Académique Documents
Professionnel Documents
Culture Documents
Security Navigator 2023 FRENCH
Security Navigator 2023 FRENCH
2023
Construire une société numérique plus sûre :
la contribution de notre Recherche
Security Navigator 2023 Préface
Sommaire
Score CVSS par jour et par industrie .......................................................................................................... 73
Introduction: ce que vous devez savoir.................................................... 6
Indice de sévérité des résultats ....................................................................................................................74
Les statistiques de nos cyberSOCs : nos enseignements ................... 9 Répartition de l’ancienneté de la découverte par sévérité .........................................................................76
Dates de publication des CVE ..................................................................................................................... 77
Eaetd’entonnoir:del’alerteàl’incident ......................................................................................................10
Conclusion..................................................................................................................................................... 78
Types d’incidents...........................................................................................................................................11
Totaux.............................................................................................................................................................11 Avis de nos experts Chine : honeypot, un leurre dans l’usine...................
Détection:tendancesgénérales..................................................................................................................12 80
Méthodologie VERIS .....................................................................................................................................13
Incidents et visibilité.......................................................................................................................................16 Les malwares à l’assaut des usines : coup de projecteur
Incidents classés selon la taille des entreprises..........................................................................................18 sur l’industrie manufacturière......................................................................83
Ransomwares............................................................................................................................................... 22
Retour vers le futur ....................................................................................................................................... 84
Cyber-extortions............................................................................................................................................24
Comparaison des indicateurs clés.............................................................................................................. 85
Aperçu des secteurs d’activité..................................................................................................................... 28
Le secteur de l’industrie manufacturière est-il volontairement ciblé par les extorqueurs ?..................... 86
ServicesProfessionnels,ScientifiquesetTechnologiquesImmobilier,LocationetLeasing ................... 28
Nos clients du secteur de l’industrie manufacturière sont-ils confrontés à davantage d’incidents ?.......... 88
Industrie Manufacturière, Santé et Aide Sociale, Finance et Assurance .................................................. 30
Conclusion..................................................................................................................................................... 89
Vente au détail et Commerce, Transport et Stockage, Hôtellerie et Restauration ................................... 32
Infrastructures « Commande et Contrôle .................................................................................................... 34 Les récits du CSIRT & du Pentest .......................................................... 91
Conclusion..................................................................................................................................................... 37 CSIRTstory:BulldozersversusNinjas ....................................................................................................... 92
CSIRTstory:« çamordsurSharepointP.( S.Cliquezici) ! »....................................................................... 94
Avis de nos experts Allemagne : qui sont les pires hackers ?..................38
Pentestingstory:fairelelienentresleserreursinternesduserveuretlepiratagede .............
comptes 96
Cyberguerre : le cas de la crise ukrainienne......................................... 41 Pentestingstory:sésame,ouvre-toi! ......................................................................................................... 98
Évaluation des risques.................................................................................................................................. 42 Avis de nos experts France : une revue de la sécurité
Cequevouspouvezfaire ............................................................................................................................. 43 des blockchains........................................................................................ 100
Méthodes d’attaque ..................................................................................................................................... 45
Del’autrecôtédelafrontière:commentaireduresponsableduCERTd’OrangePologne ......................47 Petit format, grand facteur de risque : sécurité mobile..................... 103
Conclusion..................................................................................................................................................... 48 Données ..................................................................................................................................................... 104
Vulnérabilités iOS........................................................................................................................................ 105
World Watch: « Histoire d’histoires » ....................................................... 51
Vulnérabilités Android................................................................................................................................. 106
A propos des données ................................................................................................................................ 52
Sécurité des applications mobiles ............................................................................................................ 108
Bulletins par technologie ............................................................................................................................. 53
Patchs and versions.....................................................................................................................................110
Log4j:desjournauxnéfastes ...................................................................................................................... 55
Conclusion.................................................................................................................................................... 111
Vulnérabilités les plus connues ................................................................................................................... 57
Au nom du mal ............................................................................................................................................. 59 Avis de nos experts Afrique du Sud : la théorie de la pensée
Espionnage par téléphone ........................................................................................................................... 60 Undéfimentalpourlesresponsablesdelasécurité ..........................112
Conclusion..................................................................................................................................................... 61
Prévisions en matière decybersécurité : en avant toute !...................114
Avis de nos experts France : gestion des vulnérabilités
Une évolution inévitable des architectures ................................................................................................116
ebcaceen3 2 0 .............................................................................................62
Loisetréglementations:uncritèrecroissantdesélection .......................................................................117
De nouvelles cibles de choix 118
L’historique des vulnérabilités : l’évolution du maillon faible ............. 65
Du renouveau ancien ..................................................................................................................................119
Connaître ses faiblesses ............................................................................................................................. 66
Données des tests d’intrusion ..................................................................................................................... 68 Résumé : ce que nous avons appris .................................................... 120
Résultats des scans de vulnérabilités ......................................................................................................... 70
Vulnérabilités découvertes par jour...............................................................................................................71 Contributions, sources & liens .............................................................. 122
Comparaisonsectorielle:analyseduVSOC ............................................................................................. 72
Introduction
Carl Morris
Senior Security Research
Orange Cyberdefense
Diana Selck-Paulsson
Lead Security Research
Orange Cyberdefense
Nos enseignements
Cette année a été mouvementée pour un certain nombre de raisons.
Bien sûr, la situation politique ne nous a pas épargnée. L’impact
total de la guerre doit encore être déterminé, et nous l’examinons
de plus près dans un chapitre séparé. Il y a aussi des changements
internes:nosanalystesontcommencéàadopterunnouveau
systèmedeclassificationquinouspermetdemieuxcomprendre
ce qui s’est réellement passé. Nous avons recueilli des incidents
auprès des CyberSOCs du monde entier et normalisé les données
dans le cadre du processus d’analyse.
En outre, pour la première fois, nous avons également mis en
corrélation ces ensembles de données avec des informations
obtenues à partir de la gestion des vulnérabilités et des rapports
de tests d’intrusion, mais aussi des données de World Watch et
des observations de nos CERT, de nos laboratoires d’épidémiologie
etd’autreséquipesderecherche,afindedresseruntableauplus
précis de la manière dont nous en sommes arrivés là, et comment
ces tendances vont probablement façonner l’avenir. Bien que
certains de ces ensembles de données aient leur propre chapitre
dans ce rapport, nous les prenons en compte constamment pour
valider nos conclusions.
Comme mentionné dans les rapports précédents, il est important
de garder à l’esprit que tous ces incidents sont en fait des attaques
quiontétéprévenuesetstoppées.S’ils’agitd’uneréabrmationque
nos clients sont bien protégés, il est également important de ne pas
tomberdanscequiestappelé« biaisdesurvie»[1].
Eaet d’entonnoir
élévation de privilèges ou incidents similaires. Totaux
de l’alerte à l’incident
99 506 Violation des politiques de sécurité : installation
de logiciels non pris en charge ou connexion de
périphériques non autorisés au réseau.
Cette année, nos données nous permettent de réaliser une
comparaison directe sur 12 mois complets. Nous sommes
ravisd’annoncerquenotrebaseclientss’estànouveauétoaée
Incidents potentiels et que les données de 44 % de clients supplémentaires
ontétéinclusesdanscerapportannuel.Cettehausseassez
Ingénierie sociale : toute tentative de tromper
importante a eu un impact relativement faible (+5 %) sur
les utilisateurs, par exemple via le phishing
le nombre d’incidents de sécurité à gérer. Nos données
et l’usurpation d’identité.
révèlent cependant que cette augmentation de notre clientèle
29 291
s’est majoritairement produite au cours des 4 derniers mois. En
prenant en compte la période d’été plus calme et les processus
d’intégration obligatoires, le niveau d’incidents serait inférieur.
32
Détection : tendances générales Méthodologie VERIS 7% 25
Selonnotretraditionnelsystèmedeclassification,
7%
Dans notre dernier rapport, nous avons annoncé
%
les Malwares restent en tête du classement puisqu’ils l’adoption de la norme sectorielle VERIS 25% Hacking/Pentesting
représententdes % 04 incidentsconfirmés.Ils’agit (VocabularyforEventRecordingandIncident 17% Utilisation frauduleuse
d’une légère augmentation par rapport aux 38 % Sharing)pourlaclassificationdenosincidents. 17% Malware
enregistrés l’an dernier. Les anomalies réseau et
10%
applications arrivent en seconde place, mais leur part Nous avons intégré cette nouvelle méthodologie 12% Erreur
a chuté de 22 à 19 %. Bien qu’elle ne soit pas comparable progressivement et exécuté les deux systèmes de 10% Inconnu
à la chute de 13 % enregistrée l’an dernier, il s’agit tout classificationenparallèle,afindepouvoirfournir 7% Autre(s)
de même d’un net déclin. les analyses ci-contre sur la base de notre système
7% Social
declassificationtraditionnel
« ».DesvaleursVERIS
Avec une part de 11,5 %, les anomalies système clôturent 3% Physique
ontétéattribuéesàdes
% 62 incidentsvérifiés,
ce top 3 des principaux types d’incidents, en hausse de 9 %
%
ce qui nous a permis de fournir des analyses 2% Environnement
12
parrapportauxchiaresenregistrésdansledernierrapport.
supplémentaires.
17
Les anomalies de compte ont abandonné la troisième
%
place et se retrouvent quatrièmes du classement. Comme
les anomalies réseau et applications, ce type d’incident a
enregistré un fort déclin, de 13 à 8 %, quittant ainsi le top 3.
Si son ordre a légèrement évolué, le top 4 des incidents
reste identique à celui des précédentes versions du Security
17 %
Navigator,mêmes’ilestengrandepartieinfluencéparles
technologies mises en œuvre et l’intérêt accru de nos clients VERIS: acteurs, cibles et actions
pour la détection.
Alors qu’elles avaient augmenté dans le dernier rapport,
les violations des politiques et l’ingénierie sociale ont chuté
pour atteindre 3,8 % et 3,5 %, respectivement. Ces types
d’incidents ne doivent pourtant pas être pris à la légère.
Lanaturedesattaquesd’ingénieriesocialerenddibcile
leur détection à l’aide de solutions techniques. Les violations
de politiques ne peuvent être détectées et exploitées
qu’avecdesniveauxdejournalisationsubsantsdans
tous les systèmes.
Cette année, les dénis de service sont apparus dans
le classement, même si nous n’en avons dénombré que
23 sur toute la période. Ils ont tous été détectés dans
de« grandes »entreprises,oùdesservicesdedétection
adéquats sont plus fréquemment présents.
1
Source d’incidents détectés dans notre précédente analyse, soit 40 % confirmésclassésàl’aidedunouveausystème.Ilest
consentementéclairédupropriétaire.Parexemple:virus,vers,
des incidents, elle arrive désormais en seconde place avec intéressant de noter que la quatrième catégorie d’incidents
logiciels espions, keyloggers, backdoors, etc.
47.1%
47.1% Interne
seulementLa. % 7 1 catégorie« utilisationabusive »,avec% 7 1 confirmésestcelledeserreurs.Lesentreprisesonttout
37.2% Externe
Hacking : selon VERIS, toute tentative d’accéder ou de nuire des incidents, se place aux côtés des Malwares. Les catégories intérêt à surveiller ce domaine de très près et à appliquer des
12.9% Inconnue
volontairementàdesactifsinformationnelssansautorisationou ( les plus proches seraient les violations des politiques et les mesures d’atténuation simples et relativement peu onéreuses,
1.8% Partenaire(s)
enallantau-delàdesautorisations)encontournantouendéjouant anomalies de comptes, qui représentaient 12 % du total des notamment en mettant en place de solides processus de
1% Autre
desmécanismesdesécuritélogiques.Parexemple:forcebrute, incidents.Silacatégorieutilisation
« abusive
»faitréférence gestionduchangement.Lecoûtfinancieretl’atteinteà
37.
injection SQL, cryptanalyse, déni de services, etc. au potentiel problème de la menace interne ou de l’abus de la réputation en cas de divulgation involontaire de données
% confiancedelapartdetiers,n’oublionspasquelesactivités ou de systèmes sur Internet à la suite d’une simple erreur ou
2
Tactiques sociales : ruse, manipulation, intimidation, etc. visant
non malveillantes sont elles aussi incluses. d’uneerreurdeconfigurationpeuventêtreconsidérables.
à exploiter la composante humaine ou les utilisateurs des actifs
informationnels.Parexemple:pretexting,phishing,chantage,
menaces, arnaques, etc.
Utilisation abusive : utilisation de ressources organisationnelles ~47 % des incidents sont causés par
oudeprivilègesattribuésàdesfinscontrairesàcellesprévues.Par des sources internes, et non externes.
exemple:abusadministratifs,violationsdespolitiques,utilisation
d’actifs non approuvés, etc. Ces actions peuvent être de nature Top 20 des principaux incidents relevés
malveillante ou non. L’utilisation abusive s’applique uniquement aux Incidents les plus observés par VERIS : sous-action et leur catégorie
partiesquibénéficientd’uncertaindegrédeconfiancedelapartde .1%
l’entreprise, par exemple les initiés et les partenaires. 17 0% 2% 4% 6% 8% 10% 12% 14%
Cible
29
.9%
Actions physiques : toutes les menaces volontaires impliquant la Attaque web (Hacking/tests d’intrusion)
29.9% Terminal
proximité,lapossessionoulaforce.Parexemple:vol,altération, 8.8% utilisateur final
Matériel/logiciel/script/solution non approuvé (Utilisation abusive)
espionnage, sabotage, accès aux appareils en local, agression, etc. 23.5% Serveur
11.8% Compte Scan de ports (Hacking/tests d’intrusion)
Erreur :touteslesactionsréaliséesou
( nonréalisées)de 8.9% Inconnu
Dysfonctionnement (Erreur)
8.9 %
2 Couverture inférieure aux recommandations De manière générale, le rapport entre les vrais positifs et
Incidents et visibilité Impact d’une couverture accrue les faux positifs augmente au fur et à mesure que le score
3 Couverture appropriée, incluant tous les basiques
Dans le domaine de la sécurité, les nombreux indicateurs et Avec un score de couverture comme base de référence, nous decouvertureaugmente.C’estassezlogique:lorsque
4 Bonne couverture, incluant tous les basiques et d’autres
points de données présentent tous leurs propres avantages et pouvonsanalyserlesévolutionsdunombred’incidentsvrais ( notre niveau de visibilité sur n’importe quel domaine de
fonctions
inconvénients. Néanmoins, ils sont tous impactés par l’absence etfauxpositifs)lorsquelacouvertureaugmente. notre environnement augmente, nous détectons davantage
d’une base de référence pertinente. Nous pouvons déterminer 5 Couverture complète d’incidents malveillants. Cependant, le nombre de faux positifs
Sans surprise, le nombre global d’incidents par client
les secteurs les plus touchés en fonction du nombre d’incidents, que nous devons traiter augmente bien plus rapidement. Une
augmente en fonction du score de couverture évaluée.
mais par rapport à quoi ? Est-ce révélateur du volume de protection accrue améliore la sécurité, mais génère davantage
Domaines couverts
tentatives d’attaques ou d’attaques réussies, ou simplement Si dans la plupart des cas, nous pouvons supposer qu’une « d’interférences ».
de la taille des entreprises de ce secteur, ou bien encore du ▪ Sécurité périmétrique couvertureaccruesignifiedavantaged’incidents,qu’ilssoient
Journaux de pares-feux, journaux WAF, journaux IDS/IPS, Il semblerait qu’un schéma se dessine, dans lequel une
niveau de visibilité que nous avons sur ces entreprises ? confirmésouanecdotiques,l’ampleurréelledel’augmentation
journaux de passerelle e-mail, journaux d’accès VPN / à couvertureaccrueaméliorel’ebcacitédeladétection…
Ces problématiques sont particulièrement présentes dans dépend tout autant de la maturité en matière de sécurité.
distance jusqu’à un certain point. Passé un niveau de couverture
les services managés de détection des menaces tels que ceux
que nous proposons, car nous sommes confrontés à un très ▪ Sécurité interne
Cette corrélation entre la visibilité et les incidents signalés
est intuitive, mais il est important de s’en rappeler lors de
donné,lavisibilitéaugmenteetl’ebcacitédiminue.
large éventail de capacités de détection sur l’ensemble de nos JournauxAD/Authentification,journauxdepares-feux
l’analyse des données de sécurité, qu’il s’agisse des nôtres
clients. Curieusement, nous avons du mal à gérer ce problème
avec l’ensemble de données dont nous disposons.
▪ Infrastructure ou en général. Nouvelle comparaison selon
Journaux DHCP, journaux de requête DNS,
journaux de serveur Web / applications Web L’analysedenoschiaresrévèleceàquoinousnousattendions, les secteurs et tailles d’entreprise
Dans ce rapport annuel Security Navigator, nous tentons d’y
voir plus clair en présentant des analyses sur le niveau de ▪ Infrastructure Internet
àquelquesdétailsprès:danschaquedomainededétection,
le nombre d’incidents vrais positifs augmente avec une
Lorsqu’il est disponible, le niveau du score de couverture
permet d’analyser notre comparaison des niveaux d’incidents
couverturedontbénéficientnosclientsentermesdecapacités Journaux de serveur Web / applications Web,
couverture de détection accrue. La seule exception semble danslesdiaérentssecteursettaillesd’entreprises.
de détection, et l’impact que celui-ci peut avoir sur le volume et journaux de proxy Web
concerner le niveau de couverture 5, soit 100 %, pour lequel
le type d’incidents que nous signalons. ▪ Réseau on constate une chute du nombre d’incidents. Nous pensons Nousréalisonsunemodificationsimplesurlesvolumes
Pourcefaire,nouscréonsunindicateursimpleafindedéterminer TraficInternet,Traficest-ouestinterne, que cela est lié au niveau de maturité générale des clients avec d’incidents pour prendre en compte le niveau de couverture
l’étendue de la couverture en services de détection parmi NetworkTrabcAnalysisNTA) ( ce niveau de couverture. Le faible nombre de clients dans ce relatif:nousdivisonslenombred’incidentsparlescorede
les clients de notre ensemble de données. Nos scores de ▪ Terminaux groupe se distingue par d’autres facteurs bien plus pertinents couverture estimé et nous le multiplions par le score maximum
possible. Pour faire simple, plus le score de couverture estimé
« couvertureévaluée »,allantdeà0 correspondent
,5 Antivirus, EP/EDR, Sysmon, MS Defender queleniveaudecouverture.Ledomaine« terminaux»faitfigure
d’unclientestbas,pluscettemodification« boostera »
auxniveauxsuivants: ▪ Cloud, PaaS & SaaS d’exception, puisqu’un excellent niveau de couverture génère
le nombre d’incidents dans cette comparaison. Si un client
AzureAD,
- Audit,KeyVaultVM,
& O3Lacework
, 56 et systématiquement un nombre plus élevé d’incidents vrais et
Niveau du score de couverture faux positifs. dispose du plus haut niveau de couverture possible, nous
Mondoo, Palo Alto Prisma Cloud, Checkpoint Cloudguard,
prenons simplement en compte le nombre réel d’incidents
0 Aucune couverture plateformes telles que Adaptive Shield Pour faire simple, les mesures de détection au niveau des observés.
1 Couverture minimale terminauxnesontprobablementjamais trop
« nombreuses».
Avec ce calcul simple, nous pouvons désormais comparer
Une situation similaire apparaît lors de l’analyse des résultats les entreprises et les secteurs grâce à la prise en compte de
faux positifs en fonction du score de couverture. leurs niveaux relatifs de couverture.
Couverture
Quelle visibilité avons-nous sur l’ensemble de nos clients dans chaque secteur ? Nous représentons ci-dessous l’échelle
relative de la couverture évaluée dans chaque domaine. Comme il s’agit d’une nouvelle approche, nous ne disposons pas
encore d’une évaluation complète de la couverture pour tous les secteurs.
Nbr de clients Perimètre Internet Sécurité Interne Infrastructure Réseau Terminaux Cloud 60% 100000
90000
50%
80000
70000
40%
60000
30% 50000
55%
40000
20%
34% 30000
28%
23% 22% 20000
10% 21% 19%
16% 15%
10% 10000
0% 0
e
ue
if s
es
rs
tio t
r iè e
ce
qu s,
il
iq s
g a s,
et ,
g
ra e n
lic
ch de
al
ag
io
io
ta
bl i c e
tu tri
in
si
re
e
ue
ge
s
n
at
ni e l
d e re
is
iq
de rc e
qu s,
iq s
g a s,
es
re
s
ci
an
ct
at
lic
al
au m
ue
ub
de
oi
as
bl i c e
ck
dé i
nc
ac u s
r iè
pr
c h nn
uc
s if, A
bl
ni e l
d e re
et i è
iq
ka
es
pu r v
z
So
ci
m
ru
st e
ue
il
b
tL
ur
de me
p
Le
c h nn
r
to
re
pu
u f In d
ra
ta
bl
et r i è
re e r g
tu
Te sio
de
n e
Pu rv
So
Pu
Éd
le a r
oc
or
st
ss
es
S
te
ce
de t
nt
tS
Pu
su
ac
Te sio
n Se
n tr a
le a r
tr o , C
on
om
f
et
n
St
et e s
In
de é b
ce
a
tio s
es
ce
es
tE
c
en
an
tio
As
tr o , C
te
uf
r a re
n
tio nis
i
et fes
et
p é ne s
tio s
f
rv
et
C
er
es H
ic
ic
an
e s ro
tio
e
tio
an
m
st
tr a tr e
i s ut
tr a
or
an
p é ne s
et
Se
rv
ce
rv
m
es i
és
e s ro
rt
qu P
se
si
G Adm
st
in A
tr a
de Mi
m
ca
sp
is Au
is
Se
M
Se
om
po
e
As
an
qu P
if i s
si
ét
tis
de Mi
in
nc
r ie
Lo
nt ce
is
an
As
if i s
ci
ns
n
m
C
in
er
et
nt c e
na
st
ie rvi
Fi
ic
Tr
So
r,
Ad
a
m
iv
et
rv
du
é
ilie
ie rvi
Tr
Fi
m
Sc Se
in
n
Ad
,D
nt
s
se
é
Ad
io
m
Sc Se
In
ob
de
n
nt
Sa
ts
ct
io
Ad
et
Sa
m
té
Ar
n
ct
tr a
tio
Im
ep
tr a
Ex
pt
es
xc
Ex
e
© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com
G
xc
(e
(e
18 Security Navigator 2023 Les statistiques de nos CyberSOCs 19
▪ Grande > 10 000 entreprisescomptabilisentdes % 27 incidentsconfirmés qui ont connu une hausse de près de 5 %, les volumes de tous
sur l’année écoulée. les autres types d’incidents ont chuté, les catégories anomalies Synthèse sur la méthodologie VERIS
réseau et applications et anomalies de compte ayant chuté Selon la répartition des catégories VERIS, les Malwares sont
chacune de 10 %. présents en bien plus faible quantité dans les incidents vrais
positifs de toutes les catégories d’entreprises par rapport
ànotreclassificationtraditionnelle.Celas’expliquecarles
Moyennes entreprises
17%
12% 12%
catégories VERIS décrivent ce que nous pensons être arrivé,
%
14 Lesentreprisesdetaille moyenne
« »comptententre0 1
et 9 999 salariés. Cette année, elles représentent 35 % des
alorsquenoscatégoriestraditionnellesreflètentlamanière
dontl’incidentaétédétecté.Latendanceseconfirmepour
1
22
4 4
pourd’incidents
% 6,3 1 confirméscommevraispositifs.Dans catégoried’incidentsqueleurshomologuesde petite
« »et
13%
43%
cette catégorie d’entreprises, les 3 principaux types d’incidents « grande »taille.Nousnesommespasencoreenmesurede
49%
8% lesAnomaliessystèmeet ) % 1 2 ( lesMalwares. ) % 7 1 ( VERIS sur 12 mois pour l’ensemble des clients analysés.
Ceschiarescontrarientlestendancesobservéesdansles
Petites Moyennes Grandes La catégorie la plus représentée parmi toutes les entreprises,
%
10
Malwares Réseau & Apps Système Compte Violation des politiques de sécurité Ingénierie sociale Autres
Grandes entreprises entreprises, avec 34 et 36 % respectivement,
contre seulement 19 %.
Les« grandes »entreprisesdeplusdesalariés 0 01
représentent 18 % des clients de ce rapport. Cependant, Tandis que les catégories Malwares et Hacking/tests d’intrusion
malgré leur plus faible représentation, elles ont généré près représententplusdelamoitiédesincidentsconfirmésdans
les« petites»et« moyennes»entreprises,lestypesd’incidents
Nouvelle catégorisation par VERIS de 60 % des incidents que nous avons traités et 72,5 %
desincidentsconfirméscommevraispositifs.Larépartition sontbienmieuxrépartisdanslesgrandes « »entreprises.
desincidentsconfirmésestsimilaireàcelledes petites
« » C’est particulièrement probant lorsque l’on s’attarde sur les 3
6 1 8% 4 5
3 9% entreprises, les 3 principaux types d’incidents étant les principauxtypesd’incidentsHacking, ( Malwares/testsd’intrusion
5 3 23 13% Malwaresles, ) % 34 ( AnomaliesRéseauetApplications) % 7 1 (
etlesAnomaliesSystème Par
. ) % 0 1 ( rapportàl’année
etutilisationabusive)dont
, lespourcentagessontéquivalentsou
très proches. Parmi les causes possibles, on peut citer le fait que
%
2
les Anomalies Réseau et Applications ont légèrement chuté plus conséquents pour adopter une approche basée sur de
19%
6% % %
22% 3 19
Environnemental Erreur Hacking/Pentesting Malwares Utilisation frauduleuse Physique Social Autres Inconnu
2500
2021 2022
2000
1500
1000
500
0
Oct Nov Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep
500
400
300
200
100
0.
Grande Moyenne Petite
Sur une base normalisée, nos grands clients génèrent environ Nous notons également, cependant, que les grandes
deux fois plus d’incidents liés aux logiciels malveillants que entreprises dans le graphique ci-dessus ont une visibilité totale
leurs homologues de taille moyenne. Les petites entreprises, surlesévénementsdesécuritédeleursterminauxy( compris
quant à elles, subissent environ deux fois moins d’incidents leurEDRetlatélémétrienativedeMicrosoft)alors , que
liés aux logiciels malveillants. Cela s’explique par le fait les petites entreprises n’ont atteint qu’un niveau de 68%.
que le nombre d’incidents liés aux logiciels malveillants est
directement proportionnel au nombre de terminaux.
Ransomwares
Contexte Ransomwares dans le CyberSOC Ransomwares dans World Watch
Priorité 1 Priorité 2 Priorité 3 Priorité 4
En 2019, un groupe spécialisé dans le ransomware baptisé Lafigureci-dessousillustrelafréquencedesignalementde Un nouveau ransomware baptisé White Rabbit a été rendu
25
« Mazeteam »acommencéànommerethumilierpubliquement Ransomwares dans nos bulletins World Watch. public. Il s’agit d’un malware relativement peu volumineux, basé
des victimes de ransomwares. Le succès de cette technique
d’extorsion a été reconnu par d’autres groupes, qui l’ont depuis
largement adoptée. 20
2021 2022 Le paysage des ransomwares a été chargé, avec d’importants
pics en mars et avril 2022, suite aux divulgations des journaux
sur des mécanismes anti-analyse similaires à ceux utilisés par
le ransomware Egregor.
de conversation de Conti et aux activités du groupe Lapsus$, En mars, le ransomware Hive a choisi le langage de
La« doubleextorsion »impliquel’utilisationdeleaksitessurle sur fond de guerre en Ukraine. Ces acteurs ne sont bien programmation Rust pour son malware. À cette époque,
dark Web, créés par des acteurs malveillants pour divulguer les 15 entendu pas les seuls contributeurs. ce malware avait échappé aux services de détection avant
données sensibles de leurs victimes et exercer une pression d’êtreidentifiéparunchercheur.
REvil est un nom bien connu dans l’univers du ransomwares,
sur ces dernières. Ces sites sont accessibles à tous, ce qui
maislegroupeafinipars’attirerlesfoudresdugouvernement LockBit est l’un des groupes de ransomwares les plus
nous permet d’appréhender en partie la typologie et le volume 10 américain. Se sentant menacé, il a progressivement réduit prolifiquesdel’annéesi , 2 0 2 l’onconsidèrelenombrede
de ces activités criminelles.
ses activités en octobre 2021. REvil a également annoncé le victimes répertoriées sur son leak site. LockBit a annoncé
Depuisl’adoptiondecettepratiquede double
« extorsion »par piratage de son infrastructure, sans spécialement chercher à la sortie de la version 3 de son malware. Les nouvelles
d’autres acteurs malveillants, nous avons détecté en moyenne 5 savoir qui en était l’auteur. À la grande surprise générale, les fonctionnalités permettent aux attaquants de neutraliser
près de 19 leak sites actifs sur le dark Web chaque mois. Pris USA et la Russie ont déclaré collaborer dans la lutte contre certainsprocessusdéfinisavantledébutduchiarement
ensemble, ces sites répertoriaient en moyenne 221 victimes REvil. À la mi-janvier 2022, la Russie a annoncé avoir arrêté des données. LockBit s’est développé en l’absence d’autres
par mois en 2021, soit une hausse de 51,8 % du nombre de 0 de potentiels suspects entretenant des liens avec REvil/ groupes tristement célèbres tels que Babuk, DarkSide, REvil
Q4 Q1 Q2 Q3
victimes par rapport à 2020. Sodinokibi. Malheureusement, les progrès n’ont été que de et Conti. Paradoxalement, LockBit aurait subi une attaque
Nos CyberSOCs n’avaient pas créé de catégorie standard pour courte durée. En avril 2022, des opérations de ransomwares entraînant la divulgation du code source de son malware.
les ransomwares par le passé. Sur les 10 700 vrais positifs similaires à celles de REvil ont à nouveau été détectées. Malheureusement, cet événement pourrait générer des
Rappel terminologique classés selon la nouvelle méthodologie VERIS, seuls 29 ont été variantes du nouveau malware, créées par d’autres acteurs
Evil Corp, un groupe de cybercriminels russes connu pour
Telleslespiècesd’unpuzzle,nosmultiplesensemblesde répertoriés en tant que Ransomwares. Nous avons néanmoins désireuxdeprofiterdel’expérienceetdusuccèsdesauteurs
avoir créé le malware bancaire Dridex, aurait adopté le malware
donnéesnousoarentdiversesperspectivessurleproblème misenplaced’autresmoyensdedétectionspécifiques LockBitpourchiarerlesdonnéesdesesvictimes.Plustard,
du malware LockBit. Cette hypothèse a déjà été testée
des« ransomwares ».Nousdevonsdoncapporterdes pouridentifierlesransomwares.Encombinantlesdonnées lorsqu’une analyse a indiqué la présence de similitudes entre
Microsoft a révélé qu’Evil Corp faisait des tests sur un malware
précisions terminologiques. obtenuesviacesdeuxméthodes,nousobtenonslafigureci- les codes de BlackMatter et LockBit 3.0. Plusieurs raisons
USB pouvant générer un ver informatique ou se répliquer.
dessus. pourraientl’expliquer,cequisignifiequ’iln’existepasforcément
DansnosdonnéesdesCyberSOCs,leterme« ransomware » Emotet est une plateforme de malwares dangereuse et de lien avec la divulgation du code source de LockBit.
désignetoutincidentimpliquantunetentativedechiarement Si nous sommes régulièrement confrontés à des incidents trèsebcace,ferméeparlesautoritésdébutSi . 1 20 le Les auteurs de malwares sont connus pour s’échanger
des données, mais également tout incident pouvant être lié à confirmésliésàdesRansomwares,leurvolumeest
mondeentierpensaitenavoirfiniavecEmotet,cen’était des fragments de code compilés et recollés.
des souches de ransomwares ou à des acteurs malveillants minusculeencontexte.Laraisonesttrèssimple:une
malheureusement pas le cas. Le groupe dénommé Conti aurait
du ransomware à n’importe quel point de la chaîne de frappe. attaqueparransomwareréussie,c’est-à-direlechiarement BlackBastautiliseunmalwaredechiarementcapablede
ressuscité Emotet pour tourmenter de nouvelles victimes.
de données ou toute forme d’extorsion, reste un événement ciblerleshyperviseurstelsquelesserveursVMwareESXipour
La« cyber-extorsion »ouCy-Xdésignel’actecriminelconsistant extraordinaire, dont se chargent souvent nos équipes du Un nouveau ransomware intitulé Nokoyawa a été découvert chiarerplusrapidementlesdonnées.Suiteàuneanalysedu
à extorquer une rançon à une victime. CSIRT. Les CyberSOCs gèrent plutôt les premiers signaux des etpourraitentretenirdesliensavecHive.Aumomentoùila ransomware Black Basta, Cybereason a révélé des liens étroits
attaques par ransomware. À ce stade précoce de la chaîne de été découvert, Nokoyawa ciblait des victimes en Amérique du avecConti,confirmantcequebeaucoupsupposaientdéjà.
« La Cy-X est une forme de criminalité informatique qui frappe d’une attaque, les indicateurs peuvent évoluer pour se Sud, notamment en Argentine. Les analyses publiées à son
Certains groupes, comme Vice Society, utilisent plusieurs
compromet la sécurité d’un actif numérique d’une entreprise transformerenfaillesenl’absencederéponse.Ilestdibcilede sujet révèlent que le groupe utilise Cobalt Strike. Les incidents
ransomwares. Vice Society est connu pour avoir utilisé
confidentialité,
( intégritéoudisponibilité)etexploitela connaître les intentions de l’attaquant, et lorsque l’incident est impliquant Conti révèlent également la présence de Cobalt
lesmalwaresZeppelinetHelloKitty,maiségalementpour
vulnérabilité ainsi créée pour extorquer un paiement. » par
( définition)détectéetcontré,l’incidentdeRansomwarequi Strike dans le cadre des activités post-exploitation.
avoir exploité de nouvelles vulnérabilités graves telles que
aurait pu apparaître peut ne jamais se matérialiser.
PrintNightmare, liée à l’impression Windows.
25
2021 2022
20
15
10
0
Oct Nov Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep
L’analysedessecteurslesplustouchésparlaCy-Xoare
de nombreuses similitudes avec les schémas observés
Inconnu 6
3
Evolution des victimes par acteur
Essor et déclin des groupes d'extorsion 2022 2021
précédemment. L’industrie manufacturière reste le secteur
le plus touché, avec un nombre de victimes quasi identique Revente 64
49 1400
ces deux dernières années, ce qui contrarie la tendance observée
ailleurs. Un cinquième du total des victimes appartient au secteur 22 8 16 12 12
24 3
de l’industrie manufacturière. Menace DDOS 55 18
8 2 7 7
7 6 5 4 3 3 3
1200 32 9
43
Nous constatons cependant une évolution quant à la probabilité 52 0 -9
-43 -22-17
68 28 -11
que la victime ait payé les acteurs malveillants. Alors que nous DDoS -30 1 2 0
66
116
avions enregistré une probabilité de paiement de 5 % entre 1000
octobre 2020 et septembre 2021, nous constatons désormais Extorsion 219 100
-23-15 -193 -8
de données 2
que le secteur aurait payé dans près de 8 % des incidents au
140
cours des 12 derniers mois. 800
Chiffrement 2210
2151 -196
Nous constatons également une légère évolution du type de données
240
d’extorsion, ce qui pourrait expliquer la hausse de la probabilité 0 500 1000 1500 2000 2500
600
de paiement. Si la plupart des incidents ont été classés en tant L’extorsion de données désigne le vol de données sans -179
454
qu’incidentsdechiarementstandarden les
, 1 2 0 2 / 0 2 0 2 incidents chiarementpardesacteursmalveillantsetlamenacede
« d’extorsiondedonnées »sanschiarementontaugmentéces divulgation des données dérobées. 400
-125
12 derniers mois. Dans les cas de vol de données avec menace -81
de divulgation, les victimes paient souvent moins cher que dans Étant donné que les victimes semblent avoir appris à se protéger -91 -47
contrelesattaquesdechiarement,notammentendéployantdes -45
lescasoùellesdoiventégalementacheterlaclédedéchiarement. 200 -44
La probabilité de paiement augmente naturellement lorsque les sauvegardes, certains acteurs malveillants tels que Black Basta -28
-24-17
prix sont moins élevés. Cette tendance générale s’observe dans le ont décidé de se concentrer uniquement sur ce nouveau type
paysagedesmenacesdeCy-X,maissembleégalementprésente d’extorsion.
0
dans le secteur de l’industrie manufacturière. Nous avons également constaté un déclin de l’utilisation des
LockBit2
Conti
LockBit3
ALPHV (BlackCat)
HiveLeaks
Black Basta
ViceSociety
Pysa
Clop
LV
Snatch
Grief
Quantum
BlackByte
Cuba
AvosLocker
Haron
Spook
RagnarLocker
Lorenz
SunCrypt
Everest
Onyx
Sabbath
RansomEXX
BlackMatter
Marketo
Moses Staff
Arvin Club
BianLian
Entropy
Ransomhouse
Payloadbin
Rook
Yanluowang
Daixin
Groove
CHEERS
Pandora
REvil2
REvil
Xing
Bonaci
NightSky
AtomSilo
Egregor
Avaddon
DoppelPaymer
Netwalker
Darkside
Ragnarok
Babuk
Prometheus
Nefilim
MountLocker
Lessecteurs
01 lesplustouchésparlaCy-Xsontidentiques attaques DDoS dans le cadre de l’extorsion. Il semblerait que le
à ceux que nous avons observés l’an passé, hormis quelques rapport coût-avantage de cette forme d’attaque n’en vaille plus la
modificationsdanslesproportions.Nouscontinuonsàpenser peine.
que les tendances sectorielles ne révèlent pas un ciblage L’ADNdecetteformedecybercriminalitén’estpaslechiarement,
spécifiquedesattaquants,maisplutôtquelessecteurslesplus mais l’extorsion, c’est-à-dire le fait de dérober quelque chose qui
touchés sont, d’une manière ou d’une autre, particulièrement adelavaleurpourlavictimeafinderécupérerunerançon.Les
vulnérables. criminels devraient continuer à s’adapter et à trouver de nouvelles
En 2022, l’extorsion de données prédomine, tandis que l’extorsion formes d’extorsion, tandis que les victimes devront évoluer pour
divulguer des échanges internes provenant de leurs serveurs
« traditionnelle
»parchiarementadiminué. lessurmonter,jusqu’aujouroùnousparviendronsànousattaquer Acteurs malveillants de la Cy-X de messagerie, révélant ainsi de précieuses informations sur
aux facteurs systémiques de cette forme de criminalité.
Après le démantèlement de Conti au 2e trimestre 2022, la dynamique du groupe. Dans son chant du cygne, Conti a
Victimes de Cy-X par secteur d'activité Lockbit2 et Lockbit3 sont devenus les deux plus grands
acteurs de la cyber-extorsion en 2022, avec plus de 900
perpétré une dernière attaque massive sur le gouvernement
costaricain entre avril et mai 2022.
Nombre de victimes pour 2021 et 2022 pour chaque secteur d’activité 2022 2021
victimes combinées. Conti reste cependant l’acteur le plus
prolifiquedenotreensemblededonnées. Cette compromission a gravement perturbé le pays et le
Industrie Manufacturière
président nouvellement élu a dû déclarer un état d’urgence
Services Professionnels, Scientifiques et Techniques
Sur les 20 acteurs observés en 2021, 14 n’apparaissent plus national.
Commerce de détail
dans le top 20 établi en 2022, ce qui montre à quel point
Construction
les groupes de cyber-extorsion périclitent rapidement. Nous D’autres événements fascinants ont également fait la une.
Commerce de gros avons suivi 49 acteurs en 2021, contre 47 en 2022. Cependant,
Finance et Assurance larépartitiondesvictimesentrecesdiaérentsgroupes Le groupe LockBit a déclaré avoir hacké le fournisseur
Santé et Assistance Sociale a radicalement changé. d’identité numérique Entrust en aout 2022. Quelques jours plus
Services Éducatifs
tard, LockBit a annoncé avoir subi une attaque DDoS, laissant
penser qu’il s’agissait peut-être de représailles de la part de
Administratif, Aide, Gestion des déchets
Administration publique La Cy-X dans World Watch sa dernière victime.
Aperçu des secteurs d’activité Sources des incidents par secteur d’activité
Larépartitionàdroiteoareunaperçudetouslessecteurs Les acteurs externes proviennent généralement de l’extérieur Répartition des incidents confirmés par VERIS par acteur et secteur activité Externe Interne Partenaire Inconnu
d’activité de nos clients et des acteurs malveillants auxquels del’entreprise:individus,hackersmalveillants,groupes 100%
ils ont été confrontés, proportionnellement. S’il s’agit d’un d’acteurs malveillants soutenus par les états, APT, anciens
90%
nouvel ensemble de données appliquant la méthodologie salariés, etc. Les acteurs internes agissent au sein de
VERIS encore en développement, cela nous permet tout l’entreprise. Il peut s’agir de salariés, de consultants, de 80%
de même d’avoir une première idée des secteurs qui sont stagiaires, etc. Les partenaires, tels que les sous-traitants, 70%
davantage touchés par des acteurs malveillants internes que fournisseurs, et services informatiques externalisés, sont
par des acteurs malveillants externes. Par ailleurs, ces résultats des tiers. 60%
peuventêtreinfluencésindividuellementparlescapacités 50%
Notons également que les actions à l’origine des incidents
de détection de chaque client dans le secteur respectif.
de sécurité peuvent être de nature malveillante ou non 40%
Toutefois, il est très étonnant de constater que de nombreux malveillante, volontaire ou involontaire.
30%
secteurs semblent davantage confrontés à des menaces
internes qu’à des menaces externes. 20%
10%
Servicesprofessionnels,scientifiquesettechnologiques 0%
il
ue
s
riè e
qu s,
ci té
tio t
iq f
G n
n
ta
ic
tif
nc
ag
io
in
bl sau
ra en
tu tri
de tio
io
ni el
iq
So an
re
es
az
bl
dé
a
as
at
ue
ra
ck
ac us
st gem
al
ct
ch nn
uc
bl
et rac
Pu
Pu (
rm
ce e S
Ce secteur est dans le top 3 de notre clientèle, soit 13 % Enobservantl’évolutiondesincidentsdesécuritéconfirmés
Le
su
ru
de
to
n es
Pu
uf nd
Te sio
Éd
le xt
fo
st
As
es
tS
Re ber
an d
au
tio rvic
et
an I
ce
tro , E
n
et s
In
on
es
st s
ic
e
tio
te
n
et
si oin
de é
er
tra se
Pé res
rv
du total des clients du domaine services professionnels. aufildutemps,nouspouvonsremarquerqueleurniveauest
tio
ic
es o
H
tra
or
m
Se
rv
As S
qu P
ca
nc
in es
de rriè
sp
om
M
is
Se
ifi s
Lo
m utr
na
in
nt ce
an
a
C
Concernant l’augmentation des incidents de sécurité, nous constant chaque mois, à l’exception de deux pics en janvier et
is
es
m
,C
Fi
Ad A
ie rvi
r,
Tr
Ad
ilie
ic
et
es
Sc Se
rv
ob
in
Se
constatons que 10 % du total des incidents de sécurité septembre 2022.
M
m
et
Im
potentiels proviennent de ce secteur. Nos analystes sécurité
GrâceauxinformationsdelaclassificationVERIS,nous
ontanalyséplusdeincidents
08 1 desécuritéconfirmésdans
4 4
constatonsquecesecteuradavantagesouaertdesacteurs
ce secteur.
malveillantsinternesce 94, )( % quisignifiequelesecteur
Lapremièrecatégoried’incidentsdesécuritéconfirmés
est anomalies réseau et applications avec 37 %, un résultat
des services professionnels est confronté à un problème
de« menaceinterne ».Lesprincipales
3 menacesinternes % 2
similaireàceluidel’annéedernière:du 1 2%0 5(3 totaldes observéessont:utilisationabusiveduNet,Matériel/logiciel/
8%
incidentsconfirmésétaientliésauréseau)Les . anomalies script/solution non approuvé et dysfonctionnements. Les
systèmereprésentent91des % incidentsconfirmés,unchiare acteurs malveillants externes ont généré des incidents vrais
semblable aux 20 % enregistrés l’an dernier. Les incidents positifs dans 35 % des cas, 15 % du total des vrais positifs
liés à l’Ingénierie sociale ont étonnamment été divisés de plus n’ontpaspuêtreidentifiésetont % 0 2, 1 étéclassésdans
19 %
demoitié,soitdes%4 incidentsconfirmés,contrel’an %31 lacatégoriepartenaires
« »,c’est-à-direqu’ilsontétécausés
dernier. Les anomalies de compte ont également diminué par des tiers. Les 3 principales causes d’incidents externes
proportionnellement pour atteindre 7 % du total des incidents, étaient:attaquesweb,scandeportsetspam.
contre 12 % l’an dernier.
24%
en termes de volume. Nos analystes sécurité ont néanmoins
enquêtéetdétectéenviron90incidents
0 desécuritéconfirmés. Ces deux catégories représentent 39 % des incidents, tandis
Ce secteur se démarque avec un taux proportionnellement quen’ont
%7 1 pasétéidentifiésetont
% 4 étécauséspar
41%
élevé de vrais positifs. La moitié des incidents signalés ont des partenaires, c’est-à-dire des tiers.
étéconfirmés,92 étaient
% desIncidentsavéréslégitimeset
En termes de volume, les principales catégories d’actions
seulement 17 % étaient des faux positifs, les 5 % restants étant
malveillantessont:spamspardesacteursmalveillants
nonidentifiés.
externes, phishing par des acteurs malveillants externes et
Si l’immobilier représente proportionnellement un faible nombre utilisation abusive du net par des acteurs malveillants internes.
de clients et d’incidents, la première catégorie est celle des Les attaques web sont la troisième catégorie d’actions
Malwares conformément
,) % 1 4( àlatendancegénérale.Par malveillantes externes. Les dysfonctionnements arrivent
rapportàl’annéedernière,lescasdeMalwaresconfirmésont en deuxième position des incidents internes, suivis des
représenté seulement 16 % de l’ensemble des vrais positifs. spamsd’origine
( interne,paroppositionauxspamsd’origine
externequisontl’actionmalveillantelaplusreprésentée).
Les anomalies réseau et applications arrivent en deuxième
Étonnamment, 14 incidents de sécurité ont été causés par
30
%
placeavecdes % 03 incidentssuivies ,:) 1 %207 (3 des
des partenaires en raison d’un manque de capacité.
anomaliessystèmeavec Dans
.:) 1 %20 8 (2 % 4 2 l’ensemble,
le secteur immobilier enregistre la plus grande proportion Lenombred’incidentsdesécuritéconfirmésaugmentede
d’anomalies système, après le secteur transport et stockage. manière stable entre octobre 2021 et le pic de septembre 2022.
Cependant, ces deux secteurs sont relativement peu
représentés dans notre clientèle.
Malware Réseau & Apps Système Compte Violation des Politiques de Sécurité Ingénierie Sociale Autres
Arrondi
* auchiareentier
3
6%
Industrie manufacturière
L’industrie manufacturière est encore une fois le secteur le plus Lerestedesdonnéesn’apaspuêtreidentifiéparlesanalystes.
représenté, du point de vue du nombre de clients et du nombre
12%
Parmi les incidents de sécurité attribués à des acteurs
d’incidents. Environ 28 % de nos clients proviennent de ce
malveillantsexternes,lesprincipales
3 attaquessont:
37
secteur, pour une part de 31 % de l’ensemble des incidents
les attaques web, le scan de ports et le phishing. Dans
potentiels. Nos analystes ont travaillé sur plus de 7 000
les incidents d’origine interne, nous avons enregistré les 3
%
incidentsdesécuritéconfirméssurlapériodesélectionnée.
actionsmalveillantessuivantes:matériel/logiciel/script/solution
Ils ont déterminé que 37 % de ces incidents étaient liés à
non approuvé, dysfonctionnement, backdoors.
des Malwares, 23 % étaient des anomalies réseau et
applications et 19 % étaient des anomalies système.
Enanalysantlesincidentsconfirméspourlesquelsnous
disposons de données extraites de la méthodologie VERIS,
19 %
nous constatons que ce secteur est confronté à davantage
d’acteurs malveillants internes, soit 58 % des incidents,
contre 32 % d’incidents d’origine externe et 1 % d’incidents
« partenaires
»,c’est-à-diredestiers.
%
Lesincidentsconfirmésproviennentprincipalementdes méthodologieVERISetqueseulslesincidentsconfirmés
catégoriesanomaliesréseauetapplicationsincidents , ) % 36 ( sontanalysés,cechiarepeutêtrerelativementfaible.Ilnous
liésàdesMalwareset ) % 2 ( anomaliesdecomptes. ) % 11 ( apporte néanmoins quelques informations intéressantes. Ce
Ce secteur est le seul à être principalement touché par résultat est d’ailleurs conforme aux résultats du Data Breach
desincidentsanomaliesréseauetapplicationsconfirmés. andInvestigationsReportDBIR) ( 2 02 dans
[2]
, lequelVerizon
L’ingénierie sociale a chuté, passant de 5 % du total des constateégalementquecesecteurquisouaraitplutôtde
incidentsconfirmésà. % 3 « menacesinternes »aétédeplusenplustouchépardes
acteurs malveillants externes ces dernières années, suite
Lorsque nous analysons les données via la méthodologie
au développement de ses surfaces d’attaque Web.
VERIS, nous constatons que ce secteur a principalement
souaertd’incidentsdesécuritéd’origineexterne,puisque% 6 7
dutotaldesincidentsconfirmésselonlaclassificationVERIS
ont été attribués à des acteurs malveillants externes, tandis
que 18 % étaient d’origine interne et 0,61 % provenaient
de partenaires.
6 3% 8%
Finance et Assurance
Le secteur de la Finance a perdu une place en termes de Ducôtédescausesdesincidentsconfirmés,plusdelamoitié %
8
proportion des incidents de sécurité potentiels. Occupant des incidents répertoriés provenaient d’un acteur malveillant
40%
auparavant la quatrième place, le secteur Finance et assurance externeet ) % 6 5 ( untiersd’unacteurmalveillantinterne. ) % 3 (
est désormais 5e avec 9 000 incidents de sécurité signalés. Lerestedesdonnéesn’apaspuêtreidentifiéparlesanalystes.
Ce secteur représente 13 % de notre clientèle.
Comme les années précédentes, ce secteur enregistre
Alors que nous avions observé une chute des incidents l’un des plus forts taux d’ingénierie sociale. Sur l’ensemble
20 %
Malwaresconfirmésl’annéedernière,noussommescette desincidentsconfirmés,plusdesont %8 classésdansla
année confrontés à une proportion bien plus élevée d’incidents catégorie Ingénierie sociale. Dans ce rapport, seul le secteur
Malwaresconfirmésquelesdeuxannéesprécédentes.Les publicenregistredavantagedecasd’Ingénieriesociale, ) % 5 1 (
casdeMalwaresconfirmésreprésententuneproportionde proportionnellement.
contre
, % 04 des
%51 incidentsdesécuritéconfirmésl’année
Les 3 principales catégories d’incidents de ce secteur étaient
dernière. Soulignons également que le nombre d’incidents de
lesMalwaressuivis
94, )( % desincidentsliésauréseau
sécuritéconfirmésaréduitdemoitiéparrapportauxchiares
et
) % 3 2 ( desanomaliessystèmeNous . ) % 02( constatons
de l’année précédente.
une évolution importante des proportions du top 3 et des
Concernantl’évolutiondesincidentsconfirmés,lesecteur
Finance enregistre une hausse stable entre octobre 2021
catégoriesparrapportauxchiaresdel’annéeprécédente.
Plusieurs raisons peuvent l’expliquer, notamment des 23%
et septembre 2022, avec un léger pic en juin 2022. modificationsdesfonctionnalitésdedétection,delabase
de clients et du paysage mondial des menaces.
Malwares Réseau & Apps Système Compte Violation des Politiques de Sécurité Ingénierie Sociale Autres
Arrondi
* auchiareentier
7%
position en termes de volume d’incidents de sécurité analysés VERIS. Les acteurs malveillants internes sont responsables de
par nos équipes. Un tiers des incidents signalés sont des Vrais des
%4 incidentsconfirmés,contrepour
% 53 lesincidents
15%
positifs, soit 3 500 enquêtes sur la période sélectionnée. causés par des acteurs malveillants externes. Les 19 %
restantsn’ontpaspuêtreidentifiésparlesanalystesetunpeu
Avec une part de 39 %, les anomalies réseau et
plus de 3 % des incidents sont liés à des tiers, c’est-à-dire des
applications représentent la principale catégorie d’incidents.
partenaires de nos clients.
Proportionnellement, il s’agit d’une hausse considérable
par rapport à l’an dernier, puisque 22 % des vrais positifs En analysant plus en détail les actions malveillantes, nous
étaient des incidents liés au réseau et aux applications. Il en constatons que les incidents de sécurité internes liés à
9%
va de même pour les Malwares, avec une légère hausse des du matériel, des logiciels, des scripts et des solutions
incidentsconfirmésparrapportàl’annéeprécédente:1 20 ( non approuvés arrivent en première position en termes
Les
.:) 2 %0 27 , % 3 2 casd’Ingénieriesocialeontdiminué, de nombre d’actions et d’acteurs. Viennent ensuite les
mais la vente au détail demeure le 3e secteur le plus touché par attaques externes telles que le phishing, les attaques web
ce type d’incidents. etl’utilisationd’identifiantsvolés.Lesacteursmalveillants
internes ont également généré des incidents de sécurité liés
Comme d’autres secteurs analysés dans cette édition, la vente
38%
à une mauvaise utilisation des privilèges et à des erreurs de
au détail est davantage touchée par des menaces internes que
configuration.
8%
par des incidents d’origine externe.
34
Transport et Stockage
%
Le secteur transport et stockage représente 4 % de notre D’après les connaissances extraites des données VERIS,
clientèle et 2 % des incidents signalés. L’analyse détaillée des nous constatons une proportion supérieure à la moyenne de
28 %
vrais positifs nous révèle qu’un tiers d’entre eux étaient liés à menacesinternes.Eneaet,des % 46 incidentsconfirmés
uneformedeMalwares,suivisdesanomaliessystème) % 8 2 ( classés selon la méthodologie VERIS étaient d’origine interne.
etdesanomaliesréseauetapplicationsCurieusement,. ) % 62( 32 % provenaient d’une source externe, 3 % des données n’ont
les violations de politiques arrivent en quatrième position. paspuêtreidentifiéesetétaient
%1 liésàdespartenairesde
D’une année sur l’autre, le niveau des Malwares est resté nos clients. Les actions malveillantes d’origine interne étaient
similaire, les incidents liés au réseau sont proportionnellement lessuivantes:Utilisationabusivedunet,matériel/logiciel/script/
plus élevés et les anomalies système ont considérablement solution non approuvé et dysfonctionnements. Les acteurs
augmenté.:) 2 %0:281 ,20% (7 malveillants externes ont contribué aux données d’incidents
par l’intermédiaire du scan de ports, des attaques web et de
5 25%
l’utilisationabusivedunetpar ( oppositionàl’utilisationabusive
41
dunetd’origineinterne).
Hôtellerie et Restauration
Cesecteuresttrèsspécifiqueetdoitêtreabordéavec Plus de la moitié des incidents sont liés à des acteurs
prudence. Alors qu’il représente seulement 2 % de nos malveillantsd’origineinternequi ) % 56 ( utilisentdumatériel,
clients, le volume d’incidents reçus correspond à 10 % de des logiciels, des scripts et des solutions non approuvés.
nos incidents de sécurité entrants. Les données que nous Les incidents de sécurité Adware ont été classés « non
observons sont donc en grande partie déterminées par le concluants».Celaseproduitlorsquenousnedisposonspas
cadre de détection appliqué. Bien que cela soit vrai pour desubsammentd’informations.Lesincidentsd’origineexterne
toutes nos données et analyses d’incidents, les résultats que représentent une part de 28 % et comprennent les attaques
nous observons découlent des capacités de détection mises web, les backdoors et les vers.
en place. Par conséquent, ce secteur enregistre une quantité
disproportionnéed’incidentsMalwaresconfirmés,soit90%
de tous les incidents de sécurités avérés. Ce résultat est
90%
similaire à celui de l’an passé. Nous retrouvons ensuite
l’ingénieriesocialeles , ) % 5 ( anomaliessystèmeet
)% 4(
lesincidentsliésauréseau<1( . ) %
Malwares Réseau & Apps Système Compte Violation des Politiques de Sécurité Ingénierie Sociale Autres
Arrondi
* auchiareentier
tér
uv
t la
en
en
em
t la
Mo
seulement.
al
2. 4. 6.
