnonymousadéclaréavoirpiratélecentrede contrôles stricts pour les services et les utilisateurs qui
état implique de se concentrer davantage sur la menace, ce qui Défense contre les attaques par Déni de service souhaitentallerau-delàdeceszones.
commandede« Roscosmos »,l’agencespatialerusse,faisant
peut conduire à un potentiel relâchement par rapport à d’autres distribué (DDoS)
perdre à la Russie le contrôle de ses satellites[31]. Un groupe de
dangers. Maintenir cet état d’alerte est éprouvant. Les principes de moindre privilège peuvent également
hackerssefaisantappeler AgainstTheWest
« »adéclaréavoir Mettezenuvre
œ unestratégiedeprotectiondesréseauxet s’appliquer dans cette situation.
À ce niveau de menace, nous recommandons aux organisations piraté l’institution financièrerusse Sberbank etvouloirdivulguer des services exposés à Internet contre les inondations réseau
de faire preuve de vigilance et de se préparer à réagir, sans prochainement des données de l’infrastructure DNS, des clés de grande ampleur et prolongées qui pourraient déconnecter Moindre privilège
pour autant négliger les chantiers stratégiques plus larges privéespourleSSL,desAPISberbank,desCLIetdesSDK [32]
. d’Internet le réseau et les services ciblés.
de renforcement de la cyber résilience de leurs systèmes et Étant donné que le gouvernement russe contrôle intégralement Limitezlesservicespourqu'ilsnefonctionnentqu'avecles
activités. la couverture médiatique depuis le début de la guerre, certains Filtrage des sorties du réseau privilègesnécessairesàl'exécutiondeleursfonctions.
hacktivistes ont dû faire preuve de créativité pour informer
Cibles potentielles les citoyens russes de la situation. Une des méthodes a consisté Configurezdespare-feuxetautreséquipementspérimétriques Vérifiezquelepersonnelauniquementaccèsàcedontila
à inonder les avis de restaurants de messages contre la guerre pourautoriserseulementleminimumdetraficversInternet, besoinpoureaectuersesmissions.
Lesciblesdescyberattaquesincluent,entreautres:
notamment depuis la DMZ et tout système connecté à Internet
▪ Les institutions publiques
ou Poutine[33].
oucritique.Surveilleztouteéventuelleanomaliesurletrafic Threat Hunting
▪ Les institutions militaires et de défense, y compris Suite à la demande du vice-premier ministre ukrainien, Elon sortant.
Leséquipesinternesdoiventselibérerdutempspouridentifier
les industriels Musk s’est retrouvé dans un rôle inattendu de bienfaiteur de
les scénarios de menaces applicables à l’entreprise.
▪ LesecteurdestélécommunicationsetletraficInternet
l’Ukraine en annonçant l’activation pour l’Ukraine de satellites
StarlinkdeSpaceXetl’envoideterminauxsupplémentaires [34]
.
▪ Lesmédiaseuropéenspropagande)
( Ces derniers pourraient permettre au pays de maintenir
▪ Les industries européennes et américaines présentes ses communications en cas de destruction des infrastructures.
dans la région Certains grands fournisseurs de sécurité ont décidé d’aider
▪ Les gouvernements américains, européens et des pays l’Ukraine en proposant gratuitement des licences, des services
et un hébergement cloud[35].
alliés à l’une ou l’autre des parties ou imposant des
sanctions ou autres peines. Nous nous nous attendons à ce que les ransomwares et
Rappelons-nous cependant la terrible attaque NotPetya qui a l’hacktivismes’intensifientproportionnellementauconflit,
porté davantage préjudice à des organisations qui n’étaient pas mais nous restons vigilants à l’égard des activités étatiques
spécifiquementciblées,devenuesdesdommagescollatéraux directes et sophistiquées qui ciblent les deux protagonistes
lorsque le ver NotPetya a accidentellement franchi les limites de et pourraient causer d’éventuels dommages collatéraux sur
ses cibles initiales. les gouvernements et les entreprises du monde entier.

45
ilnedevraitpasêtreaussiprolifiquequesesprédécesseurs Méthode n° 2 : phishing

Recommandations EternalBlue,
( p.ex.Une
.) autrevariantedeWiperdénommée
Méthodes d’attaque
Notre première recommandation concerne l’élaboration et « IsaacWiper »aégalementétédétectéelorsd’uneattaque Les méthodes d’attaque répertoriées ci-dessous ne sont pas Cesattaquesimpliquent:
la préparation d’une procédure d’urgence et de réponse à destructrice visant un réseau du gouvernement ukrainien. exhaustives, mais elles représentent un éventail des possibles, ▪ Phishingpourfaciliterlevold’identifiantsouledépôt
incidentebcace,maisaussilaformationdupersonnelqui Cette variante n’a pas de code en commun avec HermeticWiper selonlaprobabilitédedéploiementceconflit,desplus d’un logiciel malveillant
devra l’exécuter. Si le niveau de menace vient à augmenter ou et est bien moins avancée. probablesMéthode
( n°aux
) 1 moinsprobablesMéthode
( n°. ) 5 ▪ Obtention par les attaquants d’un accès à distance à
sidesrenseignementsplusspécifiquessontcommuniqués, traversdesserviceslégitimes(VPN)oudeslogiciels
La menace persistante des campagnes de désinformation et de
il sera primordial d’agir rapidement, potentiellement dans des malveillants spécialisés
L’Ukraine reste la préoccupation propagandesurleconflitestégalementbienprésente,mêmesi
circonstances très défavorables.
elle n’entre pas dans le champ de ce document. ▪ Élévation de privilèges
majeure, pour le moment ▪ Mouvement latéral
Quelques conseils du milieu S’il n’existe pas de preuve de l’utilisation des wipers Méthode n° 1 : attaque par déni de service distribué L’attaque la plus probable que nous avons pu observer est
susmentionnés dans d’autres pays, il est toujours possible que
de la sécurité les acteurs malveillants décident de les déployer pour attaquer
(DDoS) simple,maisebcace.Danscetteapproche,lesattaquants
utilisent le phishingciblé( spear phishing)pourvolerdes
L’ANSSI, Agence Nationale de la Sécurité des Systèmes des pays ou des entités qui soutiennent le gouvernement Les attaques par déni de service peuvent prendre diverses
identifiantsoudéployerunlogicielmalveillantsurleterminal.
d’Information, a mis à jour ses recommandations, pour y inclure ukrainien ou imposent des sanctions à la Russie. Nous formes sur le plan technique, mais la variante actuelle la plus
le remplacement de toute solution de cybersécurité d’origine recommandons de faire preuve d’une vigilance élevée. populaire est l’attaque par déni de service distribué, dans Lesidentifiantsvoléspeuventserviràaccéderàdesservices
russe. Ces solutions pourraient être incapables de maintenir laquelle de nombreux systèmes externes inondent le terminal tels que l’accès à distance sécurisé ou les VPN. Les services
Dans un futur proche, d’autres menaces émanant d’acteurs du
àl’avenirdesniveauxdesécuritésubsantssurleursproduits. d’unevictimeuniqueavecsubsammentdetraficréseau quidépendentd’unProtocoledebureauàdistanceRDP) ( sont
ransomware et concernant des organisations non-ukrainiennes
LefournisseurKasperskyestmentionné,bienqu’ilaittentéde pour consommer toute la bande passante ou les ressources égalementaccessiblesviadesidentifiantslégitimes.
pourraient voir le jour, notamment une mentionnée sur le
resterneutrefaceàl’aggravationduconflit [37]
. disponibles.
célèbre forum RAMP et dont l’objectif est d’accéder au réseau Comme mentionné précédemment, des appâts peuvent être
Proofpoint a communiqué les détails d’une attaque de phishing d’entreprises ukrainiennes mais également de pays membres ▪ Hautvolumedetraficdestinéàsaturerl’accèsInternet utilisés pour déposer un logiciel malveillant sur la machine
visantàdéposerunchevaldeTroiedunomde« SunSeed » de l’OTAN. des services commerciaux ciblés au sein du réseau de la victime. Ces types d’attaques de phishing incluent une
ciblant des fonctionnaires européens qui travaillent sur la
L’attaque la plus néfaste à l’encontre d’un pays occidental est
▪ Attaques de bande passante combinées à des attaques sur pièce jointe qui, une fois ouverte par le destinataire, exécute un
question des réfugiés ukrainiens. Les acteurs malveillants les pare-feux ou les infrastructures et applications de sécurité logiciel malveillant sur la machine. L’absence de mesures de
peut-êtrecelledeKA-SAT,unsatellitedetélécommunications
responsables de cette attaque seraient les groupes biélorusses IPSSystème
( depréventiondesintrusions) protectionsubsantesetdesolutionsdeluttecontreleslogiciels
utilisé par de nombreux clients en Europe et opéré par ViaSat
Ghostwriter et/ou UNC1151[38].
une
( filialedeViacom)Le . serviceaétéstoppéenraisond’un ▪ Attaques ciblant un large éventail d’applications malveillants sur les terminaux permet à l’attaquant d’exécuter du
d’entrepriseHTTP,
( HTTPs,VoIP,DNSetSMTP) code à distance.
Les chercheurs d’ESET ont signalé que des attaques de « cyberévénement »survenuenUkraine,avantd’impacter
type Wiper continuent à apparaître avec un ver appelé d’autres pays européens[40]. La faille a été découverte le 24 ▪ Lesdéfensespérimétriquessontinebcacescontre Une fois qu’il a accès à distance à l’infrastructure de l’entreprise,
« HermeticWizard».Levertentededéployer« HermeticWiper »[39]
février, date marquant le début de la guerre par les forces ces menaces. l’attaquant peut poursuivre son objectif. Il peut chercher à
dans un réseau local compromis. Cependant, en raison militaires russes. L’attaque a tout à fait pu être préméditée pour éleverdesprivilègesouàvolerdesidentifiantsencachepour
Les attaques DDoS sont prisées notamment avec leur mise
d’un déploiement simple basé sur les protocoles SMB et BMI, perturber certaines capacités de communication en Ukraine. se déplacer de manière latérale. Des outils populaires tels que
en œuvre relativement simple et sont couramment déployées
Mimikatzsontnotammentutilisésàcesfins.
autant par des acteurs étatiques et des hacktivistes que par
des cybercriminels. Divers outils et techniques tels que la L’attaquant explore l’intégralité de l’environnement en cherchant
location de botnets permettent à un attaquant de générer bien à s’enfoncer dans l’infrastructure. Les chevaux de Troie d’accès
plusdetraficquecequ’uneorganisationordinairepeuttraiter,àdistanceouautresoutilsspécifiquestelsqueleframework
d’oùl’impossibilitépourlesvraisutilisateursd’accéderaux Cobalt Strike peuvent également être utilisés.
plateformes et services. Puisque la source de l’attaque est
distribuéedansdenombreuxagents,ilesttrèsdibcilepour Méthode n° 3 : exploitation de vulnérabilités connues
lavictimedegérerletraficetdeminimiserl’impact.
Les acteurs soutenus par l’État, y compris ceux qui sont
Les solutions existantes sont généralement basées sur le actifsdansleconflit,sonthabilespourtrouveretexploiter
conceptde« centredenettoyage»scrubbing
( center)Ces
. des systèmes qui n’ont pas encore reçu de patchs pour
centres de nettoyage sont déployés sur Internet, en amont desvulnérabilitésconnues:
de l’accès Internet d’une organisation, avec pour objectif de ▪ Les systèmes exposés à Internet constituent la cible
centraliseretdenettoyerlesfluxpolluéspardesattaquesDDoS principale
avant de les envoyer aux adresses IP cibles légitimes.
▪ Les plateformes d’accès à distance telles que les RDP
Cetypedesolutionnécessitedecontraindreletraficàpasser et VNC sont souvent ciblées
par le centre de nettoyage. Deux stratégies peuvent alors être ▪ Plusieurs vulnérabilités propres à des produits de sécurité
envisagées:laredirectionponctuelledutraficuniquementen tels que les VPN et pare-feux sont exploitées de manière
cas d’attaque, auquel cas un laps de temps s’écoulera entre active
l’identificationdel’attaqueetlamiseenplacedufiltrage,et
laredirectionsystématiquemode ( «always-on»)quiconsiste Tout système exposé à Internet, notamment les technologies
àfairepasserl’ensembledutraficparlecentredenettoyage. de sécurité et d’accès à distance, doit être intégralement
patché. Dans un avis du 11 janvier [12], la Cybersecurity and

47
De l'autre côté de la frontière

InfrastructureSecurityAgencyCISA)
( américaineacitéplusieurs Comme mentionné précédemment, la compromission du Aperçu de la cyber activité en Pologne depuis le début de la guerre en Ukraine
vulnérabilitésspécifiquessouventcibléesparlesacteursde fournisseur peut impliquer de l’ingénierie sociale. L’attaquant jusqu'àaujourd'huiFréquence,
- typed'attaquesetobservationsgénérales.
la région. peut par exemple tout simplement utiliser le système de
messagerie de la victime pour envoyer un e-mail malveillant Robert Grabowski, responsable du CERT, Orange Polska
Envoiciquelques-unes:
à sa cible. Il est fort probable que le destinataire n’y soit pas
▪ CVE-2018-13379 FortiGate VPNs préparé. Les attaquants peuvent également exploiter la relation
▪ CVE-2019-1653 Routeur Cisco deconfiancepourrecueillirdavantagederenseignements Biensûr,lacibleprincipaleétaitl'Ukraine,quiad'abordétéattaquéeparunesériede
wiperscomme
( HermeticWiper,IsaacWiperetCaddyWiper)etpardesattaquesDDoS
▪ CVE-2019-2725 Oracle WebLogic Server avant de procéder à une nouvelle attaque de phishing, avec
de meilleures chances de réussite. coordonnées.Maislemondeentier(jepenseaugroupeAnonymousetàd'autres)a
▪ CVE-9-9016 7 2Kibana égalementréagiàcesattaquesassezrapidement.Lacyberguerreentrelesgroupes
▪ CVE-2019-9670 Logiciel Zimbra Méthode n° 5 : zero-day liés à la Russie et le reste du monde est devenue un symbole important et continu de
▪ CVE-94 19-Protocole
0 12 demessagerieSMTP)
( Exim Unattaquantpeutexploiterlesfaillesinconnuesdansles:
ceconflit,ycomprisladésinformationetlapropagande.Nousn'avionspasd'autre
choix que de commencer à suivre toutes ces activités et de nous préparer aux
▪ CVE-2019-11510 Pulse Secure
▪ Services exposés à Internet attaques visant la Pologne.
▪ CVE-2019-19781 Citrix
▪ Services internes au réseau Alorsquel'activitéduréseauétaitenconstanteaugmentation,ils'estavéré
▪ CVE-2020-0688 Microsoft Exchange
▪ Navigateurs « Puissiez-vous que la plupart des activités cybercriminelles visant les internautes polonais ont
▪ CVE-2020-4006 VMWare
▪ Clients de messagerie vivre une époque considérablement diminué (d'environ 50 % en quelques semaines).Cen'estpasun
▪ CVE-2020-5902 F5 Big-IP
▪ secret que la majorité de ces attaques sont menées par des personnes originaires des
▪
Appareils et applications mobiles
intéressante» ancienspayssoviétiquesetilsemblequ'ilsaientdûseregrouperetdéciderdel'avenir
CVE-2020-14882 Oracle WebLogic
▪ Équipements réseau de leur activité criminelle. Et bien sûr, ils sont revenus.
▪ CVE-2021-26855 Microsoft Exchange
▪ Appareils IoT Telleestl'expressionquel'on
prétendêtrelatraductiond'une Finfévrieretenmars,nousavonsassistéàd'importantescampagnesde
Cependant,l’éliminationdecesvulnérabilitésspécifiques L’exploitationdesvulnérabilitészero-dayestprobablement malédiction traditionnelle chinoise. désinformationbaséessurlechoc,lesémotionsetlemanqued'informations.
ne se substitue pas à une stratégie globale de gestion accessible pour les acteurs étatiques avec des antécédents Et quand je pense aux années Les personnes désinformées ont bloqué massivement les stations-service, les
des vulnérabilités et de préparation aux attaques. connus en matière d’agression cyber. Les équipes passées et surtout à 2022, je distributeurs automatiques de billets et les bureaux. La panique régnait également au
expérimentées qui disposent de nombreuses ressources suis sûr que nous sommes sujetdespasseportsvalides,dusucreetd'autresbiensdeconsommationcourante.
Méthode n° 4 : compromission de la chaîne pourraientavoiraccèsàdesattaqueszero-dayqu’ellesseraient d'accordpourdirequeces Toutcelaaétédéclenchéàl'aidedesréseauxsociaux,decampagnespublicitaireset
prêtes à détruire étant donné les enjeux. D’ailleurs, les attaques temps sont arrivés. La guerre qui de personnes imprudentes.
d’approvisionnement zero-daysontdécouvertesplutôtqu’exploitées. s'estapprochéesiprèsdenos
Voiciledéroulementpotentield’unetelleattaque:
Une fois les vulnérabilités découvertes, il est quasiment frontières avec toute sa cruauté Attaques déjouées contre des clients polonais
▪ Unattaquantpiratele(s)fournisseur(s)d’unecible impossible d’arrêter un attaquant motivé et compétent, sauf en etsaviolences'estégalement Fréquencedesattaquespendantl'invasiondel'Ukraine
Blocage des communications avec des adresses liées à des logiciels malveillants Attaques phishing stoppées
▪ Ilsetourneensuiteverssacibleenutilisant: agissant rapidement dès la publication d’un patch, une fois la accompagnée de tout le spectre
des activités de cybersécurité. 100
▪ Un accès direct au réseau vulnérabilité utilisée dans une attaque et découverte. Le type
dezero-dayetlanaturedel’applicationoudel’appareiltouché
▪
80
Un programme backdoor distribué à la cible déterminent l’impact potentiel.
▪ Unerelationdeconfianceaveclefournisseur
Lesattaqueszero-daysontparticulièrementdangereuses
Pendant les vacances 60
pour lancer une attaque de phishing d'été,nousavonsbloqué
pour les services exposés à Internet, tels que les messageries, 40
plus de 26 000 domaines
La compromission de la chaîne d’approvisionnement constitue leWeboulesproduitsdesécuritéaccès( àdistanceoupare- de phishing directement 20
unmoyenebcaced’accéderàunecibleparl’intermédiaired’un feux,p.ex.En
. ) fonctiondelanaturedelafaille,l’attaquant liés à des attaques visant
tiers. Ce type d’attaque plus complexe requiert de nombreuses peut accéder aux systèmes d’exploitation sous-jacents de 0
àobtenirdel'argentou S08 S09 S10 S11 S12 S13
étapes et donc du temps. Il dépend également des relations l’hôte, voler des informations sensibles ou déployer un logiciel des données sensibles, 21 Fev. 3 Avr.
que la cible secondaire entretient avec la cible principale. malveillant. notamment:
Les entreprises telles que les prestataires de services peuvent Dans les navigateurs, les clients de messagerie et les Faux investissements ~27%
bénéficierd’unaccèsdistantauréseaud’unclientdanslecadre applicationsdemessagerie,lezero-daypeutêtreexploitéà
de la prestation de leurs services. Il peut tout simplement s’agir traversdesattaquesdetype«wateringhole »point
( d’eau)ou Attaquer les vendeurs sur les portails Àl'aidedemilliersdepublicitésFacebookusurpant
d’unerouteréseauquiautoriselacirculationdutraficentredes simplement pour envoyer un message malveillant à la victime. populaires (comme Vinted et OLX) ~45%. l'identitédemarquescélèbrescomme
( Tesla,Apple,
entreprises, ou dans une version plus évoluée, qui requiert un Amazon,etc.d'
, ) Obcielspolonais,decélébrités
contrôle d’accès. Quoi qu’il en soit, l’attaquant peut rebondir Les appareils mobiles intégralement patchés qui reçoivent En utilisant les outils de messagerie instantanée comme etd'entreprisesnationales,lesfraudeursincitent
d’un réseau à un autre. desmisesàjourdesécuritérégulièresserontdibcilesàcibler. WhatsApp, en dehors de la plateforme de transaction, généralement les victimes à laisser leurs données et à
L’exploitationdesappareilsmobilesestutileàdesfinsde un escroc se faisant passer pour un acheteur potentiel
On peut également citer la compromission de logiciels ou commencer à gagner des sommes considérables avec de
surveillance,maisellevisegénéralementdesciblesspécifiques propose à la victime le paiement de la marchandise
de matériel utilisés par la cible. L’attaquant dépose un code petits investissements. Que se passe-t-il ensuite ? Il peut
dans le cadre d’une recherche d’informations. ainsi que son expédition à ses propres frais via une
malveillantouaaaiblitlescomposantsexistantspourouvrir s'agirdevishingaveclefauxconseilleretdepersuasion
sociétédemessagerie.Ilsubtd'entrerlesdonnéesde d'installerunetélécommande,d'installerdesapplications
une porte dérobée masquée. la carte de crédit, qui sont prétendument nécessaires mobiles à partir de sites Web tiers, de transférer des
Ce type de compromission peut s’étendre à des cibles qui pour transférer le paiement des marchandises sur un crypto-monnaies via des applications légitimes et autres.
n’étaient pas initialement visées. La probabilité de dommages fauxsitewebfourniparl'escrocafindesedébarrasser
collatéraux augmente lorsque le logiciel malveillant injecté des fonds disponibles sur la carte.
attaque des systèmes sans aucune distinction. Bien qu’il soit
possible de mettre en œuvre des mesures de contrôle du
« rayond’explosion »,cettedécisionrelèveuniquementde
Conclusion : pas aussi mauvais que prévu
la volonté de l’attaquant. Alors que le nombre et l'imagination des cybercriminels semblent illimités, en tant qu'équipe CERT,
nous devons constamment développer notre arsenal pour protéger les utilisateurs et l'entreprise.
Sans les passionnés de sécurité qui travaillent chaque jour sur de nouveaux mécanismes de détection,
la sensibilisation, la recherche de méthodes et de scénarios, l'inversion des malwares, la mise en œuvre
de l'automatisation et de l'apprentissage automatique, nous aurions perdu cette course depuis longtemps.

48 Security Navigator 2023 49
Conclusion

50 Security Navigator 2023 World Watch 51
Wicus Ross
Senior Security Researcher
Orange Cyberdefense
Joshua Sylvester
Security Research Intern
Orange Cyberdefense
World Watch
« Histoire
d’histoires »
LeCERTComputer
( EmergencyResponseTeam)d’Orange
Cyberdefense fournit régulièrement des conseils dans le cadre de
sonservice«WorldWatch ».Ilanalysenotammentlesvulnérabilités,
les menaces, les incidents et d’autres événements majeurs qui
peuvent toucher nos clients.
Cette année, divers événements ont orienté les bulletins
publiés par le service World Watch. Orange Cyberdefense doit
réaliser un suivi et des ajustements en continu en fonction des
évolutions du paysage des menaces. Cette approche axée sur
lerenseignementnouspermetdedéveloppernosservicesafin
de mieux servir nos clients et de proposer des solutions pertinentes.
Cetteannée,nousavonschoisiuneapprochediaérentedel’analyse
de nos bulletins World Watch en faisant appel au Traitement
AutomatiquedesLanguesTALN
( ouNLP)une
, sous-disciplinedu
MachineLearningML) ( .
Nous nous sommes servis du NLP pour orienter et façonner ce
chapitre. L’utilisation du ML ne diminue pas le rôle ou les contributions
de l’analyste, mais en fait, elle renforce ses capacités et met en
évidence des facettes des articles qui auraient pu être ignorées ou
dontladécouverteauraitdemandéuneaortimportantdelapart
de l’analyste. L’utilisation du NLP nous permet d’estimer l’ampleur
de la tâche de l’analyse en automatisant plusieurs aspects de
laclassificationdesdonnéesetdel’extractiondesentités.

Les données CPE nous permettent de créer le modèle NER

À propos des données pouridentifierlesnomsdesfournisseurs,desapplicationset
▪ Cette année, nous comptabilisons un total de 553 messages des systèmes d’exploitation. Ce modèle peut également extraire
▪
World Watch
249 sont des messages uniques, suivis de 304
des entités potentiellement associées à des malwares.
L’objectif du troisième modèle NLP, que nous appelons « modèle
Bulletins par technologie
commentaires et analyses additionnels sur ces signalements Fournisseurs et technologies visés par les bulletins, criticité comprise. Critique Elevé Moyen Faible Information
CWE »,estdeclassifierlestextesselonlespiliers 01 CWE
uniques 16
existants. Un pilier CWE est la plus haute catégorie de vulnérabilité
▪ 229 CVE distinctes ont fait l’objet de commentaires, ou de faille. Il existe plusieurs sous-catégories de types de
parmi lesquelles 50 CVE sont apparues plus d’une fois 14
vulnérabilités, comme les dépassements de mémoire tampon,
▪ Les données ont été recueillies entre octobre 2021 l’injectionSQLoulecross-sitescriptingXSS) ( entre
, autres, 12
et jusqu’à septembre 2022 inclus maisn’importequellevulnérabilitépeutêtreclassifiéesousl’un
▪ Sourcesdesdonnées:analysesduCERTetduCentre des 10 piliers. Nous nous sommes limités aux 10 principales 10
derechercheensécuritéSRC)
( Le
. SRCetleCERTonttous catégories pour améliorer la précision.
8
deux produit des contenus entre octobre 2021 et mars 2022. Comme avec n’importe quel outil, nous devons prendre en compte
les limites et les pièges. Nous avons mentionné « l’amélioration 6
delaprécision »desmodèlesetnousdevonsenprendreacte.
Del’intelligenceartificielle Les modèles de ML peuvent générer des résultats qui, s’ils sont 4
à l’intelligence réelle pris au pied de la lettre, peuvent s’avérer trompeurs ou mener 2
àdesabrmationserronées.Entermesplustechniques,nous
Nous avons choisi une approche modeste et créé trois modèles.
devons prendre en compte le taux de faux positifs ou de vrais 0
Deuxdecesmodèlessontutiliséspourlaclassificationdes
négatifs. Des biais cachés dans le modèle peuvent également
os
co
l
n
he
on
textes et le troisième modèle est utilisé pour extraire les entités
p
a
e
e
om
a
an
ft
it
al
F5
illa
M
e
el
ia
gl
an
nu
ob
cl
ay
Ap
pl
lk
so
ar
cW
ph
is
t
IB
ac
az
bi
influencerlesrésultats.
ss
oo
In
ra
oz
Po
Ap
Zo
w
Av
oc
Li
C
Ad
ro
et
De
So
Ap
Am
recherchées du texte.
la
VM
ni
M
G
ic
N
M
At
So
M
Laprécisiondu« modèlethématique »étaitde ce
, % 4 6 , 8 qui
NotrepremiermodèleNLPpermetdecatégoriseroudeclassifier
peutsemblerélevé,maisdansl’idéal,cechiaredoitavoisiner
les textes en quatre thèmes qui nous semblaient intéressants.
les 100 %. Le modèle CWE a atteint un niveau de précision de
Nousl’appelonsmodèle « thématique ».Cemodèlepeutclasserle
84,92 % et a permis de classer avec une relative précision les Changement de stratégie
texte dans les catégories Vulnérabilités, Ransomwares, Mobile ou
vulnérabilitésassociéesauxpiliersCWE« Mauvaiseneutralisation » Nous avons publié 553 avis World Watch entre octobre 2021
Menaces.Lemodèlen’apasétéenmesured’identifierprécisément
et « Mauvais contrôle d’une ressource tout au long de son cycle et septembre 2022 inclus. Cela correspond à 249 avis uniques,
4.5
toutes les failles et nous avons donc été contraints d’exclure cette
devie ».Celavientdufaitque des
% 4 , 3 7 donnéesdel’ensemble suivis de 304 commentaires et analyses additionnels sur ces
catégorie. Les failles posent également des problèmes d’extraction
utilisé pour l’entraînement étaient des exemples de ces deux signalements World Watch uniques.
d’informations telles que la victime et le type d’impact.
piliers CWE. Le reste des données d’entraînement, soit 26,6 %,
Dans le langage du ML, le second modèle répond au nom de a été utilisé pour entraîner les 8 autres piliers CWE et explique Cetteannée,nousavonsmodifiélescatégoriesouthèmes
34
modèledeReconnaissanced’EntitésNomméesNER) ( etpermet probablement la faible précision de ces piliers CWE. pour suivre les Vulnérabilités, les Menaces, les Ransomwares
27.3
et les actualités, incidents ou vulnérabilités liés aux appareils
.2%
d’identifierdesentitéstellesquelesfournisseurs,lesapplications,
Le modèle NER a été élaboré via une approche d’étiquetage mobiles. Pour réaliser un suivi des actualités ou incidents liés
les systèmes d’exploitation, les malwares et d’autres termes utiles. Menace
automatique, pour un niveau de précision de 96 %. L’étiquetage aux Ransomwares, nous avons décidé de créer une catégorie
Nousl’appelonsmodèle « NER »,fautedemieux.
automatiquesignifiequenousavonsutilisélesmétadonnées distincte de la catégorie Menaces. Nous avons également Ransomware
Le modèle thématique a été créé à l’aide de textes et d’articles présentes dans les données CVE de la NVD pour annoter créé la catégorie Mobile dans le but de suivre les actualités
de journaux déjà étiquetés comme correspondant à nos quatre le texte des vulnérabilités en donnant des indices au modèle Vulnérabilité
et événements liés à cette catégorie, indépendamment des
catégories ou thèmes. De la même façon, le modèle NER a été créé d’entraînement. Cela inclut notamment des schémas tels que catégories Vulnérabilités et Menaces. Mobile
grâce à un ensemble existant de textes étiquetés sous la forme les ID de CVE et les numéros de version.
dedonnéesCommonVulnerabilitiesandExposuresCVE) ( dela La catégorie Menaces inclut également plusieurs nouveaux
Le Machine Learning est un domaine en plein essor, en partie élémentsouévénementsliésàlaguerreenUkraine,afinde
NationalVulnerabilityDatabaseNVD) ( duNIST.Nousavonsutilisé
grâce à la découverte fréquente de nouvelles techniques et contrôler les éventuels débordements dans le cyberespace.
les données CVE des 12 dernières années pour élaborer le modèle
méthodologies. Une utilisation pertinente du ML peut entraîner Lacatégorie«Menaces »estassezvasteetinclutdes
NER.
des gains de productivité et d’échelle auparavant impossibles. menaces de type APT, malwares, voire failles. Le modèle NLP
Les données CVE sont riches en métadonnées, notamment parce
qu’elles contiennent un dictionnaire Common Platform Enumeration
Celasignifiequenouspouvonsréagirrapidementauxnouvelles
informations pour prendre de meilleures décisions.
aeudumalàidentifierunefailleavecundegrédeprécision 3 4. 0 %
acceptable. Le modèle de Machine Learning NER n’a pas non
CPE)
( etuneclassificationCommonWeaknessEnumerationCWE) ( plus été en mesure d’extraire des caractéristiques telles que
pour les vulnérabilités décrites. les victimes et la nature de l’impact. Ainsi, nous partagerons
peu ou pas d’informations sur les failles.
Bulletins de World Watch
Types de bulletin publiés Des débordements se sont produits pour deux autres
Vulnérabilité Ransomware Menace Mobile
Vulnérabilités vulnérabilitésCVE- ( et
7 468 3- 1 20 CVE-et
976 3)-0 1 20 ont
70
60
2021 2022 Bien que plusieurs vulnérabilités de nature grave aient été
signalées par des fournisseurs, nous avons publié un seul
été évalués comme critiques pour la précédente période de
reporting.LapremièredecesdeuxvulnérabilitésCVE- ( - 1 20
avis World Watch considéré comme critique. Il s’agit de est
)7 468 3 connuesouslenomdeOMIGODettoucheles
50 lavulnérabilitéLog4jCVE-
( et
, ) 8 2 4 - 1 20 destroisCVE machinesvirtuellesLinuxAzure.Lesfournisseursdépendant
associées, connues sous le nom de Log4Shell et publiées desmachinesvirtuellesMicrosoftLinuxAzureontétéaaectés
40 en décembre 2021. Ces vulnérabilités occupent une place par cette vulnérabilité majeure. La deuxième vulnérabilité suivie
importante dans d’autres mises à jour World Watch et nous y CVE-
( est
976)30- 1 2 0 liéeàdesfaillesduspouleurd’impression
30 reviendrons dans ce chapitre et dans d’autres sections de ce Windows appelées PrintNightmare, pour lesquelles Microsoft a
rapport. publié de nombreux patchs entre juin et octobre 2021.
20
10
0

