Il n’y a pas de bonnes nouvelles concernant les statistiques de malware pour le mois d’avril. Pour les entreprises européennes, les ransomwares sont restés la menace la plus persistante et la plus dangereuse, ainsi que la plus coûteuse. Les rançongiciels continueront d’être l’outil le plus dangereux de la cybercriminalité.
Les gangs de ransomwares font à nouveau la une des journaux ces 2 derniers mois, la plus grande histoire étant peut-être celle d’une attaque de ransomware contre la mairie de Lille.
Cet article vous propose un tour d’horizon rapide des plus grosses cyberattaques de ces deux derniers mois.
Focus sur les cyberattaques de mars 2023
Vinted : touché de plein fouet par une attaque pirate
Vinted, site connu pour acheter et vendre des vêtements d’occasion et d’autres articles a vu que des centaines de ses utilisateurs avaient vu leurs portefeuilles électroniques pillés par des pirates. Ces derniers avaient acquis des données de manière illicite en demandant aux utilisateurs de modifier leurs coordonnées sur la plateforme, par SMS ou appel téléphonique.
Les équipes de la plateforme se mobilisent pour permettre aux utilisateurs n’ayant plus accès à leurs comptes de les récupérer tout en leur prodiguant des conseils de sécurité. Les membres qui ont vu leur portefeuille virtuel vidé par des hackers seront indemnisés.
La procédure suivie par les pirates est assez simple. L’utilisateur ciblé reçoit un SMS ou un appel contenant un code à 4 chiffres. Ce dernier permet de modifier les coordonnées du compte Vinted et notamment le code de sécurité. D’autres reçoivent un e-mail confirmant que leur mot de passe a été modifié. A partir de là, les pirates ont déjà pris le contrôle des comptes et des sommes d’argent qui y sont stockées.
Pour les autres, le mot de passe reste inchangé mais les informations bancaires ne sont plus les leurs. L’argent serait alors transféré non plus sur le compte bancaire du propriétaire légitime mais sur des comptes au Luxembourg ou en Irlande, pays connus pour être des paradis fiscaux.
TYPE D’ATTAQUE
phishing
CONSEQUENCES
Portefeuille virtuel à 0 euro. Après une vague de piratage, certains ont vu leur argent s’envoler.
Vinted a assuré de rembourser les utilsateurs arnaqués.
L'avis de notre expert
Les entreprises n’ont pas besoin de divulguer quoi que ce soit à tout moment et répondre à la pression des acteurs de la menace ou de la presse pourrait aggraver les choses, il est donc bon de maintenir une stratégie à long terme pour l’engagement et la divulgation du public.
Ferrari victime d’une cyberattaque
TYPE D’ATTAQUE
cyberattaque
CONSEQUENCES
Demande de rançon
Les coordonnées de clients Ferrari ont été dérobées dans les bases de données de l’entreprise suite à une cyberattaque. Le constructeur automobile de Maranello a annoncé avoir reçu une demande de rançon des cybercriminels, mais qu’il est prêt à ne pas payer un seul euro, pour ne pas financer ces activités malveillantes et donc de nouveaux attentats.
Six mois après l’attaque du ransomware du groupe RansomExx, qui a conduit à la publication d’environ 7 gigaoctets de documents internes, Ferrari a été touché par une nouvelle cyberbrèche. L’entreprise n’a pas précisé la dynamique de l’attaque du 20 mars, affirmant seulement qu’elle avait reçu une demande de rançon pour certaines données de ses clients.
On ne sait toujours pas qui est derrière cet incident, combien de données ont été volées, ni si les criminels veulent les revendre ou simplement les publier sur le dark web. Ferrari a simplement assuré avoir lancé une enquête.
L'avis de notre expert
La non-coopération avec les auteurs d’attaques de rançongiciels devient le plan d’action le plus populaire en réponse à ces types d’incidents. L’objectif étant d’éviter de financer des opérations criminelles ou de permettre aux gangs de mener de nouvelles attaques.
Demande de rançon pour la mairie de Lille
CONSEQUENCES : Beaucoup de ses services informatiques sont donc mis hors ligne, ce qui affecte le fonctionnement des services municipaux. La plateforme téléphonique de la ville est inaccessible jusqu'à nouvel ordre.
La mairie de Lille a publié le 1er mars 2023 au matin un communiqué indiquant avoir subi une "intrusion dans son système d'information" . Le service cybercriminalité de la police judiciaire s'est saisi de l'affaire et des mesures sont prises pour minimiser les conséquences de l'attaque.
La Mairie n'a communiqué ni sur l'origine ni sur l'ampleur de l'attentat, mais affirme faire le nécessaire pour ne pas être rançonnée et continuer à remplir sa mission de service public. Cette dernière déclare être dans une démarche de sécurisation et de protection de ses données.
La plupart des services au public sont perturbés, leur fonctionnement dépendant le plus souvent d'une infrastructure informatisée.
L'avis de notre expert
Prenez des mesures immédiates pour isoler les systèmes infectés, d’alerter les autorités locales et les agences fédérales concernées, de communiquer avec les citoyens sur l’incident et les mesures prises pour y remédier, et de renforcer la sécurité informatique pour prévenir les futures attaques.