Intrusion Elévation Exploitation
de privilège
Phishing externe ou interne Mimikatz Chiffrement
Téléchargement de malware
par vos utilisateurs
Qakbot vs Bumblebee
Au cours des 6 derniers mois, nous avons également constaté
une hausse constante de la taille de l’écosystème C&C
Bumblebee.
Conclusion
Danslafigureci-dessous,nouscomparonsBumblebee
et le tristement célèbre Qakbot, actif depuis 2007. Qakbot
représente moins de 1 % de notre ensemble de données et
Bumblebee vs. Qakbot
Bumblebee seulement 0,4 %. Pourtant, la situation évolue.
Bumblebee Qackbot Les Malwares demeurent le premier type d’incident, suivis par les anomalies
100% réseau et applications. Ces deux catégories se suivent de très près, avec
delégèresvariationsdansquelquesraresoccasions.L’identificationdes
90%
27.22% incidents avérés qui ont un impact sur l’activité est un processus fastidieux.
80% Sur l’ensemble des incidents traités, environ 29 % ont eu une forme d’impact
70%
49.75%
sur nos clients.
60% Cette année, nous avons sélectionné la méthodologie VERIS pour classer
les données et mieux comprendre la nature des incidents. Une partie
50%
seulementdel’ensemblededonnéesabénéficiédecetteapproche,mais
40% elle nous a laissé entrevoir les possibilités de ces données plus détaillées.
72.78%
Un des principaux avantages est la possibilité de distinguer les incidents
30%
50.25%
d’origine externe des incidents d’origine interne. Les entreprises se voient ainsi
20% oarirlapossibilitéderéduireleurnombred’incidentsenseconcentrantsur
ces transgressions internes.
10%
0%
Vuesàtraversleprismedesanciennesclassificationsdesdonnées,les
les 6 derniers mois les 2 derniers mois petites et grandes entreprises de notre ensemble de données luttent à leur
échellecontredesmenacessimilaires.Cependant,lasituationestdiaérente
Nous pouvons ainsi supposer que l’acteur malveillant sil’onencroitlesclassificationsVERIS.Lesincidentssontmieuxrépartis
Bumblebee est très actif et en bonne santé. dans les grandes entreprises que dans les petites entreprises, où l’on retrouve
Cesévolutionsreflètentl’utilisationdenouveauxoutilspar principalement les catégories Hacking/tests d’intrusion et Malwares. Dans
les attaquants, nous devons donc les surveiller avec attention. les moyennes entreprises, les anomalies réseau et application et les anomalies
système représentent près de la moitié des incidents vrais positifs. Dans
Mi casa es su casa le jargon VERIS, il s’agit des catégories Hacking/Tests d’intrusion et erreurs.
Les études portant sur cet ensemble de données nous
permettent d’établir d’autres observations, notamment la Le secteur de l’industrie manufacturière demeure notre plus grande
fréquence d’utilisation des adresses IP pour héberger plusieurs préoccupation, puisqu’il continue à enregistrer le plus grand nombre
infrastructures C&C distincts. d’incidents traités, en pourcentage du nombre total. Les secteurs de la vente
Il est rare que plus de deux infrastructures soient hébergées au détail et des services professionnels clôturent le top 3 en occupant
sur le même serveur. La présence de deux infrastructures les deuxième et troisième places, respectivement. Les trois secteurs sont
sur le même serveur est quant à elle fréquente, et il s’agit
souvent de Cobalt Strike et Metasploit. Dans les rares cas confrontés à des problèmes de menaces internes, même si l’industrie
oùnousobservonsunetroisièmeinfrastructurecelle-ciest manufacturière est la plus touchée. Nous avons constaté une baisse générale
généralementassezobscure.CobaltStrikeetMetasploit des incidents dans le secteur de la santé et de l’aide sociale, ce qui est
sont le duo favori sur les serveurs observés ces 12 derniers
une bonne nouvelle.
mois. Ce n’est pas vraiment surprenant, lorsque l’on sait que
ce sont les deux infrastructures les plus courantes. Pourtant,
il est intéressant de connaître les associations appréciées
La création du score de couverture à l’occasion de ce Security Navigator
des attaquants. ouvre la voie à une discussion sur l’impact d’une approche de sécurité
Unevisionentièrementdiaérenteémergelorsquenousretirons
mature. Nous avons constaté que les entreprises plus matures du point de
Cobalt Strike et Metasploit de cette analyse. Les infrastructures vue de la couverture de sécurité devront travailler plus dur pour repousser
C&Clesplussouventassociéssont« covenant»et« poshc2 ». les incidents. Nous avons tous déjà entendu le dicton populaire « Vous ne
Grâce à une surveillance proactive des serveurs C&C, points pouvez pas gérer ce que vous ne mesurez pas .» Pourtant, plus vous mesurez,
névralgiques de la chaîne de frappe des attaquants, nous plus vous aurez à gérer. C’est peut-être l’occasion de mettre en place des
sommes en mesure de détecter davantage de compromissions ajustements précis et réguliers et des solutions de sécurité évolutives,
encours.Lesdonnéesgénéréesparcesactivitésoarentdes
connaissances précieuses sur l’évolution du comportement capables de gérer le volume croissant de données.
desattaquantsaufildutemps.
Qui sont les pires hackers ? venant de Russie[9]. Curieusement, certains membres seraient
originaires d’Ukraine. Une partie des membres du gang est
fidèleàl’agendarusse.Leurrelationestmêmeprobablement
bien plus profonde que cela[10]. Les conversations de CONTI
commerciale»auxvictimespourdéguiserunetentative
d’extorsion brutale.
CONTI est une organisation criminelle transnationale bien rodée.
L’impact de CONTI sur la réponse à incident qui ont fuité indiquent que d’anciens soldats russes auraient
rejoint leurs rangs et ont mentionné dans leurs conversations
Ils ont également démontré leurs capacités en menant des
attaques sérieuses contre le Costa Rica[12]. Les autorités
qu’ilsétaientenCriméeen En
. 4 1 0 2 eaet,desmembresont nationales ont d’ailleurs réagi en conséquence et déclaré
CONTI était l’un des plus grands groupes de ransomwares au monde et probablement le plus antisocial (malveillant) mentionné leur présence en Crimée en 2014[11]. En février 2022, que l’incident était un acte de guerre à l’encontre du pays[13].
de tous. Mais alors pourquoi, selon moi, se démarquent-ils dans ce « secteur » de l’extorsion numérique ? certains membres ont déclaré aider la Russie dans sa guerre Pour certains, CONTI est allé trop loin en s’en prenant à un
Cettequestionmérited’êtredéveloppée,enparticulierdansuncontexteoùlesransomwaresfontplanerunemenacesur contrel’Ukraine.Parlasuite,unmembreabliéadivulguédes gouvernement. Cette ultime attaque ferait partie d’une stratégie
la sécurité économique de nations toutes entières, aux quatre coins du monde. Les attaques par ransomwares de CONTI conversations et des informations sur le fonctionnement du pour détourner l’attention de l’arrêt progressif des activités du
ontdeseaetsàlafoispsychologiques,politiquesetéconomiques.Commençonspardéterminercommentellesmodifient gang.Cedernierasoudainementmisfinauxcommunications groupe, suite à la divulgation de leurs données en mars 2022[14].
notre vision du cybercrime, en adoptant le point de vue d’un acteur de la réponse à incident. parmessagerie,uneinformationvérifiéedansnosdonnéesde
Mais l’histoire ne s’arrête pas là. Le groupe semble tout
recherche.
Simone Kraus, Junior Security Analyst, Orange Cyberdefense simplement s’être séparé, mais les attaques par ransomwares
Cetterelationdecauseàeaetpeutexpliquerlaressemblance actuelles de groupes tels que Royal laissent à penser que des
entre les activités de CONTI et les tactiques réelles de guerre membres de CONTI les ont rejoints[15].
Au premier trimestre 2020, Orange Cyberdefense a lancé un projet visant à suivre et documenter les données 2020 2021 2022
Nombre d’enregistrements
25,000
divulguées par des ransomwares. Nous avons constaté une multiplication par neuf du nombre de fuites par
double extorsion entre janvier 2020 et août 2021. L’activité Ransomwares était en forte augmentation à la période 20,000
oùCONTIétaitleplusactif.Outrelamenaceexistentielledécoulantdusuccèsdecesattaquesparextorsion,les 15,000
conséquences psychologiques peuvent s’avérer désastreuses et ne doivent en aucun cas être sous-estimées.
10,000
5,000
EntraitantavecCONTI,quevoussoyezunevictimeouunacteur
delaréponseàincident,vousconstatezquecegangarecoursa Pourquoi les groupes comme CONTI représentent-ils un tel
des ruses psychologiques pour convaincre ses victimes de payer.
Techniquement,CONTIchiaretouslesfichiersaprèsqueleuropérateur danger pour notre sécurité économique ?
ort Chat
a fait une copie des sauvegardes et les a supprimées. Les cibles de CONTI Supp Le cybercrime est souvent dénué d’empathie, de moralité, SelonleconceptRATRoutine
( ActivityTheory) , le crime
[20]
l’attaque par ransomwares n’ont généralement aucune chance de d’intégrité ou même de culpabilité. Les cybercriminels ont est favorisé par plusieurs facteurs, parmi lesquels l’absence
restaurer leurs systèmes. Pour accroître l’humiliation et la pression unevisioncognitivementdissonantedumonde:ilsnepensent de garde-fous[21]. Cela peut faire référence à des contrôles
exercée sur les victimes, les données sont volées dans le but qu’à leur propre personne, à exploiter et à manipuler les desécuritéinsubsants,parexempleunemauvaisegestion
d’être divulguées en cas de non-paiement de la rançon. Sur le plan autres[16]. Ils représentent une véritable menace pour la société, des patchs, mais également à une pénurie d’experts en
psychologique, cette double humiliation peut laisser des traces et miner notammentparcequ’ilsévoluentdansunenvironnementoù cybersécurité ou à du personnel avec des connaissances
le moral des personnes chargées de régler la situation, mais également les répercussions sont peu probables[17]. insubsantesdansledomainedelasécurité.Maiscelaneveut
de l’ensemble de l’entreprise[6]. pas dire que la victime est responsable. Pourtant, même dans
Les attaques visant les infrastructures stratégiques représentent
les grandes entreprises ayant implémenté des « meilleures
Suiteauchiarement,l’attaquantexpliqueauxvictimesqu’ellessont aujourd’hui une menace constante. Les terroristes parviennent à
pratiques »,leshackersparviennentàchiarerdesactifs
responsables de l’incident. Pire encore, leur opérateur ose présenter pirater réseaux, hôpitaux, installations de traitement des eaux ou
stratégiques.
l’attaque comme une relation commerciale, pourtant inexistante. stations logistiques[18]. La guerre est souvent déclarée en ligne
CONTIoareses« services »,commesilegroupen’étaitpasàl’origine avant d’arriver sur le terrain. En Ukraine, des hackers russes ont Tout le monde, ou presque, court un risque en permanence.
de cet état d’urgence. En usant de stratagèmes psychologiques, piraté les médias et les infrastructures plusieurs jours avant que
les cybercriminels tentent de faire culpabiliser la victime et déguisent le premier coup de feu ne soit tiré[19].
leurs actes d’extorsion criminels en proposant leur aide[7].
Le vol de données,
àl’origined’unepertedeconfiance
Conclusion : peut-on vraiment faire pire ?
Une attaque par ransomwares a de graves conséquences psychologiques CONTI est le gang de hackers le plus recherché au monde. Une récompense de 10 millions de
sur les employés de l’entreprise, les partenaires commerciaux et les clients. dollarsestoaertepourlacapturedesesmembres.Lesautoritésaméricaineslesconsidèrent
L’incidentrendupublicprovoqueunerupturedeconfiance,d’autantplus comme un groupe terroriste. Ils sont toujours présents dans certains groupes comme Black Basta,
lorsque des données sont divulguées. Sur le long terme, cela peut briser Blackbyte ou Royal.
les liens noués entre tous les acteurs impliqués, ce qui nuit à la réputation
Que peut-on apprendre en analysant des groupes comme CONTI ? Nous devons apporter
etàl’activitédel’entreprise,parfoisaupointoùcelle-ciestincapablede
une réponse générale, mondiale et plus coordonnée face aux menaces de Cy-X. Les membres
s’en relever[8]. Les témoins de telles attaques à l’encontre de leur entreprise
d’un groupe de ransomwares cherchent souvent le prestige avec leurs actions criminelles.
changentdéfinitivementdepointdevuesurlesransomwares.Ilnes’agit
Ils ont même fait étalage de leur richesse mal acquise, en posant en photo devant des voitures
plus d’un problème de sécurité, c’est une menace réelle pour l’activité.
deluxe,tandisqueleursvictimessupportaientlescoûtsfinanciersetpsychologiquesdeleurs
J’ai vu des entreprises subir deux attaques.
actes pendant la pandémie. Qu’est-ce qui pourrait être pire ? Les cybermenaces d’extorsion en
général devraient être contrées de manière globale et plus coordonnée pour stopper les groupes
cybercriminels comme CONTI.
© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com
40 Security Navigator 2023 Cyberguerre:lacriseukrainienne
41
Cyberguerre
Le cas de la crise
ukrainienne
Toutconflitinternationalentraînedesrépercussionsmajeures
sur le reste du monde, y compris sur le cyberespace. Exception
faitedesmenacesspécifiquesquiplanentsurlesorganisations
« directement »impliquéesdansleconflit,lesrisquessontdécuplés
pour tout le monde.
Bienquenoussoyonscapablesd’identifiercertainsacteurset
méthodesspécifiquessusceptiblesd’êtreimpliquésdansce
conflit,lagrandemajoritédesorganisationsdoitseconcentrer
sur ce phénomène d’augmentation globale du risque.
Il convient alors de garantir un état de préparation général, tout
enadoptantunestratégieebcacededéfenseenprofondeur
pourréagiràdiversesmenacespouvantémergerdececonflit.
Conclusion
Wicus Ross
Senior Security Researcher
Orange Cyberdefense
Joshua Sylvester
Security Research Intern
Orange Cyberdefense
World Watch
« Histoire
d’histoires »
LeCERTComputer
( EmergencyResponseTeam)d’Orange
Cyberdefense fournit régulièrement des conseils dans le cadre de
sonservice«WorldWatch ».Ilanalysenotammentlesvulnérabilités,
les menaces, les incidents et d’autres événements majeurs qui
peuvent toucher nos clients.
Cette année, divers événements ont orienté les bulletins
publiés par le service World Watch. Orange Cyberdefense doit
réaliser un suivi et des ajustements en continu en fonction des
évolutions du paysage des menaces. Cette approche axée sur
lerenseignementnouspermetdedéveloppernosservicesafin
de mieux servir nos clients et de proposer des solutions pertinentes.
Cetteannée,nousavonschoisiuneapprochediaérentedel’analyse
de nos bulletins World Watch en faisant appel au Traitement
AutomatiquedesLanguesTALN
( ouNLP)une
, sous-disciplinedu
MachineLearningML) ( .
Nous nous sommes servis du NLP pour orienter et façonner ce
chapitre. L’utilisation du ML ne diminue pas le rôle ou les contributions
de l’analyste, mais en fait, elle renforce ses capacités et met en
évidence des facettes des articles qui auraient pu être ignorées ou
dontladécouverteauraitdemandéuneaortimportantdelapart
de l’analyste. L’utilisation du NLP nous permet d’estimer l’ampleur
de la tâche de l’analyse en automatisant plusieurs aspects de
laclassificationdesdonnéesetdel’extractiondesentités.
▪
World Watch
249 sont des messages uniques, suivis de 304
des entités potentiellement associées à des malwares.
L’objectif du troisième modèle NLP, que nous appelons « modèle
Bulletins par technologie
commentaires et analyses additionnels sur ces signalements Fournisseurs et technologies visés par les bulletins, criticité comprise. Critique Elevé Moyen Faible Information
CWE »,estdeclassifierlestextesselonlespiliers 01 CWE
uniques 16
existants. Un pilier CWE est la plus haute catégorie de vulnérabilité
▪ 229 CVE distinctes ont fait l’objet de commentaires, ou de faille. Il existe plusieurs sous-catégories de types de
parmi lesquelles 50 CVE sont apparues plus d’une fois 14
vulnérabilités, comme les dépassements de mémoire tampon,
▪ Les données ont été recueillies entre octobre 2021 l’injectionSQLoulecross-sitescriptingXSS) ( entre
, autres, 12
et jusqu’à septembre 2022 inclus maisn’importequellevulnérabilitépeutêtreclassifiéesousl’un
▪ Sourcesdesdonnées:analysesduCERTetduCentre des 10 piliers. Nous nous sommes limités aux 10 principales 10
derechercheensécuritéSRC)
( Le
. SRCetleCERTonttous catégories pour améliorer la précision.
8
deux produit des contenus entre octobre 2021 et mars 2022. Comme avec n’importe quel outil, nous devons prendre en compte
les limites et les pièges. Nous avons mentionné « l’amélioration 6
delaprécision »desmodèlesetnousdevonsenprendreacte.
Del’intelligenceartificielle Les modèles de ML peuvent générer des résultats qui, s’ils sont 4
à l’intelligence réelle pris au pied de la lettre, peuvent s’avérer trompeurs ou mener 2
àdesabrmationserronées.Entermesplustechniques,nous
Nous avons choisi une approche modeste et créé trois modèles.
devons prendre en compte le taux de faux positifs ou de vrais 0
Deuxdecesmodèlessontutiliséspourlaclassificationdes
négatifs. Des biais cachés dans le modèle peuvent également
os
co
l
n
he
on
textes et le troisième modèle est utilisé pour extraire les entités
p
a
e
e
om
a
an
ft
it
al
F5
illa
M
e
el
ia
gl
an
nu
ob
cl
ay
Ap
pl
lk
so
ar
cW
ph
is
t
IB
ac
az
bi
influencerlesrésultats.
ss
oo
In
ra
oz
Po
Ap
Zo
w
Av
oc
Li
C
Ad
ro
et
De
So
Ap
Am
recherchées du texte.
la
VM
ni
M
G
ic
N
M
At
So
M
Laprécisiondu« modèlethématique »étaitde ce
, % 4 6 , 8 qui
NotrepremiermodèleNLPpermetdecatégoriseroudeclassifier
peutsemblerélevé,maisdansl’idéal,cechiaredoitavoisiner
les textes en quatre thèmes qui nous semblaient intéressants.
les 100 %. Le modèle CWE a atteint un niveau de précision de
Nousl’appelonsmodèle « thématique ».Cemodèlepeutclasserle
84,92 % et a permis de classer avec une relative précision les Changement de stratégie
texte dans les catégories Vulnérabilités, Ransomwares, Mobile ou
vulnérabilitésassociéesauxpiliersCWE« Mauvaiseneutralisation » Nous avons publié 553 avis World Watch entre octobre 2021
Menaces.Lemodèlen’apasétéenmesured’identifierprécisément
et « Mauvais contrôle d’une ressource tout au long de son cycle et septembre 2022 inclus. Cela correspond à 249 avis uniques,
4.5
toutes les failles et nous avons donc été contraints d’exclure cette
devie ».Celavientdufaitque des
% 4 , 3 7 donnéesdel’ensemble suivis de 304 commentaires et analyses additionnels sur ces
catégorie. Les failles posent également des problèmes d’extraction
utilisé pour l’entraînement étaient des exemples de ces deux signalements World Watch uniques.
d’informations telles que la victime et le type d’impact.
piliers CWE. Le reste des données d’entraînement, soit 26,6 %,
Dans le langage du ML, le second modèle répond au nom de a été utilisé pour entraîner les 8 autres piliers CWE et explique Cetteannée,nousavonsmodifiélescatégoriesouthèmes
34
modèledeReconnaissanced’EntitésNomméesNER) ( etpermet probablement la faible précision de ces piliers CWE. pour suivre les Vulnérabilités, les Menaces, les Ransomwares
27.3
et les actualités, incidents ou vulnérabilités liés aux appareils
.2%
d’identifierdesentitéstellesquelesfournisseurs,lesapplications,
Le modèle NER a été élaboré via une approche d’étiquetage mobiles. Pour réaliser un suivi des actualités ou incidents liés
les systèmes d’exploitation, les malwares et d’autres termes utiles. Menace
automatique, pour un niveau de précision de 96 %. L’étiquetage aux Ransomwares, nous avons décidé de créer une catégorie
Nousl’appelonsmodèle « NER »,fautedemieux.
automatiquesignifiequenousavonsutilisélesmétadonnées distincte de la catégorie Menaces. Nous avons également Ransomware
Le modèle thématique a été créé à l’aide de textes et d’articles présentes dans les données CVE de la NVD pour annoter créé la catégorie Mobile dans le but de suivre les actualités
de journaux déjà étiquetés comme correspondant à nos quatre le texte des vulnérabilités en donnant des indices au modèle Vulnérabilité
et événements liés à cette catégorie, indépendamment des
catégories ou thèmes. De la même façon, le modèle NER a été créé d’entraînement. Cela inclut notamment des schémas tels que catégories Vulnérabilités et Menaces. Mobile
grâce à un ensemble existant de textes étiquetés sous la forme les ID de CVE et les numéros de version.
dedonnéesCommonVulnerabilitiesandExposuresCVE) ( dela La catégorie Menaces inclut également plusieurs nouveaux
Le Machine Learning est un domaine en plein essor, en partie élémentsouévénementsliésàlaguerreenUkraine,afinde
NationalVulnerabilityDatabaseNVD) ( duNIST.Nousavonsutilisé
grâce à la découverte fréquente de nouvelles techniques et contrôler les éventuels débordements dans le cyberespace.
les données CVE des 12 dernières années pour élaborer le modèle
méthodologies. Une utilisation pertinente du ML peut entraîner Lacatégorie«Menaces »estassezvasteetinclutdes
NER.
des gains de productivité et d’échelle auparavant impossibles. menaces de type APT, malwares, voire failles. Le modèle NLP
Les données CVE sont riches en métadonnées, notamment parce
qu’elles contiennent un dictionnaire Common Platform Enumeration
Celasignifiequenouspouvonsréagirrapidementauxnouvelles
informations pour prendre de meilleures décisions.
aeudumalàidentifierunefailleavecundegrédeprécision 3 4. 0 %
acceptable. Le modèle de Machine Learning NER n’a pas non
CPE)
( etuneclassificationCommonWeaknessEnumerationCWE) ( plus été en mesure d’extraire des caractéristiques telles que
pour les vulnérabilités décrites. les victimes et la nature de l’impact. Ainsi, nous partagerons
peu ou pas d’informations sur les failles.
Bulletins de World Watch
Types de bulletin publiés Des débordements se sont produits pour deux autres
Vulnérabilité Ransomware Menace Mobile
Vulnérabilités vulnérabilitésCVE- ( et
7 468 3- 1 20 CVE-et
976 3)-0 1 20 ont
70
60
2021 2022 Bien que plusieurs vulnérabilités de nature grave aient été
signalées par des fournisseurs, nous avons publié un seul
été évalués comme critiques pour la précédente période de
reporting.LapremièredecesdeuxvulnérabilitésCVE- ( - 1 20
avis World Watch considéré comme critique. Il s’agit de est
)7 468 3 connuesouslenomdeOMIGODettoucheles
50 lavulnérabilitéLog4jCVE-
( et
, ) 8 2 4 - 1 20 destroisCVE machinesvirtuellesLinuxAzure.Lesfournisseursdépendant
associées, connues sous le nom de Log4Shell et publiées desmachinesvirtuellesMicrosoftLinuxAzureontétéaaectés
40 en décembre 2021. Ces vulnérabilités occupent une place par cette vulnérabilité majeure. La deuxième vulnérabilité suivie
importante dans d’autres mises à jour World Watch et nous y CVE-
( est
976)30- 1 2 0 liéeàdesfaillesduspouleurd’impression
30 reviendrons dans ce chapitre et dans d’autres sections de ce Windows appelées PrintNightmare, pour lesquelles Microsoft a
rapport. publié de nombreux patchs entre juin et octobre 2021.
20
10
0
Oct Nov Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep
vulnérabilités liées à des failles de cette librairie baptisées ou du côté récepteur. Le terme technique employé est la
Complexités liées à la chaîne TLStrom 2, qui ont notamment touché les commutateurs Aruba et
Log4j : des journaux néfastes sérialisation. Cette fonctionnalité a fait l’objet d’abus, car Log4j
d’approvisionnement des logiciels tiers Avaya, ainsi que certains appareils Smart-UPS d’APC. L’une des La journalisation fait partie intégrante de la surveillance des prenaitenchargel’APIRemoteMethodInvocationRMI) ( dans
vulnérabilitésdecettebibliothèqueCVE- ( pourrait
)7 63 2 - 2 0 2 applicationsetdessystèmes,notammentpouràdesfinsde ses fonctionnalités de modèles, une API activée par défaut dans
Les logiciels modernes peuvent comporter diverses
permettre la prise de contrôle à distance d’un système vulnérable dépannage lorsque les choses tournent mal. Il s’agit généralement certains systèmes.
bibliothèques dépendantes. Ces bibliothèques sont codées par
via le réseau. d’un processus de fond routinier et ennuyeux. Jusqu’à ce
d’autres personnes. La réutilisation du code semble logique,
qu’une série de failles soient découvertes dans le composant Nombreux sont ceux qui pensent que la vulnérabilité Log4Shell
notamment pour les bibliothèques bien codées. Les équipes Les exemples cités dans cet article se limitent aux composants
de journalisation open source et populaire Java Log4j. se manifestera dans un avenir proche.
de développeurs et d’assurance qualité gagnent du temps, utilisés dans des logiciels qui résident physiquement sur site
carellesn’ontpasàrepartirdezéro.Ellesvérifientuniquement ou dans les appareils que nous utilisons. Mais qu’en est-il du Lafigureci-dessousillustrelevolumed’incidentsconfirmés
que la nouvelle conception et sa mise en œuvre fonctionnent Quatre vulnérabilités, regroupées sous l’appellation Log4Shell et
cloud ? Un peu plus tôt dans ce chapitre, nous avons mentionné impliquant Log4j et signalés par nos CyberSOCs sur la période.
selonlesparamètresdéfinis,commec’estlecaschezles suivies sous les références CVE-2021-44228, CVE-2021-45046,
lavulnérabilitéOMIGODdesVMLinuxAzure,quiaaectait
autres fournisseurs. Malheureusement, l’erreur est humaine et CVE-2021-45105 et CVE-2021-44832, ont généré d’importantes
les acteurs basant leurs solutions sur des images de machines Entre décembre 2021 et septembre 2022, nous avons
les bibliothèques connues peuvent contenir des failles ou des dibcultéschezdenombreuseséquipesinformatiquesetde
virtuelles existantes. La vulnérabilité OMIGOD nous rappelle signalé 118 incidents liés à Log4j. La plupart sont apparus en
défauts latents exploitables. Nous avons suivi plusieurs actualités sécurité. Parmi ces vulnérabilités, trois ouvraient la porte à une
que nous devons surveiller les composants des logiciels et décembre 2021, en même temps que la menace.
et annonces de vulnérabilités qui correspondent à ce scénario. potentielle exécution de code à distance, à l’exception de CVE-
les ensembles qui composent les environnements d’exécution
2021-45105 qui pouvait mener à un déni de service local.
tels que les images de VM cloud et les conteneurs créés par Quatredecesincidentssesontvusattribuerune« Priorité1 »,soit
Apache, plus connu sous le nom d’Apache Software Foundation
d’autres personnes. leplushautniveaudepriorité:deuxendécembre,unenavriletun
ASF)
( figure
, enbonnepositiondanslalisteannuelledes Deparleurnature,ilsubsaitqu’undéveloppeurdécided’entrer
fournisseurs vulnérables. ASF supervise plusieurs projets open Onpourraitabrmerquelesfournisseursdoiventêtreplus des informations reçues par l’application depuis une source enaout
étonnamment)
( 2 02 .
source utilisés par de nombreux autres fournisseurs. ASF doit transparents quant à la composition des produits qu’ils externe pour que les failles Log4j compromettent les systèmes
84 % de ces incidents ont été signalés suite à la détection
sa plus importante vulnérabilité à la bibliothèque Java Log4j qui fournissent. C’est déjà le cas pour les grandes entreprises et vulnérables. En fonction de l’application, il était possible de
d’indicateurs pertinents de notre plateforme Datalake Threat
fournit des fonctionnalités de journalisation rapides, extensibles les gouvernements qui exigent davantage de transparence dans déclencher la vulnérabilité en saisissant du texte malveillant
Intelligence.
et étendues. Toute solution basée sur Java depuis 10 ans ou le cadre de leurs processus d’achat. L’idée d’une nomenclature dans le champ d’une application web. La faille ne se limitait pas
plus utilise probablement une forme ou une autre de Log4j. Si logicielleSBOM)
( nedatepasd’hier,maisils’agittoutdemême aux seules applications Web, elle concernait l’ensemble des
Les autres attaques ont été détectées via diverses techniques,
l’on poursuit cette logique, toute vulnérabilité grave de Log4j est d’undéfimajeur,enparticulierdanslecasdessolutionshéritées. applications Java impliquant une journalisation des données
notamment des opérations manuelles de Threat Hunting.
transmise automatiquement aux fournisseurs qui créent des Idéalement, toute nouvelle solution devrait être accompagnée saisies par les utilisateurs. Dans certains cas, la vulnérabilité
applications en se basant sur cette bibliothèque open source. d’une liste complète des composants logiciels pour que les pouvait entraîner une exécution de code arbitraire sur l’hôte et
Dans notre ensemble de données, ces fournisseurs incluent responsables de la gestion du risque puissent évaluer l’exposition les attaquants les plus créatifs pouvaient divulguer des variables La CVE-2021-44228 – Log4J–étaitlaseuleCVE“obcielle”
notammentOracle,Cisco,IBMetAmazon.ASFapubliéplusieurs potentielle aux nouvelles vulnérabilités annoncées ou lors d’exécution et d’environnement telles que les clés API, les identifiéedansnosensemblesdedonnées:WordWatch,
patchs pour remédier à cette faille, au grand dam de nombreux des processus de diligence raisonnable. identifiants,etc.présents. scans de vulnérabilités, et tests d’intrusion.
acteurs qui utilisaient cette librairie pour patcher des systèmes.