vulnérabilités liées à des failles de cette librairie baptisées ou du côté récepteur. Le terme technique employé est la
Complexités liées à la chaîne TLStrom 2, qui ont notamment touché les commutateurs Aruba et
Log4j : des journaux néfastes sérialisation. Cette fonctionnalité a fait l’objet d’abus, car Log4j
d’approvisionnement des logiciels tiers Avaya, ainsi que certains appareils Smart-UPS d’APC. L’une des La journalisation fait partie intégrante de la surveillance des prenaitenchargel’APIRemoteMethodInvocationRMI) ( dans
vulnérabilitésdecettebibliothèqueCVE- ( pourrait
)7 63 2 - 2 0 2 applicationsetdessystèmes,notammentpouràdesfinsde ses fonctionnalités de modèles, une API activée par défaut dans
Les logiciels modernes peuvent comporter diverses
permettre la prise de contrôle à distance d’un système vulnérable dépannage lorsque les choses tournent mal. Il s’agit généralement certains systèmes.
bibliothèques dépendantes. Ces bibliothèques sont codées par
via le réseau. d’un processus de fond routinier et ennuyeux. Jusqu’à ce
d’autres personnes. La réutilisation du code semble logique,
qu’une série de failles soient découvertes dans le composant Nombreux sont ceux qui pensent que la vulnérabilité Log4Shell
notamment pour les bibliothèques bien codées. Les équipes Les exemples cités dans cet article se limitent aux composants
de journalisation open source et populaire Java Log4j. se manifestera dans un avenir proche.
de développeurs et d’assurance qualité gagnent du temps, utilisés dans des logiciels qui résident physiquement sur site
carellesn’ontpasàrepartirdezéro.Ellesvérifientuniquement ou dans les appareils que nous utilisons. Mais qu’en est-il du Lafigureci-dessousillustrelevolumed’incidentsconfirmés
que la nouvelle conception et sa mise en œuvre fonctionnent Quatre vulnérabilités, regroupées sous l’appellation Log4Shell et
cloud ? Un peu plus tôt dans ce chapitre, nous avons mentionné impliquant Log4j et signalés par nos CyberSOCs sur la période.
selonlesparamètresdéfinis,commec’estlecaschezles suivies sous les références CVE-2021-44228, CVE-2021-45046,
lavulnérabilitéOMIGODdesVMLinuxAzure,quiaaectait
autres fournisseurs. Malheureusement, l’erreur est humaine et CVE-2021-45105 et CVE-2021-44832, ont généré d’importantes
les acteurs basant leurs solutions sur des images de machines Entre décembre 2021 et septembre 2022, nous avons
les bibliothèques connues peuvent contenir des failles ou des dibcultéschezdenombreuseséquipesinformatiquesetde
virtuelles existantes. La vulnérabilité OMIGOD nous rappelle signalé 118 incidents liés à Log4j. La plupart sont apparus en
défauts latents exploitables. Nous avons suivi plusieurs actualités sécurité. Parmi ces vulnérabilités, trois ouvraient la porte à une
que nous devons surveiller les composants des logiciels et décembre 2021, en même temps que la menace.
et annonces de vulnérabilités qui correspondent à ce scénario. potentielle exécution de code à distance, à l’exception de CVE-
les ensembles qui composent les environnements d’exécution
2021-45105 qui pouvait mener à un déni de service local.
tels que les images de VM cloud et les conteneurs créés par Quatredecesincidentssesontvusattribuerune« Priorité1 »,soit
Apache, plus connu sous le nom d’Apache Software Foundation
d’autres personnes. leplushautniveaudepriorité:deuxendécembre,unenavriletun
ASF)
( figure
, enbonnepositiondanslalisteannuelledes Deparleurnature,ilsubsaitqu’undéveloppeurdécided’entrer
fournisseurs vulnérables. ASF supervise plusieurs projets open Onpourraitabrmerquelesfournisseursdoiventêtreplus des informations reçues par l’application depuis une source enaout
étonnamment)
( 2 02 .
source utilisés par de nombreux autres fournisseurs. ASF doit transparents quant à la composition des produits qu’ils externe pour que les failles Log4j compromettent les systèmes
84 % de ces incidents ont été signalés suite à la détection
sa plus importante vulnérabilité à la bibliothèque Java Log4j qui fournissent. C’est déjà le cas pour les grandes entreprises et vulnérables. En fonction de l’application, il était possible de
d’indicateurs pertinents de notre plateforme Datalake Threat
fournit des fonctionnalités de journalisation rapides, extensibles les gouvernements qui exigent davantage de transparence dans déclencher la vulnérabilité en saisissant du texte malveillant
Intelligence.
et étendues. Toute solution basée sur Java depuis 10 ans ou le cadre de leurs processus d’achat. L’idée d’une nomenclature dans le champ d’une application web. La faille ne se limitait pas
plus utilise probablement une forme ou une autre de Log4j. Si logicielleSBOM)
( nedatepasd’hier,maisils’agittoutdemême aux seules applications Web, elle concernait l’ensemble des
Les autres attaques ont été détectées via diverses techniques,
l’on poursuit cette logique, toute vulnérabilité grave de Log4j est d’undéfimajeur,enparticulierdanslecasdessolutionshéritées. applications Java impliquant une journalisation des données
notamment des opérations manuelles de Threat Hunting.
transmise automatiquement aux fournisseurs qui créent des Idéalement, toute nouvelle solution devrait être accompagnée saisies par les utilisateurs. Dans certains cas, la vulnérabilité
applications en se basant sur cette bibliothèque open source. d’une liste complète des composants logiciels pour que les pouvait entraîner une exécution de code arbitraire sur l’hôte et
Dans notre ensemble de données, ces fournisseurs incluent responsables de la gestion du risque puissent évaluer l’exposition les attaquants les plus créatifs pouvaient divulguer des variables La CVE-2021-44228 – Log4J–étaitlaseuleCVE“obcielle”
notammentOracle,Cisco,IBMetAmazon.ASFapubliéplusieurs potentielle aux nouvelles vulnérabilités annoncées ou lors d’exécution et d’environnement telles que les clés API, les identifiéedansnosensemblesdedonnées:WordWatch,
patchs pour remédier à cette faille, au grand dam de nombreux des processus de diligence raisonnable. identifiants,etc.présents. scans de vulnérabilités, et tests d’intrusion.
acteurs qui utilisaient cette librairie pour patcher des systèmes.
Les monocultures technologiques comme Microsoft pourraient Cette faille Log4j découle des fonctionnalités avancées en matière
▪ World Watch : classée 1ère sur 229 CVE.
Dans la même veine, une vulnérabilité baptisée Spring4Shell, remédier à cette situation, même si elles génèrent de nouvelles Mentionnée 8 fois.
demodèles,conçuesspécifiquementpourlecomposantLog4j.
Ellespermettaientaudéveloppeurd’avoirdesinteractionsflexibles▪
ànepasconfondreavecLog4Shell,estapparuefinmars. 2 0 2 considérations telles que la dépendance à l’égard des barèmes VSOC : classée 9 013ème sur 21 026 CVE.
La nature de la faille rappelait Log4Shell, sans toutefois être tarifaires et des allégeances géopolitiques de ces fournisseurs. Mentionnée sur 6 hôtes uniques.
avec la bibliothèque à travers des valeurs de texte spéciales que
identique. L’ensemble de vulnérabilités Spring4Shell est suivi Les monocultures de sécurité peuvent être touchées par des
sous les références CVE-2022-22963, CVE-2022-22965 et CVE- chocs plus importants en raison de la présence de vulnérabilités
Log4j interprète pour réaliser certaines actions, à la manière de
macros basiques.
▪ Classée 7ème dans nos tests d’intrusion.
Une
952 . 0- 2 0 2 configurationtrèsspécifiqueestnécessaire exploitablestellesqueEternalBlueCVE- ( L. ) 4 ’incident
1 0- 17 0 2 Signalée dans seulement 1 test d’intrusion.
pour déclencher Spring4Shell, contrairement à Log4Shell qui SolarWinds nous a également rappelé que les logiciels peuvent De par sa conception, Java peut envoyer du code sur le réseau
était bien plus répandue. Ces vulnérabilités ont été découvertes être corrompus dans une mesure jamais encore imaginée. et entraîner une exécution de code du côté qui est invoqué
lorsque Sophos a patché une vulnérabilité majeure découverte La rigueur est donc de mise sur nos architectures de sécurité.
dans l’interface utilisateur de Sophos Firewall. Spring4Shell a
égalementaaectéleslogicielsEdgeIntelligenceetDataCenter
Network Manager de Cisco. De nombreux autres fournisseurs ont Incidents impliquant Log4j Priorité 1
Priorité 2
dû se démener pour savoir si leurs produits étaient vulnérables en Nombre et priorité des problèmes de sécurité liés à CVE-2021-44228 dans nos données MDR Priorité 3
raison de l’utilisation de ce framework applicatif Java répandu.
30
2022
LabibliothèquecryptographiqueMozillaNetworkSecurity
ServicesNSS) ( contenaitunevulnérabilitédedébordementdetas
CVE-
( pouvant
)7 2 5 3 4- 1 2 0 2 êtredéclenchéelorsdelavérification 25
dessignaturesnumériques.CelaaeuunimpactsurLibreObce,
ApacheOpenObce,lemoduleSSLmod_nssSSLd’ApacheWeb
Server,RedHatDirectoryServer,RedHatCertificateSystem,
SUSE Linux Enterprise Server, entre autres. 20
PolKit,uncomposantdegestiondespolitiquesopensource,
contenaitunefaillemajeureCVE- ( aaectant
) 4 3 0 4- 1 2 0 2 les 15
distributions Linux telles que Fedora, Ubuntu, et d’autres. Cette
failletouchaitdesversionsdePolKitallantjusqu’à9.0Plus 2
tard la même année, environ neuf mois après le signalement de
la vulnérabilité en janvier 2022, nous avons signalé un malware 10
ciblant les appareils IoT et exploitant cette vulnérabilité pour
élever les privilèges sur les appareils touchés.
Il serait injuste de ne citer que des logiciels open source 5
pour illustrer ce point. Des dépendances logicielles à source
ferméeexistentégalementchezMocanaNanoSSL,unefiliale
de DigiCert. Armis a publié des recherches sur plusieurs 0
Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep

Bien que le problème ait été résolu en septembre 2021, souhaitaientseprotégerdevaientdonceaectuerunemiseà

La dette de sécurité Dette de sécurité telle que vue les utilisateurs ont signalé des problèmes d’imprimante et niveau vers un nouveau système d’exploitation et faire face à
Entantqueconceptfinancier,ladettecorrespondauchoix, à partir des balises NLP brutes de réseau liés au correctif. de potentiels problèmes de mise en route. Cette faille associée
volontaire ou involontaire, d’emprunter à une autre partie pour aux iPhone, iPad, iPod Touch, montres et ordinateurs Apple
AtlassianConfluenceaététouchéparunevulnérabilitémajeure
obtenir quelque chose sans avoir les moyens de payer de sa Valeur NER Étiquette NER permettait à un attaquant d’exécuter un code arbitraire en
d’exécutiondecodeàdistancesansauthentificationCVE- (
propre poche. Ce qui a été emprunté doit être remboursé, le plus disposant du niveau de permission le plus élevé.
Sa
. ) 43 1 6 2 - 2 0 2 divulgationrapidel’atransforméeenZero-
souvent avec des intérêts correspondant à la période concernée.
CVE-2007-4559 CVE ID Day. Le code de preuve de concept qui circulait permettait à Les fournisseurs ont besoin de temps pour résoudre les
Dans le contexte des bonnes pratiques de développement quiconqued’exploiterlesserveursConfluencenonpatchésvia vulnérabilités de sécurité et les utilisateurs doivent souvent
logiciel,celasignifiequelesdécisionsprisesparlesdéveloppeurs Publiée Mise à jour Internet. s’assurer que ces patchs ne contiennent pas d’instabilités,
etlesconcepteursdevraientpouvoirjustifierunequantitéfaible, comme dans le cas des patchs PrintNightmare. Le déploiement
Apple a pris la décision d’échelonner les correctifs d’une
voire nulle, de failles. À chaque fois qu’une décision de conception Tarfile Application de correctifs est un processus long et propice aux attaques.
vulnérabilitémajeureCVE-
( touchant
) 38 0 - 1 20 plusieurs
ou de mise en œuvre est faite au détriment de l’évaluation des Reporter les investissements dans une architecture de sécurité
versions de son système d’exploitation mobile. La faille a tout
faillesoudesdéfauts,nousaccumulonsune« dettedesécurité ». Attaque Terme pertinent ebcace,capablededétecteretdeconfinerlesfailles,constitue
d’abord été patchée dans le tout nouvel iOS 15 et seulement
Lorsque les développeurs et les concepteurs repoussent la ainsi une très mauvaise décision.
deux semaines plus tard dans iOS 14. Les utilisateurs qui
découverte et la correction d’une faille potentielle, ils repoussent traversée de répertoires Terme pertinent
également les coûts qu’elle engendrera à l’avenir. Cela peut
venir d’une décision pratique et délibérée sans aucune once de Écrasement Terme pertinent
malveillance. Le délai était peut-être trop juste. En corrigeant
la faille à ce moment-là, l’entreprise aurait pu passer à côté fichiersarbitraires Terme pertinent Vulnérabilités les plus connues Vulnérabilité
Ransomware
Menace
d’une opportunité. Une faille peut également être introduite Vulnérabilités figurant dans au moins trois bulletins de World Watch, tous thèmes confondus Mobile
involontairement ou par accident. Dans tous les cas, le coût Autorise Terme pertinent
14
potentiel d’un incident de sécurité lié à cette faille sera répercutés
sur les utilisateurs du logiciel. Application Terme pertinent
12
Ladettedesécurité,toutcommeladettefinancière,estsoumise
àdesintérêtspareaetcumulatif.Log4jadémontréqu’une L’angoisse du Zero-Day 10
bibliothèqueobscurepouvaitseretrouverdansuneinfinitéde
La vulnérabilité Zero Day est le rêve de tout attaquant ou Red
produits professionnels. À chaque déploiement de solutions 8
Team mais un véritable cauchemar pour les défenseurs. Dans
basées implicitement sur Log4j, les entreprises ouvraient la
l’idéal, toute architecture de sécurité moderne doit être conçue
porte à des menaces potentielles pour leur activité. Cela se 6
pourpermettreladétectionetleconfinementdesincidents
répercute sur toutes les entreprises ou organisations utilisant
découlant de vulnérabilités non patchées, qu’elles soient de type
implicitement ce logiciel. Avant même que nous puissions nous 4
Zero-Day ou non.
en rendre compte, cette faille va au-delà de tout ce que nous
pouvons imaginer et toute mesure de remédiation implique un Le nombre de vulnérabilités touchant les systèmes est amené 2
eaortfinanciercollectifetconsidérable.Siuneentreprisechoisit àaugmenter.N’importequelsystèmefinitparsevoirattribuer
de ne pas corriger cette faille parce qu’elle l’a décidé ou qu’elle lestatut« nonpatché».Danslaréalité,lesfournisseursontdu 0
n’en a pas conscience, le coût futur d’un incident dépassera malàidentifierlesvulnérabilitésouàcréerdespatchsassez
88
8
0
22
44
19
88
04
13
20
88
08
89
00
47
20
52
37
00
13
potentiellement le coût immédiat de la correction de la faille. rapidement pour les vulnérabilités connues.
44
40
30
30
45
26
31
11
24
43
38
34
22
34
41
38
2-
1-
1-
2-
1-
1-
2-
1-
7-
2-
1-
1-
1-
1-
1-
1-
1-
02
Le risque est inhérent à chaque chose. Si certains risques
02
02
02
02
02
02
02
01
02
02
02
02
02
02
02
02
-2
LasagaautourdelavulnérabilitéPrintNightmareCVE- ( - 1 20 2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
VE
peuvent être gérés, d’autres devront faire l’objet d’une surveillance
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
C
a
) 7 2 5 4 3 débutéenjuinlorsque
, 1 20 2 deschercheursont
C
constante, jusqu’à leur éventuelle apparition. Le tout est de trouver
divulgué des informations à ce sujet, avant que Microsoft n’ait
un équilibre entre les deux.
publié un patch.

Un concours impopulaire Au nom du mal

Les avis World Watch incluaient au moins 229 CVE distinctes, LavulnérabilitéGitLabCVE-
( est
) 50 2 - 1 20 particulièrement Les professionnels de la sécurité qui procèdent à des tests Malheureusement, comment limiter l’accès à des outils comme
parmi lesquels 50 CVE sont apparues plus d’une fois. Deux failles inquiétante puisqu’elle fait planer une menace de d’intrusion dans les réseaux et les systèmes ont besoin d’outils Cobalt Strike ? Ce problème ne se limite pas au cyberespace, il
d’exécutiondecodeàdistanceaaectantdesproduitsMicrosoft compromission de la chaîne d’approvisionnement logicielle. pour mener à bien leurs missions, comme n’importe quelle se manifeste également dans le monde physique.
ontoccupélehautduclassement:unefailleduMSHTMLCVE- ( GitLab est utilisé par les équipes de développement logiciel profession. La boîte à outils des professionnels de la cybersécurité
Nous avons constaté que Cobalt Strike faisait l’objet de
de
) 4 4 0 4 - 1 2 0 2 MicrosoftetunefailleduWindowsSupport pour la gestion du code source et d’autres activités liées au est bien fournie en solutions qui pourraient être considérées
discussions plus fréquentes que certaines menaces comme
DiagnosticToolouMSDTCVE-
( de
908 3) 4 - 1 2 0 2 Microsoft. processus de développement. Un attaquant ayant accès à comme malveillantes. Des communautés et des entreprises ont
Emotet, QakBot ou Trickbot. Au moins 9 autres types de
l’hôte GitLab pourrait dérober des informations propriétaires, vulejourafinderegrouperle« couteausuisse »deshackersetdes
Si l’on avait décerné un prix à la vulnérabilité qui a le plus fait malwares Cobalt Strike ont été mentionnés dans le même avis
volerdesjetonsd’accèsparauthentificationoualtérerle systèmesd’exploitationtelsquelafameusedistributionKaliLinux.
parler d’elle, Log4j aurait remporté cette récompense haut distinct dans les catégories Ransomwares et Menaces.
logiciel ou le processus de création via un type de porte Dansdenombreuxcas,cettedémarcheestlégitime,àdesfins
la main. Nous avons signalé au moins six incidents connus
dérobée. pédagogiques ou de recherche en sécurité. Les malwares tels que Trickbot ou Emotet sont généralement
dans lesquels les attaquants ont utilisé Log4j pour déployer
utilisés par les attaquants pour pénétrer le réseau via le
un ransomware ou pénétrer un réseau. Pour terminer, n’oublions pas que les vulnérabilités plus Certains types d’outils deviennent nécessaires au fur et à mesure
phishing, dans le but de déposer d’autres malwares qui
anciennes sont encore d’actualité. Rappelons-nous de de l’augmentation du niveau de sophistication ou d’exigences. La
Trois des incidents de ransomwares mentionnant la faille injecteront des balises ou des charges malveillantes Cobalt
latristementcélèbreEquationEditorCVE- ( , ) 2 8 11 - 7 1 0 2 création de ces outils est chronophage et complexe. C’est une
Log4j étaient intimement liés à des gouvernements tels que Strike dans l’environnement compromis. Cela permet à
découvertedanslecomposantMicrosoftObceaunom occasion rêvée pour tout entrepreneur de se faire une place dans
laRépubliquepopulairedémocratiquedeCoréeLazarus) ( , l’attaquant d’établir une tête de pont dans l’infrastructure de
similaire Equation Editor en 2017 et 2018. Des attaquants lemilieu,d’oùl’apparitiondesoutilsde simulation
« d’attaque».
laRépubliquepopulairedeChineAPT1 ( et
) 0 laRépublique savictimeàdesfinsd’espionnage,pouratteindred’autres
en provenance d’Asie ont ciblé une entreprise de Ces outils de conseil légitime permettent à une entreprise de
islamiqued’IranAPT3 ( Un . ) 5 nouveauransomwareintitulé« Night réseaux ou pour extorquer de l’argent via un ransomware.
télécommunications d’Asie du Sud selon des recherches recruter un professionnel de la sécurité qui est alors chargé de
Sky »amêmeapparemmentexploitélafailleLog4jpourextorquer
menées par Fortinet[41], et plusieurs entreprises en Europe pénétrer le réseau du client en exécutant des exercices précis, à Il est vraiment dommage qu’un outil tel que Cobalt Strike ait
de l’argent à ses victimes.
del’EstselonunautrerapportpubliéparKaspersky [42]
. l’aide de techniques adaptées au calibre de l’attaquant en vue. aussi mauvaise réputation, mais nous pensons que d’autres
LesvulnérabilitésMicrosoftExchangebaptiséesProxyShellCVE- ( Le vecteur probable de cette attaque serait l’ingénierie outils similaires tels que Brute Ratel C4 connaîtront le même
C’estlamissiondeCobaltStrike,unoutilquioareuneplateforme
CVE-
et
, 3 72 54 3 - ont
1 CVE-
2 )0 7 2 0 2 1 3 - 1 2 0 2 conservé sociale, car ce type de vulnérabilité nécessite que la sort. La limitation ou l’interdiction de ces outils ne fera pas
extensible à l’utilisateur, qui lui permet de simuler des techniques
leur place dans le classement suite à de nouveaux incidents, tout victimeouvreundocumentObcealtéré.Dibciledesavoir disparaître les autres menaces. De nouveaux outils malveillants
et des procédures normalement à la portée des attaquants
commeProxyLogonCVE- (et
5 8 6 2 - un1 CVE-
2, 0 ) 2 5 6 0 7 2 - 1 2 0 2 pourquoi d’anciennes vulnérabilités restent pertinentes. verraient quand même le jour. Notre chapitre consacré au
expérimentés. Entre de bonnes mains, cet outil est uniquement
autre ensemble de vulnérabilités Microsoft Exchange associé à Est-ce lié à l’utilisation active de logiciels anciens, qui n’ont CyberSOC couvre plus en détail la situation de Cobalt Strike.
limité par l’expérience et l’imagination.
ProxyShell. malheureusement pas été patchés ?
Application CVE Type Bulletins sur le ransomware et la menace

Malware trouvé par NLP sous le thème ransomware et menace (plus d'une occurrence) Ransomware Menace
Microsoft MSHTML CVE-2021-40444 Exécution de code à distance 30
Microsoft Windows Support Diagnostic Tool CVE-2022-30190 Exécution de code à distance

25
Microsoft Exchange CVE-2021-31207 Traversée de répertoires

20
Microsoft Exchange CVE-2021-34473 Exécution de code à distance
15
Microsoft Exchange CVE-2021-34523 Élévation de privilèges
10
5
0
MicrosoftObce CVE-2017-11882 Exécution de code à distance
y
et
ug
ke
ot
ot
gX
er
Iv
at
at
ot
y
kB
B
tri
l
u
ik
rp
ro
G
on
ak
Em
Pl
tS
im
ic
er
st
Ko
is
Q
Tr
MicrosoftWindowsAppXInstaller CVE-2021-43890 *Pas d’infos disponibles*
sp
du
M
al
Po
ob
hi
In
W
C
Microsoft Windows Installer CVE-2021-41379 Élévation de privilèges
Apache Log4j CVE-2021-44228 Exécution de code à distance

Bulletins sur les malwares et sur Cobalt Strike
Malware trouvé par NLP en combinaison avec Cobalt Strike Ransomware Menace
Apache Log4j CVE-2021-45046 Exécution de code à distance 10

9
Google Chrome CVE-2021-38003 Écriture hors limites
8
Google Chrome CVE-2021-38000 Mauvaise validation des entrées 7
6
AtlassianConfluence CVE-2022-26134 Exécution de code à distance
5
GitLab CE/EE CVE-2021-22205 Exécution de code à distance 4
3
Apple iOS/iPadOS/WatchOS/macOS CVE-2021-30883 Exécution de code à distance
2
Adobe Commerce / Magento CVE-2022-24086 Mauvaise validation des entrées 1
0
F5 Big-IP CVE-2022-1388 Authentificationmanquante
t
ja
t
et
t
er
ee
z
Bo
of
o
in
at
ot
kB
ad
irS
eb
N
ak
ik
Em
ic
im
N
bl
Q
rL
Tr
m
M
za
Bu
Ba

