ANSSI France : la tendance des cybermenaces s'est confirmée en 2022
ANSSI France a dévoilé son « Panorama de la cybermenace 2022 ». L’Agence nationale de la sécurité des systèmes d’information résume dans ce document les grandes tendances en cybersécurité qui ont rythmé 2022. Il en ressort que la menace informatique n’a pas connu d’évolution majeure, les tendances identifiées en 2021 s’étant confirmées en 2022, malgré une année marquée par le conflit russo-ukrainien et ses effets dans le cyberespace.
Des faiblesses persistantes sans cesse exploitées
Les usages numériques non maîtrisés et les faiblesses dans la sécurisation des données continuent d’offrir de trop nombreuses opportunités aux attaquants. Le recours au cloud et l’externalisation de services auprès d’entreprises de services numériques, lorsqu’ils ne s’accompagnent pas de clauses de cybersécurité adaptées, représentent une menace sérieuse.
Bien que le nombre d’attaques ciblant la chaîne d’approvisionnement ou supply chain en 2022 ait quelque peu baissé, cette tendance reste forte et souligne un risque systémique.
Enfin, les correctifs sur les vulnérabilités découvertes ne sont pas suffisamment appliqués à temps par les organisations, laissant alors le champ libre aux attaquants pour les exploiter.
Les cyber attaquants bien outillés, performants et opportunistes
Une chose est sûre, les attaquants sont opportunistes et n’hésitent pas à utiliser ces failles rapidement. En tête des vulnérabilités, on retrouve celles liées à Exchange, notamment ProxyShell. La plus utilisée est la CVE-2021-34473 et disposant d’un score de gravité de 9.1. La persistance de la faille Log4Shell ou CVE-2021-44228 est à souligner en se plaçant en seconde position du classement. En troisième place, la faille critique dans Atlassian Confluence a été particulièrement appréciée des pirates. A l’été 2022, des chercheurs d’Akamai avaient observé 20 000 tentatives d'exploitation par jour après le signalement de la vulnérabilité CVE-2022-26134.
Les pirates explorent d’autres horizons pour améliorer leurs techniques d’attaques. La virtualisation est un terrain de jeu reconnaît l’ANSSI avec un intérêt particulier pour les environnements VMware, acteur dominant du marché. Plusieurs groupes ont élaboré des capacités de chiffrement ou des backdoors dans les serveurs ESxi de VMware. Dans ce cadre, l’agence a mis en place un outil dans GitHub nommé DFIR4vSphere, pour « collecter des journaux et des artéfacts sur un environnement vSphere à des fins d’analyse forensique ». Enfin, le phénomène de cryptominage ne doit pas être négligé, car l’argent ainsi récolté sert aux pirates à acquérir des capacités offensives supplémentaires.
On observe aussi différents profils d’attaquants qui utilisent des outils et des techniques similaires. Cette porosité complexifie la caractérisation et l’imputation des activités malveillantes. Les attaquants étatiques s’inspirent des méthodes cybercriminelles et utilisent de plus en plus de rançongiciels à des fins de déstabilisation dans le cadre d’opérations de sabotage informatique. Le ciblage des attaquants évolue, cherchant désormais à obtenir des accès discrets et pérennes aux réseaux de leurs victimes avec la compromission d’équipements périphériques (pare-feu ou routeurs). Ce ciblage périphérique se retrouve également dans le type d’entités compromises et confirme l’intérêt des attaquants pour les prestataires, les fournisseurs, les sous-traitants, les organismes de tutelle et l’écosystème plus large de leurs cibles.
[Télécharger le Panorama de la cybermenace 2022]
La Rédaction d'Africa Cybersecurity Mag