Les monocultures technologiques comme Microsoft pourraient Cette faille Log4j découle des fonctionnalités avancées en matière
▪ World Watch : classée 1ère sur 229 CVE.
Dans la même veine, une vulnérabilité baptisée Spring4Shell, remédier à cette situation, même si elles génèrent de nouvelles Mentionnée 8 fois.
demodèles,conçuesspécifiquementpourlecomposantLog4j.
Ellespermettaientaudéveloppeurd’avoirdesinteractionsflexibles▪
ànepasconfondreavecLog4Shell,estapparuefinmars. 2 0 2 considérations telles que la dépendance à l’égard des barèmes VSOC : classée 9 013ème sur 21 026 CVE.
La nature de la faille rappelait Log4Shell, sans toutefois être tarifaires et des allégeances géopolitiques de ces fournisseurs. Mentionnée sur 6 hôtes uniques.
avec la bibliothèque à travers des valeurs de texte spéciales que
identique. L’ensemble de vulnérabilités Spring4Shell est suivi Les monocultures de sécurité peuvent être touchées par des
sous les références CVE-2022-22963, CVE-2022-22965 et CVE- chocs plus importants en raison de la présence de vulnérabilités
Log4j interprète pour réaliser certaines actions, à la manière de
macros basiques.
▪ Classée 7ème dans nos tests d’intrusion.
Une
952 . 0- 2 0 2 configurationtrèsspécifiqueestnécessaire exploitablestellesqueEternalBlueCVE- ( L. ) 4 ’incident
1 0- 17 0 2 Signalée dans seulement 1 test d’intrusion.
pour déclencher Spring4Shell, contrairement à Log4Shell qui SolarWinds nous a également rappelé que les logiciels peuvent De par sa conception, Java peut envoyer du code sur le réseau
était bien plus répandue. Ces vulnérabilités ont été découvertes être corrompus dans une mesure jamais encore imaginée. et entraîner une exécution de code du côté qui est invoqué
lorsque Sophos a patché une vulnérabilité majeure découverte La rigueur est donc de mise sur nos architectures de sécurité.
dans l’interface utilisateur de Sophos Firewall. Spring4Shell a
égalementaaectéleslogicielsEdgeIntelligenceetDataCenter
Network Manager de Cisco. De nombreux autres fournisseurs ont Incidents impliquant Log4j Priorité 1
Priorité 2
dû se démener pour savoir si leurs produits étaient vulnérables en Nombre et priorité des problèmes de sécurité liés à CVE-2021-44228 dans nos données MDR Priorité 3
raison de l’utilisation de ce framework applicatif Java répandu.
30
2022
LabibliothèquecryptographiqueMozillaNetworkSecurity
ServicesNSS) ( contenaitunevulnérabilitédedébordementdetas
CVE-
( pouvant
)7 2 5 3 4- 1 2 0 2 êtredéclenchéelorsdelavérification 25
dessignaturesnumériques.CelaaeuunimpactsurLibreObce,
ApacheOpenObce,lemoduleSSLmod_nssSSLd’ApacheWeb
Server,RedHatDirectoryServer,RedHatCertificateSystem,
SUSE Linux Enterprise Server, entre autres. 20
PolKit,uncomposantdegestiondespolitiquesopensource,
contenaitunefaillemajeureCVE- ( aaectant
) 4 3 0 4- 1 2 0 2 les 15
distributions Linux telles que Fedora, Ubuntu, et d’autres. Cette
failletouchaitdesversionsdePolKitallantjusqu’à9.0Plus 2
tard la même année, environ neuf mois après le signalement de
la vulnérabilité en janvier 2022, nous avons signalé un malware 10
ciblant les appareils IoT et exploitant cette vulnérabilité pour
élever les privilèges sur les appareils touchés.
Il serait injuste de ne citer que des logiciels open source 5
pour illustrer ce point. Des dépendances logicielles à source
ferméeexistentégalementchezMocanaNanoSSL,unefiliale
de DigiCert. Armis a publié des recherches sur plusieurs 0
Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep
88
8
0
22
44
19
88
04
13
20
88
08
89
00
47
20
52
37
00
13
potentiellement le coût immédiat de la correction de la faille. rapidement pour les vulnérabilités connues.
44
40
30
30
45
26
31
11
24
43
38
34
22
34
41
38
2-
1-
1-
2-
1-
1-
2-
1-
7-
2-
1-
1-
1-
1-
1-
1-
1-
02
Le risque est inhérent à chaque chose. Si certains risques
02
02
02
02
02
02
02
01
02
02
02
02
02
02
02
02
-2
LasagaautourdelavulnérabilitéPrintNightmareCVE- ( - 1 20 2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
-2
VE
peuvent être gérés, d’autres devront faire l’objet d’une surveillance
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
VE
C
a
) 7 2 5 4 3 débutéenjuinlorsque
, 1 20 2 deschercheursont
C
constante, jusqu’à leur éventuelle apparition. Le tout est de trouver
divulgué des informations à ce sujet, avant que Microsoft n’ait
un équilibre entre les deux.
publié un patch.
y
et
ug
ke
ot
ot
gX
er
Iv
at
at
ot
y
kB
B
tri
l
u
ik
rp
ro
G
on
ak
Em
Pl
tS
im
ic
er
st
Ko
is
Q
Tr
MicrosoftWindowsAppXInstaller CVE-2021-43890 *Pas d’infos disponibles*
sp
du
M
al
Po
ob
hi
In
W
C
Microsoft Windows Installer CVE-2021-41379 Élévation de privilèges
ja
t
et
t
er
ee
z
Bo
of
o
in
at
ot
kB
ad
irS
eb
N
ak
ik
Em
ic
im
N
bl
Q
rL
Tr
m
M
za
Bu
Ba
Conclusion
ilscomportentdesfaillesquiserontexploitéesaufildutemps. analyse de l’exploit FORCEDENTRY créé par NSO Group.
Celanevientpasforcémentd’unesécuritéinsubsante. L’analyse a révélé un exploit complexe et hautement
L’architecture de sécurité mobile est d’ailleurs bien plus sophistiqué qui a émerveillé la communauté en raison de
performante que celle des ordinateurs conventionnels. l’expertise technique impliquée dans la création de tels
La complexité des éléments de sécurité matériels et l’utilisation exploits. L’exploit FORCEDENTRY est une machine virtuelle
de la cryptographie sont impressionnantes. Si certains Turing-complet déguisée sous la forme d’une image déjouant Dansleromandescience-fictionDunedeFrankHerbert,lepersonnageprincipalchante Jene
«
fournisseursdeservicesfinanciersetdedivertissementfont une fonctionnalité de sécurité des appareils mobiles d’Apple connaispaslapeur,carlapeurtuel’esprit.Lapeurestlapetitemortquiconduitàl’oblitérationtotale.
confianceàdesfabricantsd’appareilsmobilesetpasàd’autres,appeléebacàsable« BlastDoor ».Malheureusement,lafaille J’aaronteraimapeur.Jeluipermettraidepassersurmoi,autraversdemoi.Etlorsqu’elleserapassée,
c’est en raison de leur architecture de sécurité. exploitée par FORCEDENTRY venait d’un choix de conception, jetourneraimonil
œ intérieursursonchemin.Etlàoùelleserapassée,iln’yauraplusrien.Rienquemoi. »
qui permettait à l’exploit de se déclencher avant l’exécution de Aussidramatiquequ’ellepuisseparaître,cettelitanieestcurieusementsimilaireàdeuxarticlesde
Les téléphones mobiles regorgent de fonctionnalités qui, une fois
BlastDoor. blogpubliésparKiemanMcGowanetPhillipKristoaersen,respectivement.Lesauteursdecesarticles
retournées contre leur cible, fournissent une plateforme de
surveillancetrèsebcace.Unmarchéhautementspécialisés’est Certains gouvernements autoritaires ne rechignent pas à intitulés«Lacomplexitétuel’esprit
»Complexity
( isthemind-killer)partagentleursréflexionssur
créé pour proposer un accès et un suivi des appareils mobiles dépenserdesmillionsdedollarspours’oarirlesservices laconceptionlogicielleetlesdécisionsliéesàlamiseenuvre.
œ KiemanMcGowanetPhillipKristoaersen
ciblés. Sa réussite réside dans l’exploitation de vulnérabilités de ces fournisseurs de logiciels espions, au nom de soulignentl’importancedesélectionnerlasolutionlaplussimplecapablederemplirlamission,tout
propres aux systèmes d’exploitation des appareils mobiles, laprotectiondeleurscitoyens,afindepoursuivreleurspropres enconservantunemargedemanœuvresubsantepours’adapter.
voire au ciblage de vulnérabilités dans les applications mobiles, dessins, qu’ils soient légitimes ou non. S’ils peuvent sauver Demême,leséquipesinformatiquesetdecybersécuritédoiventtrouverlebonéquilibreentre
dans certains cas. Le concept est très similaire au ciblage des vies entre les mains de personnes aux intentions pures, l’administrationdessystèmes,lagestiondesconfigurationsetlerespectdesexigencesdeconformité
des ordinateurs, ce qui illustre à quel point certaines réalités ces services ne sont synonymes que d’oppression et de pourgarantirlebonfonctionnementdeleurentreprisedansuncyberespacedetouteévidence
du terrain s’appliquent à plusieurs plateformes. persécution aux mains des gouvernements autocratiques. chaotiqueetdangereux.Lacomplexitédessolutions,combinéeaumanquedetransparencesur
UnevulnérabilitéGoogleChromeCVE- ( exploitée
)0 83- 1 20 2 La protection des terminaux peut être une solution pour les leurcomposition,estsourced’erreurs,sansoublierqu’ellenefacilitepasladétectiondesdernières
correctement permettait à un attaquant de charger n’importe appareils mobiles, mais elle reste limitée, puisqu’elle nécessite vulnérabilitésmajeuresdansunsystème.
quelle URL de son choix. La faille a touché Google Chrome unesurveillanceactivedutraficréseauetunaccèsàcertaines MarcAndreessen,undesfondateursdelasociétédecapital-risqueAndreessen-Horowitz,estconnu
surLinuxetsurAndroidavantd’êtrepatchéesfin Au. 1 2 0 2 parties de l’appareil pour supposer des comportements pouravoirécritLe« logicielmangelemonde
».Aujourd’hui,noussavonsquelelogicielfaçonne
2e trimestre 2022, nous avons appris que le logiciel espion malveillants. Cela vient de la nature de l’architecture de sécurité notrefaçondevivre,detravailleretdegouverner.Essayezdoncdecréeruneentreprise,defaire
mobile Predator de Cytrox pouvait exploiter cette vulnérabilité de ces appareils. Les solutions anti-malwares traditionnelles unedemandeauprèsd’unservicepublicoud’accéderàdessoinsdesantésansaucuneinteraction
et d’autres failles telles que la CVE-2021-1048 qui permet une de Windows s’exécutent dans un espace dédié du système avecunlogiciel.Certainsréfrigérateursmodernessontdotésd’unnombreincalculabledefonctions
élévation locale des privilèges. d’exploitation, qui leur permet de traiter l’information et de logicielles.Àchaqueétapedeceparcours,desrisquescyberexistentetdoiventêtregérés.
gérerlesystèmedefichiers.Lelogicieldesurveillanceest
RCS Labs S.p.A possède un logiciel espion baptisé Hermit, Lesclientsexigerontpeuàpeudeleursfournisseursetprestatairesdeservicesqu’ilsapportentune
ainsicapabled’obtenirunefiabilitéaccruedutyped’activitéen
capable de cibler les appareils Android et iOS. La version iOS réponserapideettransparentefaceàlapublicationdenouvellesvulnérabilitésmajeures.Lesaccords
local. Les fournisseurs mobiles peuvent choisir de fournir une
d’Hermit exploiterait des vulnérabilités connues partagées par deniveaudeserviceserontplusprécisenmatièrededélaisderéponseetdetypesd’assurance.Enfin
API anti-malware similaire, mais cette nouvelle fonctionnalité
desfansdujailbreakingCVE- ( par
,38 03- 2 0 2 ex.permettant
,) decompte,lesprocessusd’achatetdediligenceraisonnabledeviendrontbienplusonéreuxpour
augmente la surface d’attaque des malwares. Nombreux sont
ainsi une exécution arbitraire de code au niveau du noyau. lespartiesimpliquées,saufs’ilexisteunmécanismecapablederépondreauxquestionsurgentes
ceux à argumenter qu’une telle fonctionnalité porterait atteinte
Ce type de vulnérabilité peut ensuite être utilisé pour atteindre avecuneaortraisonné.
àlaconfidentialité.
d’autrespartiesdel’appareilcompromis,afindeprocéderàune
exfiltrationd’informationsetàdesactivitésdesurveillance. L’ajout d’autres fonctionnalités aux systèmes a tendance Lagestiondesactifsprenddeplusenplusd’ampleuretdoitallerau-delàdessystèmesd’exploitation
àaaaiblirleurposturedesécuritésurlelongterme.Pour etdumatériel,jusquedanslecloud.Leséquipesdevrontsavoiràquoisertchaquefonctionnalitéet
CitizenLabafaituntravailformidabled’analyseetde chaqueautorisationd’accèspubliéeparuneinfrastructurecloudetsielleestutiliséeounon.
améliorer la sécurité d’un système, nous pourrions supprimer
présentation du marché des logiciels espions mobiles.
toutes les fonctionnalités et ne garder que les plus utiles,
Lesattaquesciblantdesappareilsmobilesexistentbeletbien,maisnousavonsconstatéqu’elles
mais cette solution n’est pas viable.
étaientpourlemomentlimitéesausecteurdelasurveillance.L’architecturedestéléphonesmobiles
Voustrouverezd’autresinformationsàcesujetdans
le chapitre modernesestperformante,carellepousselesattaquantsàutiliserdenombreusesressourcespour
sur la sécurité mobile. s’approcherdeleurscibles.N’oublionspasquelestéléphonesmobilescontribuentlargementau
chiared’aaairesdesfabricants,etqu’ilestdansleurintérêtdeprotégercesplateformes.Delamême
manière,votreentrepriseatoutintérêtàgérercorrectementlesappareilsmobilesenappliquantde
bonnespratiques,carcesappareilsfontpartieintégrantedenotrevieprofessionnelle.
Enfindecompte,lasimplificationdessystèmesetlaréductiondelasurfaced’attaqueconstituent
unestratégieàlongtermeetpermettentdes’attaqueràlaracinedesproblèmesdecybersécurité
majeurs,puisqu’unattaquantnepeutpasexploiterquelquechosequin’existepas.Àmoyen
terme,attachez-vousàcomprendrevotreenvironnementetàgarantirsacapacitéd’adaptationaux
exigencesdel’activité,toutengérantlesrisquesassociés.Vouspouvezparexempleconveniravec
lesfournisseursd’uneapprocheconvenabledegestiondesincidentsetdefeedbacklorsdela
publicationdevulnérabilitésmajeures.Laluttecontinuejouraprèsjour,c’estpourquoivousdevez
adopterunegestionjudicieusedesvulnérabilitésassociéeàdesméthodologiesrigoureusesde
surveillanceetdedétectionpouridentifieretisolerlesmenaces.Uneréponsesolideetorganiséeest
nécessairelorsquedesmenacessontdétectéesauseindevotreinfrastructure.Gardezunelongueur
d’avanceenadoptantuneapprocheaxéesurlerenseignement.
r
criticité de la vulnérabilité doivent être considérées en
même temps.
Contextualisation : Configurezvotrecontextemétierainsiquelacriticitédevosactifsdans
nae
la plateforme centrale de renseignement sur les vulnérabilités. Les résultats des scans seront
l
ensuitecontextualisésavecunscorederisquespécifiqueparactif.
ue
c e d’attaq
Surfa
actifs
Enrichissement : Lesrésultatsdesscansdoiventêtreenrichisàl'aidedesourcessupplémentairesfournies
des
nnael ité parlaplateformecentralederenseignementsurlesvulnérabilités,commelaconnaissancedelamenaceetl'activité
Critic
t
teer
r repris
e des attaquants qui aideront à prioriser en tenant compte de paysage de la menace.
EExx l’ent
xte de
Conte
e or R
ssanc ga Remédiation :Priorisezfacilementvosactionsderemédiationgrâceauscorederisquedonnéparvulnérabilité
ai i
Con n ni squ quipeutêtremisencorrespondanceaveclaconnaissancedelamenaceparlebiaisdefiltrestelsque« vulnérabilité
m enace s e facilementexploitable
»,« vulnérabilitéexploitéedanslanature
»ou« vulnérabilitélargementexploitée
»parexemple.
de la ré atio
el nn
orrélation el
C
urces
de so es
Évaluation : Surveillezetmesurezlesprogrèsdevotreprogrammedegestiondesvulnérabilitésenutilisant
desKPIetdestableauxdebordetrapportspersonnalisés,c'estunprocessusd'améliorationcontinue!
l
multip quant
s
s at ta
ctivités de
A
© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com
64 Security Navigator 2023 Techinsight:unehistoiredevulnérabilités65
0%
18%
desanalysesquasi)
( continuesdesactifsdesclientspour Outils d’analyse personnalisés
identifierlesvulnérabilitésconnuesquin’ontpasencore Chaque découverte se voit attribuer un nom et un numéro 18% Services professionnels
été patchées ou atténuées. uniques,quinouspermettentdelesdiaérencier.Unrésultat 4% Mines, Carrières, Pétrole et Gaz
inclut également un Numéro de port, une Notation de risque 2% Hébergement et Alimentation
2. Testsd’intrusion:pouravoirunevisionplusréalistede
Informationnel
( àCritique)un
, scoreCVSS) 0 1 -0 ( [44]
, une
la résistance de leurs systèmes informatiques face à une 0.6% Services Éducatifs
référence CVE, le cas échéant, et d’autres informations
attaque ciblée par un hacker chevronné, les clients font
pertinentes. 0.4% Transport et Stockage
appel à notre équipe de plus de 200 hackers éthiques
qui procèdent à la simulation contrôlée d’une attaque Un Actif unique est la combinaison d’un Client, d’un Nom, d’une 0.3% Information
par un adversaire réel. AdresseIPetd’unTyped’actifpar ( ex.applicationhôteouWeb).
0.1% Santé et Assistance Sociale
Les plus geeks d’entre vous auront peut-être remarqué qu’avec
%
20
C’est la première année que nous examinons les données de 0.0% Vente au detail & Commerce
cesdeuxensemblesdedéfinitions,unemêmeVulnérabilitépeut
ces deux services, ces ensembles ne sont donc pas parfaits.
%
24
êtresignaléesurlemêmeActif,maissurdiaérentsPorts.C’est 0.0% Arts, Divertissement et Loisirs
Néanmoins, les deux ensembles de données contiennent de
précieux renseignements et, une fois associés, fournissent assezcourant,parexemple,aveclesserveursWebexécutés
des connaissances inestimables. Dans ce chapitre, nous sur le Port 80 et le Port 443. Considérant qu’il s’agit d’une
analyserons les données de ces deux services séparément, vision peu réaliste, nous avons choisi de compter un problème
puis ensemble, lorsque cela s’avère judicieux. identique signalé sur deux ports ou plus comme un seul et
même résultat.
Actifs distincts analysés en fonction
Données des scans de vulnérabilités Pourprendrecelaencompte,nousdéfinissonsun« résultat
unique »commelacombinaisondesélémentssuivants: du nombre de salariés du client
Notreservice«ManagedVulnerabilityIntelligence[Identify]
permetauxclientsd’identifier,dehiérarchiseretdecorriger
» ▪ Client
▪ Actif
les vulnérabilités de leurs plateformes internes et connectées à
Internet, de leurs applications Web et de leurs systèmes cloud. ▪ IP 1
Ils’agitd’unservicemanagé,grâceauquellesactifsidentifiés ▪
Type d’hôte 26
sont analysés par un ou plusieurs moteurs selon des critères ▪ Nom du résultat
%
prescrits, dans le but de recueillir des informations sur Sur cette base, notre étude contient 26% 1-100
les correctifs et les vulnérabilités. Les résultats sont examinés 2,079,031 résultats uniques.
par nos analystes spécialisés qui fournissent également 3% 101-500
des conseils sur les mesures correctives et d’autres services Puisque les données traitées dans notre rapport découlent 17% 501-1 000
d’assistance à nos clients. de la plateforme de reporting que nous utilisons pour notre
5% 1 001-5 000
47%
service managé d’analyse des vulnérabilités « Managed
Depuisfin9,1nos
02 équipesontprogressivementredirigénos
3
VulnerabilityIntelligence[Identify]
»,noustenonsàpréciser 1% 5 001-10 000
clients du monde entier vers une plateforme de reporting unique que nos analystes peuvent examiner les résultats signalés par
et centralisée. Maintenant que les données de la plateforme 47% 10 001-50 000
les moteurs d’analyse et les reclasser s’ils paraissent inexacts
sont plus conséquentes et matures, nous sommes en mesure ou inappropriés, voire collaborer avec le client pour envisager 1% 50 001-100 000
de les analyser. et réaliser un suivi des mesures correctives adaptées.
7%
Dans le cadre de ce rapport, nous avons sélectionné 41 clients
dont les services et les ensembles de données peuvent être
Nous constatons que certains résultats ne sont pas pertinents
etlesexcluonsdenotreanalyse,notammentles«fauxpositifs »
1
considérés comme comparables et cohérents. Des analyses
ontétémenéeschezcesclientsdemanièreentreoctobre
etles« Doublons».Ladiaérenciationentrelesvulnérabilités
« Actives »et« Potentielles»dansdesanalysesspécifiques
1 5%
2019 et octobre 2022, pour un total de 6 877 signalements nous paraît également judicieuse.
devulnérabilitésdiaérentessur908 3« actifs »uniques.
Curieusement, seulement 1% des résultats de cet
Nous précisons que le nombre de clients et le nombre d’actifs ensemble de données correspondent à des « faux positifs ».
de cet ensemble de données ont évolué sur la période donnée.
Cela s’explique par les entrées et sorties de clients et d’actifs Encombinantlesdéfinitionsetprincipessusmentionnés,nous
delaplateformeaufildutemps. définissonsunindicateurfinal:lerésultatuniqueparactif.
Pour une comparaison simple et normalisée des résultats Puisque toutes les vulnérabilités ne présentent pas le même niveau de criticité, un score de criticité allant de
Les analyses des vulnérabilités sont réalisées automatiquement entre les éléments temps, secteur, outil d’analyse, etc., « Informationnel»à« Critique »estattribuéauxrésultats.
ou semi automatiquement par divers moteurs d’analyse, qui nous prenons le nombre de résultats uniques, divisé par
peuvent varier d’un client à l’autre. lesactifsuniques,afind’obtenirunrésultatparactifsimple, Nous notons qu’une grande quantité de tous les résultats sont étiquetés “Informationels”, et
quipermetdescomparaisonsnormaliséessurdiaérents fournissent donc des renseignements sur la cible ou le processus d’analyse, mais pas sur les
segments de nos données. vulnérabilités de la cible.
Une grande partie de notre analyse exclura donc cette partie des résultats.
4
par nos équipes sur cette période, mais nous avons choisi de
àdesfinssimilaires.Leprocessusestnéanmoinsradicalement 7% Autres services
38%
sélectionner un sous-ensemble de rapports avec des attributs
diaérent.Lepentesterchercheégalementàidentifierles
6% 4
similaires tels que la langue, le style, les catégories, etc. pour 6% Vente au detail & Commerce
vulnérabilitésconnuesnotamment
( cellescomportantdes
obtenir une analyse pertinente. Nous prévoyons d’élargir la 4% Information
référencesCVE)puis
, àexploitercesvulnérabilitéspouraccéder
portée dans les prochaines versions du Security Navigator.
àunsystèmecible,identifierlesressourcesintéressantes 4% Arts, Divertissement et Loisirs
à compromettre ou changer de cap pour attaquer d’autres Unéchantillonassezreprésentatifdessecteursestproposé
systèmes situés dans un rayon atteignable. Les tests d’intrusion dans cet ensemble de données, même si l’on constate une forte 4% Industrie Manufacturière
7%
sont généralement très ciblés, exécutés selon une série de présence des secteurs hautement réglementés ou davantage 3% Santé et Assistance Sociale
contraintes convenues avec le client, qui incluent les cibles sensibilisés à la sécurité, pour une raison ou une autre.
concernées, le temps disponible, l’emplacement et les privilèges
2% Administratif et Aide
La Finance et l’Assurance dominent cet ensemble de données,
del’attaquant,etparfoisdesbutsou«objectifs »spécifiques
mais on peut remarquer que d’autres secteurs d’activité 0% 2% Transport et Stockage
1
que le pentester doit chercher à atteindre. Chaque test est
font de plus en plus appel à nous pour des tests. Le secteur 2% Mines, Carrières, Pétrole et Gaz
eaectuéparunouplusieurshackerséthiquesspécialisés,qui
rédigent ensuite manuellement un rapport sur les activités
réalisées, les résultats obtenus, ce qu’ils impliquent et les
« Professionnel,scientifiqueettechnique »aprogressivement
gagné en représentation, tout comme les secteurs 16%
« Information »et« Administrationspubliques ».Levolumede
mesures à prendre pour améliorer la posture de sécurité.
testsdesautressecteursvarieaufildutemps.
Les« résultats»d’unrapportdetestd’intrusionneconstituent
Étant donné que les clients et le nombre de tests réalisés varient
qu’une petite partie de la mission, mais ils contiennent
des éléments similaires aux résultats d’une analyse des
énormément d’un secteur à l’autre, nous prenons en compte Actifs distincts analysés en fonction
vulnérabilités et peuvent être analysés de façon similaire, voire
le nombre de clients ou de projets, mais également le temps du nombre de salariés du client
passésurlesprojets.Eneaet,nousconsidéronsletempspassé
même comparés dans une certaine mesure.
comme une base de référence pour réaliser des comparaisons
Notre équipe mondiale spécialisée dans les tests d’intrusion normalisées sur l’ensemble de données.
regroupe plus de 200 hackers éthiques répartis dans 10 pays.