La plateforme a notamment partagé des informations sur

Espionnage par téléphone un exploit développé par NSO Group pour son logiciel
Le téléphone mobile moderne est une plateforme unique espion Pegasus, utilisé contre des politiciens européens.
dans laquelle Google et Apple investissent massivement pour La vulnérabilité cible l’application iMessage du système
développerdenouvellesfonctionnalitésafindeconserver d’exploitation mobile iOS d’Apple. Des membres de l’équipe
l’engagement de leurs utilisateurs. Comme tout système, Google Project Zero ont par la suite publié une excellente
Conclusion
ilscomportentdesfaillesquiserontexploitéesaufildutemps. analyse de l’exploit FORCEDENTRY créé par NSO Group.
Celanevientpasforcémentd’unesécuritéinsubsante. L’analyse a révélé un exploit complexe et hautement
L’architecture de sécurité mobile est d’ailleurs bien plus sophistiqué qui a émerveillé la communauté en raison de
performante que celle des ordinateurs conventionnels. l’expertise technique impliquée dans la création de tels
La complexité des éléments de sécurité matériels et l’utilisation exploits. L’exploit FORCEDENTRY est une machine virtuelle
de la cryptographie sont impressionnantes. Si certains Turing-complet déguisée sous la forme d’une image déjouant Dansleromandescience-fictionDunedeFrankHerbert,lepersonnageprincipalchante Jene
«
fournisseursdeservicesfinanciersetdedivertissementfont une fonctionnalité de sécurité des appareils mobiles d’Apple connaispaslapeur,carlapeurtuel’esprit.Lapeurestlapetitemortquiconduitàl’oblitérationtotale.
confianceàdesfabricantsd’appareilsmobilesetpasàd’autres,appeléebacàsable« BlastDoor ».Malheureusement,lafaille J’aaronteraimapeur.Jeluipermettraidepassersurmoi,autraversdemoi.Etlorsqu’elleserapassée,
c’est en raison de leur architecture de sécurité. exploitée par FORCEDENTRY venait d’un choix de conception, jetourneraimonil
œ intérieursursonchemin.Etlàoùelleserapassée,iln’yauraplusrien.Rienquemoi. »
qui permettait à l’exploit de se déclencher avant l’exécution de Aussidramatiquequ’ellepuisseparaître,cettelitanieestcurieusementsimilaireàdeuxarticlesde
Les téléphones mobiles regorgent de fonctionnalités qui, une fois
BlastDoor. blogpubliésparKiemanMcGowanetPhillipKristoaersen,respectivement.Lesauteursdecesarticles
retournées contre leur cible, fournissent une plateforme de
surveillancetrèsebcace.Unmarchéhautementspécialisés’est Certains gouvernements autoritaires ne rechignent pas à intitulés«Lacomplexitétuel’esprit
»Complexity
( isthemind-killer)partagentleursréflexionssur
créé pour proposer un accès et un suivi des appareils mobiles dépenserdesmillionsdedollarspours’oarirlesservices laconceptionlogicielleetlesdécisionsliéesàlamiseenuvre.
œ KiemanMcGowanetPhillipKristoaersen
ciblés. Sa réussite réside dans l’exploitation de vulnérabilités de ces fournisseurs de logiciels espions, au nom de soulignentl’importancedesélectionnerlasolutionlaplussimplecapablederemplirlamission,tout
propres aux systèmes d’exploitation des appareils mobiles, laprotectiondeleurscitoyens,afindepoursuivreleurspropres enconservantunemargedemanœuvresubsantepours’adapter.
voire au ciblage de vulnérabilités dans les applications mobiles, dessins, qu’ils soient légitimes ou non. S’ils peuvent sauver Demême,leséquipesinformatiquesetdecybersécuritédoiventtrouverlebonéquilibreentre
dans certains cas. Le concept est très similaire au ciblage des vies entre les mains de personnes aux intentions pures, l’administrationdessystèmes,lagestiondesconfigurationsetlerespectdesexigencesdeconformité
des ordinateurs, ce qui illustre à quel point certaines réalités ces services ne sont synonymes que d’oppression et de pourgarantirlebonfonctionnementdeleurentreprisedansuncyberespacedetouteévidence
du terrain s’appliquent à plusieurs plateformes. persécution aux mains des gouvernements autocratiques. chaotiqueetdangereux.Lacomplexitédessolutions,combinéeaumanquedetransparencesur
UnevulnérabilitéGoogleChromeCVE- ( exploitée
)0 83- 1 20 2 La protection des terminaux peut être une solution pour les leurcomposition,estsourced’erreurs,sansoublierqu’ellenefacilitepasladétectiondesdernières
correctement permettait à un attaquant de charger n’importe appareils mobiles, mais elle reste limitée, puisqu’elle nécessite vulnérabilitésmajeuresdansunsystème.
quelle URL de son choix. La faille a touché Google Chrome unesurveillanceactivedutraficréseauetunaccèsàcertaines MarcAndreessen,undesfondateursdelasociétédecapital-risqueAndreessen-Horowitz,estconnu
surLinuxetsurAndroidavantd’êtrepatchéesfin Au. 1 2 0 2 parties de l’appareil pour supposer des comportements pouravoirécritLe« logicielmangelemonde
».Aujourd’hui,noussavonsquelelogicielfaçonne
2e trimestre 2022, nous avons appris que le logiciel espion malveillants. Cela vient de la nature de l’architecture de sécurité notrefaçondevivre,detravailleretdegouverner.Essayezdoncdecréeruneentreprise,defaire
mobile Predator de Cytrox pouvait exploiter cette vulnérabilité de ces appareils. Les solutions anti-malwares traditionnelles unedemandeauprèsd’unservicepublicoud’accéderàdessoinsdesantésansaucuneinteraction
et d’autres failles telles que la CVE-2021-1048 qui permet une de Windows s’exécutent dans un espace dédié du système avecunlogiciel.Certainsréfrigérateursmodernessontdotésd’unnombreincalculabledefonctions
élévation locale des privilèges. d’exploitation, qui leur permet de traiter l’information et de logicielles.Àchaqueétapedeceparcours,desrisquescyberexistentetdoiventêtregérés.
gérerlesystèmedefichiers.Lelogicieldesurveillanceest
RCS Labs S.p.A possède un logiciel espion baptisé Hermit, Lesclientsexigerontpeuàpeudeleursfournisseursetprestatairesdeservicesqu’ilsapportentune
ainsicapabled’obtenirunefiabilitéaccruedutyped’activitéen
capable de cibler les appareils Android et iOS. La version iOS réponserapideettransparentefaceàlapublicationdenouvellesvulnérabilitésmajeures.Lesaccords
local. Les fournisseurs mobiles peuvent choisir de fournir une
d’Hermit exploiterait des vulnérabilités connues partagées par deniveaudeserviceserontplusprécisenmatièrededélaisderéponseetdetypesd’assurance.Enfin
API anti-malware similaire, mais cette nouvelle fonctionnalité
desfansdujailbreakingCVE- ( par
,38 03- 2 0 2 ex.permettant
,) decompte,lesprocessusd’achatetdediligenceraisonnabledeviendrontbienplusonéreuxpour
augmente la surface d’attaque des malwares. Nombreux sont
ainsi une exécution arbitraire de code au niveau du noyau. lespartiesimpliquées,saufs’ilexisteunmécanismecapablederépondreauxquestionsurgentes
ceux à argumenter qu’une telle fonctionnalité porterait atteinte
Ce type de vulnérabilité peut ensuite être utilisé pour atteindre avecuneaortraisonné.
àlaconfidentialité.
d’autrespartiesdel’appareilcompromis,afindeprocéderàune
exfiltrationd’informationsetàdesactivitésdesurveillance. L’ajout d’autres fonctionnalités aux systèmes a tendance Lagestiondesactifsprenddeplusenplusd’ampleuretdoitallerau-delàdessystèmesd’exploitation
àaaaiblirleurposturedesécuritésurlelongterme.Pour etdumatériel,jusquedanslecloud.Leséquipesdevrontsavoiràquoisertchaquefonctionnalitéet
CitizenLabafaituntravailformidabled’analyseetde chaqueautorisationd’accèspubliéeparuneinfrastructurecloudetsielleestutiliséeounon.
améliorer la sécurité d’un système, nous pourrions supprimer
présentation du marché des logiciels espions mobiles.
toutes les fonctionnalités et ne garder que les plus utiles,
Lesattaquesciblantdesappareilsmobilesexistentbeletbien,maisnousavonsconstatéqu’elles
mais cette solution n’est pas viable.
étaientpourlemomentlimitéesausecteurdelasurveillance.L’architecturedestéléphonesmobiles
Voustrouverezd’autresinformationsàcesujetdans
le chapitre modernesestperformante,carellepousselesattaquantsàutiliserdenombreusesressourcespour
sur la sécurité mobile. s’approcherdeleurscibles.N’oublionspasquelestéléphonesmobilescontribuentlargementau
chiared’aaairesdesfabricants,etqu’ilestdansleurintérêtdeprotégercesplateformes.Delamême
manière,votreentrepriseatoutintérêtàgérercorrectementlesappareilsmobilesenappliquantde
bonnespratiques,carcesappareilsfontpartieintégrantedenotrevieprofessionnelle.
Enfindecompte,lasimplificationdessystèmesetlaréductiondelasurfaced’attaqueconstituent
unestratégieàlongtermeetpermettentdes’attaqueràlaracinedesproblèmesdecybersécurité
majeurs,puisqu’unattaquantnepeutpasexploiterquelquechosequin’existepas.Àmoyen
terme,attachez-vousàcomprendrevotreenvironnementetàgarantirsacapacitéd’adaptationaux
exigencesdel’activité,toutengérantlesrisquesassociés.Vouspouvezparexempleconveniravec
lesfournisseursd’uneapprocheconvenabledegestiondesincidentsetdefeedbacklorsdela
publicationdevulnérabilitésmajeures.Laluttecontinuejouraprèsjour,c’estpourquoivousdevez
adopterunegestionjudicieusedesvulnérabilitésassociéeàdesméthodologiesrigoureusesde
surveillanceetdedétectionpouridentifieretisolerlesmenaces.Uneréponsesolideetorganiséeest
nécessairelorsquedesmenacessontdétectéesauseindevotreinfrastructure.Gardezunelongueur
d’avanceenadoptantuneapprocheaxéesurlerenseignement.

62 Security Navigator 2023 Avisdenosexperts:France 63
interne. L’entreprise aura besoin de ressources humaines

L’environnement interne
Patcher là où ça fait mal Le contexte des clients représentera l’environnement interne.
comme leur surface d’attaque. La surface d’attaque représente

etfinancièrespourtrouveretgérercetteinformation.
Une alternative est d’externaliser cette activité à des
Lesréseauxdesentreprisess’étendentetsediversifienttout professionnels qui surveilleront le paysage de la menace à
sa place. Connaître les vulnérabilités qui sont activement
Unegestiondesvulnérabilitésebcaceen3 2 0 touslescomposantsdusystèmed'informationquipeuvent
être atteints par les pirates. Avoir une vue claire et actualisée
exploitées est indispensable car elles représentent le risque
le plus élevé pour une entreprise. Ces vulnérabilités activement
sursonsystèmed'informationetsursasurfaced'attaqueest exploitées peuvent être suivies en combinant des capacités
la toute première étape. Il est également important de tenir de renseignement sur la menace et de la donnée sur les
Unebonnegestiondesvulnérabilitésnesignifiepasêtresubsammentrapidepourcorrigertoutesles compteducontextedesentreprises,eneaetellespeuventêtre vulnérabilités. Pour obtenir les meilleurs résultats il est
potentiellesbrèches.Ils’agitplutôtdeseconcentrersurlerisqueréelenpriorisantlesvulnérabilitésafinde pluscibléesselonleursecteurd'activitépropriété
( intellectuelle,encore mieux de multiplier les sources de renseignement
corrigerlesfailleslesplussignificativesetainsiréduireaumaximumlasurfaced’attaquedel’entreprise. secretdéfense…). surlamenaceetdelescorréler.Comprendrel'activité
Les données de l’entreprise et la connaissance de la menace doivent être corrélées et automatisées. del'attaquantestégalementprécieuxcarcelaaideàanticiper.
Le dernier élément clé à prendre en compte est le contexte
C’est essentiel pour permettre aux équipes internes de se concentrer sur la remédiation. Ces technologies Parexemple:êtreinforméd'unenouvellevulnérabilitézeroday
propreàchaqueentreprise,individuellement.L'objectifest
peuvent prendre la forme d’une plateforme centrale de renseignement sur les vulnérabilités. Une telle oud'unnouveauransomwarepeutaideràseprotégeràtemps
de classer les actifs en fonction de leur criticité et de mettre
plateforme permet de prioriser les vulnérabilités en utilisant un score de risque et de laisser les entreprises pour éviter de subir une attaque.
enévidencelesplusimportants,parexemple:lesactifs
se concentrer sur le risque organisationnel réel. qui entraîneraient un impact important sur la continuité des
Mélanie Pilpré, Product Manager, Orange Cyberdefense activités s’ils étaient indisponibles ou les actifs fortement
Combiner et comprendre les deux environnements aidera à
confidentielsquiconduiraientàdemultiplespoursuites
définirlerisqueorganisationnelréeld’uneentreprise.Làoù
judiciaires si une personne mal intentionnée y accédait.
l’attention doit se focaliser pour se protéger de la manière
laplusebcace.
Pour bien démarrer Sur la base de ces faits, nous comprenons qu’il est inutile L’environnement externe Nulbesoind'appliquerdescentainesdecorrectifsmaisplutôt
d’essayer de patcher chaque vulnérabilité et que nous devrions unedizaine,sélectionnés,quiréduirontconsidérablement
Trois faits à garder à l’esprit avant d’établir un programme plutôt nous concentrer sur le risque réel basé sur le paysage Le paysage de la menace représentera l’environnement
externe. Cette donnée n’est pas accessible depuis le réseau lasurfaced'attaquedel'entreprise.
degestiondesvulnérabilités: de la menace et l’environnement des entreprises.
1. Le nombre de vulnérabilités découvertes augmente

chaque année. En moyenne, 50 nouvelles vulnérabilités Le concept de la gestion
sont découvertes chaque jour, nous comprenons donc
aisément qu’il est impossible de toutes les patcher.
des vulnérabilités basée sur le risque Patcher mieux, pas davantage !
L'objectifestdeseconcentrersurlesactifslespluscritiqueset
Il existe cinq étapes clés pour mettre en œuvre un programme de gestion des vulnérabilités basée
2. Seules certaines vulnérabilités sont activement exploitées lesactifsprésentantunrisqueplusélevéd'êtreciblésparles
sur le risque :
et représentent un risque très élevé pour toutes les acteurs de la menace. Pour aborder un programme de gestion
entreprises. « Environ 6 % des vulnérabilités sont des vulnérabilités basée sur le risque, nous devons considérer
exploitéesdanslanature »[43]:nousdevonsréduireles deux environnements, qui sont décrits dans le graphique ci-
fausses alertes et nous concentrer sur le vrai risque. dessous.
IdentificationIdentifiez
: tousvosactifspourdécouvrirvotresurfaced'attaque:unscandedécouvertepeutaider
3. Une même vulnérabilité peut avoir un impact tout à fait
àavoirunpremieraperçu.Lancezensuitedesscansrégulierssurvosréseauxinternesetenvironnementsexternes
diaérentsurl'activitéetsurl'infrastructuredesociétés2
distinctes,sibienquel'expositiondel’entrepriseetla
Inte etpartagezlesrésultatsavecuneplateformecentralederenseignementsurlesvulnérabilités.
r
criticité de la vulnérabilité doivent être considérées en
même temps.
Contextualisation : Configurezvotrecontextemétierainsiquelacriticitédevosactifsdans
nae
la plateforme centrale de renseignement sur les vulnérabilités. Les résultats des scans seront
l
ensuitecontextualisésavecunscorederisquespécifiqueparactif.
ue
c e d’attaq
Surfa
actifs
Enrichissement : Lesrésultatsdesscansdoiventêtreenrichisàl'aidedesourcessupplémentairesfournies
des
nnael ité parlaplateformecentralederenseignementsurlesvulnérabilités,commelaconnaissancedelamenaceetl'activité
Critic
t
teer
r repris
e des attaquants qui aideront à prioriser en tenant compte de paysage de la menace.
EExx l’ent
xte de
Conte
e or R
ssanc ga Remédiation :Priorisezfacilementvosactionsderemédiationgrâceauscorederisquedonnéparvulnérabilité
ai i
Con n ni squ quipeutêtremisencorrespondanceaveclaconnaissancedelamenaceparlebiaisdefiltrestelsque« vulnérabilité
m enace s e facilementexploitable
»,« vulnérabilitéexploitéedanslanature
»ou« vulnérabilitélargementexploitée
»parexemple.
de la ré atio
el nn
orrélation el
C
urces
de so es
Évaluation : Surveillezetmesurezlesprogrèsdevotreprogrammedegestiondesvulnérabilitésenutilisant
desKPIetdestableauxdebordetrapportspersonnalisés,c'estunprocessusd'améliorationcontinue!
l
multip quant
s
s at ta
ctivités de
A

64 Security Navigator 2023 Techinsight:unehistoiredevulnérabilités65
Charl van der Walt

Orange Cyberdefense
L’historique des vulnérabilités

L’évolution
du maillon faible
Dans nos précédents Security Navigator, et dans d’autres sections de
ce rapport, nous nous sommes concentrés sur les actions de l’attaquant.
Nous devons absolument rester réalistes. Dans notre CyberSOC,
par exemple, les données nous permettent d’examiner ce que nous
détectons sur les réseaux de nos clients. Les données de cyber-
extorsion nous permettent d’étudier les victimes de ransomwares
qui ont refusé de payer immédiatement.
Dans ce Navigator, nous adoptons pour la première fois une toute
nouvelleperspective:celledesvulnérabilités.Ellenouspermetd’aborder
leproblèmeavecunpointdevuediaérent.Plutôtqued’observer
la menace ou l’impact des failles de sécurité, nous allons analyser
l’une des causes principales, à savoir les systèmes informatiques
nonpatchés,malprogrammésoumalconfigurés.Danslaquasi-totalité
des attaques, quels que soient l’origine ou le résultat, il existe une forme
de vulnérabilité informatique.

Actifs distincts analysés en fonction

Connaître ses faiblesses Envoiciquelques-uns: du secteur
▪ Qualys
Cetteannée,afindemieuxcomprendrel’étendueetlanature Scan de
des vulnérabilités auxquelles sont confrontés nos clients, ▪ Qualys Web Application Scanner
vulnérabilités
▪
4%2
nous mobilisons pour la toute première fois deux nouveaux Nessus 30% Industrie Manufacturière
ensemblesdedonnées: ▪ Nexpose
▪ Netsparker 3 24% Construction
1. Analysesdesvulnérabilités:notreserviceVSOCréalise 20% Finance et Assurance
▪
0%
18%
desanalysesquasi)
( continuesdesactifsdesclientspour Outils d’analyse personnalisés
identifierlesvulnérabilitésconnuesquin’ontpasencore Chaque découverte se voit attribuer un nom et un numéro 18% Services professionnels
été patchées ou atténuées. uniques,quinouspermettentdelesdiaérencier.Unrésultat 4% Mines, Carrières, Pétrole et Gaz
inclut également un Numéro de port, une Notation de risque 2% Hébergement et Alimentation
2. Testsd’intrusion:pouravoirunevisionplusréalistede
Informationnel
( àCritique)un
, scoreCVSS) 0 1 -0 ( [44]
, une
la résistance de leurs systèmes informatiques face à une 0.6% Services Éducatifs
référence CVE, le cas échéant, et d’autres informations
attaque ciblée par un hacker chevronné, les clients font
pertinentes. 0.4% Transport et Stockage
appel à notre équipe de plus de 200 hackers éthiques
qui procèdent à la simulation contrôlée d’une attaque Un Actif unique est la combinaison d’un Client, d’un Nom, d’une 0.3% Information
par un adversaire réel. AdresseIPetd’unTyped’actifpar ( ex.applicationhôteouWeb).
0.1% Santé et Assistance Sociale
Les plus geeks d’entre vous auront peut-être remarqué qu’avec
%
20
C’est la première année que nous examinons les données de 0.0% Vente au detail & Commerce
cesdeuxensemblesdedéfinitions,unemêmeVulnérabilitépeut
ces deux services, ces ensembles ne sont donc pas parfaits.
%
24
êtresignaléesurlemêmeActif,maissurdiaérentsPorts.C’est 0.0% Arts, Divertissement et Loisirs
Néanmoins, les deux ensembles de données contiennent de
précieux renseignements et, une fois associés, fournissent assezcourant,parexemple,aveclesserveursWebexécutés
des connaissances inestimables. Dans ce chapitre, nous sur le Port 80 et le Port 443. Considérant qu’il s’agit d’une
analyserons les données de ces deux services séparément, vision peu réaliste, nous avons choisi de compter un problème
puis ensemble, lorsque cela s’avère judicieux. identique signalé sur deux ports ou plus comme un seul et
même résultat.
Actifs distincts analysés en fonction
Données des scans de vulnérabilités Pourprendrecelaencompte,nousdéfinissonsun« résultat
unique »commelacombinaisondesélémentssuivants: du nombre de salariés du client
Notreservice«ManagedVulnerabilityIntelligence[Identify]
permetauxclientsd’identifier,dehiérarchiseretdecorriger
» ▪ Client
▪ Actif
les vulnérabilités de leurs plateformes internes et connectées à
Internet, de leurs applications Web et de leurs systèmes cloud. ▪ IP 1
Ils’agitd’unservicemanagé,grâceauquellesactifsidentifiés ▪
Type d’hôte 26
sont analysés par un ou plusieurs moteurs selon des critères ▪ Nom du résultat
%
prescrits, dans le but de recueillir des informations sur Sur cette base, notre étude contient 26% 1-100
les correctifs et les vulnérabilités. Les résultats sont examinés 2,079,031 résultats uniques.
par nos analystes spécialisés qui fournissent également 3% 101-500
des conseils sur les mesures correctives et d’autres services Puisque les données traitées dans notre rapport découlent 17% 501-1 000
d’assistance à nos clients. de la plateforme de reporting que nous utilisons pour notre
5% 1 001-5 000
47%
service managé d’analyse des vulnérabilités « Managed
Depuisfin9,1nos
02 équipesontprogressivementredirigénos
3
VulnerabilityIntelligence[Identify]
»,noustenonsàpréciser 1% 5 001-10 000
clients du monde entier vers une plateforme de reporting unique que nos analystes peuvent examiner les résultats signalés par
et centralisée. Maintenant que les données de la plateforme 47% 10 001-50 000
les moteurs d’analyse et les reclasser s’ils paraissent inexacts
sont plus conséquentes et matures, nous sommes en mesure ou inappropriés, voire collaborer avec le client pour envisager 1% 50 001-100 000
de les analyser. et réaliser un suivi des mesures correctives adaptées.
7%
Dans le cadre de ce rapport, nous avons sélectionné 41 clients
dont les services et les ensembles de données peuvent être
Nous constatons que certains résultats ne sont pas pertinents
etlesexcluonsdenotreanalyse,notammentles«fauxpositifs »
1
considérés comme comparables et cohérents. Des analyses
ontétémenéeschezcesclientsdemanièreentreoctobre
etles« Doublons».Ladiaérenciationentrelesvulnérabilités
« Actives »et« Potentielles»dansdesanalysesspécifiques
1 5%
2019 et octobre 2022, pour un total de 6 877 signalements nous paraît également judicieuse.
devulnérabilitésdiaérentessur908 3« actifs »uniques.
Curieusement, seulement 1% des résultats de cet
Nous précisons que le nombre de clients et le nombre d’actifs ensemble de données correspondent à des « faux positifs ».
de cet ensemble de données ont évolué sur la période donnée.
Cela s’explique par les entrées et sorties de clients et d’actifs Encombinantlesdéfinitionsetprincipessusmentionnés,nous
delaplateformeaufildutemps. définissonsunindicateurfinal:lerésultatuniqueparactif.
Pour une comparaison simple et normalisée des résultats Puisque toutes les vulnérabilités ne présentent pas le même niveau de criticité, un score de criticité allant de
Les analyses des vulnérabilités sont réalisées automatiquement entre les éléments temps, secteur, outil d’analyse, etc., « Informationnel»à« Critique »estattribuéauxrésultats.
ou semi automatiquement par divers moteurs d’analyse, qui nous prenons le nombre de résultats uniques, divisé par
peuvent varier d’un client à l’autre. lesactifsuniques,afind’obtenirunrésultatparactifsimple, Nous notons qu’une grande quantité de tous les résultats sont étiquetés “Informationels”, et
quipermetdescomparaisonsnormaliséessurdiaérents fournissent donc des renseignements sur la cible ou le processus d’analyse, mais pas sur les
segments de nos données. vulnérabilités de la cible.
Une grande partie de notre analyse exclura donc cette partie des résultats.

Données des tests d’intrusion etleurdegrédecriticité,parex.voire

,) mêmed’extrairedes Actifs distincts analysés en fonction
éléments clés comme les références CVE, les technologies
Lors d’un test d’intrusion, le client fait appel à une équipe de impliquées, etc.
du secteur
hackerséthiquescompétentsethautementqualifiéspour
Nous avons recueilli, anonymisé et enrichi 1 424 rapports Test
simulerlesactivitésd’unvéritableattaquantafind’évaluerle
de tests d’intrusion entre janvier 2018 et octobre 2022.
22 d’intrusion
32
degrédesécuritéd’unsystème,d’identifierlesvulnérabilitéset 38% Finance et Assurance
de lister les possibilités d’amélioration de la posture de sécurité.
Bienévidemment,cet« algorithme »n’estquepartiellement
Tout comme l’analyse des vulnérabilités, cet exercice implique
capable de saisir le véritable message des hackers éthiques au 4 16% Services Professionnels
client, et il s’agit uniquement d’une fraction des projets menés 10% Administration Publique
d’identifieretdesignalerlesvulnérabilitésdessystèmesciblés
4
par nos équipes sur cette période, mais nous avons choisi de
àdesfinssimilaires.Leprocessusestnéanmoinsradicalement 7% Autres services
38%
sélectionner un sous-ensemble de rapports avec des attributs
diaérent.Lepentesterchercheégalementàidentifierles
6% 4
similaires tels que la langue, le style, les catégories, etc. pour 6% Vente au detail & Commerce
vulnérabilitésconnuesnotamment
( cellescomportantdes
obtenir une analyse pertinente. Nous prévoyons d’élargir la 4% Information
référencesCVE)puis
, àexploitercesvulnérabilitéspouraccéder
portée dans les prochaines versions du Security Navigator.
àunsystèmecible,identifierlesressourcesintéressantes 4% Arts, Divertissement et Loisirs
à compromettre ou changer de cap pour attaquer d’autres Unéchantillonassezreprésentatifdessecteursestproposé
systèmes situés dans un rayon atteignable. Les tests d’intrusion dans cet ensemble de données, même si l’on constate une forte 4% Industrie Manufacturière
7%
sont généralement très ciblés, exécutés selon une série de présence des secteurs hautement réglementés ou davantage 3% Santé et Assistance Sociale
contraintes convenues avec le client, qui incluent les cibles sensibilisés à la sécurité, pour une raison ou une autre.
concernées, le temps disponible, l’emplacement et les privilèges
2% Administratif et Aide
La Finance et l’Assurance dominent cet ensemble de données,
del’attaquant,etparfoisdesbutsou«objectifs »spécifiques
mais on peut remarquer que d’autres secteurs d’activité 0% 2% Transport et Stockage
1
que le pentester doit chercher à atteindre. Chaque test est
font de plus en plus appel à nous pour des tests. Le secteur 2% Mines, Carrières, Pétrole et Gaz
eaectuéparunouplusieurshackerséthiquesspécialisés,qui
rédigent ensuite manuellement un rapport sur les activités
réalisées, les résultats obtenus, ce qu’ils impliquent et les
« Professionnel,scientifiqueettechnique »aprogressivement
gagné en représentation, tout comme les secteurs 16%
« Information »et« Administrationspubliques ».Levolumede
mesures à prendre pour améliorer la posture de sécurité.
testsdesautressecteursvarieaufildutemps.
Les« résultats»d’unrapportdetestd’intrusionneconstituent
Étant donné que les clients et le nombre de tests réalisés varient
qu’une petite partie de la mission, mais ils contiennent
des éléments similaires aux résultats d’une analyse des
énormément d’un secteur à l’autre, nous prenons en compte Actifs distincts analysés en fonction
vulnérabilités et peuvent être analysés de façon similaire, voire
le nombre de clients ou de projets, mais également le temps du nombre de salariés du client
passésurlesprojets.Eneaet,nousconsidéronsletempspassé
même comparés dans une certaine mesure.
comme une base de référence pour réaliser des comparaisons
Notre équipe mondiale spécialisée dans les tests d’intrusion normalisées sur l’ensemble de données.
regroupe plus de 200 hackers éthiques répartis dans 10 pays.
Sur la période, 54 % des clients de cet ensemble de
1
Étant donné que les rapports sont des outils à forte valeur données ont fait appel à nous pour un seul test, 40 % 26
ajoutée, rédigés manuellement par le pentester et personnalisés ont fait appel à nous entre 2 et 10 fois et 6 % ont fait
%
enfonctiondesexigencesspécifiquesduclient,ilsneseprêtentappel à nous plus de 10 fois.
pasvraimentàuneanalysequantitative.Auxfinsdecetteétude, 26% 1-100
nous avons donc élaboré une fonctionnalité de machine learning 3% 101-500
basique,capablede« déchiarer »cesrapportslisiblesparun
êtrehumain,dequantifierlesélémentsspécifiquesles ( résultats 17% 501-1 000
5% 1 001-5 000
47%
3
1% 5 001-10 000
Les types de tests les plus courants
47% 10 001-50 000
dans ce sous-ensemble de projets sont les suivants :
1% 50 001-100 000
7%
Type de test Part des tests Type
WebApp 30% Une attaque sur une application Web personnalisée 1

External 25%
Une attaque sur les systèmes connectés à Internet 1 5%
depuis Internet
Une attaque sur les systèmes internes en provenance
Internal 15%
du réseau interne ou de l’intérieur du périmètre de sécurité
Application Security 11,5% Une attaque sur une application autonome
Mobile 7% Une attaque sur une application mobile Étant donné que les clients et le nombre de tests réalisés varient énormément, notre analyse prend
en compte le nombre de clients ou de projets, mais également le temps passé sur les projets. Nous
Une attaque ciblée pour laquelle le pentester a un objectif considérons ainsi le temps passé comme une base de référence pour réaliser des comparaisons
Red Team 2,8%
spécifiqueetdescontraintestrèslimitées normalisées sur l’ensemble de données. Pour ce faire, nous ajoutons le score CVSS attribué à
chaquerésultatd’untestetnousledivisonsparlenombredejourspasséssurcetestafind’obtenir
API 2,5 Une attaque contre une API Web unindicateur« scoreCVSSparjour »normalisé,quenouspouvonsutiliserpourcomparerdiaérents
segments de l’ensemble de données.

Scan de Test
vulnérabilités d’intrusion
Résultats des scans de vulnérabilités Real findings per asset over time
Afind’étudierconcrètementlesvolumesderésultats,nous
Number of vulnerabilities recorded by VOC scanning
7.00
Vulnérabilités découvertes par jour
Score CVSS des problèmes trouvés par jour de projet dans nos tests d’intrusion CVSS/jour
examinonslarépartitiondes Résultats
« uniques »,telsque 6.31
définisci-dessus,surdiverssegmentsdenotreensemble
de données. 6.00
6.06
2018 2019 2020 2021 2022
Legraphiquededroiteillustrelenombrederésultats réels
«» 5.5
à( l’exclusiondesfauxpositifsetinformationnelsque ) nous 5.0
5.00
rapportons par actif unique. En ignorant les découvertes
4.5
« informationnelles
»,lesfauxpositifsetlesdoublons,nous
Moyenne des résultats

rapportons une moyenne de 16 résultats par actif. 4.0
4.00
3.5
Larépartitionentrelesdegrésdegravitéabchéedans
le graphique est largement intuitive, bien qu’il soit quelque 3.0
peu surprenant que la majorité des découvertes soient 3.00 2.5

classéescommeétantdegravité« moyenne»ou« élevée ». 2.0
Il semblerait que le nombre de résultats augmente 1.5

2.00 1.82
à un rythme similaire, voire supérieur, à celui 1.72 1.0
du nombre d’actifs.
0.5
Ces données présentent néanmoins des variations 1.00 0
trop fortes sur un laps de temps trop réduit pour que Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3
nous puissions tirer des conclusions solides à ce sujet.
0.00 Cependant, nous ne faisons pas preuve d’un excès
Critique Haute Moyenne Faible Résultats des tests d’intrusion d’optimismeenabrmantquenospentesters,sansdouteparmi
Pour les nouveaux clients, entre début 2018 et août 2022, les meilleurs au monde, doivent travailler un peu plus dur pour
nous avons constaté une diminution de 55 % du volume et signaler des problèmes graves à leurs clients.
delacriticitécombinés)
( signalésparnostesteurspourchaque
Ils doivent également travailler plus dur pour signaler les
jourdetravaileaectué.
résultats« graves »score
( ÉlevéouCritique)qui
, indiqueraient
Autrement dit, si l’on considère notre ensemble de données l’identificationd’importantesfaiblessesdesécuritéparnotre
de tests complet, en 2022, nos pentesters doivent travailler équipe de pentest.
8 heures et 47 minutes pour obtenir des résultats identiques
En moyenne, sur les 4 dernières années, nos hackers
à ceux obtenus en seulement 8 heures en 2018, soit une
éthiquesqualifiésontsignaléunproblèmegraveconfirmé
augmentation de 10 % de la quantité de travail fournie.
(résultat Élevé ou Critique) tous les 7,7 jours de tests.
De nombreuses variables, souvent invisibles dans ces données, Le temps moyen passé sur tous les tests est de 9 jours.
influencentlerésultatquenousprésentonsci-dessus.
Les résultats critiques et non critiques Résultats avérés

Résultats non avérés
Pourcentage
Proportion des résultats des tests d’intrusion dans les différentes criticités de résultats avérés
50
2018 71%
2019 2020 2021 2022 70%
64% 62% 62%

60%
57% 57% 57%
56%
40 53%
50%
48% 47%
44%
Nombre de résultats
30 40%
38%
33% 33% 34% 33%

31% 30%
20
20%
10
10%
0 0%
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2

