Covid-19 : un vrai défi pour la cybersécurité

Comme l’indique l’OCDE, la crise du Covid-19 est multi-dimensionnelle[1] car elle a des conséquences dramatiques dans de nombreux domaines : la santé évidemment, mais aussi l’éducation, l’économie, les marchés financiers, les services publics et le milieu associatif. Nos vies et nos sociétés sont profondément bousculées par cette pandémie qui révèle les failles de nombreuses organisations et systèmes en place. Les systèmes informatiques ne font pas exception : les réseaux d’entreprise comme les ordinateurs individuels font depuis plusieurs semaines l’objet d’attaques d’une puissance, d’une précision et d’un volume sans précédent.

Depuis le début de la crise sanitaire et encore plus depuis la mise en place du confinement, les attaques informatiques et les escroqueries numériques se sont multipliées de manière inquiétante. Les hôpitaux parisiens ont été visés par des pirates informatiques qui ont tenté de saturer les serveurs. La métropole de Marseille a été victime d’un « rançongiciel » (ransomware) qui rend les données inaccessibles et réclame une rançon pour les débloquer. L’application de visioconférence Zoom, devenue très populaire pour permettre le télétravail, favorise l’espionnage, le vol de données privées et le sabotage (zoombombing).

Le Covid-19 crée de nouveaux risques numériques

L’un des effets du confinement est de focaliser l’attention, l’énergie et les ressources disponibles sur le maintien d’une activité minimum et la préservation des ressources disponibles. La priorité est de protéger la santé des parties prenantes tout en garantissant une continuité des services aux clients et aux usagers[2]. Chacun va chercher à réagir le plus rapidement et efficacement possible en fonction des informations disponibles, d’où une consultation effrénée des sites officiels et des applications d’actualité et de suivi de la pandémie. Partout dans le monde, de fausses cartes, de faux sites gouvernementaux, ministériels ou d’autorités de santé, et de fausses applications de type Covid-news ont été développés pour arnaquer ceux qui ne vérifieront pas la légitimité des sources.

Comme le souligne le gouvernement français sur son site destiné à l’assistance et à la prévention du risque numérique, la peur du Covid-19 déclenche des comportements de panique et de précipitation qui altèrent la vigilance des internautes[3]. Dans l’urgence, ils sont plus facilement victimes des malwares cachés dans des applications piégées comme celles qui proposent des fausses attestations de sorties numériques, et qui les font même parfois payer. Les criminels ont utilisé la crise Covid-19 pour mener des attaques d’ingénierie sociale sur le thème de la pandémie pour distribuer divers logiciels malveillants[4]. Les tentatives d’extorsion comme le chantage à la webcam prétendument piratée se multiplient, tentant de profiter du stress et du manque de sérénité engendrés par la situation de confinement et de post-confinement[5].

Certaines personnes vont télécharger rapidement de nouveaux logiciels sans vérifier qu’ils sont bien sur le site de l’éditeur. D’autres peuvent être trompées par des courriels d’hameçonnage (phising) dont les adresses usurpent celles d’expéditeurs fiables comme l’Organisation Mondiale de la Santé[6]. Google bloque 18 millions d’e-mails de ce type par jour[7]. Ces messages proposent des services ou des actualités exclusives sur la crise mais volent des données personnelles – souvent liées à des comptes ou cartes bancaires – ou bloquent des accès aux données pour réclamer des rançons. De faux sites de vente de masque, de gel hydroalcoolique, de médicaments ou de tests profitent de la pénurie et de l’inquiétude pour faire leur apparition et bien entendu ne livrent jamais leurs clients[8]. Les faux appels au don et les cagnottes en ligne frauduleuses se sont multipliées[9].

Une improvisation périlleuse

En période de crise, en particulier sanitaire, les individus travaillent dans l’angoisse et vivent chaque jour des émotions très fortes liées à leur survie et à celle de leurs proches. Cet état d’esprit est propice aux erreurs et aux maladresses[10]. Le passage au tout digital ou presque, sans préparation, est périlleux et expose les individus comme les entreprises à plus de risques. Le confinement a créé une forte dépendance vis-à-vis des solutions numériques. C’est une aubaine pour les cybercriminels qui ont à la fois plus de cibles et un niveau de résistance plus faible. Le chaos ne laisse pas le temps de bien se préparer et de prendre toutes les précautions, ce qui augmente la vulnérabilité.

Au fur et à mesure que les pays mettent en place le confinement et que le travail à distance se généralise à une échelle sans précédent, les employés s’équipent en matériels et en logiciels nouveaux. Les entreprises déploient des systèmes collaboratifs et implémentent des VPN pour autoriser l’accès externe aux bases de données et aux outils internes. Les connections distantes à partir d’ordinateurs et de comptes faiblement sécurisés affaiblissent la protection globale des organisations[11]. Les hackers parviennent beaucoup plus facilement à usurper l’identité des utilisateurs ou à créer des faux comptes pour infiltrer en toute discrétion les systèmes informatiques. C’est pourquoi un grand nombre d’attaques ne sont pas détectées ou seulement très tardivement : les pirates entrent par la même porte que tout le monde.

Les équipes chargées d’assurer la cybersécurité travaillent dans des conditions dégradées : les membres sont isolés et ont donc plus de mal à se coordonner ; les sites et les équipements sont plus difficilement accessibles ; les systèmes d’information qui sont souvent déjà en flux tendu en temps normal sont sursollicités en période de crise. Le Covid-19 révèle donc naturellement les brèches dans la sécurité en poussant hardware et software jusqu’à leurs limites. Les budgets, les projets et les recrutements associés aux prestations informatiques sont généralement gelés pendant la crise compte tenu des coûts ou pertes de revenus engendrés par la crise. Certains techniciens et ingénieurs informatiques sont en congés forcé ou en chômage partiel.

Les applications de télétravail sont des portes ouvertes aux attaques numériques. Parmi elles, l’application Zoom a été adoptée ou généralisée pour faire des vidéoconférences et des réunions dans les entreprises et les organisations, pour faire des cours dans les écoles et les universités, et pour transformer en webinars des conférences initialement prévues en présentiel. Cependant Zoom pose de nombreux problèmes de sécurité et de confidentialité, et est considérée comme une des applications les plus intrusives dans sa catégorie[12] : facilité des vols d’identifiants et de la prise de contrôle du terminal, accès aux flux vidéo et audio, installation de portes dérobées, surveillance de l’attention… la liste des défaillances ou négligences est longue.

Contrairement à ce qu’affirmait l’entreprise dans sa communication, les échanges ne sont pas cryptés de bout en bout. De nombreuses failles ont été mises à jour au fur et à mesure de la montée en puissance de la plate-forme, passée de 10 à 200 millions d’utilisateurs par jour. En plus de collecter des données privées, Zoom laisse fuiter ces données vers des tiers. Zoom est par ailleurs considérée comme la plateforme privilégiée des prédateurs sexuels, ce qui rend problématique la généralisation de son usage dans l’enseignement[13].

Des attaques très ciblées

Les autorités ont constaté un pic dans les attaques contre les institutions gouvernementales et médicales. Parmi les institutions impactées, on dénombre un organisme gouvernemental de santé et plusieurs centres de recherche au Canada, un institut de recherche au Japon, un fabricant coréen de produits chimiques, et plusieurs sociétés pharmaceutiques dans le monde[14]. Les conséquences financières, opérationnelles et réputationnelles sont considérables. Les attaques peuvent aussi augmenter le bilan humain de la crise du Covid-19 quand ce sont des centres de soins qui sont attaqués[15].

Interpol a averti les hôpitaux de la multiplication des attaques de rançongiciel qui prennent en otage des fichiers ou des systèmes en échange d’une somme d’argent[16]. Des pièces jointes ou des liens dans des e-mails servent de mode de contamination par des logiciels malveillants qui verrouillent certaines données ou applications nécessaires au fonctionnement de l’hôpital. En France, l’Assistance-Public-Hôpitaux de Paris (AP-HP) a été la cible d’un autre type de cyberattaque dite DoS (Denial of Service), ou en l’occurrence DDos (Distributed DoS). Le déni de service est l’impossibilité de rendre un service causé par l’indisponibilité des systèmes informatiques saturés par des requêtes ou des données. Heureusement, l’AP-HP a géré la situation en moins d’une heure sans conséquences pour ses activités[17].

Les collectivités territoriales sont également des cibles privilégiées. Depuis plus d’un mois, les systèmes informatiques de ville de Marseille, de plusieurs villes voisines et de la Métropole sont les cibles d’attaques de hackers qui exigent une rançon pour en rendre le contrôle à leurs utilisateurs[18]. La messagerie et les 400 applications utilisées par les différents services sont compromises. Bien que la société Orange Cyberdéfense et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) soient mobilisées, la situation risque de perdurer pendant encore plusieurs semaines.

Comment se préserver du désastre

Comme le recommande l’Agence Nationale de la Sécurité des Systèmes d’Information[19] (ANSSI), les entreprises, organisations et collectivités doivent avoir une véritable stratégie de cybersécurité et ne pas faire que réagir aux attaques. Un comité des risques numériques est mis en place avec le soutien et l’autorité de la direction générale. Ce comité multifonctionnel bénéficie d’un budget pour définir et appliquer la politique de sécurité des systèmes d’information (PSSI)[20]. Ce comité dédié à la gouvernance du risque numérique s’appuie sur une connaissance actualisée des menaces spécifiques et du cadre réglementaire pour : (1) cartographier les activités numériques ; (2) établir les modalités d’évaluation des risques et (3) mettre en place des solutions d’audit et de protection opérationnelle[21].

Le respect des principes de base de la cybersécurité est encore plus important dans la période actuelle. Il est essentiel de faire de la sensibilisation et que chacun soit conscient des risques : une seule personne négligente met toute l’organisation en péril[22]. La méfiance doit être le premier réflexe envers tout courriel, logiciel, fichier ou contact inconnu. Toute information qui n’est pas issue d’une source vérifiée, ou mieux certifiée, doit être considérée comme suspecte. Toutes les données doivent être sauvegardées de manière rigoureuse et régulière. Il faut toujours mettre à jour les applications, surtout les antivirus et antimalwares. Il est requis de passer systématiquement par les sites officiels des éditeurs. Les signatures numériques permettent d’assurer l’intégrité et l’authenticité d’une information, d’un message ou d’un fichier[24]. Certains sites comme Virus Total sont utiles en cas de suspicion[25]. Les mots de passe doivent être spécifiques, complexes et confidentiels[26].

Le principal risque n’est pas lié aux outils informatiques eux-mêmes, mais au comportement des individus. Tout comme il y a des gestes barrières pour se protéger du Covid-19 (se laver les mains, la distanciation sociale, tousser dans son coude…), il y a aussi des pratiques barrières pour se préserver des virus informatiques et des cyberattaques. Faire appel à des experts de la cybersécurité est recommandé pour les entreprises qui n’ont pas les compétences en interne. Il vaut mieux être bien accompagné dans la protection et la récupération éventuelle de ses données que de subir des vagues d’attaques successives sans savoir comment réagir et se protéger[27]. Les professionnels de la cybersécurité savent gérer ces situations.

Être conscient du risque et faire les bons choix

La technologie utilisée pour répondre à chaque besoin d’une organisation doit faire l’objet d’une analyse comparative approfondie qui prend du temps[28], ce qui est difficile en période de crise où la rapidité de mise en œuvre devient le principal critère de choix, mais il n’est jamais trop tard pour bien faire et si des solutions d’urgence peuvent être temporairement adoptées, il est fortement conseillé de basculer sur des outils plus sécurisés et protecteurs dans un second temps. Si on utilise Zoom, il faut l’utiliser correctement, c’est-à-dire au moins assortir chaque session d’un mot de passe.

Cependant, il est préférable d’éviter Zoom, et de se tourner vers d’autres systèmes plus sécurisés[29]. Créé en France, Jitsi[30] est une application de vidéoconférence en open source, donc gratuite et avec un code public sans fonctionnalité cachée, et qui crypte toutes les communications, donc sécurisée. Jitsi fait d’ailleurs partie depuis 2016 du Socle Interministériel de Logiciels Libres (SILL)[31], ensemble d’applications recommandées par l’Etat Français qui est mis à jour chaque année. Jitsi est un agrégateur de messageries qui permet de communiquer même avec des personnes qui utilisent d’autres systèmes, sans rien télécharger sur son terminal.

Skype, Messenger, WhatsApp, HouseParty, FaceTime, … toutes ces applications proposent des services alternatifs à ceux de Zoom avec une meilleure sécurisation[32]. Signal, l’application de communication recommandée par Edward Snowden, est celle qui est utilisée par les journalistes et les hackers eux-mêmes, semble être la meilleure option pour le vidéochat. Livestorm, société française, propose un logiciel intuitif et complet pour organiser des webinaires[33]. Microsoft Teams et Facebook Workplace sont de bonnes options pour les appels vidéo professionnels.

Quelle que soit la fonctionnalité recherchée, pour chaque application envisagée, il est primordial de procéder à une analyse de risque complète et de bien évaluer les dangers encourus. Il est aussi important d’expliquer aux utilisateurs pourquoi une solution a été privilégiée plutôt qu’une autre pour en favoriser l’adoption, et que chacun connaisse les menaces auxquelles il s’expose. Faire du bricolage et travailler dans l’urgence n’est jamais une bonne chose lorsqu’il s’agit de systèmes d’information.

[1] OCDE, Lutte contre le coronavirus (Covid-19) – Pour un effort mondial

[2] Covid-19 and cyberattacks: What you need to know

[3] COVID-19 : Appel au renforcement des mesures de vigilance cybersécurité

[4] How Criminals profit from the Covid-19 pandemic

[5] Campagnes d’arnaques au chantage à la webcam prétendue piratée

[6] Cyberattacks Target Healthcare Orgs on Coronavirus Frontlines

[7] Coronavirus : 18 millions de spams malveillants bloqués chaque jour par Google

[8] Gel, masques, gants… 7 sites de vente en ligne frauduleux fermés

[9] Tests frelatés, faux appels aux dons : attention aux arnaques liées au coronavirus

[10] How to communicate cyber-risk? An examination of behavioral recommendations in cybersecurity crises

[11] What you need to know about COVID-19-related cyberattacks

[12] Zoom est un cauchemar pour votre vie privée