Sur la période, 54 % des clients de cet ensemble de
1
Étant donné que les rapports sont des outils à forte valeur données ont fait appel à nous pour un seul test, 40 % 26
ajoutée, rédigés manuellement par le pentester et personnalisés ont fait appel à nous entre 2 et 10 fois et 6 % ont fait
%
enfonctiondesexigencesspécifiquesduclient,ilsneseprêtentappel à nous plus de 10 fois.
pasvraimentàuneanalysequantitative.Auxfinsdecetteétude, 26% 1-100
nous avons donc élaboré une fonctionnalité de machine learning 3% 101-500
basique,capablede« déchiarer »cesrapportslisiblesparun
êtrehumain,dequantifierlesélémentsspécifiquesles ( résultats 17% 501-1 000
5% 1 001-5 000
47%
3
1% 5 001-10 000
Les types de tests les plus courants
47% 10 001-50 000
dans ce sous-ensemble de projets sont les suivants :
1% 50 001-100 000
7%
Type de test Part des tests Type
Mobile 7% Une attaque sur une application mobile Étant donné que les clients et le nombre de tests réalisés varient énormément, notre analyse prend
en compte le nombre de clients ou de projets, mais également le temps passé sur les projets. Nous
Une attaque ciblée pour laquelle le pentester a un objectif considérons ainsi le temps passé comme une base de référence pour réaliser des comparaisons
Red Team 2,8%
spécifiqueetdescontraintestrèslimitées normalisées sur l’ensemble de données. Pour ce faire, nous ajoutons le score CVSS attribué à
chaquerésultatd’untestetnousledivisonsparlenombredejourspasséssurcetestafind’obtenir
API 2,5 Une attaque contre une API Web unindicateur« scoreCVSSparjour »normalisé,quenouspouvonsutiliserpourcomparerdiaérents
segments de l’ensemble de données.
Résultats des scans de vulnérabilités Real findings per asset over time
Afind’étudierconcrètementlesvolumesderésultats,nous
Number of vulnerabilities recorded by VOC scanning
7.00
Vulnérabilités découvertes par jour
Score CVSS des problèmes trouvés par jour de projet dans nos tests d’intrusion CVSS/jour
examinonslarépartitiondes Résultats
« uniques »,telsque 6.31
définisci-dessus,surdiverssegmentsdenotreensemble
de données. 6.00
6.06
2018 2019 2020 2021 2022
Legraphiquededroiteillustrelenombrederésultats réels
«» 5.5
à( l’exclusiondesfauxpositifsetinformationnelsque ) nous 5.0
5.00
rapportons par actif unique. En ignorant les découvertes
4.5
« informationnelles
»,lesfauxpositifsetlesdoublons,nous
50
2018 71%
2019 2020 2021 2022 70%
30 40%
38%
20%
10
10%
0 0%
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2
L’ancienneté maximale des résultats représentée dans la vue CVSS[44] par jour et le nombre total de jours de tests pour
Comparaison sectorielle : analyse ci-dessous nous indique surtout depuis combien de temps
Comparaison sectorielle : chaquesecteur:Pluslenombredetestsestimportantdansun
du VSOC les clients de ce secteur sont présents dans notre ensemble test d’intrusion secteur,moinsnousidentifionsderésultats.
de données, tandis que l’ancienneté moyenne est un bon
Danslesfiguresci-dessous,nousexaminonslenombre La répartition des secteurs représentés dans notre ensemble Celasevérifiepourlessecteursquisedémarquentdans
indicateur de la capacité des clients à traiter les problèmes
derésultatsparactifdanslesdiaérentssecteursettailles de données tests d’intrusion est satisfaisante, mais les types cetensemblededonnées:Immobilier,Santé,Mines,
signalés. Les secteurs ayant les résultats les plus anciens et
d’entreprises représentés dans notre ensemble de données. et les durées des tests varient considérablement. Un certain Administration et Vente au détail. Dans les secteurs qui font
des moyennes basses sont les plus performants, alors que
Pour cette comparaison, nous nous limitons à l’examen des nombre de variables sont également invisibles dans cet régulièrement appel à nous pour des pentests, notamment
ceux ayant les résultats les plus anciens et des moyennes
« hôtes »par
( oppositionauxactifsWeb)etàl’utilisationdes ensemble de données. Pour les compenser dans une certaine la Finance et l’Assurance, nous avons tendance à enregistrer
élevéessontde« mauvaisélèves ».Lessecteursdontles
outils d’analyse de réseau standard que sont Qualys et Nessus. mesure, nous limitons notre comparaison aux clients pour moins de résultats.
résultats sont très récents ont probablement intégré l’ensemble
Cela nous permet de réaliser une comparaison plus objective lesquels nous avons réalisé les trois formes de tests les plus
de données depuis peu. Il serait donc peut-être judicieux de ne Les niveaux relatifs des résultats des tests d’intrusion dans les
de tous les secteurs de notre ensemble de données. courantes:Interne,ExterneetWebApp.
pas les inclure dans les comparaisons de cet indicateur. secteurs nous informent donc sur le niveau de sécurité de ces
Les secteurs sous-représentés en termes de nombre d’actifs Étantdonnéleniveaudevariation,ilestdibciledetirer secteurs,maiscelaselimiteauxsecteursplus« matures»qui
Quelle que soit la méthode de comparaison de ces secteurs,
peuvent être ignorés dans le cadre de cette comparaison. Dans des conclusions sur la posture relative à la gestion des réalisent des tests plus fréquents et sont susceptibles d’être
l’ancienneté du résultat est un indicateur majeur.
lesplus
4 grandssecteurs,oùnousavonsplusdeactifs
04 vulnérabilitésdanslesdiaérentssecteurs.Néanmoins,on plus performants en matière de gestion des vulnérabilités.
à examiner à chaque fois, la variation des volumes de résultats constate une corrélation inverse évidente entre le score
est considérable.
Résultats par actif par industrie Score CVSS par jour et par industrie
Résultats par actif Score de vulnérabilité trouvé par jour par tests d’intrusion pour chaque secteur dans notre ensemble de données.
Vulnérabilités trouvées par actif pour chaque secteur dans notre ensemble de données Nombre d'actifs CVSS par jour Nombre total de jours de test
12,000 40.0
25 4,000
35.0
10,000
3,500
20
30.0
3,000
8,000
25.0
2,500
15
6,000 20.0
2,000
15.0
4,000 10
1,500
10.0
1,000
2,000
5.0 5
500
0 0.0
n
re
ra es
ga n
es ,
e
en
nc
al
irs
io
io
qu ls
ag
de ctio
riè
n
0 0
ni ne
ci
au ic
ct
at
m
z
is
ra
tio
ck
tu
So
st erv
ru
rm
ne
Lo
ch n
et ra
su
ac
Te sio
to
st
ig
le xt
fo
irs
ce
re
es
ue
s
Re t S
As
ce
ai
ra es
he tifs
pr tés
iq s
ue ,
as on
et
en
tS
uf
on
ic
al
ag
tio
io
iq els
se
tro t E
et fes
bl ice
In
riè
ét
in
is
an
iq
an
de nt e
ie dm on
..
es
g
an
bl
ci
au ic
at
s
Le ati
ue
et
s
C
te
éc tra
tre cié
ck
En
uc
ts
in
Lo
hn n
d
le
pé es e
bl
tu
es ro
So
st erv
pu rv
Pu
r
st
rm
is
ne
M
ti
et oc
u
e
ac
or
de
to
Pu
r
d'
e
t D is
ac
qu P
n se
En o
Te sio
si
nc
ss
st
et
em
ig
rie
fo
Re t S
d' e S
n
sp
ce
es
ct
tS
de rièr
As
ifi es
es
uf
on
tA
i
na
ce
se
n
tio s
et fes
In
s
pe
st
r,
an
ic
rg
an
de nt e
ra re
nt ic
an
tio
le
te
ic
ilie
ar
et n d
et
c
C
Fi
er
du
En
rv
ie erv
e
,S
es ro
rv
ac
st Aut
Tr
st
ut A
C
tra
or
éb
m
é
ob
Se
In
d'
Se
tio
qu P
si
nt
ts
ct
nc
So ices
,
Sc S
sp
om
m
rie
es
H
is
As
m
ifi es
Ar
Sa
pe
es
es
na
ge
in
an
in
st
Im
C
nt ic
de rv
ic
m
,S
et
M
Fi
er
du
Tr
ie rv
in
et Se
rv
Ad
éb
é
ts
dm
e
In
Se
nt
Sc S
Ar
Ancienneté moyenne des résultats
Sa
fa
au
(s
par industrie Moyennes du secteur pour les indicateurs clés
Nombre maximum Comparaison des tests d’intrusions et de l'analyse VSOC pour les différents secteurs
Le nombre maximum/moyen de jours pendant lequel une vulnérabilité a été présente sur l'actif Nombre moyen Résultats/actifs du VSOC Temps de mise en place d’un correctif par le VSOC Test d’intrusion CVSS/jour Moyenne
1,200 16
14
1,000
12
800
10
600 8
491.45 472.8
400 368.18 6
ce
le
re
e
tio s
ga n
es ,
en
ag
rs
io
io
qu ls
a
ra ce
de ctio
riè
es
irs
re
ue
il
e
an
ni ne
ci
ra es
he tifs
pr tés
iq s
qu s,
ct
at
en
si
m
n
ta
nc
al
ag
io
io
in
ck
bl ice
au vi
riè
u
in
So
is
ni el
oi
iq
r
ru
..
es
es
ne
ci
dé
ch n
au ic
ct
at
as
em
et ra
su
ct
ue
st er
éc ra
ra
tre cié
to
ck
M
tio
ts
Lo
ch nn
L
Te sio
bl
tu
r
st
So
st erv
pu rv
ru
rm
is
ig
fa
le xt
fo
Re et S
Le
As
ce
st
su
S
et
de
to
Pu
n
ac
on
n se
En o
Te io
se
tro t E
st
et fes
In
et
et ini
ig
fo
et
Re t S
d' e S
an
As
ce
tS
an
s
es
et
uf
on
C
et
En
ce
se
on
tio es
et s
In
pé es e
ie dm
s
de nt
es ro
rt
st
an
de nt e
M
e
D
an
cl
le
te
et n d
ce
et
C
po
er
En
d'
e
tra tr
f
qu P
i
si
a
es ro
t
ac
st
tio
ut A
em
tra
is u
or
an
m
ct
de rièr
As
e
ifi es
s
es
d'
tri
tio
in A
qu P
si
ct
nc
So es
an
ca
n
sp
pe
om
m
rie
is
n
rg
us
nt ic
As
ic
ifi s
ar
pe
et
es
Fi
na
ge
in
Tr
nt ce
Lo
an
ie rv
e
,S
st
rv
i
d
C
de rv
éb
ic
m
é
,S
et
e
In
Fi
er
du
Se
ie rvi
Tr
nt
ts
et Se
s,
rv
Sc S
r,
Ad
H
éb
é
ts
ilie
dm
Ar
Sa
Sc Se
In
e
Se
nt
in
Ar
H
ob
Sa
M
fa
m
au
Im
© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com
(s
74 Security Navigator 2023 Techinsight:unehistoiredevulnérabilités75
Dansnosservicesd’analyse VSOC
« »,lescoreCVSSattribué
Notation des vulnérabilités
LeCommonVulnerabilityScoringSystemCVSS) ( estuncadre
à un résultat est généralement codé dans la base de données
de vulnérabilités utilisée par l’outil d’analyse et donc attribué
Scores CVSS
public de notation de la criticité des vulnérabilités de sécurité automatiquement au résultat. Distribution des scores CVSS à travers les résultats des analyses et des tests d’intrusion VSOC VSOC Pentesting
5%
0%
0 1 2 3 4 5 6 7 8 9 10
Indice de sévérité des résultats scores CVSS attribués aux résultats de ces deux services
sont très similaires au centre, mais varient énormément à
2.
obtientunscoreCVSSdeou 4 Moyen)
(5 .
0%
dans nos données de tests d’intrusion. Près de 12 % 5 chute brutalement. Toutefois, plus de 20 % des
des résultats d’analyse se voient attribuer un score résultats de ce service se voient attribuer un score
41.
5 0.
CVSSdeou
7 plusÉlevé
( etCritique).
27.
d’intrusion.
7%
7%
la date d’analyse d’un actif et le signalement d’un résultat donné variation. Pourtant, on observe une nette augmentation de évaluations 5.1
pourcetactif.Cettepériodecorrespondàl’ancienneté« » 241 % de l’ancienneté moyenne des résultats, qui passe de 63 120
du résultat. Si les résultats signalés ne sont pas traités, ils à 215 jours sur la période de 24 mois d’intégration des clients Puisque les tests d’intrusion sont reproductibles comme 5.0
réapparaîtront dans les analyses ultérieures et gagneront en sur cette plateforme. les analyses des vulnérabilités, nous ne pouvons pas 4.91
100
ancienneté. Nous pouvons ainsi suivre l’évolution de l’ancienneté faire un suivi des indicateurs simples tels que le « délai 4.9
Enregroupantgrossièrementlesrésultatsconfirmésde d’applicationdespatchs ».Entantquemandataires,
desrésultatssignalésaufildutemps. 4.77
nos données d’analyse des vulnérabilités par « tranche cependant, nous pouvons prendre en compte les
80 4.8
Commel’illustreclairementlafigureci-dessous,laplupart d’âge », nous arrivons aux conclusions suivantes : diaérencesderésultatsentrelesclientsquieaectuentdes
▪ 4.66 4.7
des résultats réels de notre ensemble de données, tous Seuls 28 % des résultats sont traités en moins testsfréquentsetceuxquin’eaectuentqu’unseultest. 60
niveaux de criticité confondus, existent depuis 75 à 225 jours. de 30 jours ; 4.6
Onobserveunsecond« pic»autourdejours, 03 maisilpourrait
correspondre à l’ancienneté des données présentes dans ▪ 72 % des résultats sont patchés sous 30 jours ou plus ; et 40
4.5
l’ensemble de données. Nous choisissons donc de l’ignorer. ▪ 52 % des résultats sont patchés sous 90 jours ou plus ;
20
Enfin,onremarqueunrebondauxalentoursdejours, 01 qui ▪ 215 jours en moyenne. 4.4
représente selon nous la longue traîne de résultats de l’ensemble
0 4.3
de données qui ne seront tout simplement jamais traités. Seulement 1 Plus d’1 Plus de 2 Plus de 10
200000
1,600 ▪ LesévaluationsATMAutomated
( TellerMachine)
1,400 4 obtiennent le plus haut score CVSS moyen par résultat,
1,200 mais seulement le 3e plus haut score CVSS par jour,
3 derrière les évaluations Interne et Cloud.
1,000
150000
800
▪ Les évaluations Cloud obtiennent le 3e plus haut score
2 CVSS par jour, mais avec un score CVSS moyen par
600 résultatdeMoyen)
(4 seulement.
▪
100000
400 1 Les évaluations WebApp et l’évaluation Externe obtiennent
200 un score CVSS moyen par résultat similaire, mais
0 0 l’évaluation WebApp obtient un score CVSS total par jour
50000 WebApp Externe Interne Application Mobile Red de test légèrement supérieur.
Security Team
Volume (jours consacrés au type d'évaluation) CVSS par jour
0
0 75 150 225 300 375 450 525 Age of findings by severity
600 675 750 825 900 975 1050 1125
Ancienneté moyenne/maximale
1,200
1099 1106 1150 1150
Dates de publication des CVE Pentesting
Date de publication des vulnérabilités trouvées dans les scans du VSOC et dans nos tests d’intrusion VSOC scanning
des résultats en fonction 1,000 40%
de la criticité
35%
Lafigureci-dessussuggèrequemêmelesvulnérabilités 800
critiques nécessitent un délai de résolution de 6 mois en 30%
moyenne. Cela dit, ce délai est 36 % plus rapide que celui
des problèmes présentant une criticité Faible. 600
▪ 0.5% des CVE signalées
25% ont 20 ans ou plus
Un examen approfondi des délais de résolution moyens et 20% ▪ 13% des CVE signalées
maximumspourlesdiaérentsseuilsdecriticiténouspermet 400 ont 10 ans ou plus
d’aboutiràlafigureprésentéesurladroite. 292
184
264 15%
▪ 47% des CVE signalées
Si nous pouvons conclure que la résolution plus rapide 200 146 ont 5 ans ou plus
10%
des problèmes critiques représente le délai moyen de
correction, le délai maximal est systématiquement élevé,
0 5%
quel que soit le niveau de criticité. Critique Haute Moyenne Faible
Temps maximum Temps moyen 0%
Nous devrons surveiller cet indicateur de plus près au fur et à
00
06
08
09
03
04
05
02
20
22
07
01
21
9
10
16
18
19
12
13
15
14
17
11
mesure du développement de l’ensemble de données.
9
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
19
Conclusion
Chaque jour, plus de 22 vulnérabilités avec une référence CVE sont publiées.
Avec un score CVSS moyen supérieur à 7 (criticité Élevée), chacune de ces
vulnérabilitésdévoiléesconstitueunpointdedonnéessignificatifquiinfluence
nos équations des risques et notre exposition réelle aux menaces.
Si l’on considère notre ensemble de données de tests complet, en 2022, nos pentesters
doivent travailler 8 heures et 47 minutes pour obtenir des résultats identiques à ceux obtenus
en seulement 8 heures en 2018, soit une augmentation de 10 % de la quantité de travail fournie.
Les malwares
à l’assaut des usines
Coup de projecteur
sur l’industrie
manufacturière
Dans notre édition 2022 du Security Navigator, le secteur
de l’industrie manufacturière était surreprésenté parmi les victimes
de cyber-extorsion de notre ensemble de données, compte tenu
de sa taille.
À l’époque, nous avions avancé qu’il ne s’agissait pas d’un
choix délibéré des attaquants, mais plutôt du niveau général
de vulnérabilité des entreprises de ce secteur.
L’industrie manufacturière était également le secteur le plus
représentédansnotreensemblededonnées,d’oùunvolume
d’incidents plus élevé que dans les autres secteurs en 2022.
L’industrie manufacturière occupe encore une fois une place
prépondérante dans notre ensemble de données pour 2023.
Elle demeure le secteur le plus impacté dans notre ensemble
de données de cyber-extorsion, comme nous avons pu le constater
àtraverslasurveillancedesleaksitessites ( internetpubliant
desfuitesdonnées)Le . secteurreprésenteeneaetplusde% 0 2
de l’ensemble des victimes depuis le début de notre observation
des leak sites début 2020.
Dans ce chapitre, nous allons procéder à une analyse plus poussée
descausespossibles.Etlesdémystifier.
de tro s,
n
ce
qu ls,
e
ai
ci té
io
ag
et Pé ière
t
ni e
an
G le
manufacturière
So an
es
e
dé
at
ch nn
ck
al
actif informatique dans notre ensemble de données d’analyses
ur
rm
S
az
de arr
Te sio
to
de
ss
fo
tS
io , C
et fes
A
ce
In
De plus, en suivant la logique énoncée un peu plus haut, si les
te
e
ct es
et
des vulnérabilités.
er
es ro
nc
or
tra in
n
m
qu P
ta
nc
Ex M
sp
om
ifi es
is
entreprises du secteur de l’industrie manufacturière étaient autant
na
an
ss
nt ic
C
Fi
ie rv
Tr
A
L'industrie manufacturière se classe au 7e rang de tous
Sc Se
et
disposées à payer la rançon, au point d’être considérées comme
les secteurs en ce qui concerne le nombre d’observations une« ciblefacile »,cesentreprisesdevraientfigurermoinssouvent,
signalées chaque jour par notre équipe de hackers éthiques. sur les leak sites "name and shame".
Examinons plus en détail les performances Indicateur Industrie Moyenne Classement
Cesdeuxobservationsontattirénotreattention:Pourquoi Encoreunefois,ilestdibciledetirerdesconclusionsdenos de l’industrie manufacturière par rapport manufacturière (sur 15)
l’industrie manufacturière se démarque-t-elle autant ? données, mais nous ne voyons pas pourquoi les entreprises à d’autres secteurs. Résultats VSOC uniques/actif
de l’industrie manufacturière seraient plus souvent ciblées ou 1,7 16,2 9
Noustenteronsd’examinerlesdiaérentesquestionsqui
peuvent émerger : compromises en raison de l’utilisation de technologies industrielles Dans ce tableau, nous examinons le nombre Délai d’application des
232 jours 215 5
non sécurisées. derésultatsparactifdanslesdiaérentssecteurs patchs (moyenne en jours)
1. QuelestlerôledestechnologiesindustriellesOT)
( ?
Bien évidemment, les technologies industrielles sont intégrées et tailles d’entreprises représentés dans notre Délai d’application des
2. Les entreprises de l’industrie manufacturière sont-elles plus patchs en jours (critique)
435 jours 178 2
dans un environnement comportant des systèmes informatiques ensemble de données. Pour cette comparaison,
vulnérables ?
traditionnels, tels que les ERP et les postes de travail de nous classons les secteurs du « plus faible » Délai d’application des
3. Le secteur de l’industrie manufacturière est-il volontairement au le « plus fort », de 1 à 15. En d’autres termes, 211 jours 136 3
programmation, qui exécutent des applications et systèmes patchs en jours (élevé)
plus ciblé ? le secteur classé 1 serait considéré comme le moins
d’exploitation courants facilement atteignables par la plus basique Délai d’application des
4. Nos clients du secteur de l’industrie manufacturière sont-ils « sécurisé », tandis que le secteur classé 15 serait 150 jours 262 9
des attaques par ransomwares. Pour envisager cette possibilité, patchs en jours (moyen)
confrontés à davantage d’incidents ? passonsàlaquestionsuivante: considéré comme le plus « sécurisé »..
Score CVSS des tests
4,81 3,61 7
Pour répondre à ces questions, nous exploiterons les d’intrusion par jour
connaissances extraites de tous nos ensembles de données,
notamment :
Les entreprises du secteur de l’industrie
▪ les leak sites de double extorsion ; manufacturière sont-elles plus Résultats VSOC uniques/actif Le score CVSS[44] est une norme mondiale pour la criticité des
▪ les incidents des CyberSOCs ; vulnérables aux attaques ? Pour cet indicateur, trois autres secteurs sont arrivés devant
vulnérabilités.Afinderéaliserdescomparaisonsstandardisées
dansdiaérentssegmentsdenotreensemblededonnées,nous
▪ les données des tests d’intrusion ; Pour tenter de répondre à cette question, nous utilisons à le secteur de l’industrie manufacturière. utilisonsl’indicateur score
« CVSSparjour»,quenousobtenons
▪ les analyses de vulnérabilité. nouveau deux ensembles de données déjà mentionnés dans ce
Si le nombre d’actifs de l’ensemble des données analysées en ajoutant le score CVSS attribué aux résultats et en divisant
rapport:unensembledemillions3 derésultatsd’analysesdes cechiareparlenombredejourspasséssurcetest.
est relativement élevé pour nos clients de l’industrie
vulnérabilités et un extrait de 1 400 rapports de hacking éthique.
Quel est le rôle de l’OT ? manufacturière, nous signalons bien moins de résultats par
actif que la moyenne observée dans l’ensemble des secteurs.
À l’aide de cet indicateur, nous pouvons constater que le score
Reportez-vousauxsectionsdurapportcorrespondantespour CVSS moyen par jour de l’ensemble des tests réalisés pour
Nous pourrions être tentés de supposer que les entreprises de obtenir une analyse détaillée de ces ensembles de données. En réalité, le nombre de résultats est 10 fois inférieur. le secteur de l’industrie manufacturière était de 4,81, contre
l’industrie manufacturière sont plus souvent confrontées à des
Comme mentionné dans les parties respectives de notre rapport, 3,61 en moyenne pour les clients des autres secteurs de
compromissions, car elles possèdent des usines, des systèmes Délai d’application des patchs
ces ensembles de données nous permettent d’obtenir trois l’ensemble de données, soit un résultat 33 % plus élevé.
et des processus stratégiques basés sur des systèmes de
indicateurs qui facilitent les comparaisons standardisées entre les Pour cet indicateur, sept autres secteurs sont arrivés devant
technologiesindustriellesOT) ( oud’InternetdesObjetsIoT) ( très Ces classements sont perfectibles et les données dont
secteursdenosclients: l’industrie manufacturière. L’ancienneté moyenne de tous
attractifs pour les attaquants et faciles à pénétrer. Par ailleurs, les nous disposons ne nous permettent pas de produire
Résultats par actif des analyses du VSOC, délai d’application lesrésultatsdecesecteurestde91 jours,
4 unchiareinquiétant
usines et les sites de production ne peuvent généralement pas se desabrmationsgénéralessurledegrédesécuritéd’un
des patchs et résultats des tests d’intrusion par jour de test. et moins bon celui de huit autres secteurs de cet ensemble
permettre de désorganiser ou d’arrêter leurs opérations, ce qui secteur dans son ensemble, mais les données ne semblent
de données.
ferait du secteur une cible facile pour les extorqueurs. Si nous établissons un classement des secteurs en fonction de pas expliquer pourquoi nous observons un nombre
leur performance pour chaque indicateur, et que nous les classons Résultats des tests d’intrusion d’incidents aussi élevé dans ce secteur.
Pourtant,cesthéoriesnesereflètentpasdansnosdonnées.
du moins bon au meilleur, le secteur de l’industrie manufacturière
Bien entendu, des processus industriels ont déjà été mis à mal par arrive en 5e place, sur un total de 12 secteurs comparables. Nos testeurs ont passé deux fois plus de temps sur les tests
descyberattaques: desautressecteursen ( moyenne)quesurceuxdel’industrie
Le graphique à droite montre le *classement* global de nos clients
▪ octobre
62 :attaqueciblantlaNationalIranianOilProducts de l’industrie manufacturière, par rapport à d’autres secteurs
manufacturière. Pourtant, notre ensemble de données génère
un total de 235 jours de tests pour les clients du secteur de
DistributionCompanyNIOPDC)
( similaires. l’industrie manufacturière.
20
15
10
ac ti
eL at
ks
sa
p
e
N e
Su lim
Pr na t
e h
ac us
LV
Da buk
Bl ar e
k to
yl tter
Sa bin
h
En ng
nC y
pt
Ra Gro 2
om e
X
uk
es ci
Pa taff
Sy ora
om y
De lo
Ev ray
Sn p
e
er
N CK
rie
Su rop
At tSk
Bl on
az
M yt
ns ov
ak
om tc
at
LV
lo
or
EX
os na
Si
H kC
th
ac ke
ry
ry
ea
Py
Bl the
Ry
si
Xi
i
kB
f
C
nA
bb
S
nd
Pa Ma
ilC
ef
M
C
Ba
nc
O
rk
M o
oa
h
B
S
ig
iv
Le secteur de l’industrie Données de Cy-X : une question
En règle générale, nous supposons que le nombre de Pourtant, peu de preuves indiquent que les acteurs malveillants
manufacturière est-il volontairement de point de vue victimes dans un secteur donné est simplement lié au nombre prennentsystématiquementàpartiedessecteursspécifiques.
ciblé par les extorqueurs ? Faisons preuve de prudence, cependant, car les données d’entreprises dans ce secteur. Àtitred’exemple,lafigureci-dessusnouspermetdevisualiser
utilisées pour tirer des conclusions au sujet de la cyber- lenombredesecteursdiaérentsdansleslistesdevictimesdes
NousutilisonslesystèmedeclassificationNorthAmerican Le secteur de la victime n’est généralement pas un bon indicateur
extorsion sont dérivées de l’observation et de la documentation principaux acteurs de la cyber-extorsion que nous surveillons. Elle
IndustryClassificationSystemNAICS)
( pourclasser dans le cadre de la cyber-extorsion. En réalité, davantage de
des leak sites de double extorsion. Il s’agit de la dernière étape illustre parfaitement le fait que les acteurs malveillants agissent
nos clients et les victimes dans notre ensemble de données victimes sont répertoriées dans les secteurs regroupant un plus
d’une attaque par ransomware, une fois que l’environnement dans plusieurs secteurs. Seuls 5 groupes criminels ciblent des
de cyber-extorsion. grand nombre d’entités, et donc de victimes potentielles.
aétécompromis,quelesdonnéesontétévoléesetchiarées victimes dans moins de trois secteurs. De plus, si nous analysons
Ce système de regroupement est très vaste et inclut de et que la demande de rançon a été envoyée. Nous supposons Néanmoins, 3 secteurs font partie des dix plus gros secteurs la répartition des acteurs avec des victimes connues dans
nombreuses sous-catégories, que nous ne pouvons pas que de nombreuses victimes paient rapidement la rançon en termes de taille d’entreprise, mais ne sont pas comptabilisés l’industrie manufacturière, nous remarquons une répartition quasi
repérer dans nos données. Ainsi, le secteur de « l’industrie et n’apparaissent jamais sur les leak sites. Nous savons parmilesplus
01 secteursquienregistrentleplusdevictimes: identique à celle que nous observons sur la totalité de l’ensemble
manufacturière »neselimitepasauxentreprisesquipossèdent également que de nombreux acteurs n’utilisent même pas ▪ Autres services (sauf Administrations publiques) : de données.
des usines, il comprend également les entreprises appartenant des sites aussi visibles. 2e secteur en termes de taille, 14e secteur en nombre Une autre théorie avance que les victimes du secteur de l’industrie
à l’écosystème de l’industrie manufacturière. de victimes manufacturière seraient plus disposées à payer des rançons.
