Le 11 avril 2020, alors que la moitié de la planète est confinée, le gouvernement américain envoie les premiers chèques "d'aide à la relance" sur les comptes bancaires des bénéficiaires. Dans la foulée, des milliers d'Américains reçoivent un étrange courriel de la Réserve fédérale. Celui-ci renvoie vers un site d'apparence officielle, qui leur demande d'entrer leurs identifiants bancaires pour recevoir les aides versées au titre des mesures de relance. Une grosse arnaque, qui visait à voler les identifiants des plus grandes banques américaines, et un parfait exemple, parmi de nombreux autres, de l'inventivité et de la réactivité des cybercriminels depuis l'apparition de la Covid-19.
Dans son dernier rapport, intitulé "Le facteur humain 2021", le fournisseur de logiciels dédiés à la cybersécurité Proofpoint analyse comment la Covid-19 a changé le paysage des cybermenaces pour les entreprises et les particuliers. "Les cybercriminels s'inspirent constamment de l'actualité pour créer leurs messages de leurre. Mais 2020 a été une année différente dans le sens où, pour la première fois, tous les cybercriminels ont utilisé les mêmes thèmes en même temps", indique le rapport, qui voit dans la Covid-19 l'illustration parfaite de la faculté des cybercriminels à adapter leurs pratiques en temps réel pour tirer profit de la peur et des doutes des victimes.
Peur + incertitudes sanitaires et économiques + télétravail = cyberattaques plus efficaces
Plus grande crise de santé publique depuis un siècle, la pandémie de la Covid-19, qui a pris le monde par surprise au printemps 2020, a engendré son lot de peurs et d'incertitudes, tout en forçant les entreprises et les particuliers à basculer massivement vers le télétravail et les usages numériques. Des "conditions idéales pour lancer des cyberattaques plus efficaces", qui se sont traduit, dès mars 2020, par "une surface d'attaque plus large et des taux d'infection plus élevés".
Faux courriels d'information de l'Organisation mondiale de la santé (OMS) avec une pièce jointe malveillante, faux avis de livraisons à domicile, fausse information officielle sur des traitements Covid, faux courriels de prise de rendez-vous pour la vaccination, hôpitaux et écoles ciblés par des ransomwares, la pandémie est, de loin, le thème d'arnaque le plus populaire depuis un an et demi.
En 2020, les arnaques au phishing d'identifiants de connexion ont représenté, d'après Proofpoint, la forme la plus courante d'attaque. Il s'agit de convaincre la victime, le plus souvent via un courriel frauduleux se faisant passer pour une marque réputée ou un organisme officiel, de donner ses identifiants de connexion, ce qui permet au cybercriminel de prendre le contrôle du compte. Ce qui peut conduire à un large éventail d'activités criminelles, de la fraude financière au cyberespionnage. Le piratage de la messagerie en entreprise (également appelé BEC pour "business email compromise") a coûté en 2020 près de 1,8 milliard de dollars d'après une étude de l'Internet Crime Compliant Center (IC3) du FBI, soit 44% de toutes les pertes attribuées aux activités cybercriminelles.
Usurpation d'identité et fraude à la facture fournisseur
"Pour réussir, les attaques BEC s'appuient sur l'ingénierie sociale", écrit le rapport. Une méthode perfectionnée par le groupe cybercriminel TA2520, l'un des plus actifs l'année dernière. "Choisissant souvent de se faire passer pour un cadre dirigeant au moyen de l'usurpation du nom d'affichage, le groupe cybercriminel donnait l'instruction aux destinataires de transférer un certain montant pour ce qui était présenté comme une acquisition de l'entreprise", décrypte les auteurs.
Une méthode redoutable misant sur la négligence et la confiance des destinataires en leur hiérarchie, avec des sommes "souvent supérieures à un million de dollars"... Certains groupes, comme le collectif TA2519, ont même monté des attaques BEC en plusieurs phases contre des entreprises. D'abord, utiliser un leurre lié à la Covid-19 pour distribuer des malwares (logiciels espions) via des courriels à des employés. Une fois injectés dans le système, ceux-ci volent les identifiants de connexion des victimes. Puis, les cybercriminels se servent des identifiants volés pour prendre contrôle du compte de la victime et envoyer une fausse facture à une seconde victime.
"Plus d'une attaque sur quatre a utilisé des fichiers exécutables compressés pour dissimuler des malwares. Pour que l'attaque fonctionne, la victime doit interagir avec une pièce jointe malveillante [comme un document Excel ou un PowerPoint, ndlr] pour exécuter la charge virale", précise le rapport.
69 groupes cybercriminels actifs en 2020
Comme l'indiquait l'Agence nationale de la sécurité des systèmes d'information (ANSSI) au printemps, l'écosystème de la cybercriminalité ne cesse de se professionnaliser. Proofpoint a ainsi identifié 69 groupes cybercriminels actifs en 2020 motivés par l'appât du gain. Et un modèle économique qui s'inspire de celui des logiciels et des services dans le cloud :
"Un cybercriminel sophistiqué crée le "produit" malware et configure l'infrastructure sous forme de package ou de service facile à utiliser. Les cybercriminels aux compétences moins pointues peuvent louer le service afin de lancer leurs propres attaques, soit en payant pour l'utiliser pendant une période déterminée, soit en percevant une commission pour chaque compromission réussie. Dans d'autres cas, ils font office de distributeurs : ils envoient des emails contenant le malware et touchent une commission pour chaque insertion fructueuse", détaille le rapport.
Les cinq groupes de cybercriminels les plus importants de l'année, baptisés TA542, TA567, TA544, TA505 et TA800, sont à l'origine des attaques les plus virulentes. Le célèbre botnet Emotet -qui utilise des leurres d'actualité dans ses campagnes de phishing- vient du groupe TA542 et a pesé près de 10% du trafic mondial de messages malveillants pour l'année, d'après Proofpoint. Mais TA542 est déjà hors jeu : en janvier 2021, les forces de l'ordre ont arrêté plusieurs membres présumés du groupe, entraînant depuis un tarissement de ses activités.
De son côté, le groupe TA567 s'est spécialisé dans les publicités malveillantes via Keitaro, un système de distribution de trafic légitime -TDS- qui aide les annonceurs à cibler leurs annonces sur Internet. "Le collectif TA567 utilise le TDS de Keitaro pour distribuer du contenu malveillant au moyen de publicités légitimes, avec pour résultat final l'implantation d'une série de malwares sur des sites web", décrivent les chercheurs de Proofpoint.
Le troisième groupe, TA544, réalise des fraudes financières à l'aide de chevaux de Troie bancaires et autres malwares, et pèse moins de 4% du volume total des courriels dans le monde. Sa méthode : utiliser des pièces jointes Microsoft Office infectées. De son côté, le groupe TA800 diffuse des malwares bancaires et des chargeurs de malwares qui ensuite réalisent des attaques au logiciel rançon. Enfin, considéré comme un "précurseur dans la sphère cybercriminelle", le groupe TA505, parfois associé au collectif cybercriminel russe Evil Corp., lance des campagnes email malveillantes à "une échelle sans précédent", mais s'est concentré en 2020 sur les Etats-Unis, le Canada et les pays germanophones d'Europe.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés