Cybercriminalité : avec le confinement, les attaques ont augmenté de 30 000 %

Pour l’année 2019, la cybercriminalité était estimée à plus de 600 milliards de dollars (en détournements de données, demandes de rançons, etc.), soit +25 % en 5 ans et 1% du PIB mondial détourné. Depuis le début de la crise du Covid-19, les experts, les gendarmes, les policiers, les plateformes - comme celle d' assisance aux victimes de cybermalveillance - alertent sur les risques d’une autre infection majeure : une cyber menace inédite par son ampleur, à la mesure de ce qui se passe sur l’ensemble de la planète qui ne tourne qu’autour de la pandémie de coronavirus. Ces autres attaques virales sont en passe de faire des dégâts irréversibles dans les semaines et les mois qui viennent.

Entretiens croisés avec deux experts français de sociétés privées de surveillance et de protection des données, parmi les leaders mondiaux du secteur : Didier Schreiber, directeur marketing chez Zscaler (4 000 clients dans le monde, 300 en France dont les deux tiers du CAC 40 et la surveillance de 150 data center dans le monde) et Sébastien Gest, analyste chez Vade Secure, société qui protège 600 millions de boîtes mails dans 76 pays.

FRANCE INTER : Le nombre de tentatives d’intrusion et donc d’attaques  début 2020 est phénoménal et elles ont trait au Covid-19. Pouvez-vous décrire ce phénomène ?

SÉBASTIEN GEST : "Une très large partie des menaces proviennent des Botnet (des serveurs informatiques pirates qui fonctionnent comme des robots). Ce sont eux qui lancent des attaques. Vous avez un ensemble de réseaux de serveurs dans le monde qui sont corrompus et qui envoient des millions et des millions de mails chaque jour… et même des centaines de millions. En fait, ce qu’on a vu, c’est que 100 % de la force de frappe des hackers, des groupes mafieux, ou de groupes para étatiques a été redirigée sur le Covid."

DIDIER SCHREIBER : "Notre métier, c’est d’analyser plus de 100 milliards de requêtes chaque jour (c’est dix fois plus que Google, par exemple), et sur ces 100 milliards, on analyse plus de 150 millions de menaces que l’on bloque chaque jour. Depuis janvier 2020, avec la crise du coronavirus, on a constaté une augmentation de plus de 30 000 % des attaques informatiques de type hameçonnage  (fishing en anglais), des logiciels malveillants (malwares), des sites malicieux qui ciblent des utilisateurs à distance. En janvier, on avait constaté 1200 attaques informatiques liées au Covid 19… et on en était à 380 000 cyberattaques début avril !"

Est-ce que les modes d’action ont évolué au fil des semaines ?

DS : "On sait que les cyber pirates ont utilisé la crainte, la peur des gens avec des sites web créés en quelques heures, de nouveaux noms de domaine, de fausses cartes interactives sur le nombre de cas infectés pays par pays, le nombre de morts... Ou encore de faux sites de vente de masques. Et ce sont des mails à chaque fois qui semblent venir de l’entreprise via les VPN, les réseaux privés virtuels que chaque société utilise pour ses salariés. On a l’impression de recevoir un mail de son service informatique avec un lien corrompu.  Ça peut venir en apparence d’une agence gouvernementale ou d’une collectivité locale que l’on connaît bien, qui peut parler des indemnités de chômage partiel ou encore de masques, proposer de faire un don pour un hôpital. En réalité, ce sera un fichier Word ou un PDF infecté par un malware pour récupérer des séquences de clavier et obtenir ainsi des mots de passe. Il y a aussi des codes malveillants que l’on appelle des "codes java script" sur des vrais sites d’e-commerce dans la grande distribution, la pharmacie, etc. On le voit avec les petits commerces de proximité qui se sont mis à créer des sites pour pouvoir vendre en ligne et pouvoir livrer à domicile, et qui peuvent ne pas être assez sécurisés. Les pirates se "collent" sur le site et injectent du code malveillant pour récupérer par exemple des données bancaires au moment de la validation du panier." 

SG : "On a des nouveaux scénarios tous les jours ! On a l’exemple  du démarchage pour des produits naturels qui ne vous immunisent pas contre le virus mais dont on vous promet qu'ils vont limiter la contagion auprès de votre famille. On en voit passer beaucoup : des faux sites, bien sûr. On voit dans les pays anglo-saxons tout ce qui va être survivalisme et complots, où l’on va vous vendre un pseudo kit de survie. Il y a un même mail qu’on a dû bloquer 160 000 fois ! C’était totalement délirant et ça fait flipper les gens, mais ça marche. On a bien des gens qui ont bu de l’eau de javel après avoir entendu Donald Trump dire qu’il fallait en boire…"

Par contre, il y a moins de demande de rançons...

SG : "À part pour certains hôpitaux ou institutions qui ont des finances solides, vous n’avez pratiquement plus de ransomware comme on en avait dans un passé récent. Tout simplement parce que les sociétés sont fermées. On pourrait se dire : 'pourquoi les particuliers ne sont pas rançonnés eux-mêmes ?' En fait, il y a une logique économique : il n’y a aucun intérêt à aller bloquer un salarié chez lui d’une entreprise X ou Y parce que tout simplement vous allez bloquer cette personne et ça ne va rien donner. On a constaté beaucoup d’attaques de spearfishing (attaque par hameçonnage ciblée), par exemple des attaques via de fausses cartes où l’on vous montre des graphiques sur l’avancée du Covid dans le monde, graphiques totalement vérolés. Beaucoup d’applications aussi sont vérolées. Mais en général, il ne se passe rien dans l’instant, ni même à court terme. Qu’est-ce que l’on voit derrière ? Que ce sont des malwares qui sont envoyés pour rester silencieux dans des machines sans protection, souvent obsolètes. Et ces malwares vont rester là. Et je pense qu’on aura l’effet en fin d’année au moment de la fin du confinement : on va voir des attaques d’entreprises qui vont apparaître, les salariés se seront fait happer leur mot de passe directement. On aura une deuxième vague, mais en cyber. On voit certaines attaques qui sont très préparées… et qui ne sont pas là pour rien." 

DS : "Je pense que même si la crise sanitaire se termine dans les prochains mois, la menace cyber persistera, ne serait-ce que parce qu’il y aura toujours plus de télétravail qu’avant la crise. Ça restera dans les mœurs. Le nombre d’appareils connectés, parents et enfants, ne cessera d’augmenter avec un usage du même appareil par différents membres d’un même foyer et donc autant de risques de contaminations possibles. Il y a un risque énorme de porosité entre l’usage personnel et professionnel. Imaginez avec le nombre d’appareils (ordinateur, tablette, smartphone) qui peuvent être infectés par des codes  malveillants dormants. Demain, les collaborateurs reviendront dans l’entreprise et vont injecter du code malveillant. On peut se retrouver comme il y a quelques années avec des cyber infections majeures de type Wannacry ou NetPetya qui attaquaient de manière verticale l’ensemble des réseaux d’une entreprise."

SG : "L’ANSSI, l’agence nationale de sécurité des systèmes d’information a révélé au début de l’année qu’une entreprise TPE / PME sur deux a été la cible d’une fraude au président en 2019… C’est vraiment énorme. Ce que l’on voit également par rapport à la même période l’année dernière, c’est qu’il y a eu à ce jour 19% de fuites de données en plus dans la nature. On n’en est donc plus à se dire 'est-ce que mes données sont dans la nature', mais plutôt 'combien de fois mes données sont-elles parties dans la nature'..."