Scan de Test
L’ancienneté maximale des résultats représentée dans la vue CVSS[44] par jour et le nombre total de jours de tests pour
Comparaison sectorielle : analyse ci-dessous nous indique surtout depuis combien de temps
Comparaison sectorielle : chaquesecteur:Pluslenombredetestsestimportantdansun
du VSOC les clients de ce secteur sont présents dans notre ensemble test d’intrusion secteur,moinsnousidentifionsderésultats.
de données, tandis que l’ancienneté moyenne est un bon
Danslesfiguresci-dessous,nousexaminonslenombre La répartition des secteurs représentés dans notre ensemble Celasevérifiepourlessecteursquisedémarquentdans
indicateur de la capacité des clients à traiter les problèmes
derésultatsparactifdanslesdiaérentssecteursettailles de données tests d’intrusion est satisfaisante, mais les types cetensemblededonnées:Immobilier,Santé,Mines,
signalés. Les secteurs ayant les résultats les plus anciens et
d’entreprises représentés dans notre ensemble de données. et les durées des tests varient considérablement. Un certain Administration et Vente au détail. Dans les secteurs qui font
des moyennes basses sont les plus performants, alors que
Pour cette comparaison, nous nous limitons à l’examen des nombre de variables sont également invisibles dans cet régulièrement appel à nous pour des pentests, notamment
ceux ayant les résultats les plus anciens et des moyennes
« hôtes »par
( oppositionauxactifsWeb)etàl’utilisationdes ensemble de données. Pour les compenser dans une certaine la Finance et l’Assurance, nous avons tendance à enregistrer
élevéessontde« mauvaisélèves ».Lessecteursdontles
outils d’analyse de réseau standard que sont Qualys et Nessus. mesure, nous limitons notre comparaison aux clients pour moins de résultats.
résultats sont très récents ont probablement intégré l’ensemble
Cela nous permet de réaliser une comparaison plus objective lesquels nous avons réalisé les trois formes de tests les plus
de données depuis peu. Il serait donc peut-être judicieux de ne Les niveaux relatifs des résultats des tests d’intrusion dans les
de tous les secteurs de notre ensemble de données. courantes:Interne,ExterneetWebApp.
pas les inclure dans les comparaisons de cet indicateur. secteurs nous informent donc sur le niveau de sécurité de ces
Les secteurs sous-représentés en termes de nombre d’actifs Étantdonnéleniveaudevariation,ilestdibciledetirer secteurs,maiscelaselimiteauxsecteursplus« matures»qui
Quelle que soit la méthode de comparaison de ces secteurs,
peuvent être ignorés dans le cadre de cette comparaison. Dans des conclusions sur la posture relative à la gestion des réalisent des tests plus fréquents et sont susceptibles d’être
l’ancienneté du résultat est un indicateur majeur.
lesplus
4 grandssecteurs,oùnousavonsplusdeactifs
04 vulnérabilitésdanslesdiaérentssecteurs.Néanmoins,on plus performants en matière de gestion des vulnérabilités.
à examiner à chaque fois, la variation des volumes de résultats constate une corrélation inverse évidente entre le score
est considérable.
Résultats par actif par industrie Score CVSS par jour et par industrie
Résultats par actif Score de vulnérabilité trouvé par jour par tests d’intrusion pour chaque secteur dans notre ensemble de données.
Vulnérabilités trouvées par actif pour chaque secteur dans notre ensemble de données Nombre d'actifs CVSS par jour Nombre total de jours de test
12,000 40.0
25 4,000
35.0
10,000
3,500
20
30.0
3,000
8,000
25.0
2,500
15
6,000 20.0
2,000
15.0
4,000 10
1,500
10.0
1,000
2,000
5.0 5
500
0 0.0
n
re
ra es
ga n
es ,
e
en
nc
al
irs
io
io
qu ls
ag
de ctio
riè
n
0 0
ni ne
ci
au ic
ct
at
m
z
is
ra
tio
ck
tu
So
st erv
ru
rm
ne
Lo
ch n
et ra
su
ac
Te sio
to
st
ig
le xt
fo
irs
ce
re
es
ue
s
Re t S
As
ce
ai
ra es
he tifs
pr tés
iq s
ue ,
as on
et
en
tS
uf
on
ic
al
ag
tio
io
iq els
se
tro t E
et fes
bl ice
In
riè
ét
in
is
an
iq
an
de nt e
ie dm on
..
es
g
an
bl
ci
au ic
at
s
Le ati
ue
et
s
C
te
éc tra
tre cié
ck
En
uc
ts
in
Lo
hn n
d
le
pé es e
bl
tu
es ro
So
st erv
pu rv
Pu
r
st
rm
is
ne
M
ti
et oc
u
e
ac
or
de
to
Pu
r
d'
e
t D is
ac
qu P
n se
En o
Te sio
si
nc
ss
st
et
em
ig
rie
fo
Re t S
d' e S
n
sp
ce
es
ct
tS
de rièr
As
ifi es
es
uf
on
tA
i
na
ce
se
n
tio s
et fes
In
s
pe
st
r,
an
ic
rg
an
de nt e
ra re
nt ic
an
tio
le
te
ic
ilie
ar
et n d
et
c
C
Fi
er
du
En
rv
ie erv
e
,S
es ro
rv
ac
st Aut
Tr
st
ut A
C
tra
or
éb
m
é
ob
Se
In
d'
Se
tio
qu P
si
nt
ts
ct
nc
So ices
,
Sc S
sp
om
m
rie
es
H
is
As
m
ifi es
Ar
Sa
pe
es
es
na
ge
in
an
in
st
Im
C
nt ic
de rv
ic
m
,S
et
M
Fi
er
du
Tr
ie rv
in
et Se
rv
Ad
éb
é
ts
dm
e
In
Se
nt
Sc S
Ar
Ancienneté moyenne des résultats
Sa
fa
au
(s
par industrie Moyennes du secteur pour les indicateurs clés
Nombre maximum Comparaison des tests d’intrusions et de l'analyse VSOC pour les différents secteurs
Le nombre maximum/moyen de jours pendant lequel une vulnérabilité a été présente sur l'actif Nombre moyen Résultats/actifs du VSOC Temps de mise en place d’un correctif par le VSOC Test d’intrusion CVSS/jour Moyenne
1,200 16
14
1,000
12
800
10
600 8
491.45 472.8
400 368.18 6
215.5 232.56 248.65

208.42 4
200 128.24 101.83
66.5 61.83 2
0
0
n
ce
le
re
e
tio s
ga n
es ,
en
ag
rs
io
io
qu ls
a
ra ce
de ctio
riè
es
irs
re
ue
il
e
an
ni ne
ci
ra es
he tifs
pr tés
iq s
qu s,
ct
at
en
si
m
n
ta
nc
al
ag
io
io
in
ck
bl ice
au vi
riè
u
in
So
is
ni el
oi
iq
r
ru
..
es
es
ne
ci
dé
ch n
au ic
ct
at
as
em
et ra
su
ct
ue
st er
éc ra
ra
tre cié
to
ck
M
tio
ts
Lo
ch nn
L
Te sio
bl
tu
r
st
So
st erv
pu rv
ru
rm
is
ig
fa
le xt
fo
Re et S
Le
As
ce
st
su
S
et
de
to
Pu
n
ac
on
n se
En o
Te io
se
tro t E
st
et fes
In
et
et ini
ig
fo
et
Re t S
d' e S
an
As
ce
tS
an
s
es
et
uf
on
C
et
En
ce
se
on
tio es
et s
In
pé es e
ie dm
s
de nt
es ro
rt
st
an
de nt e
M
e
D
an
cl
le
te
et n d
ce
et
C
po
er
En
d'
e
tra tr
f
qu P
i
si
a
es ro
t
ac
st
tio
ut A
em
tra
is u
or
an
m
ct
de rièr
As
e
ifi es
s
es
d'
tri
tio
in A
qu P
si
ct
nc
So es
an
ca
n
sp
pe
om
m
rie
is
n
rg
us
nt ic
As
ic
ifi s
ar
pe
et
es
Fi
na
ge
in
Tr
nt ce
Lo
an
ie rv
e
,S
st
rv
i
d
C
de rv
éb
ic
m
é
,S
et
e
In
Fi
er
du
Se
ie rvi
Tr
nt
ts
et Se
s,
rv
Sc S
r,
Ad
H
éb
é
ts
ilie
dm
Ar
Sa
Sc Se
In
e
Se
nt
in
Ar
H
ob
Sa
M
fa
m
au
Im
(s
Dansnosservicesd’analyse VSOC
« »,lescoreCVSSattribué
Notation des vulnérabilités
LeCommonVulnerabilityScoringSystemCVSS) ( estuncadre
à un résultat est généralement codé dans la base de données
de vulnérabilités utilisée par l’outil d’analyse et donc attribué
Scores CVSS
public de notation de la criticité des vulnérabilités de sécurité automatiquement au résultat. Distribution des scores CVSS à travers les résultats des analyses et des tests d’intrusion VSOC VSOC Pentesting
des logiciels. Il est neutre vis-à-vis des fournisseurs et des 30%

Dans nos services de tests d’intrusion, cependant, le score est
applications, ce qui permet aux organisations de noter leurs
délibérément sélectionné et attribué par un analyste compétent
vulnérabilités informatiques sur un large éventail de produits
et expérimenté. On peut s’attendre à ce que le score CVSS 25%
logiciels, des systèmes d’exploitation et bases de données
attribué varie en fonction du type de cible et du point de départ
aux applications Web, en utilisant un cadre commun.
de l’attaquant, et c’est le cas.
20%
Le score CVSS va de 0,0 à 10,0 le score le plus critique.
Il est également intéressant de comparer la répartition des
Comme la plupart des fournisseurs, nous appliquons le CVSS scoresCVSSattribuésdanslesdeuxensemblesdedonnées:
15%
ànosservicesafindenormaliserl’attributiondesscores analysedesvulnérabilitésettestsd’intrusion.Poursimplifier
de criticité aux vulnérabilités. cette comparaison, nous utilisons un score CVSS arrondi.
10%
5%
0%
0 1 2 3 4 5 6 7 8 9 10
Enparcourantcesdeuxfigures,onconstatequeles 1. Dans nos tests d’intrusion, la majorité des résultats
Indice de sévérité des résultats scores CVSS attribués aux résultats de ces deux services
sont très similaires au centre, mais varient énormément à
2.
obtientunscoreCVSSdeou 4 Moyen)
(5 .
Nous n’avons presque aucun résultat avec un score

Comparaison de la sévérité des résultats du scan du VSOC et des tests d’intrusion (excluant les informations) chaqueextrémité.Curieusement,onremarqueque:
▪ Les scores CVSS les plus attribués sur les deux CVSS de 2 sur l’ensemble des tests.
servicesvontdeà3 en
4 moyenneFaible/
( Moyen).
3. Pourlestests« Internes »,danslesquelslepentester
0% 10.5% 3.5 ▪ Presque aucun résultat ne comporte un score inférieur
12.
part de l’intérieur du périmètre de sécurité, la majorité
18 à 3. Nous observons davantage de résultats notés 0 desrésultatssontnotésÉlevé)
(8 etlesrésultats
dans nos données de tests d’intrusion, mais cela vient avecunscoreCVSSdeCritique)
(01 sontplus
% 24
.8%
probablement du fait que ces résultats sont supprimés nombreuxqueceuxavecunscoredeNul) (0 .

des données d’analyse lorsque nous excluons les
résultats« Informationnels
». 4. Pourlestests« Externes»,danslesquelslepentester
▪ En proportion, nous constatons davantage de résultats part de l’extérieur du périmètre de sécurité, le nombre
Élevés et Critiques dans nos données d’analyse que de résultats obtenant un score CVSS supérieur à
.8%
0%
dans nos données de tests d’intrusion. Près de 12 % 5 chute brutalement. Toutefois, plus de 20 % des
des résultats d’analyse se voient attribuer un score résultats de ce service se voient attribuer un score
41.
5 0.
CVSSdeou
7 plusÉlevé
( etCritique).
27.
de 10, contre 2,2 % pour les résultats des tests

35
d’intrusion.
7%
7%
5. Pourlestests« Applicationmobile »,des

% 63
Intuitivement, nous nous attendions à constater une part résultatsobtiennentunscoreCVSSdeMoyen) (4 .
plus importante de scores CVSS élevés pour notre service Pourtant, plus de 10 % des résultats signalés
de tests d’intrusion, mais tout compte fait, ce résultat obtiennentunscoreCVSSdeou 7 plusÉlevé
( et
paraît logique puisque le périmètre des tests d’intrusion Critique).
Critique Haute Moyenne Faible Critique Haute Moyenne Faible estgénéralementmieuxdéfinietlesanalystessemontrent
plus judicieux dans l’attribution des scores. 6. Lestests« RedTeam »oarentauxhackerséthiques
Sévérité : Scan du VSOC Sévérité : Tests d’intrusion Pour faire simple, nous estimons que les résultats une plus grande marge de manœuvre pour atteindre
unobjectifspécifique.Prèsdedes
% 03 résultats
destestsd’intrusionreflètentplusclairementl’état
46 % des vulnérabilités confirmées signalées sur 22 % des vulnérabilités confirmées signalées sur de vulnérabilité des systèmes que nous évaluons. obtiennentunscoreCVSSdeÉlevé)
(8 Sans
. surprise,
les actifs des clients seraient considérées comme les actifs des clients seraient considérées comme 18 % des résultats des évaluations Red Team
obtiennent un score élevé de 9 ou 10.
critiques ou à haute gravité. critiques ou à haute gravité.

Scan de Test
Average CVSS for returning
How does the score change when multiole assessments are condu
L’ancienneté moyenne des résultats de notre ensemble de
Ancienneté des résultats du VSOC 160 5.3
Les analyses des vulnérabilités sont réalisées sur une base
donnéesestautantinfluencéeparlesmodificationsdenotre Évolution du score lors de 5.21
ensemble de clients et d’actifs que par des facteurs externes,
régulière,cequinouspermetd’examinerlesdiaérencesentre comme nous pouvons le constater avec ce haut degré de la réalisation de plusieurs 140
5.2
la date d’analyse d’un actif et le signalement d’un résultat donné variation. Pourtant, on observe une nette augmentation de évaluations 5.1
pourcetactif.Cettepériodecorrespondàl’ancienneté« » 241 % de l’ancienneté moyenne des résultats, qui passe de 63 120
du résultat. Si les résultats signalés ne sont pas traités, ils à 215 jours sur la période de 24 mois d’intégration des clients Puisque les tests d’intrusion sont reproductibles comme 5.0
réapparaîtront dans les analyses ultérieures et gagneront en sur cette plateforme. les analyses des vulnérabilités, nous ne pouvons pas 4.91
100
ancienneté. Nous pouvons ainsi suivre l’évolution de l’ancienneté faire un suivi des indicateurs simples tels que le « délai 4.9
Enregroupantgrossièrementlesrésultatsconfirmésde d’applicationdespatchs ».Entantquemandataires,
desrésultatssignalésaufildutemps. 4.77
nos données d’analyse des vulnérabilités par « tranche cependant, nous pouvons prendre en compte les
80 4.8
Commel’illustreclairementlafigureci-dessous,laplupart d’âge », nous arrivons aux conclusions suivantes : diaérencesderésultatsentrelesclientsquieaectuentdes
▪ 4.66 4.7
des résultats réels de notre ensemble de données, tous Seuls 28 % des résultats sont traités en moins testsfréquentsetceuxquin’eaectuentqu’unseultest. 60
niveaux de criticité confondus, existent depuis 75 à 225 jours. de 30 jours ; 4.6
Onobserveunsecond« pic»autourdejours, 03 maisilpourrait
correspondre à l’ancienneté des données présentes dans ▪ 72 % des résultats sont patchés sous 30 jours ou plus ; et 40
4.5
l’ensemble de données. Nous choisissons donc de l’ignorer. ▪ 52 % des résultats sont patchés sous 90 jours ou plus ;
20
Enfin,onremarqueunrebondauxalentoursdejours, 01 qui ▪ 215 jours en moyenne. 4.4
représente selon nous la longue traîne de résultats de l’ensemble
0 4.3
de données qui ne seront tout simplement jamais traités. Seulement 1 Plus d’1 Plus de 2 Plus de 10
75 % des résultats du rebond observé à 1 000 jours

présentent un score moyen, tandis que 16 % présentent
Average CVSS by type of assessment Nombre de clients Moyenne CVSS
How does the score vary regarding the type of pentest?

un score élevé ou critique.
2,800 8
Score CVSS en fonction du type
2,600
Répartition de l’ancienneté de la découverte par sévérité 2,400
7 de test
Ancienneté des vulnérabilités trouvées par le scan du VSOC en nombre de jours Critique Élevée Moyenne Faible 2,200 ▪ Les évaluations Internes obtiennent le plus haut score
6 CVSS par jour travaillé, mais un score CVSS moyen
250000 2,000
par résultat inférieur aux évaluations Red Team et ATM
1,800 5 Automated
( TellerMachine).
200000
1,600 ▪ LesévaluationsATMAutomated
( TellerMachine)
1,400 4 obtiennent le plus haut score CVSS moyen par résultat,
1,200 mais seulement le 3e plus haut score CVSS par jour,
3 derrière les évaluations Interne et Cloud.
1,000
150000
800
▪ Les évaluations Cloud obtiennent le 3e plus haut score
2 CVSS par jour, mais avec un score CVSS moyen par
600 résultatdeMoyen)
(4 seulement.
▪
100000
400 1 Les évaluations WebApp et l’évaluation Externe obtiennent
200 un score CVSS moyen par résultat similaire, mais
0 0 l’évaluation WebApp obtient un score CVSS total par jour
50000 WebApp Externe Interne Application Mobile Red de test légèrement supérieur.
Security Team
Volume (jours consacrés au type d'évaluation) CVSS par jour
0
0 75 150 225 300 375 450 525 Age of findings by severity
600 675 750 825 900 975 1050 1125
Average and maximum age of vulnerabilities by severity
Ancienneté moyenne/maximale
1,200
1099 1106 1150 1150
Dates de publication des CVE Pentesting
Date de publication des vulnérabilités trouvées dans les scans du VSOC et dans nos tests d’intrusion VSOC scanning
des résultats en fonction 1,000 40%
de la criticité
35%
Lafigureci-dessussuggèrequemêmelesvulnérabilités 800
critiques nécessitent un délai de résolution de 6 mois en 30%
moyenne. Cela dit, ce délai est 36 % plus rapide que celui
des problèmes présentant une criticité Faible. 600
▪ 0.5% des CVE signalées
25% ont 20 ans ou plus
Un examen approfondi des délais de résolution moyens et 20% ▪ 13% des CVE signalées
maximumspourlesdiaérentsseuilsdecriticiténouspermet 400 ont 10 ans ou plus
d’aboutiràlafigureprésentéesurladroite. 292
184
264 15%
▪ 47% des CVE signalées
Si nous pouvons conclure que la résolution plus rapide 200 146 ont 5 ans ou plus
10%
des problèmes critiques représente le délai moyen de
correction, le délai maximal est systématiquement élevé,
0 5%
quel que soit le niveau de criticité. Critique Haute Moyenne Faible
Temps maximum Temps moyen 0%
Nous devrons surveiller cet indicateur de plus près au fur et à
00
06
08
09
03
04
05
02
20
22
07
01
21
9
10
16
18
19
12
13
15
14
17
11
mesure du développement de l’ensemble de données.
9
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
19

78 Security Navigator 2023 TechTech
insight
insight:
:unehistoire
Ahistoryof
devulnerabilities
vulnérabilités79
Conclusion
Chaque jour, plus de 22 vulnérabilités avec une référence CVE sont publiées.
Avec un score CVSS moyen supérieur à 7 (criticité Élevée), chacune de ces
vulnérabilitésdévoiléesconstitueunpointdedonnéessignificatifquiinfluence
nos équations des risques et notre exposition réelle aux menaces.
Heureusement, il y a une lueur d’espoir.
Les résultats « graves » ont diminué de presque 9 % depuis la création de

notre ensemble de données.
Si l’on considère notre ensemble de données de tests complet, en 2022, nos pentesters
doivent travailler 8 heures et 47 minutes pour obtenir des résultats identiques à ceux obtenus
en seulement 8 heures en 2018, soit une augmentation de 10 % de la quantité de travail fournie.

80 Security Navigator 2023 Avisdenosexperts:Chine 81
Avec le développement des technologies de cybersécurité,

l’utilisation de leurres a été appliquée à de nombreux contextes
Honeypot, un leurre dans l’usine

tels que le Web, les bases de données, les applications mobiles
et l’IoT. Elle a d’ailleurs été incorporée dans certaines applications
de honeypots pour ICS dans le domaine de l’OT. Les honeypots
pourICStelsqueConpot,XPOTetCryPLHpeuventsimuler,
Tromper la menace dans les environnements ICS/OT entre autres, les protocoles Modbus, S7, IEC-104 et DNP3.
Ainsi,cestechnologiespeuventcompenserlafaibleebcacité
des systèmes de détection axés sur les menaces inconnues et
L’augmentationrapidedunombred’attaquessurdessystèmesindustrielscesdernièresannéesaabrmé jouer un rôle majeur dans la sécurité des réseaux de contrôle
l’importancedelacybersécuritédédiéeauxtechnologiesindustriellesOT) ( Une
. stratégieebcacededéfense industriel. Ces applications peuvent participer à la détection
active comprend l’utilisation de leurres, utiles pour améliorer les capacités de détection et de réponse des cyberattaques sur les systèmes de contrôle industriel et
auxmenaces.Cependant,lasécuritédessystèmesdecontrôleindustrielsICS) ( diaèredelasécurité à la surveillance des tendances générales en matière de risque.
informatiquetraditionnelle,etcesurplusieurspoints.Eneaet,sil’utilisationdetechnologiesàbasedeleurres, Les vulnérabilités OT exploitées par les attaquants peuvent
appeléeshoneypots,aprogressé,desdéfissubsistentquantàleurutilisationenmilieuindustriel.Celaestdû être détectées et envoyées à l’analyste sécurité qui se chargera
àdesdiaérencestechnologiquesfondamentales,commeparexemplelesprotocolesdecommunications de fournir des patchs et des renseignements au bon moment.
utilisés. Nous nous intéressons donc dans cet article aux progrès réalisés dans l’utilisation d’honeypots pour la Il est par ailleurs possible de recevoir une alerte immédiate, par
sécuritédesICSmaisaussidesdéfisquirestentdanslatransitiondecestechnologiesd’unenvironnementIT exemple avant qu’un ransomware ne soit libéré, pour éviter des
à un environnement industriel. pertes de données massives et un arrêt de la production
Thomas Zhang, Security Analyst, Orange Cyberdefense
Desdéfisdemeurent
Il ne s’agit pas pour autant d’une solution miracle. En
Un enjeu : reprendre le pouvoir La production en danger comparaisonauxsystèmes
« sophistiquésdeleurres »qui
L’utilisation d’un leurre est une stratégie de défense active La fréquence des incidents de sécurité tels que les ransomwares, les fuites peuvent être mis en place dans la sécurité traditionnelle de l’IT,
visantàdétecterebcacementlesactivitésmalveillantes. de données et les menaces persistantes avancées nuit gravement à la lesICSsontconfrontésàcertainsdéfis.
productivité et à l’activité commerciale des entreprises industrielles, sans On peut tout d’abord citer la multiplicité des appareils et des
Cette stratégie repose sur la création d’un environnement
oublier la menace que ces attaques font planer sur la sécurité de la société protocoles industriels, souvent propriétaires. Créer un leurre
contenant de fausses informations et des simulations
numérique. Ces systèmes sont souvent vulnérables et facilement exploités universel est quasiment impossible. Les honeypots et autres Également, les honeypots pour ICS purement virtuels
pour tromper et prendre au piège les hackers, dans le but
par les attaquants en raison de leur architecture simple, nécessitant une applications nécessitent souvent d’être personnalisés pour imiter disposent encore de capacités de simulation limitées. Ils sont
de leur faire perdre du temps et de l’énergie, d’augmenter
faible puissance de calcul et peu de mémoire. La protection des ICS contre diaérentsprotocoles,cequientraînedesdibcultésdemiseen donc plus susceptibles d’être détectés par les hackers.
la complexité du système et de diminuer le risque
les activités malveillantes est une question complexe, car leurs composants œuvre dans certains environnements. Actuellement, ceux-ci permettent uniquement une simulation
d’attaque.
sont peu susceptibles d’accepter les mises à jour ou les patchs, ce qui est sous-jacente des protocoles industriels, et la plupart d’entre
En parallèle, les défenseurs peuvent recueillir des encore une fois dû à la simplicité de l’architecture. La mise en place d’agents eux sont open-source et sont en libre accès sur des moteurs
données plus exhaustives sur les attaques, remonter à de protection des terminaux est généralement impossible. Compte tenu de de recherche comme Shodan ou Zoomeye. La collecte de
leur source, déployer des contre-mesures, et surveiller les ces enjeux, l’utilisation d’honeypots se présente comme un élément essentiel données pertinentes sur les attaques et l’amélioration des
comportements des hackers. L’obtention d’informations de l’approche en matière de sécurité. capacités de simulation des honeypots pour ICS posent
surlesTTPtactiques,
( techniquesetprocédures)des encore un problème aux chercheurs en sécurité.
hackers représente une aide précieuse pour les analystes
sécurité. Les honeypots permettent aux défenseurs de Finalement, les honeypots industriels à forte interaction
reprendre les rênes. Conpot est un honeypot à faible interaction permettant sont très gourmands en ressources et leur maintenance
de simuler, entre autres, les protocoles IEC104, est onéreuse. Visiblement, ces leurres nécessitent souvent
L’utilisation d’un honeypot se base sur une simulation de Modbus, BACnet et HTTP, avec un déploiement et une l’utilisation de systèmes ou d’équipements physiques pour
l’environnementd’exploitationetdesaconfigurationqui configurationsimple. créer un environnement de simulation réel. Cependant, les
trompe l’attaquant en le poussant à pénétrer une fausse équipementsdecontrôleindustrielsontcoûteux,dibcilesà
cible. Les défenseurs sont ainsi en mesure de récupérer XPOT est un honeypot pour PLC à haute interaction réutiliser et à entretenir. Bien que semblables en apparence,
la charge malveillante déposée par les attaquants et de basé sur un logiciel et capable d’exécuter des lesappareilsindustrielssontsouventtrèsdiaérentsentermes
se renseigner sur leurs hôtes ou leur navigateur Web par programmes. Il simule les PLC de la gamme de fonctionnement, de protocoles et d’instructions.
l’intermédiaire d’un JavaScript dans les applications Web. Siemens S7-300 et permet à l’attaquant de compiler,
Il est également possible de découvrir les comptes de d’interpréter et de charger des programmes PLC
l’attaquant sur les réseaux sociaux via le détournement dansXPOT.XPOT,quiprendenchargelesprotocoles
JSONPetdelecontrerenutilisantdesfichiers S7comm et SNMP, est le premier honeypot pour PLC à
« honeyfiles».Unechoseestsûre:leshoneypotssont haute interaction. Basé sur un logiciel et extrêmement
amenés à se développer et à gagner en maturité dans les évolutif, il est compatible avec les grands réseaux Le jeu en vaut-il la chandelle ?
prochaines années. decapteursoudeleurres.XPOTpeutêtreconnecté
Compte tenu de ce qui précède, il faudrait envisager l’intégration de
Récemment, l’intégration des technologies de à un processus industriel simulé pour proposer une
la technologie de tromperie pour les environnements ICS aux nouvelles
l’information et de la production industrielle s’est expérience complète à l’attaquant.
technologies. Interagir avec un environnement simulé renforce la
accélérée avec l’évolution rapide de l’IoT industriel et technologie de défense.
de l’usine intelligente. Le raccordement d’immenses CryPLH est un honeypot pour ICS Smart Grid virtuel
réseaux et équipements industriels aux technologies et à faible interaction qui simule des PLC Siemens
De plus, le journal des attaques relevées par l’application de « tromperie »
informatiques conduira inévitablement à une hausse des Simatic 300. Il utilise les serveurs Web Nginx et
estd’unegrandeaidecaranalyséparl’IntelligenceArtificielleouleBigdata,
risques en matière de sécurité dans ce domaine. MiniWebpoursimulerdesHTTP(S)un , scriptPython
il permet d’obtenir des renseignements très précieux sur les ICS.
pour simuler le protocole ISO-TSAP Step 7 et une
mise en œuvre SNMP personnalisée. Les auteurs ont En résumé, la technologie de tromperie joue un rôle essentiel dans
déployé le honeypot dans la plage IP de l’université et le développement rapide de la sécurité des réseaux des ICS et améliore
ont observé des tentatives de lecture, de ping et de l’intelligence, ainsi que la capacité de défense. Cependant, cette technologie
connexion SSH. On peut voir que la capacité à interagir quiesttoujoursconfrontéeàdesdéfis,abesoindeprogresser
augmente peu à peu, de la simulation du protocole ICS
à l’environnement ICS.
82 Security Navigator 2023 Coup de projecteur sur l’industrie manufacturière 83
Charl van der Walt

Orange Cyberdefense
Les malwares
à l’assaut des usines
Coup de projecteur
sur l’industrie
manufacturière
Dans notre édition 2022 du Security Navigator, le secteur
de l’industrie manufacturière était surreprésenté parmi les victimes
de cyber-extorsion de notre ensemble de données, compte tenu
de sa taille.
À l’époque, nous avions avancé qu’il ne s’agissait pas d’un
choix délibéré des attaquants, mais plutôt du niveau général
de vulnérabilité des entreprises de ce secteur.
L’industrie manufacturière était également le secteur le plus
représentédansnotreensemblededonnées,d’oùunvolume
d’incidents plus élevé que dans les autres secteurs en 2022.
L’industrie manufacturière occupe encore une fois une place
prépondérante dans notre ensemble de données pour 2023.
Elle demeure le secteur le plus impacté dans notre ensemble
de données de cyber-extorsion, comme nous avons pu le constater
àtraverslasurveillancedesleaksitessites ( internetpubliant
desfuitesdonnées)Le . secteurreprésenteeneaetplusde% 0 2
de l’ensemble des victimes depuis le début de notre observation
des leak sites début 2020.
Dans ce chapitre, nous allons procéder à une analyse plus poussée
descausespossibles.Etlesdémystifier.

