Cybermenace en France, le vrai du faux & rappel

Panorama de la cybermenace 2024 : la France sous pression constante

https://www.alliancy.fr/panorama-de-la-cybermenace-2024-la-france-sous-pression-constante?utm_source=Email&utm_medium=Newsletter&utm_campaign=NewsletterAlliancy&utm_content=20250314

Le 11 mars 2025 

En 2024, la France a été confrontée à une cybermenace croissante, marquée par une augmentation importante des incidents de sécurité. L’Anssi tire la sonnette d’alarme, appelant à maintenir une vigilance constante face aux attaques cybercriminelles et à l’espionnage provenant d’acteurs étatiques étrangers. 

Avec 4 386 événements de sécurité traités en 2024, l’Anssi constate une hausse significative de 15 % par rapport à l’année précédente. Parmi ces incidents, les attaques par rançongiciels restent particulièrement préoccupantes, ciblant en majorité les PME/TPE/ETI (37 %), les collectivités territoriales (17 %) et les établissements d’enseignement supérieur (12 %). Ces attaques ont des conséquences majeures, affectant gravement la réputation et la continuité d’activité des victimes. L’année a également été marquée par une forte augmentation des attaques à but de déstabilisation menées par des groupes hacktivistes, notamment par des attaques par déni de service (DDoS) qui ont doublé par rapport à 2023. Bien que ces actions restent de faible technicité, leur visibilité accrue et la tendance à cibler des installations industrielles de petite taille illustrent une évolution inquiétante vers des logiques de sabotage. 

Menace persistante d’espionnage étranger

Cependant, c’est la menace persistante d’espionnage qui a le plus mobilisé les équipes de l’Anssi. Les attaquants liés à la Russie poursuivent leurs activités principalement dans le but de recueillir des renseignements stratégiques pouvant soutenir leurs ambitions diplomatiques et militaires. Parallèlement, l’espionnage associé aux intérêts chinois s’est intensifié, ciblant particulièrement les secteurs économiques stratégiques et les opérateurs de télécommunications français. Malgré ces défis importants, la France a démontré sa capacité à assurer sa cyber-résilience lors des Jeux olympiques et paralympiques de Paris 2024. Aucune attaque significative n’a perturbé cet événement majeur grâce à une mobilisation exemplaire des acteurs français de la cybersécurité. 

Ne pas se reposer sur ses lauriers

L’Anssi insiste néanmoins sur la nécessité urgente pour les organisations de renforcer la sécurité de leurs systèmes d’information, notamment en appliquant systématiquement les correctifs de sécurité pour réduire leur surface d’attaque. En parallèle, l’Agence souligne l’importance de consolider l’écosystème cyber français, notamment par le développement des centres de réponse aux incidents (CSIRT) et en renforçant la coopération internationale pour lutter efficacement contre les cybercriminels. Selon Vincent Strubel, directeur de l’Anssi si l’année 2024 a permis de démontrer l’efficacité du dispositif cyber français, elle invite aussi à redoubler de vigilance : « Il serait malavisé de faire dans l’excès de confiance et de se reposer sur nos lauriers à l’heure où l’intensification des conflits impose une vigilance constante de la part de tous les acteurs français ». Le message est clair : face à une menace omniprésente, la mobilisation doit rester entière. 

https://www.alliancy.fr/le-senat-adopte-une-loi-ambitieuse-pour-renforcer-la-cybersecurite-nationale?utm_source=Email&utm_medium=Newsletter&utm_campaign=NewsletterAlliancy&utm_content=20250314

Cyberattaque : plus gros coup de filet « jamais réalisé » par Europol contre des logiciels malveillants

Le 30 mai 2024

https://www.latribune.fr/economie/international/cyberattaque-plus-gros-coup-de-filet-jamais-realise-par-europol-contre-des-logiciels-malveillants-998689.html?xtor=EPR-2-[l-actu-du-jour]-20240530&M_BT=6363555962

Quatre personnes ont été arrêtées et plus de 100 serveurs mis hors ligne lors de « la plus grande opération jamais réalisée » contre des logiciels malveillants, a annoncé Europol ce jeudi. Baptisés « droppers », ils jouent un rôle majeur dans le déploiement de rançongiciels. Les autorités européennes veulent les fragiliser, notamment à l'approche des JO de Paris où les cyberattaques sont attendues à la hausse.

Outre les quatre interpellations, huit individus liés à ces activités criminelles vont être ajoutés à la liste des personnes les plus recherchées d’Europe.

C'est un coup de filet d'ampleur que vient de mener l'agence européenne de police criminelle, dans sa lutte contre les logiciels malveillants. Mené entre les 27 et 29 mai, il a donné lieu à quatre interpellations, effectuées en Arménie et en Ukraine. Près d'une vingtaine de perquisitions ont eu lieu dans ces deux pays, ainsi qu'au Portugal et au Pays-Bas. Et plus de 100 serveurs ont été saisis dans différents pays européens, aux États-Unis et au Canada. Baptisée « Endgame », cette opération internationale a eu « un impact mondial sur l'écosystème des "droppers" », assure Europol.

