![[Rumeur]Xiaomi : avènement du Xiaomi 13 Ultra le 17 Avril 2023, à partir de 13 heures ! (heure d’été française…)](https://blog.sosordi.net/wp-content/uploads/2023/03/xiaomi_xiaomi-13-ultra-330x180.jpg?x90172 "[Rumeur]Xiaomi : avènement du Xiaomi 13 Ultra le 17 Avril 2023, à partir de 13 heures ! (heure d’été française…)")
![[A venir !] Xiaomi : avènement du Redmi Note 12 Turbo, le 28 Mars 2023, à partir de 13 heures ! (heure d’été française…)](https://blog.sosordi.net/wp-content/uploads/2023/03/xiaomi_redmi-note-12-turbo_01-330x180.jpg?x90172 "[A venir !] Xiaomi : avènement du Redmi Note 12 Turbo, le 28 Mars 2023, à partir de 13 heures ! (heure d’été française…)")
![[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)](https://blog.sosordi.net/wp-content/uploads/2023/03/royaume-uni_lockdown-files_covid19_01-330x180.jpg?x90172 "[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)")
![[Le récap’ !][MAJ 23 / 03]Smartphones, montre, écouteurs, tablettes… Huawei prépare son offensive technologique, le 23 Mars 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/huawei_p60-series-330x180.jpg?x90172 "[Le récap’ !][MAJ 23 / 03]Smartphones, montre, écouteurs, tablettes… Huawei prépare son offensive technologique, le 23 Mars 2023 !")
![[MAJ 22 / 03]”Un service d’IA conversationnel expérimental, propulsé par LaMDA” : Google dégaine sa solution sous Intelligence Artificielle nommée Bard !](https://blog.sosordi.net/wp-content/uploads/2023/02/google_bard-330x180.jpg?x90172 "[MAJ 22 / 03]”Un service d’IA conversationnel expérimental, propulsé par LaMDA” : Google dégaine sa solution sous Intelligence Artificielle nommée Bard !")
![[A venir !]Google I / O 2023 : les annonces de l’éditeur, le 10 Mai 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/google_google-i-o-2023-330x180.jpg?x90172 "[A venir !]Google I / O 2023 : les annonces de l’éditeur, le 10 Mai 2023 !")
36.png){kind=small}
Tags populaires
0
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) vient de délivrer, depuis le 24 Janvier 2023, ses conclusions quant aux cyber-menaces survenues dans l’année 2022 : méthodologies, évolutions, tendances… survol du “panorama” sécuritaire, en matière de cyber-attaques et d’exploits, selon les retours-signalements rapportés à l’agence nationale.
XxX Points-clé (récap’) XxX
- 831 “intrusions” courant 2022, contre 1 082, pour l’année 2021 ;
- Baisse des cyber-attaque par ransomware, de manière relative : déportation des cibles (hors hôpitaux, pas de ciblage par les cyber-attaquants, en général, sur les institutions vitales et / ou publiques) vers des infrastructures plus petites et, surtout, moins préparés à affronter ce type de cyber-attaque ;
- Cyber-attaque non-frontale, indirecte, depuis des outils ou des ressources en périphérie de l’objectif principal (final) : par exemple, atteindre des sous-traitants ou des fournisseurs avant d’en venir à une personne ou un service spécifique ;
- Détection des menaces virales plus difficiles pour les variations de code originel ;
- Cyber-attaque à dessein financier en tendance montante ou chronique, pour 2022, avec les cyber-attaques par ransomwares plus nombreuses, depuis l’été 2022, notamment pour le secteur de la Santé, en “collectivités territoriales“. En tendance égale par rapport à 2021 mais au même dessein, demeurent : le crypto-minage, la vente de programmes ou d’accès-identifiants sur demande ;
- Cyber-espionnage : tendance 2021 maintenue avec des “modes opératoires associés en source ouverte à la Chine“. Le conflit entre la Russie et l’Ukraine a engendré de multiples cyber-attaques sur le globe dont des cyber-attaques par DoS, des ex-filtrations de données, du défacement de site Web, entre-autres, en Europe et en Amérique du Nord ;
- Cloud-computing et externalisation de services ou de ressources : vecteur important (constant) pour une cyber-attaque éventuelle ;
- Mises à jours et correctifs : parmi les cas de cyber-attaques, beaucoup encore reposent sur des systèmes n’ayant pas appliqué ces patchs sécuritaires.
XxX Chiffres des impacts relatives aux cyber-attaque par ransomware (2022) XxX
- PME, TPE, ETI : 40 % ;
- Etablissement de santé public : 10 % ;
- Etablissement d’enseignement supérieur : 8 % ;
- Collectivités territoriales, locales : 23 % de remontés (signalements) auprès de l’ANSSI.
- Cumul des cyber-attaques pour 2022 : 109, contre 203 pour 2021 ;
- Logiciel de ransomware le plus exploité : LockBit suivi de Hive (contre, pour l’année 2021, Ryuk, suivi, à égalité, de Conti et de Sodinokibi).