Retour vers le futur ▪ 92janvier:attaqueciblantOiltankingDeutschland Résultats/actifs du VSOC
L’industrie manufacturière est encore une fois le secteur le plus ▪

et la société allemande d’énergie Mabanaft
juin
72 :sabotagedetroisusinessidérurgiquesiraniennes
Comparaison des indicateurs clés Temps de mise en place
d'un correctif par le VSOC
Test d’intrusion CVSS/jour
représenté dans nos données des incidents des CyberSOC, du par des cyberattaques Comment l'industrie manufacturière se compare-t-elle aux autres secteur ? Moyenne
point de vue du nombre de clients et du nombre d’incidents.
16
La cyberattaque du géant américain de l’énergie Colonial Pipeline
Environ 28 % de nos clients proviennent de ce secteur, soit une est probablement l’exemple le plus récent d’attaque réussie sur
part globale de 31 % de l’ensemble des incidents potentiels. 14
une installation industrielle.
Nousavonsleplusdevisibilitégrâce
( àladétectionenplace)pour
En juillet dernier, les agences de renseignement américaines 12
nos clients du secteur de l’industrie manufacturière, suivis des
secteurs« Financeetassurance»et« Servicesprofessionnels, ont même communiqué au sujet d’un ensemble d’outils de
10
scientifiquesettechnologiques». hackingbaptisé«Pipedream »,conçuspécifiquementpourcibler
des systèmes de contrôle industriel. Cependant, nous ne savons 8
Nous constatons que 58 % des incidents gérés par ce secteur pas vraiment si ces outils ont été divulgués sur la toile. D’ailleurs,
proviennent d’une source interne, tandis que 32 % proviennent en dehors de la tristement célèbre attaque Stuxnet de 2010, il est 6
d’unesourceexterneetproviennent
%1 de« Partenaires »ou dibciledeciterunincidentdecybersécuritéayantspécifiquement
tiers. Parmi les incidents de sécurité attribués à des acteurs impliqué la compromission d’un système OT. 4
malveillants externes, les 3 principales attaques sont les attaques
web, le scan de ports et le phishing. L’attaque de Colonial Pipeline cherchait à compromettre des 2
systèmes administratifs backend plutôt que des technologies
D’autre part, le secteur de l’industrie manufacturière présente le industrielles, et c’est également le cas pour la plupart des 0
plusfaiblenombredevulnérabilitésdesécuritéconfirméespar Industrie
incidents signalés dans les sites de production.
de tro s,
n
ce
qu ls,
e
ai
ci té
io
ag
et Pé ière
t
ni e
an
G le
manufacturière
So an
es
e
dé
at
ch nn
ck
al
actif informatique dans notre ensemble de données d’analyses
ur
rm
S
az
de arr
Te sio
to
de
ss
fo
tS
io , C
et fes
A
ce
In
De plus, en suivant la logique énoncée un peu plus haut, si les
te
e
ct es
et
des vulnérabilités.
er
es ro
nc
or
tra in
n
m
qu P
ta
nc
Ex M
sp
om
ifi es
is
entreprises du secteur de l’industrie manufacturière étaient autant
na
an
ss
nt ic
C
Fi
ie rv
Tr
A
L'industrie manufacturière se classe au 7e rang de tous
Sc Se
et
disposées à payer la rançon, au point d’être considérées comme
les secteurs en ce qui concerne le nombre d’observations une« ciblefacile »,cesentreprisesdevraientfigurermoinssouvent,
signalées chaque jour par notre équipe de hackers éthiques. sur les leak sites "name and shame".
Examinons plus en détail les performances Indicateur Industrie Moyenne Classement
Cesdeuxobservationsontattirénotreattention:Pourquoi Encoreunefois,ilestdibciledetirerdesconclusionsdenos de l’industrie manufacturière par rapport manufacturière (sur 15)
l’industrie manufacturière se démarque-t-elle autant ? données, mais nous ne voyons pas pourquoi les entreprises à d’autres secteurs. Résultats VSOC uniques/actif
de l’industrie manufacturière seraient plus souvent ciblées ou 1,7 16,2 9
Noustenteronsd’examinerlesdiaérentesquestionsqui
peuvent émerger : compromises en raison de l’utilisation de technologies industrielles Dans ce tableau, nous examinons le nombre Délai d’application des
232 jours 215 5
non sécurisées. derésultatsparactifdanslesdiaérentssecteurs patchs (moyenne en jours)
1. QuelestlerôledestechnologiesindustriellesOT)
( ?
Bien évidemment, les technologies industrielles sont intégrées et tailles d’entreprises représentés dans notre Délai d’application des
2. Les entreprises de l’industrie manufacturière sont-elles plus patchs en jours (critique)
435 jours 178 2
dans un environnement comportant des systèmes informatiques ensemble de données. Pour cette comparaison,
vulnérables ?
traditionnels, tels que les ERP et les postes de travail de nous classons les secteurs du « plus faible » Délai d’application des
3. Le secteur de l’industrie manufacturière est-il volontairement au le « plus fort », de 1 à 15. En d’autres termes, 211 jours 136 3
programmation, qui exécutent des applications et systèmes patchs en jours (élevé)
plus ciblé ? le secteur classé 1 serait considéré comme le moins
d’exploitation courants facilement atteignables par la plus basique Délai d’application des
4. Nos clients du secteur de l’industrie manufacturière sont-ils « sécurisé », tandis que le secteur classé 15 serait 150 jours 262 9
des attaques par ransomwares. Pour envisager cette possibilité, patchs en jours (moyen)
confrontés à davantage d’incidents ? passonsàlaquestionsuivante: considéré comme le plus « sécurisé »..
Score CVSS des tests
4,81 3,61 7
Pour répondre à ces questions, nous exploiterons les d’intrusion par jour
connaissances extraites de tous nos ensembles de données,
notamment :
Les entreprises du secteur de l’industrie
▪ les leak sites de double extorsion ; manufacturière sont-elles plus Résultats VSOC uniques/actif Le score CVSS[44] est une norme mondiale pour la criticité des
▪ les incidents des CyberSOCs ; vulnérables aux attaques ? Pour cet indicateur, trois autres secteurs sont arrivés devant
vulnérabilités.Afinderéaliserdescomparaisonsstandardisées
dansdiaérentssegmentsdenotreensemblededonnées,nous
▪ les données des tests d’intrusion ; Pour tenter de répondre à cette question, nous utilisons à le secteur de l’industrie manufacturière. utilisonsl’indicateur score
« CVSSparjour»,quenousobtenons
▪ les analyses de vulnérabilité. nouveau deux ensembles de données déjà mentionnés dans ce
Si le nombre d’actifs de l’ensemble des données analysées en ajoutant le score CVSS attribué aux résultats et en divisant
rapport:unensembledemillions3 derésultatsd’analysesdes cechiareparlenombredejourspasséssurcetest.
est relativement élevé pour nos clients de l’industrie
vulnérabilités et un extrait de 1 400 rapports de hacking éthique.
Quel est le rôle de l’OT ? manufacturière, nous signalons bien moins de résultats par
actif que la moyenne observée dans l’ensemble des secteurs.
À l’aide de cet indicateur, nous pouvons constater que le score
Reportez-vousauxsectionsdurapportcorrespondantespour CVSS moyen par jour de l’ensemble des tests réalisés pour
Nous pourrions être tentés de supposer que les entreprises de obtenir une analyse détaillée de ces ensembles de données. En réalité, le nombre de résultats est 10 fois inférieur. le secteur de l’industrie manufacturière était de 4,81, contre
l’industrie manufacturière sont plus souvent confrontées à des
Comme mentionné dans les parties respectives de notre rapport, 3,61 en moyenne pour les clients des autres secteurs de
compromissions, car elles possèdent des usines, des systèmes Délai d’application des patchs
ces ensembles de données nous permettent d’obtenir trois l’ensemble de données, soit un résultat 33 % plus élevé.
et des processus stratégiques basés sur des systèmes de
indicateurs qui facilitent les comparaisons standardisées entre les Pour cet indicateur, sept autres secteurs sont arrivés devant
technologiesindustriellesOT) ( oud’InternetdesObjetsIoT) ( très Ces classements sont perfectibles et les données dont
secteursdenosclients: l’industrie manufacturière. L’ancienneté moyenne de tous
attractifs pour les attaquants et faciles à pénétrer. Par ailleurs, les nous disposons ne nous permettent pas de produire
Résultats par actif des analyses du VSOC, délai d’application lesrésultatsdecesecteurestde91 jours,
4 unchiareinquiétant
usines et les sites de production ne peuvent généralement pas se desabrmationsgénéralessurledegrédesécuritéd’un
des patchs et résultats des tests d’intrusion par jour de test. et moins bon celui de huit autres secteurs de cet ensemble
permettre de désorganiser ou d’arrêter leurs opérations, ce qui secteur dans son ensemble, mais les données ne semblent
de données.
ferait du secteur une cible facile pour les extorqueurs. Si nous établissons un classement des secteurs en fonction de pas expliquer pourquoi nous observons un nombre
leur performance pour chaque indicateur, et que nous les classons Résultats des tests d’intrusion d’incidents aussi élevé dans ce secteur.
Pourtant,cesthéoriesnesereflètentpasdansnosdonnées.
du moins bon au meilleur, le secteur de l’industrie manufacturière
Bien entendu, des processus industriels ont déjà été mis à mal par arrive en 5e place, sur un total de 12 secteurs comparables. Nos testeurs ont passé deux fois plus de temps sur les tests
descyberattaques: desautressecteursen ( moyenne)quesurceuxdel’industrie
Le graphique à droite montre le *classement* global de nos clients
▪ octobre
62 :attaqueciblantlaNationalIranianOilProducts de l’industrie manufacturière, par rapport à d’autres secteurs
manufacturière. Pourtant, notre ensemble de données génère
un total de 235 jours de tests pour les clients du secteur de
DistributionCompanyNIOPDC)
( similaires. l’industrie manufacturière.

Le type d'industrie des victimes importe

Victimologie de la menace de fuite de cy-x : le nombre d'industries ciblées par acteur
25
20
15
10
ac ti
eL at
ks
sa
p
e
N e
Su lim
Pr na t
e h
ac us
LV
Da buk
Bl ar e
k to
yl tter
Sa bin
h
En ng
nC y
pt
Ra Gro 2
om e
X
uk
es ci
Pa taff
Sy ora
om y
De lo
Ev ray
Sn p
e
er
N CK
rie
Su rop
At tSk
Bl on
az
M yt
ns ov
ak
om tc
at
LV
lo
or
EX
os na
Si
H kC
th
ac ke
ry
ry
ea
Py
Bl the
Ry
si
Xi
i
kB
f
C
nA
bb
S
nd
Pa Ma
ilC
ef
M
C
Ba
nc
O
rk
M o
oa
h
B
S
ig
iv
Le secteur de l’industrie Données de Cy-X : une question
En règle générale, nous supposons que le nombre de Pourtant, peu de preuves indiquent que les acteurs malveillants
manufacturière est-il volontairement de point de vue victimes dans un secteur donné est simplement lié au nombre prennentsystématiquementàpartiedessecteursspécifiques.
ciblé par les extorqueurs ? Faisons preuve de prudence, cependant, car les données d’entreprises dans ce secteur. Àtitred’exemple,lafigureci-dessusnouspermetdevisualiser
utilisées pour tirer des conclusions au sujet de la cyber- lenombredesecteursdiaérentsdansleslistesdevictimesdes
NousutilisonslesystèmedeclassificationNorthAmerican Le secteur de la victime n’est généralement pas un bon indicateur
extorsion sont dérivées de l’observation et de la documentation principaux acteurs de la cyber-extorsion que nous surveillons. Elle
IndustryClassificationSystemNAICS)
( pourclasser dans le cadre de la cyber-extorsion. En réalité, davantage de
des leak sites de double extorsion. Il s’agit de la dernière étape illustre parfaitement le fait que les acteurs malveillants agissent
nos clients et les victimes dans notre ensemble de données victimes sont répertoriées dans les secteurs regroupant un plus
d’une attaque par ransomware, une fois que l’environnement dans plusieurs secteurs. Seuls 5 groupes criminels ciblent des
de cyber-extorsion. grand nombre d’entités, et donc de victimes potentielles.
aétécompromis,quelesdonnéesontétévoléesetchiarées victimes dans moins de trois secteurs. De plus, si nous analysons
Ce système de regroupement est très vaste et inclut de et que la demande de rançon a été envoyée. Nous supposons Néanmoins, 3 secteurs font partie des dix plus gros secteurs la répartition des acteurs avec des victimes connues dans
nombreuses sous-catégories, que nous ne pouvons pas que de nombreuses victimes paient rapidement la rançon en termes de taille d’entreprise, mais ne sont pas comptabilisés l’industrie manufacturière, nous remarquons une répartition quasi
repérer dans nos données. Ainsi, le secteur de « l’industrie et n’apparaissent jamais sur les leak sites. Nous savons parmilesplus
01 secteursquienregistrentleplusdevictimes: identique à celle que nous observons sur la totalité de l’ensemble
manufacturière »neselimitepasauxentreprisesquipossèdent également que de nombreux acteurs n’utilisent même pas ▪ Autres services (sauf Administrations publiques) : de données.
des usines, il comprend également les entreprises appartenant des sites aussi visibles. 2e secteur en termes de taille, 14e secteur en nombre Une autre théorie avance que les victimes du secteur de l’industrie
à l’écosystème de l’industrie manufacturière. de victimes manufacturière seraient plus disposées à payer des rançons.
Il se peut alors que les schémas et tendances que nous
L’analyse du nombre de victimes de double extorsion par observons sur les leak sites soient de bons indicateurs des ▪ Immobilier, location et leasing : 7e secteur en termes Pourtant, les données dont nous disposons ne permettent pas
secteurrévèleunschémaextrêmementintéressant:Surles schémas et des tendances des attaques en elles-mêmes. de taille, 13e secteur en nombre de victimes deleconfirmer.Commel’illustrelafigureci-dessous,l’industrie
10 secteurs de l’ensemble de données qui enregistrent le plus D’un autre côté, le type de victimes qui se retrouvent sur ▪ Hôtellerie et restauration : 8e secteur en termes de taille, manufacturière enregistre le plus grand nombre de victimes,
mais les victimes de ce secteur qui apparaissent sur les leak sites
grand nombre de victimes, 7 font également partie des plus les leak sites est potentiellement lié à d’autres facteurs. En 15e secteur en nombre de victimes
gros secteurs en termes de nombre d’entités. observantleschiares,nouspourrionsparexempleêtretentés arrivent seulement en 5e position des victimes les plus disposées
L’industriemanufacturièrefaitfiguredenouvelleexception à payer les rançons.
de dire que l’industrie manufacturière est souvent attaquée.
Lafigureci-dessousrépertorielenombredevictimes à notre règle générale. Si le secteur arrive en 12 e position en
observées lors de la surveillance d’un ensemble de leak sites termes de nombre d’entités professionnelles, il est de loin Notreensemblededonnéesnousoarecependantuneperspective
entre octobre 2021 et septembre 2022. le 1er secteur en nombre de victimes de Cy-X répertoriées. assezlimitée.Beaucoupdechosessepassent« encoulisses»et
sontdoncinvisiblesdansnosanalyses.Ceschiarespourraient
Cette observation nous permet de déduire que l’industrie signifierquel’industriemanufacturièren’estpasplussouvent
manufacturière est un secteur plus ciblé que d’autres. attaquée que d’autres secteurs, mais simplement qu’elle paie moins
facilement,d’oùuneapparitionplusfréquentesurlesleaksites.
Cyber-extorsion par secteur d’activité en 2022

Victimes de Cy-X avec menace de fuite de données par nombre de menaces Volonté de verser une rançon
500
Nombre de victimes et volonté claire de payer une rançon, par secteur d'activité Total général Part payée
450 1200 14%
400
12%
1000
350
10%
300 800
250 8%
200 600
6%
150
400
100 4%
50 200 2%
0
os
iè e
es ,
il
le
ue
ifs
rs
ss ,
u
qu ls
si n
iq é
at s
pr tés
ha re
G n
n
ta
ic
ur tri
nc
al
ag
io
nn
ia
ur ce
bl pt
ea tio
si
de tio
0%
gr
io
ni ne
at
0
iq
C ltu
et fes re
ng
es
az
bl
de
ci
at
ifi es act us
ue
c
oi
ra
tre cié
ck
co
pu ce
io
ct
ta rvi
uc
bl
t L ca
et rac
o
So
pu
ch n
de
rm
et cu
is
tL
uf Ind
su
ru
S
Te sio
de
to
Pu
In
n (ex
En o
Éd
Lo
os
es ro uriè rie
es ,
il
ue
if s
ue
ge
ir s
u
e lvi
le xt
fo
Re t S
te
es
st
s
ce
ra e s
is s
ss ,
As
ce
de
qu ls
as on
liq pté
G n
tS
n
ta
ha re
nc
al
nn
io
ic
pr té
ce
de tio
tro , E
n
gr
In
ch Sy
tio
ni ne
at
on
is
t
iq
iq
tio s
ka
r,
et es
es
et fes re
Re t S )
es
az
ic
ci
er
dé
au i c
an
en
at
Ai
de nt e
ifi es fac dus
Le ati
C u
ue
tio
bl
te
tra ce
re i é
ra
ilie
co
et
pu ce
tio
in
Lo
s
er
uc
bl
bl
et rac
t
e
es ro
rv
So
Pé res
st e r v
ch n
uc
de
m
oc
ic
l
nt c
pu
Pê re,
st
et oc
su
et u
et
tra
Te sio
an
or
is vi
de
Pu
Pu
m
n ex
In
e
Se
ob
qu P
So
rv
Éd
om
ie erv anu In
e vi c
or
e
et
r
si
t
se
le xt
nc
in er
de rriè
ce
tu
st
As
de
sp
b
L
om
tio
tS
m
tif
t
M
is
Se
s
(
As
f
m
ce
tro , E
n
n
m S
t
In
tis
c h yl
e
on
tio s
et e s
ul
es
r,
C
na
ge
in
tra
er
en
an
Ai
de nt e
es
tio
tio
te
nt ic
a
Im
tra ce
ic
ilie
et
C
Pê e, S
er
ric
Ad res
m
Pé res
er
,C
et
d
m
ic
C
Fi
er
ie erv
E
is
m
rv
G
Tr
et
tra
tra
or
is vi
m
e
Ad
ob
qu P
iv
rv
Ag
n
om
e
in
éb
é
se
Se
nc
es
in er
de riè
r
tio
sp
Au
om
m
,D
é
Sc S
is
is
nt
tu
Se
m
m
nt
H
m S
tis
in
na
C
ge
in
in
ar
Sa
es
an
ul
Ad
nt ic
Im
ts
Sa
M
Ad tres
m
,C
er
ric
Fi
er
G
Ar
Tr
Ad
Ad
iv
éb
Ag
es
Au
Sc S
,D
H
in
ts
M
Ar
Nousréalisonsunemodificationsimplesurlesvolumes
Nos clients du secteur de l’industrie
Conclusion
d’incidents pour prendre en compte le niveau de couverture
manufacturière sont-ils confrontés à relatif:nousdivisonslenombred’incidentsparlescorede
davantage d’incidents ? couverture estimé et nous le multiplions par le score maximum
possible. Pour faire simple, plus le score de couverture estimé
Comme nous l’avons souligné, le secteur de l’industrie d’unclientestbas,pluscettemodification« boostera »le
SelonlathéorieobcielleducrimeRoutine
( ActivityTheory)un
, crimeseproduitgénéralementlorsquetroiséléments
manufacturière génère le plus grand nombre d’incidents, nombre d’incidents dans cette comparaison. Si un client
convergentdansletempsetl’espace:une« victimeidéale»,un« criminelmotivé»etl’absencedeprotecteurs
en pourcentage du nombre total, dans notre ensemble de dispose du plus haut niveau de couverture possible, nous
compétents. Les discussions autour de la RAT[45] suggèrent que de simples choix du quotidien peuvent réduire
données des CyberSOCs. 31 % des incidents sont générés prenons simplement en compte le nombre réel d’incidents
la vulnérabilité d’une victime potentielle[46]. L’amélioration des pratiques routinières visant à réduire la vulnérabilité
par nos clients de ce secteur, qui représentent 28 % de notre observés.
technologique, permet à une victime potentielle de réduire ses risques de subir ce type d’attaques.
clientèle globale.
Avec ce calcul simple, nous pouvons désormais comparer
Despratiquesdesécuritébasiquestellesquel’évaluationdesrisques,l’applicationdespatchsetlesconfigurations
Si on l’envisage conjointement avec le nombre élevé de les entreprises et les secteurs grâce à la prise en compte de
sécurisées. Nous avons écarté l’impact considérable des vulnérabilités de sécurité OT pour nous concentrer sur
victimes de cyber-extorsion dans le secteur de l’industrie leurs niveaux relatifs de couverture.
l’application des patchs dans les systèmes informatiques. Nos équipes d’analystes évaluent un très grand nombre de
manufacturière, cette proportion importante d’incidents
Avec cet indicateur, l’industrie manufacturière occupe la cibles, mais signalent relativement peu de vulnérabilités par actif pour l’informatique conventionnelle utilisée par ce
des CyberSOCs semble révélatrice. Mais nous manquons
3e place sur un total de 10 secteurs. secteur. Huit autres secteurs ont obtenu des résultats inférieurs à ceux de l’industrie manufacturière au cours de notre
de contexte sur les données des incidents. Sans base de
évaluation. Nous constatons également que l’ancienneté moyenne de tous les résultats de ce secteur est de 232 jours,
référence pour représenter le nombre et la taille de ces clients Commel’illustrelafigureci-dessus,nousestimonsque
ce qui le classe 5e parmi les moins performants de cet ensemble de données. Du point de vue de nos équipes de tests
etdeschiaresprécisantlaproportionduparcinformatique la visibilité réelle représente 16 % de la visibilité que nous
d’intrusion, seuls 6 secteurs sur 15 sont moins bien classés que l’industrie manufacturière. Globalement, le secteur de
quenoussurveillons,ilestextrêmementdibciledetirerdes souhaiterions avoir, contre 20 % pour les clients d’autres
l’industrie manufacturière occupe la 5e ou la 6e place des secteurs les plus vulnérables.
conclusions. secteurs. Si nous ajustons les incidents en prenant en
Leschercheurssuggèrentégalementquequatrevariablesinfluencentpositivementleniveau« d’intérêt »
Afind’établirunebasederéférencepourlacomparaisondes compte les vrais positifs et les faux positifs comme décrit
ci-dessus, nous constatons tout de même plus de sept d’unevictime:Valeur,Inertie,VisibilitéetAccèsVIVA)
( [47]
. Nous synthétisons nos analyses de l’industrie manufacturière
clients et des secteurs, nous attribuons aux clients un « score
fois plus d’incidents par client dans le secteur de l’industrie àtraversleprismedecesvariables:
decouverture »allantdeà0 dans
5 huit« domaines »distincts
de la détection des menaces, soit un score de détection total manufacturière, par rapport à la moyenne de tous les secteurs.
La « Valeur » désignelegainfinancierpotentieloulenouveaustatutobtenuparl’attaquantaprèsavoirréaliséune
de 40, au maximum. Une comparaison similaire, limitée à la couverture de sécurité activité criminelle. Dans le cas de la cyber-extorsion, les éléments volés ont de la valeur pour la victime, pas pour
périmétrique et aux entreprises de taille moyenne, révèle le criminel. Les entreprises de l’industrie manufacturière ont peut-être davantage à perdre que d’autres secteurs, ce
que l’industrie manufacturière est le secteur qui subit le plus qui les rendrait plus vulnérables à l’extorsion. Nous avons pourtant déterminé que les entreprises de ce secteur ne
d’incidents par client, sur un total de 7 secteurs similaires. sont pas plus susceptibles de payer que d’autres, ce qui réfute cette théorie.
L’« Inertie »désigneladibcultérelativenécessairepourdéplaceroutransporterunobjetouunactifvolé.Dansl’univers
numérique,« l’inertie»décritcertainscontrôlescommelechiarement,laDRMDigital( rightsmanagemen)oulespièges
qui forcent un attaquant à dépenser plus d’argent ou à prendre plus de risques pour exploiter un actif volé. Nous
n’avonsaucuneraisondepenserquecelaseraitdiaérentpourl’industriemanufacturière,nousécartonsdonccet
élément de notre comparaison.
Comparaison du nombre d'incidents La « Visibilité »influenceleniveaud’intérêt,carlesélémentslaissésàlavuedetoussontplussusceptiblesd’être

volés.Dansl’universnumérique,nousestimonsquela« visibilité
»représentelasurfaced’attaquesurInternet,c’est-à-
Incidents corrigés par client et par couverture Vrai Positifs corrigés par client Faux Positifs corrigés par client Couverture dire les adresses IP exposées, les applications Web et les adresses e-mail, entre autres. Nous disposons de 13 tests
« externes »outestsinternetpourl’industriemanufacturièredansnotreensemblededonnéesdetestsd’intrusion.Sur
25% 4000
labasedu« scoreCVSSparjour »,l’industriemanufacturièreestlee 6 secteurleplustouchésursecteurs
14 autotal.
Nousn’avonsdoncaucuneraisondepenserquenosclientsdecesecteursontconsidérablementplus« visibles »que
3500
d’autres clients dans d’autres secteurs.
20%
3000 L’« Accès » désigne le degré de facilité avec lequel un attaquant peut accéder à une victime ou à un lieu. Dans l’univers
numérique,« l’accès»correspondauxmesuresdedétectionetderéponse.D’ailleurs,nosdonnéesdesCyberSOCs
2500
suggèrent que nos clients de l’industrie manufacturière sont confrontés à un volume important d’incidents par rapport
15% àleurniveaudecouverture.Lesecteurarriveene 3 position,aprèslessecteurs« Venteaudétail »et« Administrations
publiques».Pourtant,cevolumeimportantd’incidentsdesCyberSOCspourraitégalementsuggérerquenosclients
2000
del’industriemanufacturièredétectentetrepoussentdavantaged’attaques,limitantainsi l’accès
« »pour
10% les attaquants potentiels.
1500
Les données dont nous disposons ne nous permettent pas de déterminer pourquoi nous enregistrons toujours
1000 une proportion aussi élevée de victimes dans l’industrie manufacturière. Selon nous, il serait question de niveaux
5% devulnérabilitéassezélevés,particulièrementvisiblesdansnosdonnéessurlestestsd’intrusionetl’ancienneté
500
des résultats. Notre théorie est que les attaquants sont en majorité des personnes opportunistes. Plutôt que de cibler
certains secteurs, ils attaquent simplement les entreprises les plus vulnérables. Les clients représentés dans nos
ensembles de données ont fait appel à nous pour l’évaluation de leurs vulnérabilités ou pour des services de détection
0% 0
Industrie manufacturière Moyenne des autres secteurs managés;cesontdonclesindividuslesplus« matures»deleurssecteursrespectifs.Nouspouvonsdoncdéduire
qu’en moyenne, les entreprises de ce secteur sont moins bien loties en matière de vulnérabilités. Nous ne pouvons
pasencoreabrmeraveccertitudesilenombreélevédevictimesobservésurlesleaksitesdesattaquantsestlereflet
directdunombreélevédevictimesauglobaldanscesecteur,oubienlerefletbiaiséd’unsecteurrefusantdes’incliner
face aux demandes de rançon initiales. Néanmoins, les vulnérabilités des entreprises semblent être le principal facteur
expliquant la proportion élevée de compromissions et d’extorsions.

90 Security Navigator 2023 Les récits du CSIRT & du pentest 91
Robinson Delaugerre
CSIRT Investigations Manager
Orange Cyberdefense
Les récits du CSIRT & du Pentest
Réseau en feu
Que faire lorsque la cyber brûle ?
L’année 2022 fut synonyme de brasier pour l’ensemble de la
planète.Uncombatpermanentcontredesflammestenaces,
n’épargnant personne, pas même un monde informatique de plus
enplusinflammable.
Lorsquevotremaisonbrûle,vousappelezlespompiers.Cependant
dans le secteur informatique, tous les incendies ne sont pas visibles.
Que faire lorsque ce n’est pas votre salle des serveurs qui est en
feu,maislesfichiersstockéssurcesderniers?
Eninformatique,vousdevezdétecterdiaéremmentlespremiers
signes d’’incendie. L’étincelle est plus traîtresse et plus isolée que
jamais. Comme le suggère Pierre Corneille, “Le feu qui semble
éteint,dortsouventsouslacendre”.L’objectifd’uneéquipede
réponse à incident est d’être prête à éteindre un incendie jusqu’à
la moindre braise, grâce à une formation et une expérience
rigoureuse,alliantconfianceetebcacité.
Mêmelameilleurepréparationnesignifiepasquevouséviterez
toujours l’embrasement. Les attaquants ont de l’esprit. Quelques
vulnérabilités résiduelles, comme des traces d’essence virtuelle
laisséesdansvotreréseau,subront.Aufuretàmesurequele
feu se propage, il est incontournable d’avoir des experts CSIRT à
vos côtés pour lutter contre l’incendie. Ils vous aideront à éteindre
lesflammesavantquevotreréseaunesoitréduitencendres.
Les histoires qui vont suivre sont vraies, elles relatent de l’expérience
vécue et acquise par nos équipes Pentest et CSIRT, tant dans
la préparation à faire face à un incendie que dans l’anticipation et
l’extinction de ce dernier.

CSIRT story : Bulldozers versus Ninjas
6
Toutparaissaitsisimple:leclientnousacontactésunjeudipournousdirequ’unepetite
partiedesonréseauavaitétéattaquéeparunransomwareetcomplètementchiarée. Défense sicilienne
Le client avait déjà procédé à un cyber-nettoyage basique et segmenté son réseau. Nous avons déployé une solution
Seuls 40 à 50 serveurs avaient été touchés. Pourtant, les choses se sont vite gâtées... EDR à la pointe de la technologie
Thomas Eeles, CSIRT Manager, Orange Cyberdefense sur 3 500 terminaux, surveillé
toutes les adresses IP, mis en
uvre
œ uneauthentificationmulti-
facteur et verrouillé le réseau
jusqu’à ce que nous soyons sûrs
que les attaquants avaient été
5
expulsés.
Unconfinementintégral Nous avons dû travailler pendant
Pour éviter la divulgation d’informations trois semaines pour restaurer
stratégiques pour l’entreprise et éviter les données et garantir la sécurité
au client de payer la rançon, nous avons
4
du réseau du client. Nous avions
décidé de tout verrouiller. Les journaux
Du chasseur à la proie duclientn’étaientpasassezanciens
été un peu ambitieux avec
les quatre jours initialement prévus.
1
en un seul e-mail ? pour que nous puissions comprendre
Travailler le week-end Certainement pas l’ampleur de l’attaque. Nous avons donc
Nous sommes intervenus comme Si ces attaquants avaient clairement supposé que tout était compromis.
nous le faisons toujours, en analysant pris leur temps, c’est parce qu’ils
le problème en détail. Très vite, il est observaient le client. Une semaine
apparu que nous étions face à des après le début de notre enquête,
attaquants«turbulents». ils nous ont envoyé un e-mail pour
Autrement dit, ils n’essayaient pas nous dire qu’ils savaient avoir été
de cacher leur activité et leurs actions repérés. Le message expliquait
n’étaient vraiment pas sophistiquées. qu’ils avaient volé des téraoctets
Ils utilisaient même des outils grand de données et que le client devait
public. Après une analyse de payer s’il ne voulait pas qu’elles soient
la situation, nous pensions avoir déposées sur le Dark Web.
tout réglé dès le dimanche.
Ce qu’il faut
3
Lentement mais sûrement
Comment avait-on pu passer à côté
decetteautreintrusion?C’estsimple: retenir :
les attaquants avaient été bien plus
méthodiques. Alors que la première Ces deux attaques ont provoqué d’importants
équipe avait causé des ravages bouleversements dans les activités du client. Si elles
immédiatement, la deuxième vague n’étaient pas liées, c’est grâce au remue-ménage
d’attaquants avait pénétré le réseau et des premiers attaquants que nous nous sommes
faisait des allées et venues depuis un an. penchés sur le réseau. Étant donné la complexité
Leur méthode était discrète, lente et technique de la seconde attaque et le caractère
2
technique par rapport au premier groupe habituel d’une grande partie de l’activité, la plupart
Sur le point de clôturer identifié.Ilspatientaientsagement, des outils d’analyse seraient passés à côté.
le dossier… recueillant de plus en plus de données
Le nettoyage se déroulait correctement et sur le réseau en utilisant des logiciels Cela illustre bien à quel point la mise en place de
nous avons rapidement repris le contrôle. existantsPowerShell,
( parex.pour
) solutions de protection de base, par exemple l’EDR et
Il ne nous restait plus que quelques se fondre dans le décor. Ainsi, aucun lasegmentationduréseau,nesubsentpas.
heures de travail lorsque nous avons des outils de détection et de réponse
remarqué quelque chose d’étrange. On auniveaudesterminauxEDR) ( oude C’estcequenousretiendronsdecettehistoire:
aurait dit un morceau de logiciel qu’une détection et de réponse automatisées toutes les organisations doivent appliquer
équipe informatique aurait pu utiliser, ADR)
( nelesavaitremarqués. desmesuresfondamentales,aussiinsignifiantes
sauf que cela ne concordait pas avec semblent-elles. Elles se protègeront ainsi contre 90 %
les opérations gérées par le client au desattaquesquilesciblentattaque
( parforcebrute,
quotidien. Nous avons approfondi notre attaquefacileetlesaccèspayants)etsaurontque
enquête et réalisé que le client avait subi toute activité inhabituelle nécessite d’être analysée.
deuxattaques:l’uneprovenaitdeces
attaquants« turbulents »etl’autred’un
groupe distinct et bien plus sophistiqué.

CSIRT story :
« Ça mord sur Sharepoint (P.S. Cliquez ici !) »
À mesure que les niveaux de cyber éducation s’améliorent, on peut espérer voir une réduction
du nombre d’attaques réussies d’ingénierie sociale et de phishing. Mais comme cela arrive
4
souvent dans le domaine de la cybersécurité, une nouvelle menace apparaît dès que
les entreprises ont trouvé une solution. Elle s’accompagne de nouvelles questions, presque
existentielles,auxquellesnousdevonstousrépondre.Àsavoir:àquipouvez-vousfaire Les faire mordre à l’hameçon
confiancesivousnepouvezpasfaireconfianceàvoscollègues? L’attaquant envoie alors un e-mail
d’hameçonnageàlacibleidentifiéevia
John Askew, CSIRT Analyst, Orange Cyberdefense le compte auquel il a accès. Il charge
un document d’hameçonnage sur un
5
sitedepartagedefichiersOneDrive (
ouSharepoint,parex.qui , ) génère Naviguer en haute mer
automatiquement un message contenant Maintenant que nos attaquants ont
unlienverslefichierpartagéaveclacible. accès à un compte plus important, ils
Puisque le document n’est pas joint à commencent à examiner leurs possibilités.
l’e-mail de l’attaquant, la technique n’est Ils peuvent rechercher des retards de
pas détectable par les outils traditionnels. paiements ou rééditer des factures avec de
Cela semble légitime, puisqu’il s’agit nouvelles coordonnées bancaires. Nous
1
d’uncompteMicrosoft.Unefoislefichier avons déjà vu des attaquants utiliser le
3
Une attaque classique partagé, l’attaquant est en mesure de nouveau compte pour prendre le contrôle
Les compromissions via un e-mail Utiliser le petit recueillir les informations de connexion de conversations et progressivement
qu’il recherche. supprimer des participants jusqu’à ce
professionnel sont probablement « poisson » pour attraper
les attaques que nous rencontrons qu’il ne reste plus que la cible principale,
le « gros poisson » sans que personne ne se doute de
leplussouventcheznosclients.
La raison est simple. Tout le Si le compte en question n’est pas très rien.Enconfigurantdesrèglesdeboîte
monde a une adresse e-mail pour intéressant, les attaquants essaient de réception, ils empêchent même le
communiquer avec le monde d’atteindre un décisionnaire ou l’équipe propriétaire du compte de remarquer ces
extérieur, même les équipes les plus duservicefinancier.Uncomptable échanges. Ils restent en place jusqu’au
isolées et protégées. La plupart est par exemple une très bonne cible. paiement de leurs factures, n’éveillant
du temps, les acteurs malveillants Cependant, cette décision implique les soupçons que lorsque des tiers se
utilisent l’attaque par Brute Force quelqueseaorts,carlesindividusayant plaignent de factures impayées.
pour trouver le mot de passe du davantagederesponsabilitésbénéficient
compte ou envoient un e-mail souvent de mesures de sécurité plus
d’hameçonnage ou phishing avec poussées. C’est à ce moment-là que
les attaquants voient qui mord à s
unfauxidentifiantpermettant :outil
l’hameçon. hishing eillantes
Ce qu’il faut
up v
d’abcherundocument.
iestd esmal
te ntioncec argesutil
t ch
, aisa auserdes
im
uevra
retenir :
e sq ourd i
Pr esp
ntiqu
authe
Commentaarontercetyped’attaques?Ilfaut
toujours revenir aux fondamentaux. Peu importe
le niveau drastique de sécurité mis en place
par notre client. Un mot de passe faible ou
l’absenced’authentificationmulti-facteurMFA) (
et le manque de sensibilisation aux messages
contenant des pièces jointes étranges ou
2
inhabituelles représentent une menace. Ces
Une fois qu’ils sont là, pratiques ouvrent littéralement la porte aux
c’est trop tard attaquants.
Les attaques que nous devons gérer
suivent un schéma similaire. Une Lorsque nous enquêtons sur ces attaques,
fois que les attaquants disposent nous veillons à ce que les mots de passe
des informations de connexion, soientréinitialisésetlaMFAconfiguréepour
ilsobserventl’environnement: tous les utilisateurs. Ensuite, nous analysons
comment l’individu en question les politiques, les processus et les niveaux de
travaille, quelle sorte de contact compréhension au sein de l’organisation. Sans
il entretient avec d’autres services les bons outils et la bonne culture, ces attaques
et quels sont ses niveaux continueront à voir le jour
d’autorisation.

Pentesting story :
Faire le lien entre les erreurs internes de serveur
et le piratage de comptes
Lespagesd’erreursontgénéralementdibcilesàdéchiarerpourunil œ nonaguerri.
« Erreur:40 Pageintrouvable »,« Erreur:30 4 Vousn’êtespasautoriséàaccéderàcette
page »ouencore« Erreur:0 5 Oups,ilsembleraitquequelquechosenefonctionnepas ».
Nous en avons tous fait l’expérience. Mais que se passerait-il si cette page se transformait
soudainement en point d’entrée permettant à des hackers de vous dérober votre compte ?
Bram Ruttens, Ethical Hacker, Orange Cyberdefense
Merci pour les cookies !
6
Nous avons simulé l’attaque en
créant un nouveau compte et
un navigateur anonyme.
L’URL malveillante a été copiée
danslenavigateuretSURPRISE!
Le tableau de bord de Google
4
Analytics nous a informés qu’un
1
Contournement de la CSP gentil utilisateur nous avait envoyé
Découverte de la session via Google Analytics
son jeton de session via un pixel
espion inconnu.
5
C’est en fouillant le code source d’une page
Apparaîtalorsunautreproblème:
aléatoire de l’application Web du client
la politique de sécurité du contenu.
La magie du JavaScript
qu’une fonction de débogage JavaScript Tout était en place, il ne nous manquait plus
Point positif, leur politique était robuste
contenant le cookie de session du compte qu’àcréernotrechargemalveillantefinale,
etnepermettaitpasl’exfiltrationvia
utilisateur sous la forme d’une chaîne contenant le dispositif de contournement de
XSS,dumoinsdirectement.Dans
régulière a été trouvée. Le scénario rêvé CloudflareetdelaCSP,ainsiquelejetonde
le métier, on apprend rapidement
pourunhackerIl ! subraitdeledérober session de l’utilisateur. Grâce à ce formidable
queseulsleshackersdesfilms
enutilisantdesRegEXetducross-site langage full-stack qu’est JavaScript, nous avons
hollywoodiens arrivent à accéder
scripting, non ? rapidement préparé une solution soigneusement
« directement »auxressources.
Malheureusement, ce n’était pas aussi Nous nous sommes donc tournés emballée, destinée à être envoyée à une victime
simple. verslaméthode« indirecte ». sous la forme d’une simple URL.
Leur CSP autorisait Google Analytics,
puisqu’ils suivaient leurs utilisateurs
via un pixel espion. Nous avons fait
exactement la même chose. Nous
avonsconfigurénotreproprepixelqui
divulguait la chaîne de la session via
unparamètrespécifiquepermettant
d’envoyer des données arbitraires.
Ce qu’il faut
2 3 retenir :
Le cross-site scripting Contournement des
en tant qu’agent règlesWAFdeCloudflare Protéger une application Web personnalisée est une tâche
d’exfiltration Nous étions donc en présence de ardue, mais la plupart des bugs actuels connus peuvent
XSS,maisnousavionsunWAF. être évités en adoptant la bonne méthodologie et le bon état
Nous avons découvert que
Heureusement, la communauté d’esprit.
lorsque l’application ne pouvait
d’infosécurité de Twitter nous a
traiter une saisie utilisateur
gentiment fourni un dispositif de Entantqu’utilisateurfinal,l’utilisationd’uneapplicationWeb
spécifique,ellerenvoyaitune
contournement créé deux ans peutégalementcomportersonlotdedéfis.Lestraceurs
page d’erreur avec le code
auparavantpourlefiltrageXSS essaient en permanence de surveiller votre comportement
Cette
.05 pagespécifique
de Cloudflare. en ligne, votre activité numérique, etc.
comportait un paramètre d’URL
intéressant qui autorisait la Nous l’avons adapté, et cela a
fonctionné. Premier problème Voici quelques points clés à retenir pour les développeurs
saisie par un utilisateur non
résolu! etlesutilisateursfinaux:
approuvé.
▪ IntégrezleSDLCetlasensibilisationàvotreprocessus
DanslemilleIl
! s’agissaitbien
de développement
deXSS!
▪ Nestockezjamaislescookiesdesessiondansdes
emplacements non sécurisés
▪ Nefaitesjamaisconfianceauxsaisiesdesutilisateurs
▪ Nevousfiezjamaisàaux
% 0 1 solutionsdesécurité
tierces
5
Pentesting story : Sésame, ouvre-toi ! Votre maison est mon
château !
L’analyse initiale du client indique clairement que la sécurité physique est
L’idéal aurait été de pouvoir se passer
gérée par un grand fournisseur international. Le fournisseur prétend que
de ces droits tout en contrôlant
le réseau du client est isolé via un Air Gap et qu’aucune communication n’est
numériquement l’accès aux portes via
possible avec le monde extérieur. L’équipe de hackers éthiques hollandaise
le panneau principal. Nous avons pris
est invitée à évaluer la sécurité physique du fournisseur sur site. Nous avons
le contrôle de quelques comptes pour
carte blanche, les portes sont ouvertes.
obtenir des droits d’administrateur de
Thijs Vos, Security Specialist, Orange Cyberdefense domaine. Ce n’était plus qu’une question
Bart van Bodegom, Security Specialist, Orange Cyberdefense de temps. Quelques heures plus tard,
nous avons réussi à trouver le système
avec le logiciel du contrôleur principal.
6
Ce système utilisé par le superviseur nous
1
Sécurité physique : une a permis de contrôler tous les portails et Permettez-nous de
vérification.. portes du bâtiment sans que personne vous ouvrir la porte...
ne s’en aperçoive. Nous avons demandé au
Les locaux du client sont
entourés de grilles et de portails. superviseur d’aller devant
Les personnes disposant des une porte, sans donner d’autres
4
autorisations requises peuvent explications. Lorsqu’il a passé
les ouvrir via la salle de contrôle. Accès accordé sa carte sur le lecteur, ce dernier
Les autorisations sont attribuées (par nous-mêmes) aabchéunvoyantrouge.
en fonction du poste du salarié La sensibilisation en matière Le superviseur nous a contactés.
chezlefournisseur.Àl’accueil, de sécurité numérique était Il se tenait devant la porte.
les agents de sécurité créent des quasi inexistante et les Nous lui avons ouvert à distance.
badges auxquels y peuvent ajouter opérateurs recevaient des
un certain nombre de privilèges. droits d’administrateur local
Un superviseur doit approuver pour se connecter aux postes.
toute demande d’accès à des Ces droits nous ont permis
zonesplussécuriséesdusite, d’activer un RDP à distance et
le cas échéant. de nous connecter de manière
interactive aux postes client
avec le logiciel de « salle de
contrôle ».
Nous pouvions désormais
contrôler les droits associés à
nos cartes physiques.
2
... pas si poussée !
Pendant la phase d’évaluation, Ce qu’il faut retenir :
3
nous avons réussi à entrer
dans le hall d’accueil du Les leçons apprises lors de cette évaluation sont
Si cela se passe sur notre
bâtiment. La surveillance trèsclaires:vouspouvezmettreenplacelasécurité
insubsanteetlepersonnel réseau, ce n’est pas physiquelaplusebcacepossible,maislorsqu’un
peu averti nous ont permis si grave... tiers ou une menace tierce a accès à un patch
de trouver un patch réseau AucunContrôled’accèsréseauNAC)( réseau, ce dernier devient vulnérable. Voici quelques
dans le réseau de sécurité. n’était en place. Après avoir pénétré enseignementsclés:
Le réseau ne fournissait le réseau, nous avons découvert que ▪ Unemiseenuvre
œ ebcaceduContrôled’accès
pas d’adresse IP via DHCP, la segmentation était faible, voire réseauNAC)
( auraitpermisd’évitercettefaille.
nous avons donc choisi une inexistante. Nous étions en présence
IP aléatoire dans la plage d’un« réseauplat »,oupresque. ▪ Lasegmentationetlefiltragedessegments
et l’avons attribuée à nos Les agents de sécurité pouvaient auraient permis d’entraver l’accès aux systèmes
appareils. uniquement interagir avec le logiciel impliqués dans la sécurité physique.
de« salledecontrôle »depuisdes ▪ Les pares-feux basés sur l’hôte et le renforcement
postesclientspécifiques.Cespostes des systèmes doivent constituer de « bonnes
étaient patchés et à jour. Cependant, pratiques»àappliquer.
en raison de l’absence de NLA avec
RDP sur certains serveurs, nous avons ▪ Dans le domaine de la sécurité, le personnel peut
eu connaissance de certains noms représenter une force ou une faiblesse.
d’utilisateurs, que nous avons utilisés La sensibilisation est donc primordiale.
pour tester quelques mots de passe ▪ La surveillance n’est pas une option, en particulier
faibles. pour les principaux systèmes stratégiques.

100 Security Navigator 2023 Penser à la sécurité de bout-en-bout Avisdenosexperts:France 101
C’est pourquoi il convient de penser à la sécurité dès la conception et de bout-en-bout. Cette sécurisation
se fait en partie sur des critères communs à tous les systèmes d’information, comme :
▪
La sécurité du Web 3.0
La sécurité de l’infrastructure du système d’information qui héberge la Blockchain
Cloud
( ouOn-Premise),
▪ Les algorithmes cryptographiques de signature et les fonctions de hachage,
▪ La gestion des clés privées,
Une revue de la sécurité des blockchains ▪

▪
L’IdentityandAccessManagementIAM)
Le monitoring,
( ,
▪ La sécurité du front-end et la gestion des vulnérabilités web,

Selondenombreuxexperts,le“Web3”pourraitconstituerl’avenird’internetet ▪ LasécuritédesInterfacedeprogrammationAPI) ( ,
del’accèsàl’information.Aprèsun“Web1”constituédepageswebstatiques ▪ La formation et la sensibilisation, pour les développeurs, les métiers et les dirigeants,
etd’e-commerce,un“Web2”marquéparl’avènementdesapplicationsweb
contrôléespardegrandesentreprisescommelesréseauxsociaux,le“Web3”
▪ La résilience, la continuité et la reprise d’activité, la gestion de crise,
se veut décentralisé, collaboratif et désire rendre le contrôle à ses utilisateurs. ▪ La gouvernance et le pilotage de la sécurité,
▪ La protection des données,
Benjamin Thomas, Security Consultant, Orange Cyberdefense ▪ Implications réglementaires.
Corentin Aulagnier, Security Consultant, Orange Cyberdefense
Un grand merci à Julien Menissez! MaisàladiaérenceduWeb2l’utilisation
, delaBlockchainpourleWeb3introduitdenouvellesspécificitésqu’ilestimportant
deconnaîtreetdesécuriser.Cesspécificitéssontretrouvéesdèslelancementd’unprojetaveclechoixdelaBlockchain,
de l’algorithme de consensus ou de l’environnement de virtualisation à utiliser, ou dans le choix de paramètres comme
latoléranceauxdéfautsetlacrypto-économie.Nouspouvonségalementrecenserd’autresspécificitéscommelagestion
Présentation de la Blockchain Briser la chaîne desnœudsduréseauauthentification
(
sécuritédesclientslogiciels)ou
desnœuds,sécuritédelacommunicationRPC,accèsd’administrationsécuriséou
, encorelasécuritédes« wallets »desutilisateursfinaux.
Cette notion est rendue possible par la Blockchain, une Bien que réputés infaillibles, les hacks à répétition visant cette
technologie permettant à des individus ou à des entreprises technologie ont cependant coûté plusieurs milliards de dollars
d’échanger des données ou des droits de propriété, à l’industrie et détruisent le mythe de sécurité sans faille de
directement en peer-to-peer, sans organe de contrôle, de la Blockchain. Zoom sur la sécurité des smart-contracts
façon décentralisée.
Chainalysisrecenseeneaetplusdemilliards 3 dedollars Lessmart-contractsrestentcependantlaspécificitélaplusexploitéedu Un bref historique des attaques
Au lieu d’être contrôlée par un organisme centralisé qui est le d’actifs numériques volés en 2021, avec une croissance Web3 par les hackeurs, du fait de sa simplicité d’exploitation et du fort
seuljugedelafiabilitédesinformations,cetteinfrastructure de plus de 500% par rapport à 2020[48]. retour sur investissement possible pour les attaquants.
Date
est administrée par l’ensemble des participants, sans tiers de Application ciblée Montant Vecteur d’attaque
Une partie de ces attaques peut s’expliquer par la surface Tout comme dans l’informatique traditionnelle, les attaques visant les du
confiance,viadesalgorithmescryptographiques. par un hack volé employé
d’attaque potentiellement étendue qu’implique l’utilisation smart-contracts exploitent généralement des vulnérabilités connues. hack
Chacundesparticipantsauréseauvérifieletravaildes d’une Blockchain. Ces vulnérabilités peuvent être présentes via des défauts de conception, ou
Phishing
autres en temps réel automatiquement, ce qui permet pour dans le code source de l’application, généralement écrit dans des langages 614M$ 2021 Gestion des clés
Bien que la majorité des attaques ciblant le Web 3 visent Ronin Network[49]
lapremièrefoisd’eaectuerdestransactionsetdeséchanges récents comme Solidity, Vyper, Archetype, Rust ou encore Cairo. Il convient privées
particulièrement les smart-contracts, ce n’est pas le seul ainsi d’assurer un bon niveau de formation au développement sécurisé
de données de manière décentralisée, tout en gardant
vecteur d’attaque utilisé par les attaquants. Nous constatons des développeurs et une évolutivité contre l’obsolescence. Vulnérabilité
confiancedansleprocessusetdanslafiabilitédesdonnées. Poly Network[50] 611M$ 2021
eneaetdesattaquesciblantdesdéfautsdeconception smart-contract
Lesdonnéessontvérifiablespartouslesparticipantsdansun Quiconque pouvant récupérer le code source d’un smart-contract sur
dans le design des applications, la gestion des clés privées,
registreouvert,etsontréputéesinfalsifiables. un réseau Blockchain public, il est important d’assurer un niveau maximal Vulnérabilité
l’interfaceHomme-Machined’accèsauWebou (3 « wallet»), Nomad[51] 190M$ 2022
de sécurité avant la mise en production du programme. Cela passe par smart-contract
etc. Ces attaques entraînent des conséquences désastreuses,
l’audit de smart-contract.
Un regard plus attentif coutant des milliards d’euros à l’industrie.
Wormhole[52] 326M$ 2022
Vulnérabilité
Recherche de vulnérabilités, utilisation de méthodes formelles, audit de smart-contract
En pratique, sur les Blockchains publiques, chaque acteur LecaractèrepublicdesBlockchainssimplifiegrandement
la tâche pour les attaquants qui peuvent accéder au code la qualité du code et des librairies, analyse statique et dynamique, manuelle Défaut de
peut héberger un nœud du réseau et participer à sa sécurité. Beanstalk 182M$ 2022
source des applications et les utiliser sans contrainte avant de et automatisée, l’audit de smart-contract est l’étape incontournable du conception
Cela se fait généralement au travers de l’installation d’un client
les attaquer. processus de déploiement d’une application sur le Web3.
logiciel sur une machine ou sur un serveur, on-premise ou
chezunCloudProvider. Par ailleurs, les interconnexions entre chaque application
Certaines Blockchains disposent également d’un décentralisée rendent possibles des attaques de type
compilateur et d’une couche de virtualisation, permettant « supply-chain »quipermettentdenuireàl’intégritéd’une
application pourtant sécurisée en attaquant des applications
Conclusion : les fondations sont construites maintenant !
auxdéveloppeursd’exécuterdes« smart-contracts»:
desprogrammesinformatiquesnonmodifiablesqui tierces interconnectées, comme des oracles fournissant LoindesmultinationalesquicontrôlentleWeb2le , Web3abcheunepromessed’avenirsouverain
fonctionnent selon les mêmes principes de décentralisation des données à traiter par exemple. dans lequel les utilisateurs seraient au cœur du système et interagiraient en peer-to-peer.
que le reste du réseau et qui permettent l’avènement du Web3. D’autres risques moins fréquemment évoqués peuvent
égalementpesersurleWeb3comme
, parexemple: Aujourd’hui utilisé par des avant-gardistes aguerris, le Web3 pourrait demain sécuriser les données
Cette technologie a été rendue célèbre aux yeux du
de milliards de personnes, mais aussi d’entreprises et d’institutions comme par exemple avec l’European
public avec l’avènement des actifs numériques depuis ▪ L’utilisation de langages de programmation récent BlockchainServicesInfrastructureEBSI)
( Cela
. pourraitétendrelesprofilsetlesmotivationsdesattaquants
2017 communément appelés crypto-monnaies. Souvent constituant un risque d’apparition de nouvelles ainsi que les impacts en cas d’attaque. L’émergence de nouvelles menaces comme la menace quantique
simplement considérés comme de nouveaux moyens vulnérabilités, doivent également être considérées dès aujourd’hui pour assurer une sécurité pérenne dans le Web3.
d’échange, les actifs numériques sont en réalité l’un des
éléments clés de la sécurité et de la gouvernance des
▪ L’hébergement des nœuds Blockchain au sein de cloud
publics tend à centraliser ces réseaux et à les faire L’évolution constante de cette technologie permet l’émergence de nouveaux concepts qui contribuent
blockchains publiques et du Web3. dépendre d’une poignée d’entreprise ou d’un État, au développement du Web3 de demain. Zero-knowledge proofs, rollups, modularité, subnetworks,
Au-delà des actifs numériques, la grande révolution de ▪ La centralisation autour d’un nombre limité de logiciels multi-tenancy, tant de concepts récents qui ajoutent une couche de complexité supplémentaire
laBlockchainrésidedanslecaractère“sansconfiance” renforce le risque de bug logiciel qui impacterait à cette technologie et dont la sécurité doit également être assurée.
decesréseaux:personneneseconnaîtetpersonnenesefait l’ensemble du réseau.
confiance.Lasécuritéestalorsassuréeparlacryptographie, Afindenepasconstruirel’avenirduwebsurdesbasesfaillibles,ilconvientainsidepenserlasécurité
la gouvernance décentralisée et les mécanismes d’incitation. du Web 3 de bout-en-bout et dès la conception.
Il s'agit d'un élément fondamental pour construire une société numérique plus sûre.
102 Security Navigator 2023 Sécurité mobile 103
Joshua Sylvester
Security Researcher
Orange Cyberdefense
Charl van der Walt
Orange Cyberdefense
Petit format,
grand facteur de risque
Sécurité mobile
Dans l’édition 2022 du Navigator, nous avons évoqué la hausse manifeste
des vulnérabilités, des exploits et des attaques ciblant les téléphones
mobiles et en particulier iOS.
Deseaortsconsidérablesetdessommesnonnégligeablesontété
investis dans la recherche et l’exploitation des vulnérabilités propres
aux téléphones mobiles. Comme cela a été le cas dans le passé,
nous sommes arrivés à la conclusion qu’il était possible, voire inévitable,
que de telles capacités, une fois créées, quittent l’univers de l’espionnage
gouvernemental pour tomber aux mains des criminels les plus ordinaires.
Pour la première fois, nous avions constaté une augmentation du
nombre d’avis associés aux plateformes mobiles et à leurs vulnérabilités,
en particulier aux systèmes Android et iOS d’Apple.
Danslasection« WorldWatch »deceNavigator,nousconstatonsque
ces attaques ciblant les téléphones mobiles continuent à faire la une dans
la presse. Les préoccupations concernant la prise de contrôle à distance
des téléphones mobiles soulèvent des questionnements sur la posture
de sécurité des appareils mobiles, notamment sur notre capacité à
les patcher face à l’arrivée de nouvelles vulnérabilités. Ces enjeux
sont critiques, si l’on considère le rôle des appareils mobiles dans
lacommunicationmoderneetdesconceptstelsquel’authentification
àdoublefacteurFA)2 ( .
Dans ce chapitre, nous évoquerons les problématiques liées
aux vulnérabilités et aux menaces qui planent sur les téléphones mobiles,
ainsiquelesdiaérencespropresauxplateformes.

Données Vulnérabilités des systèmes Vulnérabilités iOS

Pour appréhender la situation de la sécurité mobile, nous avons d’exploitation mobiles Pour analyser la réponse d’Apple face à la divulgation ▪ Il a fallu 31 jours pour que 50 % des utilisateurs appliquent
d’unevulnérabilitéetlabased’utilisateursaaectés,nous le patch
sélectionnétroisensemblesdedonnéesdiaérents:
Les vulnérabilités de l’univers mobile deviennent une source prenons l’exemple de la CVE-2022-22587. Cette vulnérabilité, ▪ et 51 jours pour que 70 % des utilisateurs soient protégés.
▪ des analyses Web gracieusement fournies par Orange, d’inquiétude, notamment depuis que des groupes tels que qui permet à un attaquant d’exécuter des commandes ▪ Au bout de 224 jours, 90 % des utilisateurs avaient
contenant plus de 60 millions d’agents utilisateurs recueillis NSO fournissent des exploits aux gouvernements pour arbitraires au niveau du noyau en raison d’un problème de
entre septembre 2021 et septembre 2022 ; le traçage des individus. Nous remarquons également que téléchargé le patch.
corruption de mémoire, concerne toutes les versions d’iOS,
de plus en plus d’acteurs malveillants moins sophistiqués
▪ un extrait de 96 tests d’intrusion réalisés par nos équipes
utilisent les exploits mobiles pour obtenir des informations[53].
jusqu’à la version 15.3 incluse. L’exploit a été utilisé dans le
Ces données suggèrent que l’application des patchs iOS est
dehackerséthiquessurdesapplicationsapps) ( pour cyberespace, mais nous ne savons pas quand ni par qui.
téléphone mobile entre janvier 2018 et octobre 2022 ; logarithmiquechezApple,puisquedenombreuxutilisateurs
Danslafigureci-dessus,nouspouvonsvoirquelavulnérabilité appliquent le patch dès sa publication. Le taux d’adoption
▪ des applications malveillantes dans les magasins CVE-2022-22587 a été divulguée le 5 janvier 2022. À ce ralentitensuiteaufildutemps,aupointoùdes % 01
d’applications de Meta et Human Security. moment-là, 99,25 % des utilisateurs Apple regroupés dans appareils restent vulnérables des mois après la publication
l’ensemble de données étaient considérés comme vulnérables du patch. Selon nous, il est probable que ces utilisateurs
vis-à-vis de cet exploit[54]. n’appliquent jamais le patch.
Le patch a été publié le 26 janvier, soit 21 jours après
la divulgation de la vulnérabilité. Bien qu’elle ait apparemment
été exploitée dans le cyberespace, Apple a publié le patch
seulement 21 jours après son arrivée dans le domaine public.
Systèmes d’exploitation
Dans notre ensemble de données, environ 55 % des utilisateurs étaient sur iOS et 45 %
surAndroid.Ceschiaresproviennentdel’analysedel’agentutilisateurfourniparlesnavigateurs
Web aux principaux sites Web du groupe Orange.
Application des patchs (iOS)
Etat des correctifs pour la vulnérabilité CVE-2022-22587 d'iOS Non corrigé Corrigé
Divulgation (1 Jan.)
er
Patch publié (26 Jan.)
55%
100%
OS
90%
80%
i
70%
60%
50%
4 5%
40%
30%
id
20%
ro
n d 10%
A 0%
Sep Oct Nov Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep

Débat
Vulnérabilités Android Les systèmes iOS et Android ont tous deux leur lot de vulnérabilités : 547 pour Android en 2021, contre
Danslafigureci-dessus,nouspouvonsvoirquelavulnérabilité seulement 357 pour iOS. 79 % des vulnérabilités Android étaient considérées comme peu complexes
Pour analyser la réponse et les actions de la base d’utilisateurs (c’est-à-dire, simples à exploiter), contre seulement 24 % pour iOS. Cependant, 18 des vulnérabilités
CVE-2022-22587 a été divulguée le 27 novembre 2021. À
lors de la publication d’une vulnérabilité relative aux appareils Android ont reçu un score CVSS 44 Critique, contre 45 chez iOS[55].
ce moment-là, 83,4 % des appareils de notre ensemble
Android, nous prenons l’exemple de Samsung. Ce choix
de données étaient considérés comme vulnérables vis-à-vis
permetdecompenserlesdiaérencesdegestiondesversions Ces résultats indiquent qu’Android est touché par un plus grand nombre d’exploits peu complexes
de l’exploit.
entre Android et Apple. À partir d’Android 9, le champ Agent qu’iOS,quiprésententdavantagedevulnérabilitéscritiques.AppleiOSestplusdibcileàatteindre,
utilisateurducomposantdenavigateurn’estpasassezfiable Cette proportion est inférieure aux 99,25 % d’appareils Apple maislarécompenseestbienplusintéressanteencasderéussite.Eneaet,lesexploitsAndroidfont
pour déterminer avec exactitude le numéro de version, alors considérés comme vulnérables lorsque la CVE-2022-22587 régulièrement la une des médias parce qu’ils sont utilisés par un large éventail d’acteurs malveillants,
que les appareils mobiles Apple fournissent un numéro a été divulguée, puisque certains appareils disposaient alorsqu’iOSestplussouventlacibledegroupesabliésàdesÉtatstelsqueNSO.Danscet
de version précis. Les versions du système de sécurité sont d’une version si ancienne qu’ils n’étaient accidentellement pas écosystème, iOS est vu comme du « gros gibier ».
également désignées séparément et donc invisibles pour aaectés.Celasignifiaitquedes % 6 , 1 appareilsn’étaientpas
nousdanscetensemblededonnées.Nousavonsidentifié vulnérables à ce moment-là, malgré l’absence de mise à jour. Si l’on considère les deux vulnérabilités susmentionnées, il apparaît clairement qu’une plus grande
desexemplesspécifiquesdetéléphonesSamsungn’ayant proportion d’utilisateurs d’iPhone est menacée lors de la divulgation d’un problème de sécurité, ce
Le patch a été publié 83 jours après la divulgation de
pas reçu de patchs pour des versions principales d’Android, qui s’explique par l’homogénéité du système. Les utilisateurs migrent néanmoins rapidement vers une
la vulnérabilité à Samsung. C’est plus que dans l’exemple
c’est pourquoi nous avons choisi de nous concentrer sur nouvelle version, puisque 70 % d’entre eux appliquent le patch dans les 51 jours suivant sa publication.
présenté plus haut, mais la vulnérabilité Apple avait été
ce fournisseur dans le cadre de cet exercice.
divulguée publiquement, alors que celle de Samsung est restée L’écosystème Android, bien plus fragmenté que celui d’Apple, comporte davantage d’appareils
CVE-2022-22292 est une vulnérabilité de l’OS Android qui privée, ce qui réduisait l’urgence du point de vue de Samsung. exécutant des versions plus anciennes. Les appareils sont ainsi vulnérables à un plus grand nombre
permet à une application non approuvée d’exécuter un code
Avec ce patch publié par Samsung, 10,4 % des utilisateurs d’exploits anciens, mais moins vulnérables aux nouveaux exploits.
arbitraire. La vulnérabilité est présente dans les versions 9 à
restaient exposés à la vulnérabilité en raison de l’arrêt
12 d’Android, mais un patch a été publié pour les versions 10,
du support pour Android 9. Ce pourcentage diminue
11 et 12. Nous pouvons ainsi analyser le nombre d’appareils
progressivementdansnotreensemblededonnéesaufildu
considérés comme vulnérables avant et après la publication
temps. Mais comme pour Apple, une longue traîne subsiste et
du patch. Dans le cadre de notre enquête, nous supposons
pourrait s’éterniser.
de
( manièreunpeuexagérée)quetouslesappareilsontété
mis à jour au moment de la publication du patch, puisque
les numéros de version Android ne fournissent pas cette
information détaillée.
Etat des versions (Android) Android 9

Supérieur à Android 9
Répartition des versions d'Android vulnérables et non vulnérables à la CVE-2022-22292 Inférieur à Android 9
Publication (27 Nov.)