Les droppers « permettent aux criminels de contourner les mesures de sécurité et de déployer des programmes nuisibles. Eux-mêmes ne causent généralement pas de dommages directs, mais sont cruciaux pour accéder et mettre en œuvre des logiciels nuisibles sur les systèmes concernés. Tous sont désormais utilisés pour déployer des rançongiciels et sont considérés comme la principale menace dans la chaîne d'infection », a ajouté l'agence.

Ces « droppers » sont généralement installés via des mails, contenant des liens infectés ou des pièces jointes Word et PDF, pour accéder aux données personnelles et aux comptes bancaires des utilisateurs d'ordinateurs, a expliqué l'agence judiciaire européenne, Eurojust.

Outre les quatre interpellations, huit individus liés à ces activités criminelles vont être ajoutés à la liste des personnes les plus recherchées d'Europe.

Les autorités françaises sur le pont

Les autorités ont visé en premier lieu les groupements à l'origine des six familles de logiciels malveillants : IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot et Trickbot. Ces « droppers » sont associés à au moins 15 groupements de rançongiciels, ont précisé dans un communiqué conjoint l'Office fédéral de police criminelle allemand et le parquet de Francfort. Selon l'enquête, ouverte en 2022, l'un des principaux suspects a gagné au moins 69 millions d'euros en crypto-monnaie en louant une infrastructure criminelle pour le déploiement de rançongiciels, a précisé Eurojust.

Les enquêteurs français ont joué un rôle crucial dans l'opération « Endgame ». Ils ont identifié l'administrateur de « SystemBC », cartographié les infrastructures liées au « dropper », et coordonné le démantèlement de dizaines de serveurs de contrôle, a indiqué ce jeudi la procureure de la République de Paris, Laure Beccuau, dans un communiqué. SystemBC facilitait la communication anonyme entre un système infecté et des serveurs de commande et de contrôle, a précisé Europol. Ils ont aussi identifié l'administrateur de Pikabot, « dropper » qui permettait le déploiement de rançongiciels, la prise de contrôle d'ordinateurs à distance et le vol de données. Elles ont procédé à son interpellation et à une perquisition de son domicile, en Ukraine, avec le concours des autorités ukrainiennes, a précisé la procureure.

Les enquêteurs français ont également identifié l'un des acteurs principaux de « Bumblebee », procédé à son audition en Arménie, ainsi qu'à des opérations de perquisition. Bumblebee, distribué principalement via des campagnes de phishing ou des sites web compromis, a été conçu pour permettre le déploiement et l'exécution d'autres attaques.

Quant à « Trickbot », il a été utilisé notamment pour rançonner des hôpitaux et centres de santé aux États-Unis pendant la pandémie de Covid-19.

Des millions de victimes

Ce sont principalement des entreprises, autorités et institutions nationales qui ont été victimes de ces « systèmes malveillants » démantelés, a précisé Eurojust. Elles ont, d'après la police néerlandaise, subi des dommages s'élevant à des « centaines de millions d'euros ».

« Des millions de particuliers ont également été victimes parce que leurs systèmes ont été infectés, ce qui les a intégrés » à ces logiciels malveillants, a précisé la police néerlandaise dans un communiqué.

Ce n'est qu'après l'analyse des serveurs démantelés que les autorités pourront donner une estimation du nombre de victimes, a toutefois indiqué Nicolas Guidoux, le chef de l'Office anti-cybercriminalité de la police judiciaire (Ofac), qui a coordonné l'opération côté français. Elles devraient se compter en centaines de milliers selon lui.

Agir avant les JO de Paris

Le timing de ce coup de filet ne doit rien au hasard. « Cette opération, on voulait la faire avant les Jeux olympiques » de Paris, cet été, a déclaré à l'AFP le chef de l'Ofac. « C'est important de fragiliser les infrastructures attaquantes, de limiter leurs moyens », avant cet évènement mondial, a relevé Nicolas Guidoux.

D'autant plus que les autorités craignent de nombreuses cyberattaques pendant la période de cette grande messe sportive, qui se déroulera du 26 juillet au 11 août dans l'Hexagone. La menace cyber va y être multipliée par dix, selon le Comité d'organisation des Jeux olympiques (Cojo). Et personne ne sera épargné : déjà réelles pour les collectivités, les établissements de santé et les grands événements sportifs, les attaques, toujours plus sophistiquées, peuvent viser le grand public tout comme les entreprises et leurs dirigeants.

En attendant, l'opération « Endgame » se poursuit et d'autres arrestations sont attendues, a prévenu Europol.

(Avec AFP)

Rappel

http://competitiviteinfrance.overblog.com/2022/02/tehtris-la-parade-assuree.html

A retenir

https://www.european-cyber-week.eu/

The Sovereign Cyber & Defence AI forum

SAVE THE DATE - 10E EDITION !
17 - 20 novembre 2025
Rennes-France