Récap'IT : cyberattaques et l'après ?

Mélanie Lebrun
31/5/2024

Bonjour 🌧️,

Je vous retrouve pour l'édition de mai du Récap'IT mais avec la météo sur l'IDF, j'ai plutôt l'impression d'écrire celle de mars.

Youzee la mascotte de Youzer


Sur cette newsletter, j'analyse l'après des cyberattaques.

📅 Au programme aujourd’hui :

  • Après la cyberattaque
  • Je hack et re hack
  • Le chiffre du jour
  • Recall de Microsoft
  • La rubrique pêle-mêle
  • Les cyberattaques du mois
  • L'actu chez Youzer

👉 Go !!

Avant de commencer, je vous invite à nous suivre 👉

­

💀 Après la cyberattaque

Ces derniers temps, je vous parle et je vous relate les cyberattaques du mois passé. Sauf que nous avons peu souvent, l'après des cyberattaques.

Alors retourne d'expérience de structures qui ont été piratées.

Saint-Nazaire agglomération :

La nuit du 10 au 11 avril 2024, Saint-Nazaire agglomération subit une cyberattaque majeure. L'agglomération se réveille avec un SI paralysé.

L'ANSSI est appelé immédiatement et une cellule de crise est mise en place immédiatement.

  1. L'attaque : Les pirates ont réussi à accéder aux systèmes en "craquant" le mot de passe associé à une adresse email technique, plutôt que par une erreur humaine comme le téléchargement d'une pièce jointe infectée ou le clic sur un lien malveillant​.
  2. Impact : Environ un tiers des serveurs de la Ville et de l'agglomération ont été affectés. Pour éviter la propagation, l'ensemble du système a dû être arrêté et doit maintenant être reconstruit entièrement​.
    Pour l'instant, aucune extraction de données n'a été constatée.
  3. Rançon : Une demande de rançon a été faite par les attaquants, mais les services de la Ville ont refusé de l'ouvrir et ont décidé de ne pas payer.
  4. Protection : Saint-Nazaire avait pris des mesures préventives en collaboration avec l'ANSSI, ce qui a limité les dégâts. Les audits de sécurité précédents et les exercices de réaction ont permis une réponse plus efficace le jour de l'attaque​.
  5. Conséquences : De nombreux services ont été perturbés, notamment les facturations d'eau et d'assainissement, les services de l'état civil, et certains services administratifs. Cependant, la plupart des services essentiels ont repris progressivement avec des adaptations​.
    Il a fallu s'adapter et retourner au papier durant plusieurs semaines. Des post-it, des tableaux ont fait office de mails, de calendrier, etc.

Les experts constatent que sur des cyberattaques d'envergure, il faut environ 2 ans s'en remettre totalement. Pour l'instant, les équipes et le maire de Saint-Nazaire sont plutôt optimistes et parlent en mois.

Bondy et Saint-Nazaire Agglomération :

Bondy avait subi une cyberattaque en novembre 2020, les services avaient été à l'arrêt et la municipalité avait fait redémarrer les plus urgents.

Mais voilà, aujourd'hui, ce sont les factures qui n'avaient pas pu être digitalisées qui sont émises et les familles (qui n'avaient pas mis l'argent de côté) se retrouvent à devoir payer des factures importantes.


À Saint-Nazaire, l'histoire est identique "pas de facture d'eau ni d'assainissement, pas de facture non plus depuis mars pour les centres de loisirs, la restauration, le péri-scolaire et les crèches."

Cyberattaque sur Saint Nazaire agglomération

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée ! Vous recevrez votre prochain Récap'IT à la fin du mois 😊

🔔 Le hacker passe toujours deux fois

J'ai assisté une conférence du cyber show à Paris dans laquelle le colonel Jean-françois Laloyer (expert cybersécurité), Ayoub Sabbar (fondateur d'Ornisec et ancien président du Clusir Bretagne), Marc Bothorel fondateur de CPME) rappelaient quelques notions importantes.

  • Le coût des cyberattaques représente 9 200 milliards de dollars par an.
  • La cyberattaque reste la solution la plus simple pour faire couler une entreprise. D'ailleurs 1 TPE/PME sur 2 ne se relève pas après une cyberattaque.
  • Le risque cyber est le premier risque qui pèse sur les entreprises devant le vol, les incendies, la rupture d'approvisionnement...

Vincent Strubel, le directeur de l'ANSSI a une phrase très explicite :

" Vous n'avez pas besoin d'être une cible pour être une victime."

Aujourd'hui, le marché du hacking s'est largement démocratisé et les barrières à l'entrée tombent. N'importe qui avec un petit bagage technique peut hacker une entreprise.
Lockbit est notamment connu pour la location de logiciel SaaS pour des cyberattaques (Malware as a Service).

L'objectif de NIS 2 va notamment dans ce sens : avant, on sécurisait un périmètre, aujourd'hui, on va sécuriser l'ensemble du SI.

La grande question des TPE/PME et ETI est pourquoi un hackeur s'intéresserait-il à nous ?

Parce que vous détenez de la donnée !

La donnée se revend chère. Les experts de la conférence expliquaient qu'un dossier d'un patient aux US se revendait plusieurs centaines voir milliers de dollars.

Est-ce qu'il faut payer si on est hacké ?

Les trois experts étaient formels sur cette question : non et pour plusieurs raisons.

  1. On n'a aucune garantie d'obtenir la clé de décryptage.
  2. Le décryptage est très long et ne permet pas de retrouver l'intégralité des données.
  3. Quand on a payé une fois, on est un bon client, les hackers reviennent toujours (voir Pimkie, Okta...).
  4. Même après avoir payé, le hacker dispose toujours des données et les revend sur le marché noir.

Auparavant, les hackers avaient une "éthique" et l'entreprise retrouvait toujours ses données et cela s'arrêtait là, aujourd'hui les choses ont changé. Seulement 20% des entreprises payent et ce chiffre continue de descendre.

Comment se protéger ?

Il faut durcir le réseau, réfléchir à son environnement, aux droits et aux accès. Il faut écrire et transmettre une charte informatique de ce qui est permis, de ce qui ne l'est pas (le BYOD ?).

Il est nécessaire de se préparer quelle que soit sa taille. Avoir un antivirus, un antispam est important, ainsi que faire les mises à jour dès qu'elles se présentent.

Attention, la RCPro ne couvre pas les cyberattaques, il faut contracter une assurance spécifique.

Dernier conseil :

Si vous êtes victime d'une cyberattaque, n'agissez pas seul, certains gestes sont impératifs à réaliser pour ne pas détruire des preuves.

Portez plaintes, faites une déclaration auprès de l'ANSSI ou de la CNIL selon votre taille et la gravité de la situation.

Consulter le site de cybermalvaillance.gouv.fr qui a des guides très bien fait.

Petit rappel : la protection cyber une fois mise en place ne coûte pas grand-chose comparée à une cyberattaque.

­

Double cyberattaque

💰 Le chiffre du jour

972% coût de la cybercriminalité

C'est l'augmentation du coût de la cybercriminalité dans le monde alors que les dépenses n'ont augmenté 'que' de 78%.

Si on parle en chiffre, cela représente 150 milliards de dollars en protection et 9 100 milliards de dollars en coûts d'une cyberattaque.

Ces dernières années, l'augmentation était d'environ 1000 milliards de dollars par an.


Ces chiffres me donnent le tournis.

Source : Breizh.info

­

👀 Recall de Microsoft

Avez-vous entendu parler de Recall ? La dernière fonctionnalité de Microsoft. Après la quantité de failles et d'attaques Microsoft a eu la bonne idée d'espionner de sauvegarder les données de ses utilisateurs.

Comment fonctionne Recall ?

Recall prend des captures d'écran de la fenêtre active à quelques secondes d'intervalle, enregistrant les activités sur Windows pendant trois mois par défaut.

Les captures d'écran sont analysées par une unité de traitement neuronal (NPU) et un modèle d'IA pour extraire les données, qui sont ensuite sauvegardées dans un index sémantique localement sur l'appareil.

Les données sont chiffrées avec BitLocker et ne sont pas partagées avec d'autres utilisateurs du même appareil.

À quoi sert Recall ?

Recall permet aux utilisateurs de retrouver facilement des informations ou des documents qu'ils ont consultés précédemment. En prenant des captures d'écran régulières de l'activité de la fenêtre active, l'utilisateur peut effectuer des recherches dans cet historique et retrouver rapidement des données sans avoir à se souvenir précisément où elles sont stockées.

Grâce à l'indexation sémantique et à l'analyse par IA, les utilisateurs peuvent effectuer des recherches en langage naturel pour retrouver des contenus spécifiques. Cela simplifie la recherche d'informations par rapport à la navigation manuelle dans les dossiers et les fichiers.

Bien sûr, Recall ne fait pas l'unanimité et la communauté cyber n'est pas fan. Si les captures d'écran sont hackées, c'est littéralement une mine d'or.