Patch réalisé (14-18 Fev.)
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Sep Oct Nov Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep

Les évaluations des apps mobiles comportent moins de Google Play. Les deux marketplaces ont mis en place des mesures
Sécurité des applications mobiles résultatsnotésPassé
.6 lescoreCVSSÉlevé)
(7 le
, nombre
Open-Source vs Closed-Source de sécurité pour limiter l’exposition des utilisateurs aux apps
Si les utilisateurs mobiles doivent s’inquiéter des vulnérabilités de résultats des évaluations d’apps chute plus rapidement que La comparaison des degrés de sécurité des logiciels open source malveillantes.
propres aux systèmes d’exploitation des appareils, ils ne pour d’autres types de tests. Par exemple, 2,4 % des résultats etpropriétairesfaitsouventl’objetdedébatsdontlesramifications
Les applications sont analysées avant d’être publiées sur les
doivent pas non plus négliger la sécurité des applications obtiennent un score de 10 pour d’autres évaluations, alors que vont jusqu’à la sécurité des appareils mobiles et la gestion des
marketplaces et des bacs à sable applicatifs sont utilisés pour
mobiles. cette proportion n’est que de 0,4 % pour les apps mobiles. vulnérabilités.
éviter qu’elles aient accès à des ressources sensibles.
Nous avons analysé 96 évaluations de sécurité réalisées sur Enfin,unesynthèsecomparantlesappsmobiles, Dans le cas d’Android, la nature open source du système
Commenouspouvonslevoirdanslesdeuxfiguresci-dessus,en
des applications pour téléphone mobile entre janvier 2018 et les applications de bureau courantes et les applications Web d’exploitation de base permet théoriquement aux experts d’évaluer
2022, le nombre d’apps malveillantes présentes sur Google Play
octobre 2022. client
( léger)révèlequenostesteursdoiventfournirdavantage lecode,d’identifierdesbugsetdesuggérerdesaméliorations
estsixfoisplusélevé que
) % 1 8 7 ( surl’AppStored’Apple,cequi
d’eaortspourobtenirdesrésultatsdanslesappsmobilesque de manière proactive. L’argument en faveur de l’open source est
93 % des problèmes de sécurité signalés sur les apps peut s’expliquer par plusieurs facteurs[56] [57].
dans les environnements applicatifs de bureau et Web. qu’ilpermetd’identifieretderésoudredavantagedevulnérabilités.
évaluées ont obtenu un score de criticité faible ou moyen,
Le point négatif de cette approche est que davantage de Tout d’abord, étant donné que davantage d’apps malveillantes sont
tandis que 6 % ont obtenu un score élevé et 1 % un score Celanesignifiepasquelesappsmobilesnecomportentpas
vulnérabilités sont rendues publiques, comme semble le suggérer proposées à Google Play, elles sont plus nombreuses à passer
critique. L’analyse d’une app mobile nécessite en moyenne de vulnérabilités, comme le montrent nos données et notre
l’important volume de vulnérabilités détectées au niveau du entrelesmaillesdufiletetàsefrayeruncheminjusqu’audomaine
9,7 jours de travail et nous avons signalé des résultats historique récent, mais uniquement que ces risques ne sont
noyaudusystèmeLinux.Celasignifieégalementquedavantage public approuvé. Le système Android comporte davantage
« graves » (élevé ou critique) pour 24 des 96 apps, soit 28 %. pas plus graves dans l’univers mobile qu’ailleurs. Les modèles
d’exploitsdetypeProof « ofconcept»serontdéposésdansle de vulnérabilités peu complexes, il permet donc à davantage
de sécurité stricts communs aux plateformes mobiles
La criticité attribuée aux résultats, exprimée sous la forme cyberespace,oùlesacteursmalveillantspeuventlescopieretles de personnes d’exploiter ces vulnérabilités pour tenter d’être
modernes permettent également de réduire l’impact sur un
d’un score CVSS, est similaire pour les évaluations des apps transformer en armes. répertoriées dans Google Play. Il existe également un plus grand
utilisateur, en cas de compromission d’une application.
mobiles et pour tous les autres tests réalisés. La majorité nombred’exploitsprêts « àl’emploi»quipeuventêtreajoutésàune
LaconceptionenClosedSourced’Appleestplusdibcileà
desrésultatsobtiennentunscoredeou 4 Moyen)
(5 mais
, appAndroid,parexemplel’outilKwetzaquivouspermetd’ajouter
exploiter, ce qui a vraisemblablement un impact positif sur le degré
davantage de résultats sont notés 4 pour les apps mobiles, unechargemalveillanteMeterpreteràunfichierAPK.Onpeut
de sécurité de la plateforme. Cependant, la découverte d’une
par rapport aux autres évaluations. également citer le fait que les mécanismes d’évaluation du Google
vulnérabilité par un acteur malveillant peut rester secrète plus
PlayStorenesontpasaussiebcacesqueceuxdel’AppStore
longtemps. De plus, comme le suggèrent nos données ci-dessus,
Score de vulnérabilité des applications mobiles

d’Apple.
lanaturehomogènedel’écosystèmeiOSsignifiequ’uneplus
grande proportion d’utilisateurs Apple seront vulnérables à un N’oublions pas non plus le problème des magasins d’applications
Répartition des scores CVSS pour les diagnostiques des applications mobiles par rapport aux autres tests nouvel exploit à un moment donné. nonobcielsdel’universAndroid,queGoogleneparvient
Evaluation des applications Autres absolument pas à réguler.
Ladéfinitionduterme« sécurité »n’estpassisimpleàdonner
45%
etla« comparaisondesdegrésdesécurité»estencoreplus Bien que de nombreuses apps en tête de leur catégorie dans
40% complexe. Cette comparaison simple entre les processus de leGooglePlayStoresoientfinalementdesmalwares,commecela
patchs de sécurité d’iOS et d’Android illustre clairement ce point. a été le cas de DxCleaner, téléchargée plus de 5 millions de fois
35% Dibciledesavoiralorsquelleplateformeestlaplusvulnérable, avant d’être supprimée, Android laisse également ses utilisateurs
puisque cela dépend en grande partie de la perspective adoptée. télécharger des apps non approuvées, ce qui attise encore plus
30% le feu. L’option permettant d’installer des apps qui ne sont pas
Du point de vue de l’écosystème global, l’approche homogène
présentessurlemagasinobcielaugmentelevecteurd’attaque
25% d’Apple semble parvenir à réduire le niveau de risque total pour
auquel les utilisateurs sont exposés.
l’ensemble de la communauté. Du point de vue des utilisateurs
20% individuels,laflexibilitéproposéeparAndroidpermetdese Les données recueillies par VirusTotal sur les apps A ndroid
distinguer de la masse. Du point de vue des entreprises, révèlent qu’une part importante des apps proposées sont
15%
l’enjeu peut être lié à tout autre chose. malveillantes. La tendance générale est cependant à la baisse,
10% puisque dans l’ensemble, de moins en moins d’apps malveillantes
sont proposées. Le nombre d’apps proposé chaque année est
5%
Marketplace applicatif plutôtconstant,saufen où2 0 2 nousavonsconstatéunehausse
Apple et Android possèdent leurs propres marketplaces considérable au mois d’août. Cette variation s’explique entre autres
0%
0 1 2 3 4 5 6 7 8 9 10 applicatifs:l’AppStorepourAppleetGooglePlaypourAndroid. par un partenariat avec Google et une application mobile VirusTotal
L’App Store propose 2,2 millions d’apps, contre 2,7 millions pour qui envoie les apps potentiellement malveillantes présentes sur le
Comparaison des vulnerabilités

téléphone de l’utilisateur.
Comparaison entre les applications mobiles, les applications de bureau classiques Applications malveillantes détectées par VirusTotal
et les applications web dites "légères". CVSS par jour Moyenne CVSS Proportion d'applications classées comme malveillantes et non malveillantes par VirusTotal Malveillantes Non malveillantes
6
100%
5.27
5 4.85
4.64
4.34 4.37 4.28 80%
3.88
4
60%
2.91
3
2
40%
1 20%
0
Mobile Application Security WebApp Autres 0%
2016 2017 2018 2019 2020 2021 2022
Àlafindel’année,deuxsemainesseulements’écoulaiententre
Patchs et versions la publication d’une nouvelle version et son adoption par 60 %
Le processus d’application des patchs devient aussi important des utilisateurs d’iOS. Seuls 10 à 20 % des utilisateurs d’iOS
dans l’univers mobile que dans les environnements traditionnels restentdanslalonguetraînesanseaectuerdemiseàjour.
des postes de travail et serveurs. Avec la découverte de
ChezAndroid,surunepériodedemois, 8 seulsdes
% 03
nouvelles vulnérabilités, la résolution des problèmes avant
utilisateurs ont adopté la nouvelle version principale, Android
qu’ils ne soient exploités donne lieu à un véritable jeu du chat
13. L’explication la plus probable est que les versions du
et de la souris. Dans l’univers mobile, ce n’est possible que
système Android doivent passer par l’intermédiaire de chaque
Conclusion
si l’utilisateur souhaite s’impliquer. S’ils décident de ne pas
fournisseur et parfois des opérateurs mobiles, qui ajustent
mettre à jour leur appareil, ou si l’appareil est trop ancien,
etapprouventlesmodifications.Denombreuxutilisateurs
les utilisateurs ne sont plus protégés. Nous avons déjà évoqué
sont donc bloqués sur d’anciennes versions jusqu’à ce qu’ils
l’homogénéité d’iOS, mais la situation devient encore plus
puissent télécharger la nouvelle version sur leur téléphone.
évidente en observant l’évolution de l’ensemble des versions
La longue traîne des utilisateurs qui n’ont pas adopté les 3
d’iOS, comme ci-dessous. Chaque couleur représente une
dernièresversionsestdeà0 2 sur % 0 3 l’année,unchiarebien La sécurité des appareils mobiles n’est probablement pas une priorité pour
versiondiaérented’iOSetlesvagues « »d’adoptionsuiteàla
plus important que pour iOS. la plupart de nos lecteurs professionnels et elle ne doit pas le devenir. Pourtant,
publication des nouvelles versions sont clairement visibles.
Dans l’environnement Android, cette dispersion des les entreprises intègrent progressivement la sécurité mobile à leur inventaire
D’ailleurs, iOS a gagné en homogénéité cette année,
probablement en raison d’un plus faible nombre de mises à jour.
responsabilités liées aux patchs génère la courbe relativement des risques.
plate des mises à jour que nous pouvons observer ci-dessous.
Quatre menaces majeures se dessinent dans le paysage de la sécurité mobile :
Répartition des versions iOS 1. l’accès direct ou physique à l’appareil d’un individu, par exemple par les
Présence des différentes versions d’iOS et vitesse d’application des mises à jour 16.1 (current) 16.0.1 16.0 15.7
100%
autorités, par un partenaire jaloux, ou par un criminel après un vol ;
15.0.1
90% 15.2 15.3 2. les applications malveillantes contenant des exploits et des portes
15.0
80% 15.0.2
dérobées, distribuées via des marketplaces légitimes ou des référentiels
15.1.1
privés ;
70%
15.2.1
60%
15.3.1
3. les vulnérabilités présentes dans des applications légitimes, qui peuvent
15.6.1
50%
15.1 15.4.1
15.5 15.6 être exploitées pour compromettre des données sensibles ou l’appareil
14.8
en lui-même ;
40% 14.7.1
14.8.1
30% 15.4
4. les vulnérabilités qui permettent une exécution de code à distance avec
20%
14.7 ou sans implication de l’utilisateur.
14.6
10%
Les menaces n°2 et 3 sont les plus présentes aujourd’hui. Nos données
rsions
suggèrent qu’environ 30 % des apps que nous évaluons pour nos clients
0%
contiennent des vulnérabilités que nous considérons comme « graves.»
1
21
21
2
Associées aux problèmes des API et aux erreurs de sécurité des fournisseurs
02
02
02
02
02
02
02
02
02
02
02
20
20
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
0.
2.
1.
07
.11
09
09
04
05
6
03
8
2
.1
.0
.1
.0
.0
.0
de plateformes, les apps mobiles font courir un risque considérable à la

.
.
.
.
.
.
18
18
18
18
18
18
18
18
18
18
18
18
18
confidentialitédenosdonnées.
Répartition des versions Android
updates applied? 13 (current) 12.0.2 12.0 11.1 La question des vulnérabilités propres aux systèmes d’exploitation mobiles
Présence des différentes versions d'Android et vitesse d’application des mises à jour 13 (current) 12.0.2 12.0 11.1
attire lentement mais sûrement l’attention, et c’est l’objet principal de ce
100%
Android 9 chapitre.
90%
80%
Android 8.0.0 La comparaison des deux principaux OS mobiles n’est pas aisée et génère des
Android 7.0 biais majeurs en fonction de la perspective adoptée. Nous encourageons nos
70%
Android 12 lecteurs à envisager rapidement cette problématique pour se préparer à réagir,
60% dans un futur proche, lorsque la gestion des vulnérabilités des téléphones
50%
Android 11 mobiles professionnels sera une exigence de sécurité fondamentale.
40%
30%
20%
Android 10
10% Android 12
0%
1
21
21
2
02
02
02
02
02
02
02
02
02
02
02
20
20
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
0.
2.
07
.11
01
09
09
04
05
06
03
08
02
.1
.1
.
.
.
.
.
.
.
.
.
18
18
18
18
18
18
18
18
18
18
18
18
18

112 Security Navigator 2023 Avisdenosexperts:AfriqueduSud 113
La théorie de la pensée Vous pouvez également vous poser de nombreuses questions pour développer votre métacognition dans les trois
Undéfimentalpourlesresponsables
phases de la pensée. Envisagez la méthode suivante :
Planification
de la sécurité Cette phase est courante pour se préparer
àunesituationouàunesessiondeplanification
Posez-vous les questions suivantes :
▪ Ai-je déjà connu une situation
similaire par le passé ?
stratégique. Le résultat de cette phase de
Dans un monde interconnecté qui ne s’arrête jamais, les responsables de la sécurité doivent
réflexiondéterminevotrepland’actionmental. ▪ Quel est mon objectif ?
releverunredoutabledéfi,celuideprotégerlesentreprisescontreunlargeéventaildemenaces.
Leurmission:identifierlesmenacespotentielles,évaluerleurimpactetétablirdesstratégies ▪ Par quoi dois-je commencer ?
d’atténuationréactivesouproactives.Ainsi,vousdevezêtrecapabledeporterunregardcritique
sur les enjeux rencontrés à votre poste de responsable de la sécurité et de prendre des décisions
qui pourraient changer le destin de votre entreprise. Dans la sphère actuelle du leadership, Posez-vous les questions suivantes :
Contrôle
la capacité à analyser et à développer un esprit critique est devenue une compétence essentielle. Cette phase se déroule lorsque vous êtes dans ▪ Ai-je choisi la bonne approche ?
unesituationouquevouspréparezunetâchede
Ulrich Swart, Training Manager & Technical Team Leader, Orange Cyberdefense
planification.Àlafindecettephase,vousdevez ▪ Quepourrais-jemodifier?
être capable d’évaluer votre position. ▪ À qui puis-je demander de l’aide
Réfléchiràsafaçondepenser Améliorer sa théorie de la pensée ou un retour ?
Avez-vousdéjà« réellement
»réfléchiauxraisonspour Explorer l’inconnu
lesquellesvouspensezainsietpasautrement?
Àtraversuneréflexioninterne,identifiezvospointsfaibles.Vousne Posez-vous les questions suivantes :
Ou comment votre cheminement de pensée vous a-t-il
▪
Évaluation
pousséàfaireleschosesdiaéremment? pouvezpassavoircequevousnesavezpas.Prenezconscience Qu’est-ce qui a bien fonctionné
Cette phase fait suite à la gestion d’une situation
devospropreslacunesenmatièredeconnaissancesetapprenez et pourquoi ?
Chaque jour, nous prenons près de 35 000 décisions ou d’une tâche. Elle vous permet de formuler
à vous appuyer sur les autres ou sur des sources extérieures pour
semi-cognitives. Parmi celles-ci, 122 sont des décisions améliorer vos approches.
des retours et des approches pour appréhender ▪ Qu’aurais-je pu améliorer ?
des situations similaires dans le futur.
informéesdécoulantd’uneréflexionconsciente.Entant
que responsable de la sécurité, vos choix ou vos Comprendre ce qui est connu
▪ Puis-je appliquer cette approche
dans des situations futures ?
conclusions peuvent entraîner des répercussions sur Analysezrégulièrementvosexpériencespasséesetlafaçon
la sécurité de milliers de personnes. dontvouslesavezgérées.Faitesconfianceauxapproches
Nous devons analyser notre façon de penser, notre façon quiontdéjàfonctionné.Netentezpasderectifierquelquechose
d’aborderlesprocessuscognitifsetfinalement, qui fonctionne. Si votre approche a fonctionné dans des situations
de prendre des décisions ou d’agir. C’est tout l’enjeu similaires,recommencez!
de la métacognition*.
Se dépasser
Posez-vouslesbonnesquestionspourdéveloppervos
méthodologiesderéflexion.Remettezenquestionvosréflexions
Penser comme un leader antérieuresetlesdécisionsquienontrésulté.Évaluezlesimpacts
positifsetnégatifsetdéterminezcommentvousauriezpumodifier Enrésumé,vouspouvezremettreenquestionetaméliorervotrethéoriede
Les responsables de la sécurité prennent constamment votre approche pour changer le résultat. lapenséedeplusieursfaçons.Essayeztoujoursd’êtreunmeilleurleader,
des décisions pouvant avoir de graves conséquences. Ils unemeilleureversiondevous-même.Maispourcela,vousdevezdévelopper
doiventêtrecapablesderéfléchiràleurpropreprocessus Définirdesobjectifsmentaux la métacognition.
de décision. Être un bon leader, c’est aussi savoir Envisagezlesobstaclesmentauxpotentielsauxquelsvouspouvez
évoluer par soi-même. La métacognition peut aider les êtreconfrontéetdéfinissezdesobjectifspourvousypréparer. Voicitroisdéfisàintégrerdansvotreboîteàoutilsduleadership:
responsablesàidentifierlespréjugésouleserreursde Vousaaronterezcesobstaclesaveclebonétatd’espritsivous
réflexionetàappliquerlesajustementsattendus. vous êtes exercés à les surmonter. Défin°:1 étudiezrégulièrementvospensées. Appliquezdesapprochesdemétacognition
pourévaluervosprocessusderéflexioneteaacervosraisonnementsincorrects,tardifsou
Elle peut également leur permettre de mieux résoudre les
Préparersaréflexion biaisés.Exercez-vousàappliqueractivementvosapprochesderéflexionamélioréespour
problèmes.Vousdevezêtreconscientdevosprocessus
Lorsquevouslepouvez,préparez-vousmentalementaux créer de nouveaux cheminements mentaux.
cognitifspourapprendreàidentifierdesschémasettrouver
des solutions créatives à des problèmes complexes. scénariosfuturs.Établissezunpland’actionàsuivreaumoment
Défin°:2 améliorezvotreapproche. Laissezlesautrestestervotreréflexion.Lesmentors,
venupouraccroîtrevotrecapacitéderéflexionetvotrebien-être
Entantqueresponsabledelasécurité,vousdevezprendre les pairs ou les membres de votre équipe sont de véritables atouts pour améliorer vos
mental.
encomptevospropresprocessusderéflexion.Réfléchissez processusderéflexion.Demandezdesretoursouautorisezlespersonnesautourdevous
àvosdécisionsetdécouvrezcequevouspouvezfairepour Contrôler la performance àremettreenquestionvosapproches,apprenezdeleurscommentairesetmettez-lesen
vous améliorer. pratique.
Faitesunbilanpersonnelaubeaumilieudelasituation.Déterminez
sitoutsepassecommeprévuafinderéfléchiractivementà Défin°:3 continuezàapprendre. Necessezjamaisd’acquérirdenouvellesconnaissances.
mm eune« réflexion vosapprochesetéventuellementdelesmodifieravantque
tionse d éfin itco Plusvousensavez,plusvousaurezdefacilitéàappréhenderdesscénariosetdessituations.
La métacogni ir
im pliqued’avo lerésultatnesoitfigé.
*
dep en se ». r
Elle de Apprenezdenouvellescompétences,approfondissezdesétudesdecas,écoutezvospairset
sursafaçon oc es sus cognitifs et
ses propres pr réseautezaveclespersonnesquivousinspirent.Chaquejournéeestunenouvelleopportunité
conscience de améliorer sa
aiss an ce de soi pour Demander un retour d’apprendre.
faire appel à la co nn e façon
d’ au tre s termes, c’est un Discutezavecd’autrespersonnespourobtenirdesinformations
façon de pens
er. En éflexionet
r o p r es p rocessusder etidentifierdespointsd’amélioration.Lorsquevousrecevezces Cesnombreuxdéfisdevraientvouspermettrededéveloppervosapprochescognitives.En
sp
deréfléchiràse m en ts nécessaires. retours, exploitez-lesréellement.Lesapprochesetlesméthodologies findecompte,vospenséesvouscontrôlent,maisvouscontrôlezaussivospensées.Alors,
ajuste
de réaliser les des autres peuvent vous aider à accéder au niveau supérieur. façonnez-lesàvotremanièrepourentirerlemeilleurparti!

114 Security Navigator 2023 Prédictions en matière de sécurité 115
José Araujo
GlobalChiefTechnologyObcer
Orange Cyberdefense
Prévisions en matière de cybersécurité
En avant toute !
Leprésentinfluencelefutur,toutcommelepassénousainfluencés!
Lorsque j’ai été invité à me prêter à l’exercice des prévisions,
unephrasem’estvenueàl’esprit:àquoidevons-nousêtre
préparés, au juste ?
Dans cet article, je présente certains éléments clés que tout RSSI
doit prendre en compte dès aujourd’hui pour se préparer à l’avenir.
Ces éléments concernent plusieurs aspects de leur métier.
▪ La meilleure approche pour construire un système d’information
sécurisé,
▪ Lanotiondeconfianceettouslesenjeuxjuridiquesassociés,
▪ Trois domaines stratégiques qui nécessitent une attention
particulière, car ils deviendront les cibles de fréquentes attaques,
▪ Trois thèmes que toute organisation doit envisager pour anticiper
l’avenir.
Jevousinviteàprendreletempsd’approfondircessujets!

116 Security Navigator 2023 Prédictions enSecurity
matière Predictions
de sécurité 117
Une évolution
Revenons un peu en arrière inévitable des
Il y a soixante ans, il était déjà possible d’envoyer des
tâches à un ordinateur distant qui les exécutait sur
architectures
le principe du temps partagé. Les ressources étaient
louées et partagées pour réduire les coûts.
Les années 2000 ont donné naissance au cloud
computing. Ce modèle change la façon dont l’informatique Nous sommes actuellement dans un entre-deux.
est gérée et consommée du point de vue de la sécurité.
Les produits de sécurité restent des éléments clés dans
Le modèle de sécurité périmétrique devient entièrement
n’importe quelle politique de sécurité, mais ils ne sont
obsolète dans le cloud.
plussubsants.Lanotiondesécuritépérimétriqueatteint
Jusqu’en 2019, les organisations n’avaient pas ses limites lorsque les salariés sont mobiles et qu’un
massivement adopté ces technologies, et ce pour nombre croissant de services est hébergé en dehors
diverses raisons. Tout d’abord, la migration de systèmes des datacenters de l’entreprise.
et d‘applications existants dans le cloud peut s’avérer
complexe et coûteux. Cela nécessite de repenser
Lois et régle-
complètement la sécurité traditionnelle basée sur d’anciens Que se passera-t-il demain ? mentations :
conceptsde« fortifications ».Dansuneforteresse,les
douvesetlesrempartsjouentlerôledefiltres.Lesactivités
Nous devons changer notre façon de penser la
cybersécurité. Il est primordial de réduire le niveau de un critère L’Europe s’est réveillée et un grand mouvement est
lancé. Le cadre juridique a évolué ces dernières années,
internesabritéesàl’intérieurdecesfortificationsétaient confianceimplicitequenousplaçonsdanslesutilisateurs
considérées comme saines. Les éléments extérieurs etdanslesfluxdedonnées. Le Zero Trust représente
croissant d’abord dans certains pays, puis au niveau européen.
Les problèmes de protection de la vie privée ont été
n’entraient pas en ligne de compte et lorsque les pare- l’avenir. de sélection adressés, puis plus récemment, les enjeux économiques
feuxétaientcorrectementconfigurés,onconsidéraitque et de cybersécurité, également, ce qui donne le jour à
lesressourcesinternesdonnées ( etordinateurs)étaient Attention malgré tout, car mal interprété ou mis en œuvre, de nouvelles réglementations et initiatives.
protégées.Aucuneprotectionspécifiquen’étaitalors ce concept peut rendre un système plus vulnérable. Les
déployée à l’intérieur de l’enceinte. nouvelles et nombreuses solutions logicielles multiplient
eneaetlerisquedepertedecontrôle,parrapportaux
Confianceettechnologie Évolution du cadre juridique
solutions physiques. Elles peuvent accroître le risque
Où en sommes-nous aujourd’hui ? d’erreursdeconfigurationoulaprésencedevulnérabilités Les menaces grandissantes nécessitent de reconsidérer En France, l’Agence Nationale de la Sécurité des
que les attaquants pourront alors exploiter. lafaçondontlaconfianceestobtenue.Ilestnécessaire Systèmesd’InformationANSSI) ( arevusonprogramme
Le cloud n’est plus une option. Le sujet pourrait revenir decertificationetdequalificationencybersécurité
detrouvercetéquilibredélicatentrelaprotectionoaerte
un jour mais la pandémie de COVID-19 est parvenue à L’adoption d’un modèle Zero Trust et de l’architecture SecNumCloud
( v3afin
) 2. d’yincluredesexigences
parlessolutionsdesécuritéetlaconfianceaccordée
remettre en question nos méthodes de travail. associée ne doit en aucun cas remplacer le contrôle des sur l’emplacement des données et des mécanismes
aux salariés, aux sous-traitants et aux fournisseurs
terminaux utilisés pour accéder aux ressources et aux de protection contre les lois extraterritoriales. D’autres
Les utilisateurs sont désormais partout. Ils exigent de solutions. Sans oublier la prise en compte des cadres
services. L’application des principes de la gestion des pays envisagent des actions similaires et l’ENISA
d’avoiraccèsauxdernièressolutionsettechnologies: juridiques qui peuvent s’appliquer.
risques reste incontournable. travailleactuellementsurunSchéma« decertification
logiciels professionnels, outils de bureautique classiques
et collaboratifs ou d’autres services tels que la La transition vers le Zero Trust doit être progressive et desservicescloud»EUCS)( Bien
. qu’ilsoittroptôtpour
vidéoconférence. L’utilisation des données a explosé, contrôlée pour garantir la protection des données et La souveraineté, tirer des conclusions de leur travail, ces problématiques
devront probablement être prises en compte dans
stimulant la demande de bande passante et la nécessité des ressources. une notion délicate un avenir proche.
de se reposer sur des architectures solides.
La souveraineté est un concept politique. De façon
générale, il correspond à la capacité, pour un
gouvernement, à élaborer des lois et à être à l’abris Évolution des positions
de toute interférence extérieure. Au tout début, les grands acteurs du numérique étaient
Pouruneentreprise,ledéficonsisteàobtenirdesgaranties réticents,maisilsontfiniparrejoindrelemouvement.
sur les données dont elle est responsable, en conformité Plusieurs initiatives ont vu le jour, toutes visant à fournir
avec les lois des pays dans lesquelles elles sont stockées, desniveauxdegarantiessubsantesenmatièrede
mais également avec toute loi extraterritoriale applicable, sécurité et d’immunité. Les hyperscalers commencent à
quel qu’en soit la raison. L’origine de l’entreprise fournissant lancer leurspropresoares.Certainsinvitantleursclients
le service en est une parmi tant d’autres. àchoisirl’endroitoùilssouhaitentstockerleursdonnées.
D’autres proposant des mécanismes garantissant l’accès
L’avenirserafaitdecetterecherchedeconfiancedans aux données uniquement sur autorisation du client, sur le
le respect des enjeux de souveraineté. principeduBring « yourownkey »BYOK)
( .
Cesapprochesprésententtouteslemêmepointfaible:
Une prise de conscience récente c’est le prestataire cloud qui exécute le service. Un
certain degré de sécurité est garanti pour les données
Les États-Unis font partie des pays qui ont pris en
stockées ou transmises mais qu’en est-il de la protection
compte ce risque depuis longtemps. Leurs institutions
des données pendant leur traitement ?
gouvernementales sont capables de se reposer
uniquement sur des solutions et des fournisseurs Denouvellesoares,baséessurdestechnologies
nationaux. Une tâche aisée étant donné le nombre de identiques,émergent,àladiaérencequ’ellessont
sociétés spécialisées dans le numérique et la cybersécurité opérées par des entreprises indépendantes et sur
présentes sur leur territoire. lesquelles les lois extraterritoriales ne s’appliquent pas.

