Certains groupes de hackers pourraient relâcher la pression
En ces temps de pandémie mondiale, les hackers envisagent toutes les possibilités pour semer la panique et se faire de l'argent. Nous décrypterons ici leurs méthodes et verrons s'ils pourraient relâcher la pression.
Les hackers — ces individus à part qui, métier oblige, choisissent d’exploiter le coronavirus à leur avantage. Navrant, mais est-ce vraiment surprenant ? Pas pour nous.
Partant de là, les hackers envisagent toutes les possibilités pour semer la panique et se faire de l’argent. Voici trois de leurs méthodes.
Cible no 1 : le secteur de la santé
L’une des premières et plus inquiétantes charges a été lancée contre le ministère américain de la Santé et des Services sociaux. Dans cette offensive, la campagne de désorganisation et de désinformation qui aurait été menée aurait cherché à affaiblir la riposte à la pandémie de coronavirus. Ces manœuvres pourraient être le fait de forces étrangères, sans que cela ait été confirmé. En France, c’est notamment l'assistance publique-Hôpitaux de Paris (AP-HP) qui a subi une cyberattaque.
Selon une étude d’Atlas VPN, 83 % des systèmes de santé s’exécutent sur des logiciels obsolètes. Le cabinet fonde ses conclusions sur une enquête de Palo Alto Networks qui estime à 1,2 million le nombre d’appareils IoT (Internet des Objets) utilisés dans des milliers d’établissements de santé aux États-Unis. D’après cette enquête, 56 % des appareils tournaient toujours sous Windows 7 — système d’exploitation que Microsoft ne prend plus en charge depuis janvier de cette année. Pire, l’étude révèle également que 27 % des dispositifs médicaux continuent à fonctionner sous Windows XP que Microsoft ne supporte plus depuis avril 2014. On parle bien de la santé là, ce qui est très préoccupant.
De plus, avec le Covid-19, les hôpitaux n’ont jamais eu autant besoin d’appareils de surveillance qu’aujourd’hui. D’après cette même étude, un appareil de ce type sur quatre comporterait des problèmes de sécurité. Pour Atlas VPN, tout porte à croire que la santé sera tout particulièrement dans le viseur des cybercriminels en 2020.
Cible no 2 : tout destinataire d’e-mail
Derrière les e-mails d’hameçonnage, on a généralement des personnes qui cherchent à faire main basse sur des mots de passe et des données personnelles… quand il ne s’agit pas de cyberespions opérant pour le compte d’États-nations.
Comme l’indiquait le magazine WIRED dans son article Coronavirus Sets the Stage for Hacking Mayhem (« Le coronavirus prépare le terrain d’un tsunami pour la cybersécurité »), les sites Web d’hameçonnage et d’arnaque autour de la pandémie explosent sur le Web. D’après certains rapports, chaque journée voit apparaître plusieurs milliers de nouveaux domaines. Pire encore, « certains réseaux wifi domestiques ne disposent pas des mêmes défenses (pare-feu, surveillance et détection des anomalies) que les environnements d’entreprise. Et le fait que certains VPN leaders comportent des vulnérabilités majeures que les entreprises ne prennent pas toujours le temps de corriger n’est pas pour aider ».
Si c’est trop beau pour être vrai, ne tombez pas dans le panneau ! Lorsque vous recevez un e-mail dans lequel l’expéditeur vous demande de l’argent ou d’effectuer une action urgente, prenez le temps de vérifier la légitimité de la demande. Certains signes doivent vous alerter, comme un intitulé vague dans l’objet du message, une grammaire approximative, un manque de personnalisation, etc.
Certaines entreprises pourraient profiter de la période pour investir dans une solution de sécurité pour messagerie. Avec des e-mails signés numériquement et chiffrés S/MIME, vous offrez à vos collaborateurs le moyen idéal de distinguer une tentative d’hameçonnage d’un e-mail légitime.
Cible no 3 : utilisateurs d’Android
Une nouvelle application Android prétend fournir aux utilisateurs un accès à une carte de traçage du coronavirus. Alors qu’il pense télécharger l’application, l’utilisateur télécharge en fait un rançongiciel.
C’est une équipe de chercheurs de DomainTools qui a découvert l’application malveillante. Judicieusement baptisée Covid Lock, l’application invite les utilisateurs à télécharger une carte de suivi en temps réel du coronavirus. Contraints ensuite de changer leur mot de passe, les utilisateurs se retrouvent alors dans l’impossibilité d’accéder à leur smartphone. Les attaquants, qui utilisent une technique de verrouillage d’écran, exigent ensuite le paiement d’une rançon de 100 dollars US en bitcoins pour débloquer le téléphone.
Pour l’équipe de recherche de DomainTools citée dans l’article de Forbes, « le domaine du site coronavirusapp[.] contenait initialement un iframe provenant directement de infection2020.com (le site Web d’un développeur indépendant qui suivait l’actualité des États-Unis sur le Covid-19) surmonté d’une petite bannière invitant à installer l’application malveillante ».
L’article poursuit en invitant les utilisateurs Android à télécharger leurs applications uniquement sur l’Android Play Store, celui-ci faisant actuellement l’objet d’un nettoyage afin de garantir l’absence d’applications malveillantes. Autre conseil : ne pas cliquer sur les liens ni ouvrir de pièces jointes Covid-19 sans être ABSOLUMENT certain de la légitimité de la source.
Signe encourageant : certains hackers pourraient lever le pied pendant la pandémie
En dépit d’une actualité particulièrement sombre, une lueur d’espoir pourrait poindre sur le front des cyberattaques.
La semaine dernière, le créateur et propriétaire du site BleepingComputer, Lawrence Abrams, a contacté des groupes de rançonneurs bien connus pour connaître leur point de vue sur le coronavirus. Il leur a posé cette question à un million de dollars : « Allez-vous continuer à cibler les établissements de santé et de soins pendant la pandémie du Covid-19 ? » Dans la matinée du jeudi 19 mars, deux avaient déjà répondu à Abrams. L’un des cyberassaillants derrière le rançongiciel DoppelPaymer lui a ainsi déclaré « essayer d’éviter de s’en prendre aux hôpitaux et maisons de retraite ». En ce qui concerne les attaques contre des cibles gouvernementales, ils « épargnent les urgences » (du moins c’est ce qu’ils affirment). Mais le pirate a également précisé que les communications d’urgence étaient parfois touchées à cause de mauvaises configurations du réseau.
Second groupe contacté par Abrams, le groupe de hackers derrière la menace rançongiciel Maze. Ce groupe a indiqué qu’il suspendrait ses attaques contre des établissements médicaux jusqu’à ce que « la situation liée au coronavirus soit stabilisée ».
Naturellement, d’autres groupes de pirates poursuivront leurs sombres desseins et sèmeront la panique partout dans le monde. Il est toutefois réconfortant de savoir que, quelque part, certains pirates informatiques semblent avoir un cœur. Peut-être aiment-ils assez leurs grands-mères pour faire une pause. Du moins pour un petit moment.