2. Le CISA et le FBI mettent en garde contre les attaques par effacement de données
Le Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) ont publié un avertissement sous la forme d'un avis de cybersécurité conjoint¹¹.
Cet avertissement a été émis suite à la révélation de cyberattaques ciblant l'Ukraine, utilisant le logiciel malveillant HermeticWiper¹² et le faux ransomware, WhisperGate, dans le but de compromettre les appareils des organisations affectées.
Jusqu'à présent, les deux souches de logiciels malveillants n'ont été utilisées que contre des réseaux ukrainiens. Toutefois, selon les deux agences fédérales, "elles pourraient également toucher accidentellement d'autres cibles".
Afin de se protéger des attaques par effacement de données, nous recommandons les mesures suivantes :
- Configurer les programmes antivirus et antimalware pour effectuer des analyses régulières.
- Activer des filtres anti-spam puissants pour empêcher les courriels de phishing d'atteindre les utilisateurs finaux.
- Filtrer le trafic réseau.
- Mettre à jour les logiciels.
- Exiger une authentification multifactorielle (MFA).
3. Attaque du réseau satellitaire ViaSat
Les cyber-attaques russes font également des victimes en dehors de l'Ukraine. En ciblant le réseau de satellites "ViaSat", qui couvre l'Europe, dont l'Ukraine, elles ont coupé des centaines de milliers de personnes d'Internet¹³.
Le 17 mars, le gouvernement américain a mis en garde contre les menaces qui pèsent sur les réseaux de communication par satellite, par crainte que les récentes attaques contre les réseaux de satellites en Europe ne se propagent bientôt aux États-Unis. Dans un avis conjoint, le CISA et le FBI invitent les fournisseurs de réseaux de communication par satellite (SATCOM) et les organisations d'infrastructures critiques qui dépendent des réseaux satellitaires à renforcer leurs défenses de cybersécurité en raison d'une probabilité accrue de cyberattaque, avertissant qu'une intrusion réussie pourrait créer un risque dans les environnements de leurs clients¹⁴.
La Russie crée une nouvelle autorité étatique de certification TLS pour faire face aux sanctions
Le gouvernement russe a poussé sa propre autorité de certification TLS à résoudre les problèmes d'accès aux sites web qui se sont accumulés à la suite des sanctions imposées par l'Occident.
Le ministère russe du développement numérique devrait fournir un substitut national pour gérer l'émission et le renouvellement des certificats TLS en cas de révocation ou d'expiration¹⁵.
Toutes les entités juridiques opérant en Russie pourraient bénéficier de ce service, les certificats étant délivrés aux propriétaires de sites sur demande dans un délai de 5 jours ouvrables.
Cette proposition intervient alors que les entreprises et les gouvernements occidentaux ont imposé des sanctions qui empêchent les organisations comme DigiCert d’opérer en Russie¹⁶.
Les certificats TLS sont utilisés pour lier numériquement une clé cryptographique aux coordonnées d'une organisation, ce qui permet aux navigateurs web de confirmer l'authenticité du domaine et de garantir que la communication entre un ordinateur client et le site web cible est sécurisée.
Cependant, les navigateurs web tels que Google Chrome, Microsoft Edge, Mozilla Firefox et Apple Safari, n’ont pas clairement indiqué l'intention d'accepter les certificats délivrés par la nouvelle autorité de certification russe afin que les connexions sécurisées aux serveurs certifiés puissent fonctionner comme prévu¹⁷.
Conclusion
Le conflit, combiné à l'utilisation des cyber-attaques comme arme de guerre, présente des risques importants pour que les entreprises, au-delà de l'Ukraine, soient confrontées à de graves impacts, notamment lorsqu’elles sont établies dans des pays ayant imposé des sanctions à la Russie. En effet, d'autres attaques russes sont à prévoir, bien qu'il y ait un haut degré d'incertitude quant au moment et à la portée de ces actions.
- La Russie pourrait exécuter des attaques via des compromissions de la chaîne d'approvisionnement, comme avec NotPetya en 2017 et SolarWinds en 2020, ou en exploitant des vulnérabilités connues (par exemple, Log4j) ou encore inconnues.
- Comme l'a montré l'attaque contre ViaSat, des impacts directs ou indirects peuvent être ressentis par des organisations hors de l'Ukraine, conduisant à la perturbation des services publics, de la logistique, des télécommunications ou d'autres fournisseurs de services.
- Les groupes criminels basés en Russie pourraient également multiplier les attaques par ransomware contre les organisations occidentales dans tous les secteurs, y compris contre des infrastructures critiques (par exemple, les hôpitaux, le pétrole et le gaz, etc.).
S’il est encore peu probable que les entreprises non-Ukrainiennes soient intentionnellement visées, il est possible qu’elles fassent partie des dommages collatéraux suite à des cyberattaques disruptives massives (comme ce fut le cas avec CrashOverride en 2016 par exemple) visant à appuyer les actions militaires en perturbant la société civile (perturbation des services gouvernementaux, des transports publics, des services financiers etc.)
Recommandations
Dans ce contexte, l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) recommande de mettre en œuvre les mesures de sécurité suivantes¹⁸ :
- Renforcer l’authentification sur les systèmes d’information.
- Sauvegarder les données et applications critiques hors ligne.
- Etablir une liste hiérarchisée des services numériques critiques de l’entité.
- S’assurer de l’existence d’un système de gestion de crise adapté à une potentielle cyberattaque.
Pour compléter, nous recommandons aux organisations de renforcer de manière proactive leurs défenses et de se préparer à des attaques potentiellement perturbatrices et destructrices, en se concentrant sur les points suivants :
- Restrictions des accès à distance aux systèmes d’information de l’organisation.
- Renforcement de la sécurité et surveillance des comptes, notamment des comptes à privilèges.
- Renforcement de la sécurité des méthodes d’authentification (identifiants et mot de passe).
- Restriction des mouvements latéraux.
- Durcissement de la configuration des terminaux.
- Protection de l'infrastructure de virtualisation.
- Restrictions du trafic de sortie.
- Segmentation des réseaux IT et OT.
- Définition d’un plan de continuité d’activité et d’un plan de reprise d’activité.
- Réalisation d’exercices de crise et threat hunting.
Pour les utilisateurs, il est recommandé de :
- Vérifier les paramètres de sécurité de ses comptes (e-mail et réseaux sociaux).
- Vérifier les informations publiées sur les réseaux sociaux, surtout celles encourageant un passage à l’action.
- Effectuer des copies de ses données importantes et les sauvegarder sur différents supports.
- Se renseigner régulièrement sur les cyberattaques en cours et appliquer les recommandations correspondantes.