Encore un CHU touché : le CHU de Brest
« Le jeudi 9 mars à 20h33, le CHU de Brest a fait l’objet d’une intrusion dans son système d’information. L’analyse du processus d’attaque a montré que des serveurs ont été impactés », indique le Centre hospitalier régional universitaire (CHRU) de Brest dans un communiqué.
Dès que cette cyberattaque a été signalée, le CHU a mis en place les mesures de précaution nécessaires et un mode de fonctionnement dégradé a été mis en place pour assurer la poursuite des activités. Le système d’information Internet a ainsi été isolé afin de limiter la propagation de l’attaque et toutes les communications du CHRU avec l’extérieur (prise de rendez-vous, envoi des résultats, liaisons avec les autres établissements, etc.) sont donc perturbées.
Mais « les urgences sont assurées», souligne l’hôpital, joignable par téléphone au numéro habituel. A ce stade, aucune fuite de données de santé n’a été identifiée. « Aucune donnée n’est compromise en interne », ajoute l’établissement, qui a porté plainte auprès de la police.
TYPE D’ATTAQUE
cyberattaque
CONSEQUENCES
Serveurs impactés
L'avis de notre expert
En France, les établissements publics ne versent jamais de rançons car la loi le leur interdit. Pour améliorer la sécurité informatique, il est important de mettre en place des protocoles de sécurité clairs et rigoureux, de sensibiliser et former les employés à la sécurité informatique, de maintenir à jour les logiciels et les équipements, et d’effectuer régulièrement des tests de sécurité.
Le zoom cybersécurité du mois
La boîte noire du test d'intrusion
Les tests d'intrusion ou pentests vous permettent de comprendre les mesures de cybersécurité de votre organisation afin d’éviter les menaces de cybersécurité et, dans de nombreux cas, de rester en conformité.
Le cyber conseil
Au cours des deux dernières années, obtenir et utiliser des outils de ransomware est en effet devenu plus facile que jamais, avec un écosystème de fournisseurs criminels proposant Ransomware-as-a-Service. Les ransomwares continueront à se développer jusqu’à ce que la plupart des entreprises adoptent des outils avancés qui rendent d’autres techniques de cyberattaques plus rentables.
Comprendre la posture de cybersécurité de votre organisation devient chaque jour plus important. Alors, comment pouvez-vous savoir à quel point votre infrastructure informatique est réellement sécurisée ?
Les tests d’intrusion ou pentest sont un moyen d’avoir un aperçu de la sécurité de votre organisation : tenter d’infiltrer les systèmes physiques et cybernétiques de votre organisation autant que possible.
Un test boite noire est un service de test d’intrusion qui vise à trouver et exploiter les vulnérabilités d’un système en tant qu’étranger. L’expert en sécurité ne reçoit aucune information sur le système cible avant le test. Sauf pour l’URL cible et un accès similaire à un utilisateur final. Cela signifie que le testeur n’a pas accès au code source (autre que le code accessible au public), aux données internes, à la structure et à la conception de l’application avant le test.
Les bonnes pratiques de votre résilience informatique
Episode 3 : Le PRA
Qu’est-ce qu’un PRA en informatique ?
Un plan de reprise d’activité ou PRA informatique est un document stratégique et systématique que les entreprises utilisent pour se remettre de tout type de sinistre informatique, qu'il soit accidentel, naturel ou malveillant et remettre en route leur système d’information. Il comprend un processus étape par étape pour se remettre en ligne et des stratégies de récupération pour la planification de la continuité des activités.
Pourquoi mettre en place un PRA ?
Aucune entreprise ne peut se permettre d’être hors ligne pendant des jours dans l’environnement numérique d’aujourd’hui. Même les magasins de détail traditionnels souffriraient d’une panne de courant, d’une violation de données ou d’une panne de logiciel pendant des jours.
Un PRA informatique est essentiel pour sécuriser vos systèmes informatiques en cas d’urgence et limiter les dommages à la poursuite de votre activité.
Il évite les pertes financières inutiles
améliore la productivité des membres de votre équipe lorsqu’ils en ont le plus besoin.
Les avantages d’un processus de reprise d’activité s’étendent cependant au-delà des urgences. Il est bénéfique pour les opérations commerciales quotidiennes et améliore votre compréhension de votre entreprise.
Que doit contenir un plan de reprise d’activité informatique ?
L’objectif principal de votre pra est de documenter formellement les informations critiques dont votre entreprise a besoin pour répondre à tout événement perturbateur et maintenir les opérations commerciales à un niveau minimum acceptable. En plus de ce rôle crucial de gestion d’entreprise, le plan doit également détailler toutes les autres actions de réponse aux incidents et de récupération jugées nécessaires.
Le plan doit fournir des instructions claires pour une réponse rapide sous la forme d’une séquence d’instructions. Ces instructions donnent à l’équipe d’intervention toutes les informations nécessaires pour réagir et récupérer. Les détails doivent inclure les responsabilités et l’autorité de chaque membre de l’équipe d’intervention. Le plan doit également donner accès à toutes les informations critiques nécessaires pour suivre les instructions.