Cette fonctionnalité ne sera pas disponible sur tous les PC mais sera activée à l'ouverture du PC...

Voici quelques commentaires :
"Recall is CLEARLY malware designed and distributed by Microsoft."

"Yep and the first thing you do is either uninstall CP and/or of its services & dependants (if micro$haft allow), or disable it in the registery and group policy. For the majority of users this is very HARD PASS."

Source : Bleepingcomputer

Recall de microsoft

­

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Merci, nous avons bien reçu votre demande, vous allez recevoir le livre rapidement.
Oups! Un champ est mal rempli 😖

Pêle-mêle

  • L'ANSSI vient de communiquer (30 mai) sur une importante opération menée par la France, l'Allemagne, la Hollande, les USA, la GB et le Danemark (ouf!) du nom de Endgame.
    L’opération a visé les infrastructures Bumblebee, Pikabot, Smokeloader, System BC, IcedID et Trickbot.
    Le résultat ➡️ 4 personnes interpelées,16 perquisitions et l'interuption d'une centaine de serveurs et des saisies.

  • Vous avez dû le voir passer, le leader du groupe Lockbit a été identifié et dévoilé : Dmitry Yuryevich Khoroshev. Si vous voulez vous faire un peu d'argent, sa récompense est fixée à 10 millions de dollars, y a plus qu'à !
    Encore une fois, le site de Lockbit a été mis à plat, encore une fois, il s'est relevé.
    Des mails émanant de Jenny Green et de l’adresse Jenny@gsd[.]com contiennent un fichier Zip avec le malware de Lockbit et oui, c'est cadeau.

    Nota bene : si vous êtes un hackeur, pensez à faire des photos BG de vous au cas où le FBI les diffuserait partout dans le monde.
Dmitry Tete de Lockbit recherché

­

☠️ Les cyberattaques du mois

Ticketmaster : juste pendant que je finis cette newsletter et ce n'est pas joli. On retrouve des données telles que : nom/prénom, email, adresse postale, n° téléphone, la totalité des coordonnées bancaires (n° carte de crédit - type de carte, etc.), les transactions financières de l'utilisateur.

➡️ Les données piratées semblent s'étendre de 2011 à 2024, soit +13ans de données ! 🤯

Christie's : les pirates menacent de dévoiler les données financières de l'entreprise. Des données de clients ont été dérobées mais personne ne sait exactement ce qui a été extrait.

La Nouvelle-Calédonie : a subi une cyberattaque majeure « Des millions d’emails ont été envoyés de manière simultanée sur une adresse mail qui avait pour objet de saturer le réseau et de le rendre inopérant »

L'aéroport et l'école de commerce de Pau : suite à une cyberattaque leurs services ont été perturbés.

Coradix-Magnescan : le groupe de radiologie a été touché.

Le baccalauréat Suisse : une cyberattaque a eu lieu, des données de 2018 ont été piratées. Certains screenshots montrent des dates plus récentes et la divulgation d'examens mais le site officiel ne reconnaît uniquement que le vol de données de 2018.

­

Quoi de neuf chez Youzer ?

La revue des habilitations est un moment difficile. Il faut envoyer un mail à chaque manager pour lui demander de valider les applications dont chaque membre de son équipe dispose.

Il faut réaliser une liste des managers, des personnes qu'ils ont dans leur équipe et enfin des applications dont chacun dispose.

Avec Youzer, cette revue des habilitations est largement simplifiée. Youzer permet de réaliser des filtrages rapides et fins sur vos utilisateurs.


Youzer permet d'afficher pour chaque manager qui lui est rattaché et enfin chaque utilisateur a une fiche précise des applications dont il dispose.

La campagne de revue des habilitations est simplifiée : grâce à un workflow, vous envoyez un mail avec un accès à Youzer pour chaque manager. Le manager se connecte à Youzer, il valide les applications pour son équipe.

L'équipe IT est largement soulagée par Youzer ce qui réduit considérablement la quantité de travail pour cette campagne.

Linkedin Melanie Lebrun

Tous les mois je vous envoie mes découvertes, mes analyses sur l'actu IT.
Je fais beaucoup de veille et je partage tout ça !

Je suis Mélanie et je suis responsable marketing de Youzer.

À propos de moi ? J'ai une soif d'apprendre inétanchable ! Je préfère 100 fois lire un livre que voir un film. Je suis une fan d'HP 🧙🏼.
Je fais du running et du roller sport collectif (cherchez pas, c'est dangereux).