Il se peut alors que les schémas et tendances que nous
L’analyse du nombre de victimes de double extorsion par observons sur les leak sites soient de bons indicateurs des ▪ Immobilier, location et leasing : 7e secteur en termes Pourtant, les données dont nous disposons ne permettent pas
secteurrévèleunschémaextrêmementintéressant:Surles schémas et des tendances des attaques en elles-mêmes. de taille, 13e secteur en nombre de victimes deleconfirmer.Commel’illustrelafigureci-dessous,l’industrie
10 secteurs de l’ensemble de données qui enregistrent le plus D’un autre côté, le type de victimes qui se retrouvent sur ▪ Hôtellerie et restauration : 8e secteur en termes de taille, manufacturière enregistre le plus grand nombre de victimes,
mais les victimes de ce secteur qui apparaissent sur les leak sites
grand nombre de victimes, 7 font également partie des plus les leak sites est potentiellement lié à d’autres facteurs. En 15e secteur en nombre de victimes
gros secteurs en termes de nombre d’entités. observantleschiares,nouspourrionsparexempleêtretentés arrivent seulement en 5e position des victimes les plus disposées
L’industriemanufacturièrefaitfiguredenouvelleexception à payer les rançons.
de dire que l’industrie manufacturière est souvent attaquée.
Lafigureci-dessousrépertorielenombredevictimes à notre règle générale. Si le secteur arrive en 12 e position en
observées lors de la surveillance d’un ensemble de leak sites termes de nombre d’entités professionnelles, il est de loin Notreensemblededonnéesnousoarecependantuneperspective
entre octobre 2021 et septembre 2022. le 1er secteur en nombre de victimes de Cy-X répertoriées. assezlimitée.Beaucoupdechosessepassent« encoulisses»et
sontdoncinvisiblesdansnosanalyses.Ceschiarespourraient
Cette observation nous permet de déduire que l’industrie signifierquel’industriemanufacturièren’estpasplussouvent
manufacturière est un secteur plus ciblé que d’autres. attaquée que d’autres secteurs, mais simplement qu’elle paie moins
facilement,d’oùuneapparitionplusfréquentesurlesleaksites.
400
12%
1000
350
10%
300 800
250 8%
200 600
6%
150
400
100 4%
50 200 2%
0
os
iè e
es ,
il
le
ue
ifs
rs
ss ,
u
qu ls
si n
iq é
at s
pr tés
ha re
G n
n
ta
ic
ur tri
nc
al
ag
io
nn
ia
ur ce
bl pt
ea tio
si
de tio
0%
gr
io
ni ne
at
0
iq
C ltu
et fes re
ng
es
az
bl
de
ci
at
ifi es act us
ue
c
oi
ra
tre cié
ck
co
pu ce
io
ct
ta rvi
uc
bl
t L ca
et rac
o
So
pu
ch n
de
rm
et cu
is
tL
uf Ind
su
ru
S
Te sio
de
to
Pu
In
n (ex
En o
Éd
Lo
os
es ro uriè rie
es ,
il
ue
if s
ue
ge
ir s
u
e lvi
le xt
fo
Re t S
te
es
st
s
ce
ra e s
is s
ss ,
As
ce
de
qu ls
as on
liq pté
G n
tS
n
ta
ha re
nc
al
nn
io
ic
pr té
ce
de tio
tro , E
n
gr
In
ch Sy
tio
ni ne
at
on
is
t
iq
iq
tio s
ka
r,
et es
es
et fes re
Re t S )
es
az
ic
ci
er
dé
au i c
an
en
at
Ai
de nt e
Le ati
C u
ue
tio
bl
te
tra ce
re i é
ra
ilie
co
et
pu ce
tio
in
Lo
s
er
uc
bl
bl
et rac
t
e
es ro
rv
So
Pé res
st e r v
ch n
uc
de
m
oc
ic
l
nt c
pu
Pê re,
st
et oc
su
et u
et
tra
Te sio
an
or
is vi
de
Pu
Pu
m
n ex
In
e
Se
ob
qu P
So
rv
Éd
om
ie erv anu In
e vi c
or
e
et
r
si
t
se
le xt
nc
in er
de rriè
ce
tu
st
As
de
sp
b
L
om
tio
tS
m
tif
t
M
is
Se
s
(
As
f
m
ce
tro , E
n
n
m S
t
In
tis
c h yl
e
on
tio s
et e s
ul
es
r,
C
na
ge
in
tra
er
en
an
Ai
de nt e
es
tio
tio
te
nt ic
a
Im
tra ce
ic
ilie
et
C
Pê e, S
er
ric
Ad res
m
Pé res
er
,C
et
d
m
ic
C
Fi
er
ie erv
E
is
m
rv
G
Tr
et
tra
tra
or
is vi
m
e
Ad
ob
qu P
iv
rv
Ag
n
om
e
in
éb
é
se
Se
nc
es
in er
de riè
r
tio
sp
Au
om
m
,D
é
Sc S
is
is
nt
tu
Se
m
m
nt
H
m S
tis
in
na
C
ge
in
in
ar
Sa
es
an
ul
Ad
nt ic
Im
ts
Sa
M
Ad tres
m
,C
er
ric
Fi
er
G
Ar
Tr
Ad
Ad
iv
éb
Ag
es
Au
Sc S
,D
H
in
ts
M
Ar
© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com
88 Security Navigator 2023 Coup de projecteur sur l’industrie manufacturière 89
Nousréalisonsunemodificationsimplesurlesvolumes
Nos clients du secteur de l’industrie
Conclusion
d’incidents pour prendre en compte le niveau de couverture
manufacturière sont-ils confrontés à relatif:nousdivisonslenombred’incidentsparlescorede
davantage d’incidents ? couverture estimé et nous le multiplions par le score maximum
possible. Pour faire simple, plus le score de couverture estimé
Comme nous l’avons souligné, le secteur de l’industrie d’unclientestbas,pluscettemodification« boostera »le
SelonlathéorieobcielleducrimeRoutine
( ActivityTheory)un
, crimeseproduitgénéralementlorsquetroiséléments
manufacturière génère le plus grand nombre d’incidents, nombre d’incidents dans cette comparaison. Si un client
convergentdansletempsetl’espace:une« victimeidéale»,un« criminelmotivé»etl’absencedeprotecteurs
en pourcentage du nombre total, dans notre ensemble de dispose du plus haut niveau de couverture possible, nous
compétents. Les discussions autour de la RAT[45] suggèrent que de simples choix du quotidien peuvent réduire
données des CyberSOCs. 31 % des incidents sont générés prenons simplement en compte le nombre réel d’incidents
la vulnérabilité d’une victime potentielle[46]. L’amélioration des pratiques routinières visant à réduire la vulnérabilité
par nos clients de ce secteur, qui représentent 28 % de notre observés.
technologique, permet à une victime potentielle de réduire ses risques de subir ce type d’attaques.
clientèle globale.
Avec ce calcul simple, nous pouvons désormais comparer
Despratiquesdesécuritébasiquestellesquel’évaluationdesrisques,l’applicationdespatchsetlesconfigurations
Si on l’envisage conjointement avec le nombre élevé de les entreprises et les secteurs grâce à la prise en compte de
sécurisées. Nous avons écarté l’impact considérable des vulnérabilités de sécurité OT pour nous concentrer sur
victimes de cyber-extorsion dans le secteur de l’industrie leurs niveaux relatifs de couverture.
l’application des patchs dans les systèmes informatiques. Nos équipes d’analystes évaluent un très grand nombre de
manufacturière, cette proportion importante d’incidents
Avec cet indicateur, l’industrie manufacturière occupe la cibles, mais signalent relativement peu de vulnérabilités par actif pour l’informatique conventionnelle utilisée par ce
des CyberSOCs semble révélatrice. Mais nous manquons
3e place sur un total de 10 secteurs. secteur. Huit autres secteurs ont obtenu des résultats inférieurs à ceux de l’industrie manufacturière au cours de notre
de contexte sur les données des incidents. Sans base de
évaluation. Nous constatons également que l’ancienneté moyenne de tous les résultats de ce secteur est de 232 jours,
référence pour représenter le nombre et la taille de ces clients Commel’illustrelafigureci-dessus,nousestimonsque
ce qui le classe 5e parmi les moins performants de cet ensemble de données. Du point de vue de nos équipes de tests
etdeschiaresprécisantlaproportionduparcinformatique la visibilité réelle représente 16 % de la visibilité que nous
d’intrusion, seuls 6 secteurs sur 15 sont moins bien classés que l’industrie manufacturière. Globalement, le secteur de
quenoussurveillons,ilestextrêmementdibciledetirerdes souhaiterions avoir, contre 20 % pour les clients d’autres
l’industrie manufacturière occupe la 5e ou la 6e place des secteurs les plus vulnérables.
conclusions. secteurs. Si nous ajustons les incidents en prenant en
Leschercheurssuggèrentégalementquequatrevariablesinfluencentpositivementleniveau« d’intérêt »
Afind’établirunebasederéférencepourlacomparaisondes compte les vrais positifs et les faux positifs comme décrit
ci-dessus, nous constatons tout de même plus de sept d’unevictime:Valeur,Inertie,VisibilitéetAccèsVIVA)
( [47]
. Nous synthétisons nos analyses de l’industrie manufacturière
clients et des secteurs, nous attribuons aux clients un « score
fois plus d’incidents par client dans le secteur de l’industrie àtraversleprismedecesvariables:
decouverture »allantdeà0 dans
5 huit« domaines »distincts
de la détection des menaces, soit un score de détection total manufacturière, par rapport à la moyenne de tous les secteurs.
La « Valeur » désignelegainfinancierpotentieloulenouveaustatutobtenuparl’attaquantaprèsavoirréaliséune
de 40, au maximum. Une comparaison similaire, limitée à la couverture de sécurité activité criminelle. Dans le cas de la cyber-extorsion, les éléments volés ont de la valeur pour la victime, pas pour
périmétrique et aux entreprises de taille moyenne, révèle le criminel. Les entreprises de l’industrie manufacturière ont peut-être davantage à perdre que d’autres secteurs, ce
que l’industrie manufacturière est le secteur qui subit le plus qui les rendrait plus vulnérables à l’extorsion. Nous avons pourtant déterminé que les entreprises de ce secteur ne
d’incidents par client, sur un total de 7 secteurs similaires. sont pas plus susceptibles de payer que d’autres, ce qui réfute cette théorie.
L’« Inertie »désigneladibcultérelativenécessairepourdéplaceroutransporterunobjetouunactifvolé.Dansl’univers
numérique,« l’inertie»décritcertainscontrôlescommelechiarement,laDRMDigital( rightsmanagemen)oulespièges
qui forcent un attaquant à dépenser plus d’argent ou à prendre plus de risques pour exploiter un actif volé. Nous
n’avonsaucuneraisondepenserquecelaseraitdiaérentpourl’industriemanufacturière,nousécartonsdonccet
élément de notre comparaison.
Robinson Delaugerre
CSIRT Investigations Manager
Orange Cyberdefense
Réseau en feu
Que faire lorsque la cyber brûle ?
L’année 2022 fut synonyme de brasier pour l’ensemble de la
planète.Uncombatpermanentcontredesflammestenaces,
n’épargnant personne, pas même un monde informatique de plus
enplusinflammable.
Lorsquevotremaisonbrûle,vousappelezlespompiers.Cependant
dans le secteur informatique, tous les incendies ne sont pas visibles.
Que faire lorsque ce n’est pas votre salle des serveurs qui est en
feu,maislesfichiersstockéssurcesderniers?
Eninformatique,vousdevezdétecterdiaéremmentlespremiers
signes d’’incendie. L’étincelle est plus traîtresse et plus isolée que
jamais. Comme le suggère Pierre Corneille, “Le feu qui semble
éteint,dortsouventsouslacendre”.L’objectifd’uneéquipede
réponse à incident est d’être prête à éteindre un incendie jusqu’à
la moindre braise, grâce à une formation et une expérience
rigoureuse,alliantconfianceetebcacité.
Mêmelameilleurepréparationnesignifiepasquevouséviterez
toujours l’embrasement. Les attaquants ont de l’esprit. Quelques
vulnérabilités résiduelles, comme des traces d’essence virtuelle
laisséesdansvotreréseau,subront.Aufuretàmesurequele
feu se propage, il est incontournable d’avoir des experts CSIRT à
vos côtés pour lutter contre l’incendie. Ils vous aideront à éteindre
lesflammesavantquevotreréseaunesoitréduitencendres.
Les histoires qui vont suivre sont vraies, elles relatent de l’expérience
vécue et acquise par nos équipes Pentest et CSIRT, tant dans
la préparation à faire face à un incendie que dans l’anticipation et
l’extinction de ce dernier.
6
Toutparaissaitsisimple:leclientnousacontactésunjeudipournousdirequ’unepetite
partiedesonréseauavaitétéattaquéeparunransomwareetcomplètementchiarée. Défense sicilienne
Le client avait déjà procédé à un cyber-nettoyage basique et segmenté son réseau. Nous avons déployé une solution
Seuls 40 à 50 serveurs avaient été touchés. Pourtant, les choses se sont vite gâtées... EDR à la pointe de la technologie
Thomas Eeles, CSIRT Manager, Orange Cyberdefense sur 3 500 terminaux, surveillé
toutes les adresses IP, mis en
uvre
œ uneauthentificationmulti-
facteur et verrouillé le réseau
jusqu’à ce que nous soyons sûrs
que les attaquants avaient été
5
expulsés.
Unconfinementintégral Nous avons dû travailler pendant
Pour éviter la divulgation d’informations trois semaines pour restaurer
stratégiques pour l’entreprise et éviter les données et garantir la sécurité
au client de payer la rançon, nous avons
4
du réseau du client. Nous avions
décidé de tout verrouiller. Les journaux
Du chasseur à la proie duclientn’étaientpasassezanciens
été un peu ambitieux avec
les quatre jours initialement prévus.
1
en un seul e-mail ? pour que nous puissions comprendre
Travailler le week-end Certainement pas l’ampleur de l’attaque. Nous avons donc
Nous sommes intervenus comme Si ces attaquants avaient clairement supposé que tout était compromis.
nous le faisons toujours, en analysant pris leur temps, c’est parce qu’ils
le problème en détail. Très vite, il est observaient le client. Une semaine
apparu que nous étions face à des après le début de notre enquête,
attaquants«turbulents». ils nous ont envoyé un e-mail pour
Autrement dit, ils n’essayaient pas nous dire qu’ils savaient avoir été
de cacher leur activité et leurs actions repérés. Le message expliquait
n’étaient vraiment pas sophistiquées. qu’ils avaient volé des téraoctets
Ils utilisaient même des outils grand de données et que le client devait
public. Après une analyse de payer s’il ne voulait pas qu’elles soient
la situation, nous pensions avoir déposées sur le Dark Web.
tout réglé dès le dimanche.
Ce qu’il faut
3
Lentement mais sûrement
Comment avait-on pu passer à côté
decetteautreintrusion?C’estsimple: retenir :
les attaquants avaient été bien plus
méthodiques. Alors que la première Ces deux attaques ont provoqué d’importants
équipe avait causé des ravages bouleversements dans les activités du client. Si elles
immédiatement, la deuxième vague n’étaient pas liées, c’est grâce au remue-ménage
d’attaquants avait pénétré le réseau et des premiers attaquants que nous nous sommes
faisait des allées et venues depuis un an. penchés sur le réseau. Étant donné la complexité
Leur méthode était discrète, lente et technique de la seconde attaque et le caractère
2
technique par rapport au premier groupe habituel d’une grande partie de l’activité, la plupart
Sur le point de clôturer identifié.Ilspatientaientsagement, des outils d’analyse seraient passés à côté.
le dossier… recueillant de plus en plus de données
Le nettoyage se déroulait correctement et sur le réseau en utilisant des logiciels Cela illustre bien à quel point la mise en place de
nous avons rapidement repris le contrôle. existantsPowerShell,
( parex.pour
) solutions de protection de base, par exemple l’EDR et
Il ne nous restait plus que quelques se fondre dans le décor. Ainsi, aucun lasegmentationduréseau,nesubsentpas.
heures de travail lorsque nous avons des outils de détection et de réponse
remarqué quelque chose d’étrange. On auniveaudesterminauxEDR) ( oude C’estcequenousretiendronsdecettehistoire:
aurait dit un morceau de logiciel qu’une détection et de réponse automatisées toutes les organisations doivent appliquer
équipe informatique aurait pu utiliser, ADR)
( nelesavaitremarqués. desmesuresfondamentales,aussiinsignifiantes
sauf que cela ne concordait pas avec semblent-elles. Elles se protègeront ainsi contre 90 %
les opérations gérées par le client au desattaquesquilesciblentattaque
( parforcebrute,
quotidien. Nous avons approfondi notre attaquefacileetlesaccèspayants)etsaurontque
enquête et réalisé que le client avait subi toute activité inhabituelle nécessite d’être analysée.
deuxattaques:l’uneprovenaitdeces
attaquants« turbulents »etl’autred’un
groupe distinct et bien plus sophistiqué.
CSIRT story :
« Ça mord sur Sharepoint (P.S. Cliquez ici !) »
À mesure que les niveaux de cyber éducation s’améliorent, on peut espérer voir une réduction
du nombre d’attaques réussies d’ingénierie sociale et de phishing. Mais comme cela arrive
4
souvent dans le domaine de la cybersécurité, une nouvelle menace apparaît dès que
les entreprises ont trouvé une solution. Elle s’accompagne de nouvelles questions, presque
existentielles,auxquellesnousdevonstousrépondre.Àsavoir:àquipouvez-vousfaire Les faire mordre à l’hameçon
confiancesivousnepouvezpasfaireconfianceàvoscollègues? L’attaquant envoie alors un e-mail
d’hameçonnageàlacibleidentifiéevia
John Askew, CSIRT Analyst, Orange Cyberdefense le compte auquel il a accès. Il charge
un document d’hameçonnage sur un
5
sitedepartagedefichiersOneDrive (
ouSharepoint,parex.qui , ) génère Naviguer en haute mer
automatiquement un message contenant Maintenant que nos attaquants ont
unlienverslefichierpartagéaveclacible. accès à un compte plus important, ils
Puisque le document n’est pas joint à commencent à examiner leurs possibilités.
l’e-mail de l’attaquant, la technique n’est Ils peuvent rechercher des retards de
pas détectable par les outils traditionnels. paiements ou rééditer des factures avec de
Cela semble légitime, puisqu’il s’agit nouvelles coordonnées bancaires. Nous
1
d’uncompteMicrosoft.Unefoislefichier avons déjà vu des attaquants utiliser le
3
Une attaque classique partagé, l’attaquant est en mesure de nouveau compte pour prendre le contrôle
Les compromissions via un e-mail Utiliser le petit recueillir les informations de connexion de conversations et progressivement
qu’il recherche. supprimer des participants jusqu’à ce
professionnel sont probablement « poisson » pour attraper
les attaques que nous rencontrons qu’il ne reste plus que la cible principale,
le « gros poisson » sans que personne ne se doute de
leplussouventcheznosclients.
La raison est simple. Tout le Si le compte en question n’est pas très rien.Enconfigurantdesrèglesdeboîte
monde a une adresse e-mail pour intéressant, les attaquants essaient de réception, ils empêchent même le
communiquer avec le monde d’atteindre un décisionnaire ou l’équipe propriétaire du compte de remarquer ces
extérieur, même les équipes les plus duservicefinancier.Uncomptable échanges. Ils restent en place jusqu’au
isolées et protégées. La plupart est par exemple une très bonne cible. paiement de leurs factures, n’éveillant
du temps, les acteurs malveillants Cependant, cette décision implique les soupçons que lorsque des tiers se
utilisent l’attaque par Brute Force quelqueseaorts,carlesindividusayant plaignent de factures impayées.
pour trouver le mot de passe du davantagederesponsabilitésbénéficient
compte ou envoient un e-mail souvent de mesures de sécurité plus
d’hameçonnage ou phishing avec poussées. C’est à ce moment-là que
les attaquants voient qui mord à s
unfauxidentifiantpermettant :outil
l’hameçon. hishing eillantes
Ce qu’il faut
up v
d’abcherundocument.
iestd esmal
te ntioncec argesutil
t ch
, aisa auserdes
im
uevra
retenir :
e sq ourd i
Pr esp
ntiqu
authe
Commentaarontercetyped’attaques?Ilfaut
toujours revenir aux fondamentaux. Peu importe
le niveau drastique de sécurité mis en place
par notre client. Un mot de passe faible ou
l’absenced’authentificationmulti-facteurMFA) (
et le manque de sensibilisation aux messages
contenant des pièces jointes étranges ou
2
inhabituelles représentent une menace. Ces
Une fois qu’ils sont là, pratiques ouvrent littéralement la porte aux
c’est trop tard attaquants.
Les attaques que nous devons gérer
suivent un schéma similaire. Une Lorsque nous enquêtons sur ces attaques,
fois que les attaquants disposent nous veillons à ce que les mots de passe
des informations de connexion, soientréinitialisésetlaMFAconfiguréepour
ilsobserventl’environnement: tous les utilisateurs. Ensuite, nous analysons
comment l’individu en question les politiques, les processus et les niveaux de
travaille, quelle sorte de contact compréhension au sein de l’organisation. Sans
il entretient avec d’autres services les bons outils et la bonne culture, ces attaques
et quels sont ses niveaux continueront à voir le jour
d’autorisation.
Pentesting story :
Faire le lien entre les erreurs internes de serveur
et le piratage de comptes
Lespagesd’erreursontgénéralementdibcilesàdéchiarerpourunil œ nonaguerri.
« Erreur:40 Pageintrouvable »,« Erreur:30 4 Vousn’êtespasautoriséàaccéderàcette
page »ouencore« Erreur:0 5 Oups,ilsembleraitquequelquechosenefonctionnepas ».
Nous en avons tous fait l’expérience. Mais que se passerait-il si cette page se transformait
soudainement en point d’entrée permettant à des hackers de vous dérober votre compte ?
6
Nous avons simulé l’attaque en
créant un nouveau compte et
un navigateur anonyme.
L’URL malveillante a été copiée
danslenavigateuretSURPRISE!
Le tableau de bord de Google
4
Analytics nous a informés qu’un
1
Contournement de la CSP gentil utilisateur nous avait envoyé
Découverte de la session via Google Analytics
son jeton de session via un pixel
espion inconnu.
5
C’est en fouillant le code source d’une page
Apparaîtalorsunautreproblème:
aléatoire de l’application Web du client
la politique de sécurité du contenu.
La magie du JavaScript
qu’une fonction de débogage JavaScript Tout était en place, il ne nous manquait plus
Point positif, leur politique était robuste
contenant le cookie de session du compte qu’àcréernotrechargemalveillantefinale,
etnepermettaitpasl’exfiltrationvia
utilisateur sous la forme d’une chaîne contenant le dispositif de contournement de
XSS,dumoinsdirectement.Dans
régulière a été trouvée. Le scénario rêvé CloudflareetdelaCSP,ainsiquelejetonde
le métier, on apprend rapidement
pourunhackerIl ! subraitdeledérober session de l’utilisateur. Grâce à ce formidable
queseulsleshackersdesfilms
enutilisantdesRegEXetducross-site langage full-stack qu’est JavaScript, nous avons
hollywoodiens arrivent à accéder
scripting, non ? rapidement préparé une solution soigneusement
« directement »auxressources.
Malheureusement, ce n’était pas aussi Nous nous sommes donc tournés emballée, destinée à être envoyée à une victime
simple. verslaméthode« indirecte ». sous la forme d’une simple URL.
Leur CSP autorisait Google Analytics,
puisqu’ils suivaient leurs utilisateurs
via un pixel espion. Nous avons fait
exactement la même chose. Nous
avonsconfigurénotreproprepixelqui
divulguait la chaîne de la session via
unparamètrespécifiquepermettant
d’envoyer des données arbitraires.
Ce qu’il faut
2 3 retenir :
Le cross-site scripting Contournement des
en tant qu’agent règlesWAFdeCloudflare Protéger une application Web personnalisée est une tâche
d’exfiltration Nous étions donc en présence de ardue, mais la plupart des bugs actuels connus peuvent
XSS,maisnousavionsunWAF. être évités en adoptant la bonne méthodologie et le bon état
Nous avons découvert que
Heureusement, la communauté d’esprit.
lorsque l’application ne pouvait
d’infosécurité de Twitter nous a
traiter une saisie utilisateur
gentiment fourni un dispositif de Entantqu’utilisateurfinal,l’utilisationd’uneapplicationWeb
spécifique,ellerenvoyaitune
contournement créé deux ans peutégalementcomportersonlotdedéfis.Lestraceurs
page d’erreur avec le code
auparavantpourlefiltrageXSS essaient en permanence de surveiller votre comportement
Cette
.05 pagespécifique
de Cloudflare. en ligne, votre activité numérique, etc.
comportait un paramètre d’URL
intéressant qui autorisait la Nous l’avons adapté, et cela a
fonctionné. Premier problème Voici quelques points clés à retenir pour les développeurs
saisie par un utilisateur non
résolu! etlesutilisateursfinaux:
approuvé.
▪ IntégrezleSDLCetlasensibilisationàvotreprocessus
DanslemilleIl
! s’agissaitbien
de développement
deXSS!
▪ Nestockezjamaislescookiesdesessiondansdes
emplacements non sécurisés
▪ Nefaitesjamaisconfianceauxsaisiesdesutilisateurs
▪ Nevousfiezjamaisàaux
% 0 1 solutionsdesécurité
tierces
© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com
98 Security Navigator 2023 Les récits du CSIRT & du pentest 99
5
Pentesting story : Sésame, ouvre-toi ! Votre maison est mon
château !
L’analyse initiale du client indique clairement que la sécurité physique est
L’idéal aurait été de pouvoir se passer
gérée par un grand fournisseur international. Le fournisseur prétend que
de ces droits tout en contrôlant
le réseau du client est isolé via un Air Gap et qu’aucune communication n’est
numériquement l’accès aux portes via
possible avec le monde extérieur. L’équipe de hackers éthiques hollandaise
le panneau principal. Nous avons pris
est invitée à évaluer la sécurité physique du fournisseur sur site. Nous avons
le contrôle de quelques comptes pour
carte blanche, les portes sont ouvertes.
obtenir des droits d’administrateur de
Thijs Vos, Security Specialist, Orange Cyberdefense domaine. Ce n’était plus qu’une question
Bart van Bodegom, Security Specialist, Orange Cyberdefense de temps. Quelques heures plus tard,
nous avons réussi à trouver le système
avec le logiciel du contrôleur principal.
6
Ce système utilisé par le superviseur nous
1
Sécurité physique : une a permis de contrôler tous les portails et Permettez-nous de
vérification.. portes du bâtiment sans que personne vous ouvrir la porte...
ne s’en aperçoive. Nous avons demandé au
Les locaux du client sont
entourés de grilles et de portails. superviseur d’aller devant
Les personnes disposant des une porte, sans donner d’autres
4
autorisations requises peuvent explications. Lorsqu’il a passé
les ouvrir via la salle de contrôle. Accès accordé sa carte sur le lecteur, ce dernier
Les autorisations sont attribuées (par nous-mêmes) aabchéunvoyantrouge.
en fonction du poste du salarié La sensibilisation en matière Le superviseur nous a contactés.
chezlefournisseur.Àl’accueil, de sécurité numérique était Il se tenait devant la porte.
les agents de sécurité créent des quasi inexistante et les Nous lui avons ouvert à distance.
badges auxquels y peuvent ajouter opérateurs recevaient des
un certain nombre de privilèges. droits d’administrateur local
Un superviseur doit approuver pour se connecter aux postes.
toute demande d’accès à des Ces droits nous ont permis
zonesplussécuriséesdusite, d’activer un RDP à distance et
le cas échéant. de nous connecter de manière
interactive aux postes client
avec le logiciel de « salle de
contrôle ».
Nous pouvions désormais
contrôler les droits associés à
nos cartes physiques.
2
... pas si poussée !