118 Security Navigator 2023 Prédictions en matière de sécurité 119
Systèmes industriels Une activité (plutôt) habituelle

Il y a quelques décennies, les infrastructures critiques Les attaques par ransomwares ont défrayé la chronique ces dernières années, notamment parce
fonctionnaient de manière isolée. Avec leurs protocoles de que leur impact et leur fréquence n’ont cessé d’augmenter. Contre toute attente, ce type d’attaque
contrôle propriétaires, leur matériel et leurs logiciels spécialisés, s’estraréfiécesderniersmois,danslemondeentier.
elles avaient peu de choses en commun avec nos systèmes Une meilleure compréhension des méthodes utilisées et de cet écosystème, ainsi qu’une
informatiques modernes. Aujourd’hui, elles sont de plus en plus organisation et une collaboration accrues des autorités ont eu un impact positif dans la lutte
complexes et interconnectées. Une panne ou une attaque peut contrecescybercriminels.Lecontextegéopolitiqueetlesfluctuationsdescryptomonnaies
entraîner une réaction en chaîne dévastatrice. En raison de leur
De nouvelles conception et leur cycle de vie, la plupart des systèmes sont
peuvent également expliquer cette diminution. Cependant, il y a peu de chances que les
ransomwares quittent le top 3 des cybermenaces. Comme nous l’avons vu précédemment,
cibles de choix encore basés sur des composants dépassés d’un point de vue
sécurité et présentant des vulnérabilités connues.
laprincipalemotivationdescybercriminelsestlarecherchedeprofit:lesattaquespar
ransomwares sont l’une des approches les plus lucratives.
De nombreuses attaques contre ces systèmes ont été Pourrappel,laméthodologieaévoluéaufildutemps:
détectées et peuvent avoir un impact sur le monde réel.
▪ L’extorsionétaitinitialementbaséesurlechiarementdesdonnéesutilisateur,cequi
Tout est une question d’objectif Les cyberattaques sur les infrastructures critiques ciblent
généralement les systèmes de contrôle industriel plutôt que
Du renouveau permettaitd’exigerunerançonenéchangedelaclédedéchiarement.
Les deux principales motivations des cybercriminels sont lesdonnées.LerécentconflitopposantlaRussieetl’Ukraine ancien ▪ Lesattaquantsontensuiteimaginéunesolutionpouraugmenterleursprofits.Avantde
l’argent et l’accès à l’information. Microsoft Windows était a souligné les risques qui pèsent sur ces infrastructures. Des chiarerl’ensembledesdonnées,ilsexfiltrentlesdonnéessensiblesdusystèmedelavictime,
le système le plus ciblé les attaquants car la découverte attaques visant ces cibles pourraient avoir un impact à l’échelle ce qui leur donne un levier supplémentaire pour être payés. Ces données sont utilisées
d’une vulnérabilité, exploitable sur des millions de systèmes, mondiale et menacer l’ensemble de la population. Le nombre pour accentuer la pression exercée sur la victime. Si cette dernière ne paie pas la rançon,
leur fournissait un meilleur retour sur investissement. d’attaques contre ces systèmes critiques et essentiels va elles sont divulguées sur des forums publics.
Leursmotivationspeuventnéanmoinsêtrediaérentes.Certains
certainement augmenter. ▪ Enfinle
, conceptdetripleextorsionestapparurécemment.Lesattaquantscontactent
directementlesfournisseursoulesclientsidentifiéspourleurdemanderunerançon,sous
attaquants cherchent à détruire des systèmes ou à déstabiliser
la menace de la publication de leurs données. Pour ajouter de la pression, ils utilisent des
une entreprise ou la société dans son ensemble, pour des Internet des objets attaques par déni de service distribué ou contactent leurs cibles par téléphone.
raisons politiques ou économiques plus larges. C’est le cas
des hacktivistes ou des attaques soutenues par des États. et systèmes embarqués Les demandes de rançon ne risquent donc pas de disparaître et ce type d’attaque
Tout comme les systèmes industriels, les appareils continuera à se développer.
Le nombre de ces attaques, visant des systèmes
d’informationspécifiques,dansunbutautrequefinancier, connectésreprésententundéfiparticulierenmatièrede
sécurité. Constamment connectés par nature, ils disposent
est voué à augmenter.
généralement d’une faible puissance de calcul et sont souvent Cyber assurance
situésdansdesenvironnementsoùl’applicationdebonnes Les débats font rage au sujet de la légalité du paiement des rançons aux criminels.
Les terminaux mobiles : pratiques de sécurité s’avère complexe. Les fabricants de ces
La plupart des autorités publiques impliquées dans la lutte contre le cybercrime accusent
appareils doivent gérer les données avec prudence, car elles
une mine d’or peuvent contenir des informations personnelles ou sensibles. les assureurs de faire le jeu des attaquants en acceptant de payer les rançons. Elles appellent
Le marché gris est un cas d’étude intéressant pour comprendre C’est la raison pour laquelle la Commission Européenne a majoritairement à un arrêt pur et simple de cette pratique. Aujourd’hui, dans la plupart des pays,
l’importance de certaines cibles. Sur ce marché, des acteurs récemmentproposéla« loisurlacyber-résilience »,afinde le paiement d’une rançon ne constitue pas un délit et le paiement par l’assureur est considéré
proposent d’acheter des vulnérabilités permettant à un définirdenouvellesrèglesdecybersécuritéapplicablesàtous comme un transfert de risque. Par ailleurs, le remboursement systématique par les assureurs
attaquant de pénétrer l’appareil mobile d’un utilisateur, sans les appareils numériques vendus dans l’UE. des coûts de la restauration des données fera exploser le montant des déclarations, qui sera
aucune interaction avec la victime. Les tarifs varient d’une répercuté sur les tarifs d’assurance.
Dans le même temps, les nouvelles réglementations 155 et 156
plateformeàl’autre,maislesplusebcacespeuventse Il faut s’attendre à ce que les débats se poursuivent sur la façon de couvrir les cyber-
de l’UNECE ont été adoptées et exigent respectivement la mise
monnayer jusqu’à 2,5 millions de dollars. risques, quelles en sont les conséquences et quels paiements doivent ou ne doivent pas
en œuvre d’un système de gestion de la cybersécurité et d’un
Chaque année, plus de 1,5 milliard de smartphones sont système de gestion des mises à jour logicielles pour le secteur être légaux. Ces échanges vont se poursuivre et des retournements de situation sont
vendusdanslemonde,pourdesutilisationsdiversesetvariées: automobile. à prévoir.
paiements,authentificationàdoublefacteuretcommunications
Ces diverses réglementations forceront les fabricants à se
professionnelles, entre autres ce qui en fait une cible privilégiée
mettre en conformité. Pourtant, il ne fait aucun doute que Cybersécurité et les fusions - acquisitions
et le nombre d’attaques va continuer à augmenter.
ces plateformes resteront des cibles attractives pour les L’impact d’une cyberattaque est si important qu’environ 60% des PME mettent la clé sous
attaquants, ou le deviendront de plus en plus à l’avenir. la porte dans les six mois suivant celle-ci[58]. Il est important de comprendre l’exposition au
risque d’une entreprise, même pendant un processus de fusion et acquisition. Plusieurs aspects
sont à prendre en compte, notamment le niveau de maturité et de préparation, mais également
les problèmes de sécurité et les fuites de données passées. La réalisation de telles analyses est
complexeaujourd’hui,maisceladevraits’organiseretdevenirunréflexeetuneétapeessentielle
dans tout processus de prise de décision.
Cette préoccupation devient un sujet au niveau du comité de direction et deviendra
un critère d’évaluation des opportunités dans le cadre du processus de fusion et
d’acquisition.

120 Security Navigator 2023 Ce que nous avons appris 121
Résumé
Ce que nous Sara Puigvert
avons appris EVP Global Operations

Orange Cyberdefense
Cette année nous a réservé beaucoup de surprises. L'imagedemarquedugroupeContiaétéjugéetoxique" " delaguerre.Cen'estunsecretpourpersonnequelaplupart travail.Celasignifiequelespolitiques,lesforcesdel'ordreet
au sein de la communauté cybercriminelle après que ses de ces attaques sont menées par des personnes originaires les puissances économiques ont reconnu le problème et ont
Alorsquenousétionshabitués,d'unemanièreoud'une
discussions internes aient été divulguées au public à la des anciens pays de la Communauté des États indépendants, collectivementcommencéàlecontrer.Etcelasignifieque
autre, à faire face aux mauvaises nouvelles, cette année a
suite de sa décision de se ranger publiquement du côté etilsemblequecesgroupesaientétédistraitsd'unemanière les mesures que nous avons prises portent leurs fruits.
étédibcileàuntoutautreniveau.Dansuncontextedecrise
delaRussiedanslaguerrecontrel'Ukraine.Finalement, oud'uneautreparl'impactdelaguerre.Ilsontfiniparrevenir
permanente,ilestimportantd'éviterlaparalysiefaceaux Nous sommes en train de gagner certaines batailles. Nous
une série d’échecs a conduit le groupe à se dissoudre, aubusiness"
" mais
, nousn'avonsrienconstaterdeplusau-
problèmes. devonspoursuivrel'eaortcollectifpourquecettetendance
avec un impact éphémère sur le nombre de victimes. delà de ce qui existait déjà.
perdure,carnouspouvonsconstaterqu'ellefonctionne.
Aucontraire,nouspensonsqu'ilestencoreplusimportant Malheureusement,maissanssurprise,lesabliésdeConti
Alors,qu'est-cequecelasignifiepournotrecybersécurité?
d’accueillir et de valoriser les bonnes nouvelles. sesontrapidementtournésversd'autresgroupesde Et cela nous rapproche un peu plus de l’objectif de construire
La sécurité est toujours une cible mouvante, une chasse
Ransomware-as-a-serviceLockbit
( oud'autresplusrécents une société numérique plus sûre.
En examinant de plus près les données de ce rapport, nous constante. Avons-nous progressé ? Avons-nous trouvé
commeBlackBasta,BlackByte,Royal,Mais,
.). . bienque
trouvons de réelles tendances positives. notre solution miracle ? Malheureusement, non. Mais cela
temporaire, cela a perturbé leurs opérations.
signifiequenousvoyonslerésultatd'untravailacharné,
Commençons par le sujet des vulnérabilités.
Les attaques très médiatisées aux États-Unis ont attiré d’uneimplicationconstanteetd'unefortevolontédedevenir
Eaectivement,nousconstatonstoujoursqu'ungrandnombre l'attentiondesagencesderenseignement,desrégulateurset plus mature dans notre vie numérique et notre espace de
de "vulnérabilités révélées" ne sont en général pas corrigées desforcesdel'ordreetontsuscitédesinquiétudesauseinde
très rapidement, même si un patch est disponible. Mais lacommunautécybercriminelle,quin'appréciepasd’êtreau
nous constatons également que le temps nécessaire à la cœur des attentions. Cette situation peut inciter les acteurs
correction des vulnérabilités critiques a tendance à diminuer àfreinerleursactionscompromissionsoud'extorsion
et que cela continuera probablement ainsi si les entreprises des victimes aux États-Unis et au Canada.
adaptent des stratégies de correction basées sur le risque.
Lesrégulateursontrendulaviedibcileauxfournisseursde
Nos pentesters réussissent toujours à pénétrer les dispositifs services de crypto-monnaies connus pour être populaires
de sécurité de nos clients, mais ils mettent plus de temps et auprèsdesacteursdel'extorsion.Enseptembrepar , 1 20
doivent travailler plus dur pour y parvenir. exemple,l'ObceofForeignassetsControlOFAC) ( duTrésor
américain a annoncé que la bourse de crypto-monnaies Suex
Le nombre d’incidents par client a également diminué en
avait été ajoutée à la « Specially Designated Nationals And
passant de 40 à 34 ce qui est une nouvelle satisfaisante.
BlockedPersonsList »SDN)
( interdisantainsiauxAméricains
Cela doit cependant être nuancée sur le plan de la pérennité
defairedesaaairesaveccettesociété.Larestrictiondeces
et compte tenu de notre base de clients en constante
acteurs "néfastes" pourrait rendre la cyber-extorsion plus
évolution et augmentation.
dibcileàmonétiser.D'autresinterventionscoordonnéesdes
Enfin,examinonsl'impactdelaguerreenUkraineetdela services de répression et du FBI, comme le démantèlement
vulnérabilitédeLog4j:touslesacteursdanslepaysage réussidel'infrastructuresoutenantleRaccoonInfostealer,
cybernétique cherchait à se protéger d’un potentiel «cyber- peuvent également avoir
Tsunami ». un impact.
Ces événements ont eu un impact, mais maintenant que le Lacyberassuranceestplusdibciled'accès.Ilestfréquent
souceestquelquepeuretombé,nouspouvonsconclure de voir les acteurs de la menace faire référence à la police
quel'impactauraitpuêtrebienpire.Eneaet,àlalecturedu d'assurancecyberdelavictime.Desdélinquantsontavancé
rapportdenoscollèguesduCERTenPologne,c'esttoutle quelesdemandesd'extorsionseraientcouvertesparune
contrairequis'estproduit.Silesactivitésdeshacktivistesontpoliced'assurance.DanslerapportThe " stateofransomware
augmentédanslemondeentier,nousn'avonspasencore Sophos
, "02 indiquequepour94des
% incidentsoù
constaté de dommages collatéraux dévastateurs en dehors une rançon est versée, le paiement était couvert par une
despartiesimpliquéesdansleconflit.Iln'yapaseude assurance.
deuxième Wannacry, ni de NotPetya détruisant des milliers
Bienquel'augmentationdelacybercriminalitéaitentraîné
d'entreprisesdanslemonde.
desvaguesdenouvellesdemandesd'indemnisationplus
Nouspensonsqueceschangementspeuvents'expliquerpar importantes, le secteur de la cyber assurance a réagi
« Nous sommes en train de gagner certaines batailles.
unecombinaisondediaérentsfacteurs. récemment.Ilsepeutqu'enl'absencedepaiementde Nousdevonspoursuivrel'eaortcollectifpourquecette
rançons,lescriminelsaientplusdemalàgagnerdel'argent. tendance perdure, car nous pouvons constater qu'elle
Toutd'abord,lesciblesdeviennentmoinsvulnérables.Des fonctionne.
eaortsmassifsontétédéployés,notammentenAmérique Comme nous le mentionnons dans notre section concernant
du Nord, au Royaume-Uni et en Europe occidentale, pour l'Ukraine,nousconstatonsquel'activitécybercriminelle Et cela nous rapproche un peu plus de l’objectif de
améliorer la posture de sécurité des entreprises. Il se peut visant les internautes polonais a considérablement diminué construire d'une société numérique plus sûre. »
queceseaortsportentleursfruits. d'
( environpendant
% 05 quelquessemaines)depuisledébut Sara Puigvert, EVP Global Operations Orange Cyberdefense

122 Security Navigator 2023 Contributions, sources & liens 123
Contributeurs, sources & liens

[3]
2 https:/securityaaairs.
/ co/wordpress/hacktivism/
/ 6 7 58 2 1 anonymous-causes-damages-to-russia.html
Sources [33] https:/www.
[3]
/ businessinsider.in/tech/news/Google-and-tripadvisor-disable-restaurant-reviews-in-russia-after-they-were-
flooded-with-protests-against-the-ukraine-invasion/articleshow/9978cms
4 https:/www.
/ france2com/
.4 en/live-news/musk-
- 720 2
7. 3 7
activates-starlink-internet-service-in-ukraine
[3]
5 https:/www.
/ csoonline.com/article/how-
/ 5 86 1 56 3 security-vendors-are-aiding-ukraine.html
Ce rapport n’aurait pas pu être rédigé sans le travail fastidieux de nombreux chercheurs,
[3]
6 Mitre,“Matrix–Enterprise|MitreATT&CK,”[Online].Available:attack.mitre.org/matrices/enterprise/.[AccessedJanuary
13
journalistes et entreprises du monde entier. Nous leurs sommes reconnaissants pour 2022].
toutes leurs publications disponibles en ligne. C’est avec un grand intérêt que nous [3]
7 https:/www.
/ cert.ssi.gouv.fr/cti/CERTFR--CTI-
20 / 10
les avons utilisées comme référence et contexte. [3]
8 https:/www.
/ proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-
- mil
itary-emails
Sources/links [39] https:/www.

/ eset.com/int/about/newsroom/press-releases/research/eset-research-ukraine-hit-by-destructive-attacks-be-
fore-and-during-the-russian-invasion-with-hermet/
[4]
0 https:/www.
/ bleepingcomputer.com/news/security/viasat-shares-details-on-ka-sat-satellite-service-cyberattack/
[1] https:/en.
/ wikipedia.org/wiki/Survivorship_bias [4]
1 https:/www.
/ fortinet.com/blog/threat-research/pivnoxy-and-chinoxy-puppeteer-analysis
[2] https:/www.
/ verizon.com/business/resources/reports/dbir/ [4]
2 https:/ics-
/ cert.kaspersky.com/publications/reports/targeted-
/ 8 0 /2 0 attack-on-industrial-enterprises-and-public-institu
-
[3] https:/en.
/ wikipedia.org/wiki/Back_Orifice tions/lkyvqfi8
# ftflu9
57
[4] https:/en.
/ wikipedia.org/wiki/Metasploit_Project [4]
3 https:/website.
/ kennasecurity.com/wp-content/uploads/Prioritization_to_Prediction_Volume_6
/2 1 / 0 2 ___Attacker_Defend
-
er_Divide.pdf
[5] https:/attack.
/ mitre.org/software/S0/45 1
[44] [back to P66] [back to P73] [back to P85] [back to P107]TheCommonVulnerabilityScoringSystemCVSS) ( isapublicframe -
[6] https:/www.
/ orangecyberdefense.com/za/blog/threat/cyber-extortion-cy-x-the-actors-and-the-victims workforratingtheseverityofsecurityvulnerabilitiesinsoftware.Itisapplicationandvendorneutral,enablinganorgani
[7] https:/www.
/ orangecyberdefense.com/global/blog/do-ransomware-threat-actors-know-that-their-activities-are-criminal to score its IT vulnerabilities across a wide range of software products – from operating systems and databases to web appli-
[8] https:/www.
/ bbc.com/news/technology-9365 3 7 cations – using the same scoring framework.
[9] https:/www.
/ reuters.com/technology/russia-based-ransomware-group-Conti-issues-warning-kremlin-foes-/5 2 - 0 2 [4]
5 LawrenceE.CohenandMarcusFelson.1979.Socialchangeandcrimeratetrends:Aroutineactivityapproach.American
SociologicalReview,August)
(4 https:/
. 8 0 6- 5 , doi.
/ org/
940 2 / 98 57 03 2. 0 1
[1]
0 https:/www.
/ wired.com/story/Conti-ransomware-russia/
[4]
6 BillyHenson.Routine
.02 Activities.In:T.J.Holt,A.M.Bosslereds.
( The
, ) PalgraveHandbookofInternationalCybercrime.
[11] https:/www.
/ thomsonreuters.com/en-us/posts/investigation-fraud-and-risk/strategic-corruption-cybercrime-connection/
[4]
7 MajidYar.The . 50 2 noveltyof‘cybercrime’:AnassessmentinlightofRoutineActivityTheory.EuropeanJournalofCriminol -
[1]
2 https:/www.
/ siliconrepublic.com/enterprise/costa-rica-cyberattack-explainer-Conti-ransomware-group ogy,
https:/
7. 2 4- 7 0 4 , 4 , 2 doi.
/ org/
6 50 508 7 3F127 % 47 .11 0 1
[1]
3 https:/www.
/ worldpoliticsreview.com/in-costa-rica-ransomware-attack-takes-aim-at-the-government/ [4]
8 Chainalysiscrypto
2 02 crimereport:https:/go.
/ chainalysis.com/Crypto-
- 2 02 Crime-Report.html
[1]
4 https:/flashpoint.
/ io/blog/history-of-Conti-ransomware/ [49] Roninnetworkattack:https:/www.
/ theverge.com/
axie-
96/31 27/6 7/2 0 infinity-ronin-blockchain-hack-phishing-linke -
[1]
5 https:/www.
/ bleepingcomputer.com/news/security/new-royal-ransomware-emerges-in-multi-million-dollar-attacks/ din-job-oaer
, https:/halborn.
/ com/explained-the-ronin-hack-march-/2 0
[1]
6 https:/www.
/ sciencedirect.com/science/article/abs/pii/978 1 03 7 S01 2 53 7 40 [5]
0 Polynetworkattack:https:/www.
/ theblock.co/post/at-
/540 11 least-million-
- 11 6 stolen-in-massive-cross-chain-hack , https://
www.businessinsider.in/investment/news/biggest-crypto-hacks-of-2021-over-4-billion-stolen/slidelist/88560280.cms
[1]
7 https:/cms.
/ law/en/int/publication/ransomware-attack-can-we-negotiate-with-cybercriminals
[5]
1 Nomadbridgeattack:https:/zerion.
/ io/blog/nomad-bridge-hack/,https:/medium.
/ com/nomad-xyz-blog/nomad-bridge-hack-
[1]
8 https:/www.
/ technologyreview.com/9540 1 /2russian-
6 81 / 4 0 2 hackers-tried-to-bring-down-ukraines-power-grid-to-help-
root-cause-analysis-875ad2e5aacd
the-invasion/
[5]
2 Wormholeattack:https:/decrypt.
/ co/9199/8 hacker-steals-million-
0- 2 3 solana-ethereum-bridge-wormhole,https:/halborn.
/
[19] https:/blogs.
/ microsoft.com/on-the-issues/hybrid-
/ 7 2 / 40 2 war-ukraine-russia-cyberattacks/
com/explained-the-wormhole-hack-february-2022/
[2]
0 https:/en.
/ wikipedia.org/wiki/Routine_activity_theory
[5]
3 https:/www.
/ bitdefender.com/blog/labs/threat-actors-use-mockups-of-popular-apps-to-spread-teabot-and-flubot-malware-
[2]
1 https:/www.
/ orangecyberdefense.com/global/blog/threat/inside-the-criminal-mind-applying-criminology-theories-to-cy-x on-android
[2]
2 https:/www.
/ zdnet.com/article/ukraine-is-building-an-it-army-of-volunteers-something-thats-never-been-tried-before/ [54] https:/securityaaairs.
/ co/wordpress/hacking/
/ 04 2 7 1 apple-fixed-two-zero-day-html
.20
[2]
3 LockheedMartin,“TheCyberKillChain,”[Online].Available:www.lockheedmartin.com/en-us/capabilities/cyber/cyber-Kill [5]
5 https:/www.
/ humansecurity.com/learn/blog/poseidons-oaspring-charybdis-and-scylla
Chain.html
[5]
6 https:/www.
/ bleepingcomputer.com/news/security/mobile-
- 1 20 security-android-more-vulnerabilities-ios-more-zero-days/
[2]
4 K.T,“TheCoopercolorcodeandthreatassessment,”SoftRep,[Online].Available:sofrep.com/news/the-cooper-color-code-
[5]
7 https:/about.
/ fb.com/news/protecting-
/ 0 1 /2 0 people-from-malicious-account-compromise-apps/
and-threat-assessment/
[5]
8 https:/www.
/ sec.gov/news/statement/cybersecurity-challenges-small-midsize-businesses
[2]
5 https:/heimdalsecurity.
/ com/blog/is-Conti-ransomware-siding-with-russia/
[2]
6 https:/www.
/ bleepingcomputer.com/news/security/Conti-ransomwares-internal-chats-leaked-after-siding-with-russia/
[2]
7 https:/www.
/ bbc.com/news/technology-6 2 548 7 06
[2]
8 https:/www.
/ infosecurity-magazine.com/news/hackers-russian-tv-schedules/
[29] https:/www.
/ washingtonpost.com/politics/cyber-
/ 3 1 / 50 2 attack-hack-russia-putin-ukraine-belarus/
[3]
0 https:/cybernews.
/ com/news/cyberattack-on-ukrainian-border-control-slows-refugee-crossing/
[3]
1 https:/www.
/ businessinsider.in/tech/news/anonymous-hacking-group-has-broken-into-a-russian-space-website-and-leaked-
files-belonging-to-its-space-agency-roscosmos/articleshow/9988 9665 cms
.

124 Security Navigator 2023 Contributions, sources & liens 125
Clause de non-responsabilité
OrangeCyberdefensemetcerapportàdisposition enl’état
« »,sansaucunegarantied’exhaustivité,
d’exactitude, d’utilité ou d’actualité. Les informations contenues dans ce rapport sont de nature générale.
Lesopinionsetlesconclusionsprésentéesreflètentunjugementfaitaumomentdelapublicationetpeuvent
changer à tout moment. Orange Cyberdefense n’assume aucune responsabilité pour les erreurs, omissions
ourésultatsobtenusencasd’utilisationdecesinformations.Sivousavezdespréoccupationsspécifiques
enmatièredesécurité,veuillezcontacterOrangeCyberdefenseviahttps:/orangecyberdefense.
/ com/global/
contact/ pour une analyse plus détaillée et pour obtenir des conseils en sécurité.
Nous remercions
chaleureusement
nos cyber hunters, analystes
et ingénieurs de nos VOCs,
SOCs, CyberSOCS,
nos hackers éthiques
et nos experts réponse
à incident.
Ce sont vos histoires.
Pourquoi
Orange
Cyberdefense ?
Orange Cyberdefense est l’entité experte en Nous sommes un prestataire de sécurité axé sur
cybersécurité du groupe Orange. Nous proposons larechercheetlerenseignement,oarantunaccès
des services managés de détection et de réponse inégalé aux menaces actuelles et émergentes.
aux menaces aux entreprises du monde entier. Noussommesfiersdenotreunitéderecherche
interne et de nos renseignements exclusifs sur les
En tant que leader de prestations de services de menaces, cela nous permet de proposer à nos
cybersécurité,nousnouseaorçonsdeconstruire clientsd'investirleursressourceslàoùellesont
une société numérique plus sûre. leplusd'impact,etdecontribueractivementàla
communauté cyber.
Notre présence mondiale avec un ancrage européen
nous permet de répondre aux normes tant locales Nos experts publient régulièrement des livres
qu’internationales, de garantir la protection et la blancs, des articles et des outils dédiés à la
confidentialitédesdonnéespournosclientscomme cybersécurité, qui sont largement reconnus et
pour nos salariés. Nous embarquons également nos utilisés dans notre secteur et présentés lors de
solutionsdesécuritédanscellesd'OrangeBusiness conférences internationales telles que Infosec, RSA,
Services pour les multinationales du monde entier. 44Con, BlackHat et DefCon.
Notre organisation a plus de 25 ans d’expérience, Nous sommes convaincus que la technologie
dispose de plus de 250 chercheurs et analystes, seulen'estpasunesolution.Nousregrouponsdes
17 SOCs, 13 CyberSOCs et 4 CERT répartis dans le talentsd'éliteenmatièredecybersécurité,des
monde entier. Cela nous permet de distribuer nos technologies uniques et des processus robustes
solutions et services dans 160 pays. Nous sommes dans un portefeuille de services managés de
fiersdepouvoiroariruneprotectionglobaleavec boutenbout,facileàutiliser.C'estl'expertiseet
une expertise locale et de soutenir nos clients tout l'expériencedenoscollaborateurspluridisciplinaires
au long du cycle de vie de la menace. qui nous permettent de comprendre en profondeur
le paysage dans lequel nous évoluons.
www.orangecyberdefense.com
Twitter: @OrangeCyberDef

Security Navigator 2023 FRENCH

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Security Navigator 2023 FRENCH

Transféré par

Droits d'auteur :

Formats disponibles

Security Navigator

Le volume des incidents de cybersécurité

Tout repose sur notre plateforme Core Fusion,

Orange Cyberdefense est heureux de partager cette Voustrouverezàtraverscerapportl’unedenos

© Orange Cyberdefense www.orangecyberdefense.com

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

Ce que vous Laurent Célèrier

devez savoir EVP Technology & Marketing

Avec le retour de la guerre dans une Europe largement lesmécanismesdeprisesdedécisioncyber)ou , encore

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

Les statistiques de nos CyberSOCs

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

À propos des données Types d’incidents Événements, incidents,

Incidents confirmés (29,43 %) Vue d’ensemble Nousavonsenregistréunemoyennedeincidents43 confirmés

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

Acteur Categorie Action Cible

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

Catégories VERIS Ce que VERIS nous révèle Tendances VERIS

manièreincorrecteouaccidentelle.Parexemple:omissions, 8.8% Réseau

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

Couverture par domaine de sécurité Incidents relatifs à la couverture

Incidents classés selon la taille des entreprises

clients de ce rapport et près de 25 % des incidents détectés, les« moyennes»entreprises,bienmoinstouchéesparcette

confirméssontlesAnomaliesRéseauetApplications, ) % 3 ( déterminer pourquoi, car nous ne disposons pas de données

« petites »et« grandes

19 1% % à celui de l’an passé, à l’exception des Anomalies Système

l’intégration des activités de tests d’intrusion légitimes

les grandes entreprises disposent de budgets et de ressources

dernière, le volume d’incidents Malwares est resté identique,

et les Anomalies de compte ont été remplacées à la troisième multiplescouchesdeprotection.Résultat:lesmenacessont

plus fréquemment détectées ou évitées.

place par les Anomalies Système.

Petites Moyennes Grandes

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

Incidents par taille d’entreprise

Malwares relevés par client par taille

© Orange Cyberdefense www.orangecyberdefense.com

Ransomwares dans les bulletins World Watch

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

Cyber-extortions Nous surveillons cette tendance de très près et communiquons

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

Répartition de la Cy-X selon les secteurs Méthodes d’extorsion 2022 2021

Inconnu Le groupe Lapsus$ a également hacké plusieurs grandes

0 100 200 300 400 500 600

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

Immobilier, location et leasing

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

Santé et Aide Sociale

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

Vente au détail et Commerce 5

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

des systèmes distants. Metasploit, à l’image de nombreux outils

Une brève histoire du C&C 60%

Lors de la convention DEF CON d’aout 1998, le célèbre hacker

Ransomware: techniques used by cyber-attackers

géolocalisations IP suggère que la plupart de ces serveurs

sont situés en Asie.

Nous avons commencé à surveiller Brute Ratel en juillet 2022

Exploitation de vulnérabilités Optionnel : identification

Utilisation de leak user/mdp ZeroLogon (depuis été 2020) Optionnel : exfiltration

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com

CONTI : crimes, cyberterrorisme et Russie, la Mère-Patrie

Commentcetacteura-t-ilpumodifiernotrefaçondepenser? Activité des discussions du groupe Conti Membre A Membre B