XxX En détails XxX
Exploits et ressources-outils
- Ressources et connaissances des cyber-attaquants : continuité d’un panachage d’outils “traditionnels” et de méthodes adaptées au Web actuel, pour optimiser l’impact de la cyber-attaque (exploitation des outils sous open-source, par exemple) ;
- Ciblage de ressources ou d’équipements en périphérie : pare-feu, routeurs, RAT (Remote Administration Tool) pour préparer la viralité et le ciblage final tout en ayant une mentalité, post-viralité de recyclage de ces ressources ou de ces équipements pour parfaire la cyber-attaque, notamment en terme d’anonymisation de l’infection, en mode sous-marin ou pour effectuer en toute discrétion du monitoring (veille), via des serveurs command-and-control, par exemple ;
- Entreprises privées spécialisées dans la (re)vente de solutions sécuritaires pour collecter des données (spyware, dans le cadre légal-commercial : Pegasus de NSO Group, Hermit de RCS Lab) toujours en activité constante.
Mobile, leitmotiv
Cyber-attaques à finalité financière (ransomware, crypto-minage…)
- Début 2022 (et, dès fin 2022) : baisse notable des cyber-attaques par ransomware (Europe dont France) : en-dessous de 46 % (en comparaison à la période similaire, début 2021), du fait, probablement, du conflit entre l’Ukraine et la Russie qui a du faire revoir certaines stratégies pour les cyber-attaquants (dont, peut-être Conti, qui était, alors très actif), en plus de pays comme les Etats-Unis qui pratiquent une politique de fermeté dans le domaine, entre-autre, sécuritaire ;
- Remplacement des cibles à thématiques fiscales (site de l’Impôt, par exemple) en faveur des cibles à teneur sanitaires, sur l’Internet (Mon Espace Santé, notamment) ;
- Remplacement de certaines charges virales (Dridex, TrickBot…) au profit d’autres (QakBot, Emotet…).
Cyber-attaques à finalité de cyber-espionnage
- 19 “opérations de cyber-défense” dont 9 intégrant de nouveaux modus operandi en relation avec la Chine ;
- Cyber-attaque par domino (supply chain), depuis les partenaires jusqu’aux filiales pour cibler l’objectif final. Une mentalité qui devrait durer tout du long de l’année 2022, à la faveur du conflit Russie-Ukraine.
Adaptabilité à l’environnement sécuritaire : actualisation des outils et des vecteurs de cyber-attaque
- Priorisation des outils et des ressources versant dans la virtualisation pour déployer des portes dérobées (VirtualPita, VirtualPie – failles Mandiant, sous VMWare) depuis les hyperviseurs avec, en finalité, un déploiement de ransomware ;
- Priorisation des outils et des ressources versant dans le Cloud et / ou le cloud-computing pour contribuer à instiller une charge virale ou pour procéder, entre-autre, à du cryto-minage ;
- Connexion SSO (Single Sign-On) : cyber-attaque latérale ou fonctionnalité exploitée pour s’introduire dans un système ou un site Web, par contournement de l’authentification (simple ou multi-facteur). Couplée avec une aspiration de cookies (stealers), une cyber-attaque ex-filtrant les identifiants depuis une box SSO permet d’élargir la teneur de ces données avec un profil voire une base complète (Okta, via Sitel et Sykes – cyber-groupe Lapsus$) ;
- Divulgation, publication de données sur l’Internet : en bout de chaîne (dans le cadre d’un ransomware, alors que le paiement n’a pas été versé aux cyber-attaquants, par exemple), celle-ci permet de poursuivre le dessein insécuritaire pour une campagne de (spear)phishing (suivant la qualité des données, leur précision) et peut être issue d’une (re)vente dans un site spécialisé par les auteurs eux-mêmes ou une personnes tierces, pour des raisons multiples.
Vulnérabilités comblées… mais non-patchées par les utilisateurs ou les entreprises
Comme toujours, l’ANSSI souligne que de nombreux exploits ou de cyber-attaques de grandes ampleurs s’appuient, en partie, sur des failles corrigées par les différents éditeurs mais qui ne sont pas forcément, dans la foulée, appliquées par l’utilisateur, en terme de patch correctif. Listing de ces vulnérabilités qui concernent les exploits de 2022 mais dont une partie remontent, déjà, à l’année 2021 :
- CVE-2021-34527 : PrintNightmare,
- CVE-2021-34473 : Microsoft Exchange,
- CVE-2021-44228 : Apache Log4J,
- CVE-2021-26855 : Microsoft Exchange (ProxyLogon),
- CVE-2021-31207, CVE-2021-34523 : Microsoft Exchange (ProxyOracle, ProxyShell),
- CVE-2022-22954 : VMWare WorkSpaceone (NHS Digital),
- CVE-2022-41082, CVE-2022-41040 : Microsoft Exchange,
- CVE-2022-27925 : Zimbra,
- CVE-2022-35914 : GLPI,
- CVE-2022-26134 : Confluence.
“Les récentes évolutions législatives comme la nouvelle directive Network and Information System Security (NISS ou NIS2) adoptée par le Parlement européen le 10 novembre 2022 et transposée en droit français d’ici septembre 2024, vont permettre de renforcer le pouvoir de supervision de l’agence en élargissant son champ d’actions à un plus grand nombre de secteurs économiques et d’acteurs publics et privés. Cette directive, qui prend en compte la problématique de la numérisation de la supply chain, devrait également permettre d’imposer des exigences de sécurité plus importantes aux entreprises concernées, d’induire une augmentation du niveau de maturité des organisations et ainsi de participer à réduire les risques d’attaques indirectes“, conclut l’ANSSI… A veiller !
Sources : CERT-FR – 24 Janvier 2023 – Cyber-menace 2022 : avènement du rapport (PDF).