Pendant la phase d’évaluation, Ce qu’il faut retenir :
3
nous avons réussi à entrer
dans le hall d’accueil du Les leçons apprises lors de cette évaluation sont
Si cela se passe sur notre
bâtiment. La surveillance trèsclaires:vouspouvezmettreenplacelasécurité
insubsanteetlepersonnel réseau, ce n’est pas physiquelaplusebcacepossible,maislorsqu’un
peu averti nous ont permis si grave... tiers ou une menace tierce a accès à un patch
de trouver un patch réseau AucunContrôled’accèsréseauNAC)( réseau, ce dernier devient vulnérable. Voici quelques
dans le réseau de sécurité. n’était en place. Après avoir pénétré enseignementsclés:
Le réseau ne fournissait le réseau, nous avons découvert que ▪ Unemiseenuvre
œ ebcaceduContrôled’accès
pas d’adresse IP via DHCP, la segmentation était faible, voire réseauNAC)
( auraitpermisd’évitercettefaille.
nous avons donc choisi une inexistante. Nous étions en présence
IP aléatoire dans la plage d’un« réseauplat »,oupresque. ▪ Lasegmentationetlefiltragedessegments
et l’avons attribuée à nos Les agents de sécurité pouvaient auraient permis d’entraver l’accès aux systèmes
appareils. uniquement interagir avec le logiciel impliqués dans la sécurité physique.
de« salledecontrôle »depuisdes ▪ Les pares-feux basés sur l’hôte et le renforcement
postesclientspécifiques.Cespostes des systèmes doivent constituer de « bonnes
étaient patchés et à jour. Cependant, pratiques»àappliquer.
en raison de l’absence de NLA avec
RDP sur certains serveurs, nous avons ▪ Dans le domaine de la sécurité, le personnel peut
eu connaissance de certains noms représenter une force ou une faiblesse.
d’utilisateurs, que nous avons utilisés La sensibilisation est donc primordiale.
pour tester quelques mots de passe ▪ La surveillance n’est pas une option, en particulier
faibles. pour les principaux systèmes stratégiques.
C’est pourquoi il convient de penser à la sécurité dès la conception et de bout-en-bout. Cette sécurisation
se fait en partie sur des critères communs à tous les systèmes d’information, comme :
▪
La sécurité du Web 3.0
La sécurité de l’infrastructure du système d’information qui héberge la Blockchain
Cloud
( ouOn-Premise),
▪ Les algorithmes cryptographiques de signature et les fonctions de hachage,
▪ La gestion des clés privées,
Il s'agit d'un élément fondamental pour construire une société numérique plus sûre.
© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com
102 Security Navigator 2023 Sécurité mobile 103
Joshua Sylvester
Security Researcher
Orange Cyberdefense
Charl van der Walt
Head of Security Research
Orange Cyberdefense
Petit format,
grand facteur de risque
Sécurité mobile
Dans l’édition 2022 du Navigator, nous avons évoqué la hausse manifeste
des vulnérabilités, des exploits et des attaques ciblant les téléphones
mobiles et en particulier iOS.
Deseaortsconsidérablesetdessommesnonnégligeablesontété
investis dans la recherche et l’exploitation des vulnérabilités propres
aux téléphones mobiles. Comme cela a été le cas dans le passé,
nous sommes arrivés à la conclusion qu’il était possible, voire inévitable,
que de telles capacités, une fois créées, quittent l’univers de l’espionnage
gouvernemental pour tomber aux mains des criminels les plus ordinaires.
Pour la première fois, nous avions constaté une augmentation du
nombre d’avis associés aux plateformes mobiles et à leurs vulnérabilités,
en particulier aux systèmes Android et iOS d’Apple.
Danslasection« WorldWatch »deceNavigator,nousconstatonsque
ces attaques ciblant les téléphones mobiles continuent à faire la une dans
la presse. Les préoccupations concernant la prise de contrôle à distance
des téléphones mobiles soulèvent des questionnements sur la posture
de sécurité des appareils mobiles, notamment sur notre capacité à
les patcher face à l’arrivée de nouvelles vulnérabilités. Ces enjeux
sont critiques, si l’on considère le rôle des appareils mobiles dans
lacommunicationmoderneetdesconceptstelsquel’authentification
àdoublefacteurFA)2 ( .
Dans ce chapitre, nous évoquerons les problématiques liées
aux vulnérabilités et aux menaces qui planent sur les téléphones mobiles,
ainsiquelesdiaérencespropresauxplateformes.
Systèmes d’exploitation
Dans notre ensemble de données, environ 55 % des utilisateurs étaient sur iOS et 45 %
surAndroid.Ceschiaresproviennentdel’analysedel’agentutilisateurfourniparlesnavigateurs
Web aux principaux sites Web du groupe Orange.
Application des patchs (iOS)
Etat des correctifs pour la vulnérabilité CVE-2022-22587 d'iOS Non corrigé Corrigé
Divulgation (1 Jan.)
er
55%
100%
OS
90%
80%
i
70%
60%
50%
4 5%
40%
30%
id
20%
ro
n d 10%
A 0%
Sep Oct Nov Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep
Débat
Vulnérabilités Android Les systèmes iOS et Android ont tous deux leur lot de vulnérabilités : 547 pour Android en 2021, contre
Danslafigureci-dessus,nouspouvonsvoirquelavulnérabilité seulement 357 pour iOS. 79 % des vulnérabilités Android étaient considérées comme peu complexes
Pour analyser la réponse et les actions de la base d’utilisateurs (c’est-à-dire, simples à exploiter), contre seulement 24 % pour iOS. Cependant, 18 des vulnérabilités
CVE-2022-22587 a été divulguée le 27 novembre 2021. À
lors de la publication d’une vulnérabilité relative aux appareils Android ont reçu un score CVSS 44 Critique, contre 45 chez iOS[55].
ce moment-là, 83,4 % des appareils de notre ensemble
Android, nous prenons l’exemple de Samsung. Ce choix
de données étaient considérés comme vulnérables vis-à-vis
permetdecompenserlesdiaérencesdegestiondesversions Ces résultats indiquent qu’Android est touché par un plus grand nombre d’exploits peu complexes
de l’exploit.
entre Android et Apple. À partir d’Android 9, le champ Agent qu’iOS,quiprésententdavantagedevulnérabilitéscritiques.AppleiOSestplusdibcileàatteindre,
utilisateurducomposantdenavigateurn’estpasassezfiable Cette proportion est inférieure aux 99,25 % d’appareils Apple maislarécompenseestbienplusintéressanteencasderéussite.Eneaet,lesexploitsAndroidfont
pour déterminer avec exactitude le numéro de version, alors considérés comme vulnérables lorsque la CVE-2022-22587 régulièrement la une des médias parce qu’ils sont utilisés par un large éventail d’acteurs malveillants,
que les appareils mobiles Apple fournissent un numéro a été divulguée, puisque certains appareils disposaient alorsqu’iOSestplussouventlacibledegroupesabliésàdesÉtatstelsqueNSO.Danscet
de version précis. Les versions du système de sécurité sont d’une version si ancienne qu’ils n’étaient accidentellement pas écosystème, iOS est vu comme du « gros gibier ».
également désignées séparément et donc invisibles pour aaectés.Celasignifiaitquedes % 6 , 1 appareilsn’étaientpas
nousdanscetensemblededonnées.Nousavonsidentifié vulnérables à ce moment-là, malgré l’absence de mise à jour. Si l’on considère les deux vulnérabilités susmentionnées, il apparaît clairement qu’une plus grande
desexemplesspécifiquesdetéléphonesSamsungn’ayant proportion d’utilisateurs d’iPhone est menacée lors de la divulgation d’un problème de sécurité, ce
Le patch a été publié 83 jours après la divulgation de
pas reçu de patchs pour des versions principales d’Android, qui s’explique par l’homogénéité du système. Les utilisateurs migrent néanmoins rapidement vers une
la vulnérabilité à Samsung. C’est plus que dans l’exemple
c’est pourquoi nous avons choisi de nous concentrer sur nouvelle version, puisque 70 % d’entre eux appliquent le patch dans les 51 jours suivant sa publication.
présenté plus haut, mais la vulnérabilité Apple avait été
ce fournisseur dans le cadre de cet exercice.
divulguée publiquement, alors que celle de Samsung est restée L’écosystème Android, bien plus fragmenté que celui d’Apple, comporte davantage d’appareils
CVE-2022-22292 est une vulnérabilité de l’OS Android qui privée, ce qui réduisait l’urgence du point de vue de Samsung. exécutant des versions plus anciennes. Les appareils sont ainsi vulnérables à un plus grand nombre
permet à une application non approuvée d’exécuter un code
Avec ce patch publié par Samsung, 10,4 % des utilisateurs d’exploits anciens, mais moins vulnérables aux nouveaux exploits.
arbitraire. La vulnérabilité est présente dans les versions 9 à
restaient exposés à la vulnérabilité en raison de l’arrêt
12 d’Android, mais un patch a été publié pour les versions 10,
du support pour Android 9. Ce pourcentage diminue
11 et 12. Nous pouvons ainsi analyser le nombre d’appareils
progressivementdansnotreensemblededonnéesaufildu
considérés comme vulnérables avant et après la publication
temps. Mais comme pour Apple, une longue traîne subsiste et
du patch. Dans le cadre de notre enquête, nous supposons
pourrait s’éterniser.
de
( manièreunpeuexagérée)quetouslesappareilsontété
mis à jour au moment de la publication du patch, puisque
les numéros de version Android ne fournissent pas cette
information détaillée.
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Sep Oct Nov Dec Jan Fev Mar Avr Mai Juin Juil Aout Sep
Les évaluations des apps mobiles comportent moins de Google Play. Les deux marketplaces ont mis en place des mesures
Sécurité des applications mobiles résultatsnotésPassé
.6 lescoreCVSSÉlevé)
(7 le
, nombre
Open-Source vs Closed-Source de sécurité pour limiter l’exposition des utilisateurs aux apps
Si les utilisateurs mobiles doivent s’inquiéter des vulnérabilités de résultats des évaluations d’apps chute plus rapidement que La comparaison des degrés de sécurité des logiciels open source malveillantes.
propres aux systèmes d’exploitation des appareils, ils ne pour d’autres types de tests. Par exemple, 2,4 % des résultats etpropriétairesfaitsouventl’objetdedébatsdontlesramifications
Les applications sont analysées avant d’être publiées sur les
doivent pas non plus négliger la sécurité des applications obtiennent un score de 10 pour d’autres évaluations, alors que vont jusqu’à la sécurité des appareils mobiles et la gestion des
marketplaces et des bacs à sable applicatifs sont utilisés pour
mobiles. cette proportion n’est que de 0,4 % pour les apps mobiles. vulnérabilités.
éviter qu’elles aient accès à des ressources sensibles.
Nous avons analysé 96 évaluations de sécurité réalisées sur Enfin,unesynthèsecomparantlesappsmobiles, Dans le cas d’Android, la nature open source du système
Commenouspouvonslevoirdanslesdeuxfiguresci-dessus,en
des applications pour téléphone mobile entre janvier 2018 et les applications de bureau courantes et les applications Web d’exploitation de base permet théoriquement aux experts d’évaluer
2022, le nombre d’apps malveillantes présentes sur Google Play
octobre 2022. client
( léger)révèlequenostesteursdoiventfournirdavantage lecode,d’identifierdesbugsetdesuggérerdesaméliorations
estsixfoisplusélevé que
) % 1 8 7 ( surl’AppStored’Apple,cequi
d’eaortspourobtenirdesrésultatsdanslesappsmobilesque de manière proactive. L’argument en faveur de l’open source est
93 % des problèmes de sécurité signalés sur les apps peut s’expliquer par plusieurs facteurs[56] [57].
dans les environnements applicatifs de bureau et Web. qu’ilpermetd’identifieretderésoudredavantagedevulnérabilités.
évaluées ont obtenu un score de criticité faible ou moyen,
Le point négatif de cette approche est que davantage de Tout d’abord, étant donné que davantage d’apps malveillantes sont
tandis que 6 % ont obtenu un score élevé et 1 % un score Celanesignifiepasquelesappsmobilesnecomportentpas
vulnérabilités sont rendues publiques, comme semble le suggérer proposées à Google Play, elles sont plus nombreuses à passer
critique. L’analyse d’une app mobile nécessite en moyenne de vulnérabilités, comme le montrent nos données et notre
l’important volume de vulnérabilités détectées au niveau du entrelesmaillesdufiletetàsefrayeruncheminjusqu’audomaine
9,7 jours de travail et nous avons signalé des résultats historique récent, mais uniquement que ces risques ne sont
noyaudusystèmeLinux.Celasignifieégalementquedavantage public approuvé. Le système Android comporte davantage
« graves » (élevé ou critique) pour 24 des 96 apps, soit 28 %. pas plus graves dans l’univers mobile qu’ailleurs. Les modèles
d’exploitsdetypeProof « ofconcept»serontdéposésdansle de vulnérabilités peu complexes, il permet donc à davantage
de sécurité stricts communs aux plateformes mobiles
La criticité attribuée aux résultats, exprimée sous la forme cyberespace,oùlesacteursmalveillantspeuventlescopieretles de personnes d’exploiter ces vulnérabilités pour tenter d’être
modernes permettent également de réduire l’impact sur un
d’un score CVSS, est similaire pour les évaluations des apps transformer en armes. répertoriées dans Google Play. Il existe également un plus grand
utilisateur, en cas de compromission d’une application.
mobiles et pour tous les autres tests réalisés. La majorité nombred’exploitsprêts « àl’emploi»quipeuventêtreajoutésàune
LaconceptionenClosedSourced’Appleestplusdibcileà
desrésultatsobtiennentunscoredeou 4 Moyen)
(5 mais
, appAndroid,parexemplel’outilKwetzaquivouspermetd’ajouter
exploiter, ce qui a vraisemblablement un impact positif sur le degré
davantage de résultats sont notés 4 pour les apps mobiles, unechargemalveillanteMeterpreteràunfichierAPK.Onpeut
de sécurité de la plateforme. Cependant, la découverte d’une
par rapport aux autres évaluations. également citer le fait que les mécanismes d’évaluation du Google
vulnérabilité par un acteur malveillant peut rester secrète plus
PlayStorenesontpasaussiebcacesqueceuxdel’AppStore
longtemps. De plus, comme le suggèrent nos données ci-dessus,
Comparaison entre les applications mobiles, les applications de bureau classiques Applications malveillantes détectées par VirusTotal
et les applications web dites "légères". CVSS par jour Moyenne CVSS Proportion d'applications classées comme malveillantes et non malveillantes par VirusTotal Malveillantes Non malveillantes
6
100%
5.27
5 4.85
4.64
4.34 4.37 4.28 80%
3.88
4
60%
2.91
3
2
40%
1 20%
0
Mobile Application Security WebApp Autres 0%
2016 2017 2018 2019 2020 2021 2022
© Orange Cyberdefense 2022/2023 www.orangecyberdefense.com
110 Security Navigator 2023 Sécurité mobile 111
Àlafindel’année,deuxsemainesseulements’écoulaiententre
Patchs et versions la publication d’une nouvelle version et son adoption par 60 %
Le processus d’application des patchs devient aussi important des utilisateurs d’iOS. Seuls 10 à 20 % des utilisateurs d’iOS
dans l’univers mobile que dans les environnements traditionnels restentdanslalonguetraînesanseaectuerdemiseàjour.
des postes de travail et serveurs. Avec la découverte de
ChezAndroid,surunepériodedemois, 8 seulsdes
% 03
nouvelles vulnérabilités, la résolution des problèmes avant
utilisateurs ont adopté la nouvelle version principale, Android
qu’ils ne soient exploités donne lieu à un véritable jeu du chat
13. L’explication la plus probable est que les versions du
et de la souris. Dans l’univers mobile, ce n’est possible que
système Android doivent passer par l’intermédiaire de chaque
Conclusion
si l’utilisateur souhaite s’impliquer. S’ils décident de ne pas
fournisseur et parfois des opérateurs mobiles, qui ajustent
mettre à jour leur appareil, ou si l’appareil est trop ancien,
etapprouventlesmodifications.Denombreuxutilisateurs
les utilisateurs ne sont plus protégés. Nous avons déjà évoqué
sont donc bloqués sur d’anciennes versions jusqu’à ce qu’ils
l’homogénéité d’iOS, mais la situation devient encore plus
puissent télécharger la nouvelle version sur leur téléphone.
évidente en observant l’évolution de l’ensemble des versions
La longue traîne des utilisateurs qui n’ont pas adopté les 3
d’iOS, comme ci-dessous. Chaque couleur représente une
dernièresversionsestdeà0 2 sur % 0 3 l’année,unchiarebien La sécurité des appareils mobiles n’est probablement pas une priorité pour
versiondiaérented’iOSetlesvagues « »d’adoptionsuiteàla
plus important que pour iOS. la plupart de nos lecteurs professionnels et elle ne doit pas le devenir. Pourtant,
publication des nouvelles versions sont clairement visibles.
Dans l’environnement Android, cette dispersion des les entreprises intègrent progressivement la sécurité mobile à leur inventaire
D’ailleurs, iOS a gagné en homogénéité cette année,
probablement en raison d’un plus faible nombre de mises à jour.
responsabilités liées aux patchs génère la courbe relativement des risques.
plate des mises à jour que nous pouvons observer ci-dessous.
Quatre menaces majeures se dessinent dans le paysage de la sécurité mobile :
Répartition des versions iOS 1. l’accès direct ou physique à l’appareil d’un individu, par exemple par les
Présence des différentes versions d’iOS et vitesse d’application des mises à jour 16.1 (current) 16.0.1 16.0 15.7
100%
autorités, par un partenaire jaloux, ou par un criminel après un vol ;
15.0.1
90% 15.2 15.3 2. les applications malveillantes contenant des exploits et des portes
15.0
80% 15.0.2
dérobées, distribuées via des marketplaces légitimes ou des référentiels
15.1.1
privés ;
70%
15.2.1
60%
15.3.1
3. les vulnérabilités présentes dans des applications légitimes, qui peuvent
15.6.1
50%
15.1 15.4.1
15.5 15.6 être exploitées pour compromettre des données sensibles ou l’appareil
14.8
en lui-même ;
40% 14.7.1
14.8.1
30% 15.4
4. les vulnérabilités qui permettent une exécution de code à distance avec
20%
14.7 ou sans implication de l’utilisateur.
14.6
10%
Les menaces n°2 et 3 sont les plus présentes aujourd’hui. Nos données
rsions
suggèrent qu’environ 30 % des apps que nous évaluons pour nos clients
0%
contiennent des vulnérabilités que nous considérons comme « graves.»
1
21
21
2
Associées aux problèmes des API et aux erreurs de sécurité des fournisseurs
02
02
02
02
02
02
02
02
02
02
02
20
20
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
0.
2.
1.
07
.11
09
09
04
05
6
03
8
2
.1
.0
.1
.0
.0
.0
.
.
.
.
18
18
18
18
18
18
18
18
18
18
18
18
18
confidentialitédenosdonnées.
Répartition des versions Android
updates applied? 13 (current) 12.0.2 12.0 11.1 La question des vulnérabilités propres aux systèmes d’exploitation mobiles
Présence des différentes versions d'Android et vitesse d’application des mises à jour 13 (current) 12.0.2 12.0 11.1
attire lentement mais sûrement l’attention, et c’est l’objet principal de ce
100%
Android 9 chapitre.
90%
80%
Android 8.0.0 La comparaison des deux principaux OS mobiles n’est pas aisée et génère des
Android 7.0 biais majeurs en fonction de la perspective adoptée. Nous encourageons nos
70%
Android 12 lecteurs à envisager rapidement cette problématique pour se préparer à réagir,
60% dans un futur proche, lorsque la gestion des vulnérabilités des téléphones
50%
Android 11 mobiles professionnels sera une exigence de sécurité fondamentale.
40%
30%
20%
Android 10
10% Android 12
0%
1
21
21
2
02
02
02
02
02
02
02
02
02
02
02
20
20
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
.2
0.
2.
07
.11
01
09
09
04
05
06
03
08
02
.1
.1
.
.
.
.
.
.
.
.
.
18
18
18
18
18
18
18
18
18
18
18
18
18
La théorie de la pensée Vous pouvez également vous poser de nombreuses questions pour développer votre métacognition dans les trois
Undéfimentalpourlesresponsables
phases de la pensée. Envisagez la méthode suivante :
Planification
de la sécurité Cette phase est courante pour se préparer
àunesituationouàunesessiondeplanification
Posez-vous les questions suivantes :
▪ Ai-je déjà connu une situation
similaire par le passé ?
stratégique. Le résultat de cette phase de
Dans un monde interconnecté qui ne s’arrête jamais, les responsables de la sécurité doivent
réflexiondéterminevotrepland’actionmental. ▪ Quel est mon objectif ?
releverunredoutabledéfi,celuideprotégerlesentreprisescontreunlargeéventaildemenaces.
Leurmission:identifierlesmenacespotentielles,évaluerleurimpactetétablirdesstratégies ▪ Par quoi dois-je commencer ?
d’atténuationréactivesouproactives.Ainsi,vousdevezêtrecapabledeporterunregardcritique
sur les enjeux rencontrés à votre poste de responsable de la sécurité et de prendre des décisions
qui pourraient changer le destin de votre entreprise. Dans la sphère actuelle du leadership, Posez-vous les questions suivantes :
Contrôle
la capacité à analyser et à développer un esprit critique est devenue une compétence essentielle. Cette phase se déroule lorsque vous êtes dans ▪ Ai-je choisi la bonne approche ?
unesituationouquevouspréparezunetâchede
Ulrich Swart, Training Manager & Technical Team Leader, Orange Cyberdefense
planification.Àlafindecettephase,vousdevez ▪ Quepourrais-jemodifier?
être capable d’évaluer votre position. ▪ À qui puis-je demander de l’aide
Réfléchiràsafaçondepenser Améliorer sa théorie de la pensée ou un retour ?
Avez-vousdéjà« réellement
»réfléchiauxraisonspour Explorer l’inconnu
lesquellesvouspensezainsietpasautrement?
Àtraversuneréflexioninterne,identifiezvospointsfaibles.Vousne Posez-vous les questions suivantes :
Ou comment votre cheminement de pensée vous a-t-il
▪
Évaluation
pousséàfaireleschosesdiaéremment? pouvezpassavoircequevousnesavezpas.Prenezconscience Qu’est-ce qui a bien fonctionné
Cette phase fait suite à la gestion d’une situation
devospropreslacunesenmatièredeconnaissancesetapprenez et pourquoi ?
Chaque jour, nous prenons près de 35 000 décisions ou d’une tâche. Elle vous permet de formuler
à vous appuyer sur les autres ou sur des sources extérieures pour
semi-cognitives. Parmi celles-ci, 122 sont des décisions améliorer vos approches.
des retours et des approches pour appréhender ▪ Qu’aurais-je pu améliorer ?
des situations similaires dans le futur.
informéesdécoulantd’uneréflexionconsciente.Entant
que responsable de la sécurité, vos choix ou vos Comprendre ce qui est connu
▪ Puis-je appliquer cette approche
dans des situations futures ?
conclusions peuvent entraîner des répercussions sur Analysezrégulièrementvosexpériencespasséesetlafaçon
la sécurité de milliers de personnes. dontvouslesavezgérées.Faitesconfianceauxapproches
Nous devons analyser notre façon de penser, notre façon quiontdéjàfonctionné.Netentezpasderectifierquelquechose
d’aborderlesprocessuscognitifsetfinalement, qui fonctionne. Si votre approche a fonctionné dans des situations
de prendre des décisions ou d’agir. C’est tout l’enjeu similaires,recommencez!
de la métacognition*.
Se dépasser
Posez-vouslesbonnesquestionspourdéveloppervos
méthodologiesderéflexion.Remettezenquestionvosréflexions
Penser comme un leader antérieuresetlesdécisionsquienontrésulté.Évaluezlesimpacts
positifsetnégatifsetdéterminezcommentvousauriezpumodifier Enrésumé,vouspouvezremettreenquestionetaméliorervotrethéoriede
Les responsables de la sécurité prennent constamment votre approche pour changer le résultat. lapenséedeplusieursfaçons.Essayeztoujoursd’êtreunmeilleurleader,
des décisions pouvant avoir de graves conséquences. Ils unemeilleureversiondevous-même.Maispourcela,vousdevezdévelopper
doiventêtrecapablesderéfléchiràleurpropreprocessus Définirdesobjectifsmentaux la métacognition.
de décision. Être un bon leader, c’est aussi savoir Envisagezlesobstaclesmentauxpotentielsauxquelsvouspouvez
évoluer par soi-même. La métacognition peut aider les êtreconfrontéetdéfinissezdesobjectifspourvousypréparer. Voicitroisdéfisàintégrerdansvotreboîteàoutilsduleadership:
responsablesàidentifierlespréjugésouleserreursde Vousaaronterezcesobstaclesaveclebonétatd’espritsivous
réflexionetàappliquerlesajustementsattendus. vous êtes exercés à les surmonter. Défin°:1 étudiezrégulièrementvospensées. Appliquezdesapprochesdemétacognition
pourévaluervosprocessusderéflexioneteaacervosraisonnementsincorrects,tardifsou
Elle peut également leur permettre de mieux résoudre les
Préparersaréflexion biaisés.Exercez-vousàappliqueractivementvosapprochesderéflexionamélioréespour
problèmes.Vousdevezêtreconscientdevosprocessus
Lorsquevouslepouvez,préparez-vousmentalementaux créer de nouveaux cheminements mentaux.
cognitifspourapprendreàidentifierdesschémasettrouver
des solutions créatives à des problèmes complexes. scénariosfuturs.Établissezunpland’actionàsuivreaumoment
Défin°:2 améliorezvotreapproche. Laissezlesautrestestervotreréflexion.Lesmentors,
venupouraccroîtrevotrecapacitéderéflexionetvotrebien-être
Entantqueresponsabledelasécurité,vousdevezprendre les pairs ou les membres de votre équipe sont de véritables atouts pour améliorer vos
mental.
encomptevospropresprocessusderéflexion.Réfléchissez processusderéflexion.Demandezdesretoursouautorisezlespersonnesautourdevous
àvosdécisionsetdécouvrezcequevouspouvezfairepour Contrôler la performance àremettreenquestionvosapproches,apprenezdeleurscommentairesetmettez-lesen
vous améliorer. pratique.
Faitesunbilanpersonnelaubeaumilieudelasituation.Déterminez
sitoutsepassecommeprévuafinderéfléchiractivementà Défin°:3 continuezàapprendre. Necessezjamaisd’acquérirdenouvellesconnaissances.
mm eune« réflexion vosapprochesetéventuellementdelesmodifieravantque
tionse d éfin itco Plusvousensavez,plusvousaurezdefacilitéàappréhenderdesscénariosetdessituations.
La métacogni ir
im pliqued’avo lerésultatnesoitfigé.
*
dep en se ». r
Elle de Apprenezdenouvellescompétences,approfondissezdesétudesdecas,écoutezvospairset
sursafaçon oc es sus cognitifs et
ses propres pr réseautezaveclespersonnesquivousinspirent.Chaquejournéeestunenouvelleopportunité
conscience de améliorer sa
aiss an ce de soi pour Demander un retour d’apprendre.
faire appel à la co nn e façon
d’ au tre s termes, c’est un Discutezavecd’autrespersonnespourobtenirdesinformations
façon de pens
er. En éflexionet
r o p r es p rocessusder etidentifierdespointsd’amélioration.Lorsquevousrecevezces Cesnombreuxdéfisdevraientvouspermettrededéveloppervosapprochescognitives.En
sp
deréfléchiràse m en ts nécessaires. retours, exploitez-lesréellement.Lesapprochesetlesméthodologies findecompte,vospenséesvouscontrôlent,maisvouscontrôlezaussivospensées.Alors,
ajuste
de réaliser les des autres peuvent vous aider à accéder au niveau supérieur. façonnez-lesàvotremanièrepourentirerlemeilleurparti!
José Araujo
GlobalChiefTechnologyObcer
Orange Cyberdefense
En avant toute !
Leprésentinfluencelefutur,toutcommelepassénousainfluencés!
Lorsque j’ai été invité à me prêter à l’exercice des prévisions,
unephrasem’estvenueàl’esprit:àquoidevons-nousêtre
préparés, au juste ?
Dans cet article, je présente certains éléments clés que tout RSSI
doit prendre en compte dès aujourd’hui pour se préparer à l’avenir.
Ces éléments concernent plusieurs aspects de leur métier.
▪ La meilleure approche pour construire un système d’information
sécurisé,
▪ Lanotiondeconfianceettouslesenjeuxjuridiquesassociés,
▪ Trois domaines stratégiques qui nécessitent une attention
particulière, car ils deviendront les cibles de fréquentes attaques,
▪ Trois thèmes que toute organisation doit envisager pour anticiper
l’avenir.
Jevousinviteàprendreletempsd’approfondircessujets!
Une évolution
Revenons un peu en arrière inévitable des
Il y a soixante ans, il était déjà possible d’envoyer des
tâches à un ordinateur distant qui les exécutait sur
architectures
le principe du temps partagé. Les ressources étaient
louées et partagées pour réduire les coûts.
Les années 2000 ont donné naissance au cloud
computing. Ce modèle change la façon dont l’informatique Nous sommes actuellement dans un entre-deux.
est gérée et consommée du point de vue de la sécurité.
Les produits de sécurité restent des éléments clés dans
Le modèle de sécurité périmétrique devient entièrement
n’importe quelle politique de sécurité, mais ils ne sont
obsolète dans le cloud.
plussubsants.Lanotiondesécuritépérimétriqueatteint
Jusqu’en 2019, les organisations n’avaient pas ses limites lorsque les salariés sont mobiles et qu’un
massivement adopté ces technologies, et ce pour nombre croissant de services est hébergé en dehors
diverses raisons. Tout d’abord, la migration de systèmes des datacenters de l’entreprise.
et d‘applications existants dans le cloud peut s’avérer
complexe et coûteux. Cela nécessite de repenser
Lois et régle-
complètement la sécurité traditionnelle basée sur d’anciens Que se passera-t-il demain ? mentations :
conceptsde« fortifications ».Dansuneforteresse,les
douvesetlesrempartsjouentlerôledefiltres.Lesactivités
Nous devons changer notre façon de penser la
cybersécurité. Il est primordial de réduire le niveau de un critère L’Europe s’est réveillée et un grand mouvement est
lancé. Le cadre juridique a évolué ces dernières années,
internesabritéesàl’intérieurdecesfortificationsétaient confianceimplicitequenousplaçonsdanslesutilisateurs
considérées comme saines. Les éléments extérieurs etdanslesfluxdedonnées. Le Zero Trust représente
croissant d’abord dans certains pays, puis au niveau européen.
Les problèmes de protection de la vie privée ont été
n’entraient pas en ligne de compte et lorsque les pare- l’avenir. de sélection adressés, puis plus récemment, les enjeux économiques
feuxétaientcorrectementconfigurés,onconsidéraitque et de cybersécurité, également, ce qui donne le jour à
lesressourcesinternesdonnées ( etordinateurs)étaient Attention malgré tout, car mal interprété ou mis en œuvre, de nouvelles réglementations et initiatives.
protégées.Aucuneprotectionspécifiquen’étaitalors ce concept peut rendre un système plus vulnérable. Les
déployée à l’intérieur de l’enceinte. nouvelles et nombreuses solutions logicielles multiplient
eneaetlerisquedepertedecontrôle,parrapportaux
Confianceettechnologie Évolution du cadre juridique
solutions physiques. Elles peuvent accroître le risque
Où en sommes-nous aujourd’hui ? d’erreursdeconfigurationoulaprésencedevulnérabilités Les menaces grandissantes nécessitent de reconsidérer En France, l’Agence Nationale de la Sécurité des
que les attaquants pourront alors exploiter. lafaçondontlaconfianceestobtenue.Ilestnécessaire Systèmesd’InformationANSSI) ( arevusonprogramme
Le cloud n’est plus une option. Le sujet pourrait revenir decertificationetdequalificationencybersécurité
detrouvercetéquilibredélicatentrelaprotectionoaerte
un jour mais la pandémie de COVID-19 est parvenue à L’adoption d’un modèle Zero Trust et de l’architecture SecNumCloud
( v3afin
) 2. d’yincluredesexigences
parlessolutionsdesécuritéetlaconfianceaccordée
remettre en question nos méthodes de travail. associée ne doit en aucun cas remplacer le contrôle des sur l’emplacement des données et des mécanismes
aux salariés, aux sous-traitants et aux fournisseurs
terminaux utilisés pour accéder aux ressources et aux de protection contre les lois extraterritoriales. D’autres
Les utilisateurs sont désormais partout. Ils exigent de solutions. Sans oublier la prise en compte des cadres
services. L’application des principes de la gestion des pays envisagent des actions similaires et l’ENISA
d’avoiraccèsauxdernièressolutionsettechnologies: juridiques qui peuvent s’appliquer.
risques reste incontournable. travailleactuellementsurunSchéma« decertification
logiciels professionnels, outils de bureautique classiques
et collaboratifs ou d’autres services tels que la La transition vers le Zero Trust doit être progressive et desservicescloud»EUCS)( Bien
. qu’ilsoittroptôtpour
vidéoconférence. L’utilisation des données a explosé, contrôlée pour garantir la protection des données et La souveraineté, tirer des conclusions de leur travail, ces problématiques
devront probablement être prises en compte dans
stimulant la demande de bande passante et la nécessité des ressources. une notion délicate un avenir proche.
de se reposer sur des architectures solides.
La souveraineté est un concept politique. De façon
générale, il correspond à la capacité, pour un
gouvernement, à élaborer des lois et à être à l’abris Évolution des positions
de toute interférence extérieure. Au tout début, les grands acteurs du numérique étaient
Pouruneentreprise,ledéficonsisteàobtenirdesgaranties réticents,maisilsontfiniparrejoindrelemouvement.
sur les données dont elle est responsable, en conformité Plusieurs initiatives ont vu le jour, toutes visant à fournir
avec les lois des pays dans lesquelles elles sont stockées, desniveauxdegarantiessubsantesenmatièrede
mais également avec toute loi extraterritoriale applicable, sécurité et d’immunité. Les hyperscalers commencent à
quel qu’en soit la raison. L’origine de l’entreprise fournissant lancer leurspropresoares.Certainsinvitantleursclients
le service en est une parmi tant d’autres. àchoisirl’endroitoùilssouhaitentstockerleursdonnées.
D’autres proposant des mécanismes garantissant l’accès
L’avenirserafaitdecetterecherchedeconfiancedans aux données uniquement sur autorisation du client, sur le
le respect des enjeux de souveraineté. principeduBring « yourownkey »BYOK)
( .
Cesapprochesprésententtouteslemêmepointfaible:
Une prise de conscience récente c’est le prestataire cloud qui exécute le service. Un
certain degré de sécurité est garanti pour les données
Les États-Unis font partie des pays qui ont pris en
stockées ou transmises mais qu’en est-il de la protection
compte ce risque depuis longtemps. Leurs institutions
des données pendant leur traitement ?
gouvernementales sont capables de se reposer
uniquement sur des solutions et des fournisseurs Denouvellesoares,baséessurdestechnologies
nationaux. Une tâche aisée étant donné le nombre de identiques,émergent,àladiaérencequ’ellessont
sociétés spécialisées dans le numérique et la cybersécurité opérées par des entreprises indépendantes et sur
présentes sur leur territoire. lesquelles les lois extraterritoriales ne s’appliquent pas.
Leursmotivationspeuventnéanmoinsêtrediaérentes.Certains
certainement augmenter. ▪ Enfinle
, conceptdetripleextorsionestapparurécemment.Lesattaquantscontactent
directementlesfournisseursoulesclientsidentifiéspourleurdemanderunerançon,sous
attaquants cherchent à détruire des systèmes ou à déstabiliser
la menace de la publication de leurs données. Pour ajouter de la pression, ils utilisent des
une entreprise ou la société dans son ensemble, pour des Internet des objets attaques par déni de service distribué ou contactent leurs cibles par téléphone.
raisons politiques ou économiques plus larges. C’est le cas
des hacktivistes ou des attaques soutenues par des États. et systèmes embarqués Les demandes de rançon ne risquent donc pas de disparaître et ce type d’attaque
Tout comme les systèmes industriels, les appareils continuera à se développer.
Le nombre de ces attaques, visant des systèmes
d’informationspécifiques,dansunbutautrequefinancier, connectésreprésententundéfiparticulierenmatièrede
sécurité. Constamment connectés par nature, ils disposent
est voué à augmenter.
généralement d’une faible puissance de calcul et sont souvent Cyber assurance
situésdansdesenvironnementsoùl’applicationdebonnes Les débats font rage au sujet de la légalité du paiement des rançons aux criminels.
Les terminaux mobiles : pratiques de sécurité s’avère complexe. Les fabricants de ces
La plupart des autorités publiques impliquées dans la lutte contre le cybercrime accusent
appareils doivent gérer les données avec prudence, car elles
une mine d’or peuvent contenir des informations personnelles ou sensibles. les assureurs de faire le jeu des attaquants en acceptant de payer les rançons. Elles appellent
Le marché gris est un cas d’étude intéressant pour comprendre C’est la raison pour laquelle la Commission Européenne a majoritairement à un arrêt pur et simple de cette pratique. Aujourd’hui, dans la plupart des pays,
l’importance de certaines cibles. Sur ce marché, des acteurs récemmentproposéla« loisurlacyber-résilience »,afinde le paiement d’une rançon ne constitue pas un délit et le paiement par l’assureur est considéré
proposent d’acheter des vulnérabilités permettant à un définirdenouvellesrèglesdecybersécuritéapplicablesàtous comme un transfert de risque. Par ailleurs, le remboursement systématique par les assureurs
attaquant de pénétrer l’appareil mobile d’un utilisateur, sans les appareils numériques vendus dans l’UE. des coûts de la restauration des données fera exploser le montant des déclarations, qui sera
aucune interaction avec la victime. Les tarifs varient d’une répercuté sur les tarifs d’assurance.
Dans le même temps, les nouvelles réglementations 155 et 156
plateformeàl’autre,maislesplusebcacespeuventse Il faut s’attendre à ce que les débats se poursuivent sur la façon de couvrir les cyber-
de l’UNECE ont été adoptées et exigent respectivement la mise
monnayer jusqu’à 2,5 millions de dollars. risques, quelles en sont les conséquences et quels paiements doivent ou ne doivent pas
en œuvre d’un système de gestion de la cybersécurité et d’un
Chaque année, plus de 1,5 milliard de smartphones sont système de gestion des mises à jour logicielles pour le secteur être légaux. Ces échanges vont se poursuivre et des retournements de situation sont
vendusdanslemonde,pourdesutilisationsdiversesetvariées: automobile. à prévoir.
paiements,authentificationàdoublefacteuretcommunications
Ces diverses réglementations forceront les fabricants à se
professionnelles, entre autres ce qui en fait une cible privilégiée
mettre en conformité. Pourtant, il ne fait aucun doute que Cybersécurité et les fusions - acquisitions
et le nombre d’attaques va continuer à augmenter.
ces plateformes resteront des cibles attractives pour les L’impact d’une cyberattaque est si important qu’environ 60% des PME mettent la clé sous
attaquants, ou le deviendront de plus en plus à l’avenir. la porte dans les six mois suivant celle-ci[58]. Il est important de comprendre l’exposition au
risque d’une entreprise, même pendant un processus de fusion et acquisition. Plusieurs aspects
sont à prendre en compte, notamment le niveau de maturité et de préparation, mais également
les problèmes de sécurité et les fuites de données passées. La réalisation de telles analyses est
complexeaujourd’hui,maisceladevraits’organiseretdevenirunréflexeetuneétapeessentielle
dans tout processus de prise de décision.
Cette préoccupation devient un sujet au niveau du comité de direction et deviendra
un critère d’évaluation des opportunités dans le cadre du processus de fusion et
d’acquisition.
Résumé
Cette année nous a réservé beaucoup de surprises. L'imagedemarquedugroupeContiaétéjugéetoxique" " delaguerre.Cen'estunsecretpourpersonnequelaplupart travail.Celasignifiequelespolitiques,lesforcesdel'ordreet
au sein de la communauté cybercriminelle après que ses de ces attaques sont menées par des personnes originaires les puissances économiques ont reconnu le problème et ont
Alorsquenousétionshabitués,d'unemanièreoud'une
discussions internes aient été divulguées au public à la des anciens pays de la Communauté des États indépendants, collectivementcommencéàlecontrer.Etcelasignifieque
autre, à faire face aux mauvaises nouvelles, cette année a
suite de sa décision de se ranger publiquement du côté etilsemblequecesgroupesaientétédistraitsd'unemanière les mesures que nous avons prises portent leurs fruits.
étédibcileàuntoutautreniveau.Dansuncontextedecrise
delaRussiedanslaguerrecontrel'Ukraine.Finalement, oud'uneautreparl'impactdelaguerre.Ilsontfiniparrevenir
permanente,ilestimportantd'éviterlaparalysiefaceaux Nous sommes en train de gagner certaines batailles. Nous
une série d’échecs a conduit le groupe à se dissoudre, aubusiness"
" mais
, nousn'avonsrienconstaterdeplusau-
problèmes. devonspoursuivrel'eaortcollectifpourquecettetendance
avec un impact éphémère sur le nombre de victimes. delà de ce qui existait déjà.
perdure,carnouspouvonsconstaterqu'ellefonctionne.
Aucontraire,nouspensonsqu'ilestencoreplusimportant Malheureusement,maissanssurprise,lesabliésdeConti
Alors,qu'est-cequecelasignifiepournotrecybersécurité?
d’accueillir et de valoriser les bonnes nouvelles. sesontrapidementtournésversd'autresgroupesde Et cela nous rapproche un peu plus de l’objectif de construire
La sécurité est toujours une cible mouvante, une chasse
Ransomware-as-a-serviceLockbit
( oud'autresplusrécents une société numérique plus sûre.
En examinant de plus près les données de ce rapport, nous constante. Avons-nous progressé ? Avons-nous trouvé
commeBlackBasta,BlackByte,Royal,Mais,
.). . bienque
trouvons de réelles tendances positives. notre solution miracle ? Malheureusement, non. Mais cela
temporaire, cela a perturbé leurs opérations.
signifiequenousvoyonslerésultatd'untravailacharné,
Commençons par le sujet des vulnérabilités.
Les attaques très médiatisées aux États-Unis ont attiré d’uneimplicationconstanteetd'unefortevolontédedevenir
Eaectivement,nousconstatonstoujoursqu'ungrandnombre l'attentiondesagencesderenseignement,desrégulateurset plus mature dans notre vie numérique et notre espace de
de "vulnérabilités révélées" ne sont en général pas corrigées desforcesdel'ordreetontsuscitédesinquiétudesauseinde
très rapidement, même si un patch est disponible. Mais lacommunautécybercriminelle,quin'appréciepasd’êtreau
nous constatons également que le temps nécessaire à la cœur des attentions. Cette situation peut inciter les acteurs
correction des vulnérabilités critiques a tendance à diminuer àfreinerleursactionscompromissionsoud'extorsion
et que cela continuera probablement ainsi si les entreprises des victimes aux États-Unis et au Canada.
adaptent des stratégies de correction basées sur le risque.
Lesrégulateursontrendulaviedibcileauxfournisseursde
Nos pentesters réussissent toujours à pénétrer les dispositifs services de crypto-monnaies connus pour être populaires
de sécurité de nos clients, mais ils mettent plus de temps et auprèsdesacteursdel'extorsion.Enseptembrepar , 1 20
doivent travailler plus dur pour y parvenir. exemple,l'ObceofForeignassetsControlOFAC) ( duTrésor
américain a annoncé que la bourse de crypto-monnaies Suex
Le nombre d’incidents par client a également diminué en
avait été ajoutée à la « Specially Designated Nationals And
passant de 40 à 34 ce qui est une nouvelle satisfaisante.
BlockedPersonsList »SDN)
( interdisantainsiauxAméricains
Cela doit cependant être nuancée sur le plan de la pérennité
defairedesaaairesaveccettesociété.Larestrictiondeces
et compte tenu de notre base de clients en constante
acteurs "néfastes" pourrait rendre la cyber-extorsion plus
évolution et augmentation.
dibcileàmonétiser.D'autresinterventionscoordonnéesdes
Enfin,examinonsl'impactdelaguerreenUkraineetdela services de répression et du FBI, comme le démantèlement
vulnérabilitédeLog4j:touslesacteursdanslepaysage réussidel'infrastructuresoutenantleRaccoonInfostealer,
cybernétique cherchait à se protéger d’un potentiel «cyber- peuvent également avoir
Tsunami ». un impact.
Ces événements ont eu un impact, mais maintenant que le Lacyberassuranceestplusdibciled'accès.Ilestfréquent
souceestquelquepeuretombé,nouspouvonsconclure de voir les acteurs de la menace faire référence à la police
quel'impactauraitpuêtrebienpire.Eneaet,àlalecturedu d'assurancecyberdelavictime.Desdélinquantsontavancé
rapportdenoscollèguesduCERTenPologne,c'esttoutle quelesdemandesd'extorsionseraientcouvertesparune
contrairequis'estproduit.Silesactivitésdeshacktivistesontpoliced'assurance.DanslerapportThe " stateofransomware
augmentédanslemondeentier,nousn'avonspasencore Sophos
, "02 indiquequepour94des
% incidentsoù
constaté de dommages collatéraux dévastateurs en dehors une rançon est versée, le paiement était couvert par une
despartiesimpliquéesdansleconflit.Iln'yapaseude assurance.
deuxième Wannacry, ni de NotPetya détruisant des milliers
Bienquel'augmentationdelacybercriminalitéaitentraîné
d'entreprisesdanslemonde.
desvaguesdenouvellesdemandesd'indemnisationplus
Nouspensonsqueceschangementspeuvents'expliquerpar importantes, le secteur de la cyber assurance a réagi
« Nous sommes en train de gagner certaines batailles.
unecombinaisondediaérentsfacteurs. récemment.Ilsepeutqu'enl'absencedepaiementde Nousdevonspoursuivrel'eaortcollectifpourquecette
rançons,lescriminelsaientplusdemalàgagnerdel'argent. tendance perdure, car nous pouvons constater qu'elle
Toutd'abord,lesciblesdeviennentmoinsvulnérables.Des fonctionne.
eaortsmassifsontétédéployés,notammentenAmérique Comme nous le mentionnons dans notre section concernant
du Nord, au Royaume-Uni et en Europe occidentale, pour l'Ukraine,nousconstatonsquel'activitécybercriminelle Et cela nous rapproche un peu plus de l’objectif de
améliorer la posture de sécurité des entreprises. Il se peut visant les internautes polonais a considérablement diminué construire d'une société numérique plus sûre. »
queceseaortsportentleursfruits. d'
( environpendant
% 05 quelquessemaines)depuisledébut Sara Puigvert, EVP Global Operations Orange Cyberdefense
[3]
/ businessinsider.in/tech/news/Google-and-tripadvisor-disable-restaurant-reviews-in-russia-after-they-were-
flooded-with-protests-against-the-ukraine-invasion/articleshow/9978cms
4 https:/www.
/ france2com/
.4 en/live-news/musk-
- 720 2
7. 3 7
activates-starlink-internet-service-in-ukraine
[3]
5 https:/www.
/ csoonline.com/article/how-
/ 5 86 1 56 3 security-vendors-are-aiding-ukraine.html
Ce rapport n’aurait pas pu être rédigé sans le travail fastidieux de nombreux chercheurs,
[3]
6 Mitre,“Matrix–Enterprise|MitreATT&CK,”[Online].Available:attack.mitre.org/matrices/enterprise/.[AccessedJanuary
13
journalistes et entreprises du monde entier. Nous leurs sommes reconnaissants pour 2022].
toutes leurs publications disponibles en ligne. C’est avec un grand intérêt que nous [3]
7 https:/www.
/ cert.ssi.gouv.fr/cti/CERTFR--CTI-
20 / 10
les avons utilisées comme référence et contexte. [3]
8 https:/www.
/ proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-
- mil
itary-emails
[9] https:/www.
/ reuters.com/technology/russia-based-ransomware-group-Conti-issues-warning-kremlin-foes-/5 2 - 0 2 [4]
5 LawrenceE.CohenandMarcusFelson.1979.Socialchangeandcrimeratetrends:Aroutineactivityapproach.American
SociologicalReview,August)
(4 https:/
. 8 0 6- 5 , doi.
/ org/
940 2 / 98 57 03 2. 0 1
[1]
0 https:/www.
/ wired.com/story/Conti-ransomware-russia/
[4]
6 BillyHenson.Routine
.02 Activities.In:T.J.Holt,A.M.Bosslereds.
( The
, ) PalgraveHandbookofInternationalCybercrime.
[11] https:/www.
/ thomsonreuters.com/en-us/posts/investigation-fraud-and-risk/strategic-corruption-cybercrime-connection/
[4]
7 MajidYar.The . 50 2 noveltyof‘cybercrime’:AnassessmentinlightofRoutineActivityTheory.EuropeanJournalofCriminol -
[1]
2 https:/www.
/ siliconrepublic.com/enterprise/costa-rica-cyberattack-explainer-Conti-ransomware-group ogy,
https:/
7. 2 4- 7 0 4 , 4 , 2 doi.
/ org/
6 50 508 7 3F127 % 47 .11 0 1
[1]
3 https:/www.
/ worldpoliticsreview.com/in-costa-rica-ransomware-attack-takes-aim-at-the-government/ [4]
8 Chainalysiscrypto
2 02 crimereport:https:/go.
/ chainalysis.com/Crypto-
- 2 02 Crime-Report.html
[1]
4 https:/flashpoint.
/ io/blog/history-of-Conti-ransomware/ [49] Roninnetworkattack:https:/www.
/ theverge.com/
axie-
96/31 27/6 7/2 0 infinity-ronin-blockchain-hack-phishing-linke -
[1]
5 https:/www.
/ bleepingcomputer.com/news/security/new-royal-ransomware-emerges-in-multi-million-dollar-attacks/ din-job-oaer
, https:/halborn.
/ com/explained-the-ronin-hack-march-/2 0
[1]
6 https:/www.
/ sciencedirect.com/science/article/abs/pii/978 1 03 7 S01 2 53 7 40 [5]
0 Polynetworkattack:https:/www.
/ theblock.co/post/at-
/540 11 least-million-
- 11 6 stolen-in-massive-cross-chain-hack , https://
www.businessinsider.in/investment/news/biggest-crypto-hacks-of-2021-over-4-billion-stolen/slidelist/88560280.cms
[1]
7 https:/cms.
/ law/en/int/publication/ransomware-attack-can-we-negotiate-with-cybercriminals
[5]
1 Nomadbridgeattack:https:/zerion.
/ io/blog/nomad-bridge-hack/,https:/medium.
/ com/nomad-xyz-blog/nomad-bridge-hack-
[1]
8 https:/www.
/ technologyreview.com/9540 1 /2russian-
6 81 / 4 0 2 hackers-tried-to-bring-down-ukraines-power-grid-to-help-
root-cause-analysis-875ad2e5aacd
the-invasion/
[5]
2 Wormholeattack:https:/decrypt.
/ co/9199/8 hacker-steals-million-
0- 2 3 solana-ethereum-bridge-wormhole,https:/halborn.
/
[19] https:/blogs.
/ microsoft.com/on-the-issues/hybrid-
/ 7 2 / 40 2 war-ukraine-russia-cyberattacks/
com/explained-the-wormhole-hack-february-2022/
[2]
0 https:/en.
/ wikipedia.org/wiki/Routine_activity_theory
[5]
3 https:/www.
/ bitdefender.com/blog/labs/threat-actors-use-mockups-of-popular-apps-to-spread-teabot-and-flubot-malware-
[2]
1 https:/www.
/ orangecyberdefense.com/global/blog/threat/inside-the-criminal-mind-applying-criminology-theories-to-cy-x on-android
[2]
2 https:/www.
/ zdnet.com/article/ukraine-is-building-an-it-army-of-volunteers-something-thats-never-been-tried-before/ [54] https:/securityaaairs.
/ co/wordpress/hacking/
/ 04 2 7 1 apple-fixed-two-zero-day-html
.20
[2]
3 LockheedMartin,“TheCyberKillChain,”[Online].Available:www.lockheedmartin.com/en-us/capabilities/cyber/cyber-Kill [5]
5 https:/www.
/ humansecurity.com/learn/blog/poseidons-oaspring-charybdis-and-scylla
Chain.html
[5]
6 https:/www.
/ bleepingcomputer.com/news/security/mobile-
- 1 20 security-android-more-vulnerabilities-ios-more-zero-days/
[2]
4 K.T,“TheCoopercolorcodeandthreatassessment,”SoftRep,[Online].Available:sofrep.com/news/the-cooper-color-code-
[5]
7 https:/about.
/ fb.com/news/protecting-
/ 0 1 /2 0 people-from-malicious-account-compromise-apps/
and-threat-assessment/
[5]
8 https:/www.
/ sec.gov/news/statement/cybersecurity-challenges-small-midsize-businesses
[2]
5 https:/heimdalsecurity.
/ com/blog/is-Conti-ransomware-siding-with-russia/
[2]
6 https:/www.
/ bleepingcomputer.com/news/security/Conti-ransomwares-internal-chats-leaked-after-siding-with-russia/
[2]
7 https:/www.
/ bbc.com/news/technology-6 2 548 7 06
[2]
8 https:/www.
/ infosecurity-magazine.com/news/hackers-russian-tv-schedules/
[29] https:/www.
/ washingtonpost.com/politics/cyber-
/ 3 1 / 50 2 attack-hack-russia-putin-ukraine-belarus/
[3]
0 https:/cybernews.
/ com/news/cyberattack-on-ukrainian-border-control-slows-refugee-crossing/
[3]
1 https:/www.
/ businessinsider.in/tech/news/anonymous-hacking-group-has-broken-into-a-russian-space-website-and-leaked-
files-belonging-to-its-space-agency-roscosmos/articleshow/9988 9665 cms
.
Clause de non-responsabilité
OrangeCyberdefensemetcerapportàdisposition enl’état
« »,sansaucunegarantied’exhaustivité,
d’exactitude, d’utilité ou d’actualité. Les informations contenues dans ce rapport sont de nature générale.
Lesopinionsetlesconclusionsprésentéesreflètentunjugementfaitaumomentdelapublicationetpeuvent
changer à tout moment. Orange Cyberdefense n’assume aucune responsabilité pour les erreurs, omissions
ourésultatsobtenusencasd’utilisationdecesinformations.Sivousavezdespréoccupationsspécifiques
enmatièredesécurité,veuillezcontacterOrangeCyberdefenseviahttps:/orangecyberdefense.
/ com/global/
contact/ pour une analyse plus détaillée et pour obtenir des conseils en sécurité.
Nous remercions
chaleureusement
nos cyber hunters, analystes
et ingénieurs de nos VOCs,
SOCs, CyberSOCS,
nos hackers éthiques
et nos experts réponse
à incident.
Ce sont vos histoires.
© Orange Cyberdefense www.orangecyberdefense.com
Pourquoi
Orange
Cyberdefense ?
Orange Cyberdefense est l’entité experte en Nous sommes un prestataire de sécurité axé sur
cybersécurité du groupe Orange. Nous proposons larechercheetlerenseignement,oarantunaccès
des services managés de détection et de réponse inégalé aux menaces actuelles et émergentes.
aux menaces aux entreprises du monde entier. Noussommesfiersdenotreunitéderecherche
interne et de nos renseignements exclusifs sur les
En tant que leader de prestations de services de menaces, cela nous permet de proposer à nos
cybersécurité,nousnouseaorçonsdeconstruire clientsd'investirleursressourceslàoùellesont
une société numérique plus sûre. leplusd'impact,etdecontribueractivementàla
communauté cyber.
Notre présence mondiale avec un ancrage européen
nous permet de répondre aux normes tant locales Nos experts publient régulièrement des livres
qu’internationales, de garantir la protection et la blancs, des articles et des outils dédiés à la
confidentialitédesdonnéespournosclientscomme cybersécurité, qui sont largement reconnus et
pour nos salariés. Nous embarquons également nos utilisés dans notre secteur et présentés lors de
solutionsdesécuritédanscellesd'OrangeBusiness conférences internationales telles que Infosec, RSA,
Services pour les multinationales du monde entier. 44Con, BlackHat et DefCon.
Notre organisation a plus de 25 ans d’expérience, Nous sommes convaincus que la technologie
dispose de plus de 250 chercheurs et analystes, seulen'estpasunesolution.Nousregrouponsdes
17 SOCs, 13 CyberSOCs et 4 CERT répartis dans le talentsd'éliteenmatièredecybersécurité,des
monde entier. Cela nous permet de distribuer nos technologies uniques et des processus robustes
solutions et services dans 160 pays. Nous sommes dans un portefeuille de services managés de
fiersdepouvoiroariruneprotectionglobaleavec boutenbout,facileàutiliser.C'estl'expertiseet
une expertise locale et de soutenir nos clients tout l'expériencedenoscollaborateurspluridisciplinaires
au long du cycle de vie de la menace. qui nous permettent de comprendre en profondeur
le paysage dans lequel nous évoluons.
www.orangecyberdefense.com
Twitter: @OrangeCyberDef