Search
Close this search box.

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

25/11/2024

CTI

Threat Landscape 2022-2023

Threat Landscape 2022-2023

Résumé Exécutif

Avec la 1ère guerre de haute intensité de l’ère cyber, l’année 2022 aura au moins permis de mesurer plus précisément la menace cyber qui pèse réellement sur nos entreprises et nos nations. La cyber criminalité à la recherche de gain financier a continué de se déployer avec une innovation toujours très forte dans les ransomwares, mettant en œuvre des techniques d’attaque qui étaient clairement du domaine étatique, voire de la science-fiction, il y a encore quelques années et en le faisant avec une professionnalisation et une industrialisation lui permettant une efficacité et une rentabilité de plus en plus grande.

Ces gains d’efficacité réalisés en 2022 par la plupart des groupes cyber criminels ont encore fait monter de plusieurs crans la pression sur la défense. Elle reste souvent vue comme un coût et doit composer avec des budgets qui ne peuvent pas augmenter aussi rapidement que ceux engagés par les adversaires.

Cette pression se traduit essentiellement par un impératif de réactivité accrue, avec de plus en plus de groupes en capacité de réaliser en masse des braquages en mode « very go fast », pliant des attaques très complexes en quelques heures. Crowdstrike, qui a formalisé cette pression sous le terme « breakout time », l’estime à 84 minutes en 2022, à comparer au x1h32 de 2021 et aux 4h37 de 2020 (et aux 1h58 de 2019 qui avaient été une année exceptionnelle liée à l’efficacité de Ryuk). C’est le fruit d’un travail d’automatisation d’outils offensifs avancés, sous la forme de Ransomware as a Service (RaaS), et d’une recherche de cibles plus importantes avec d’avantage de préparation : le Big Game Hunting. Cette pression passe également par l’ouverture continue de nouveaux fronts avec l’innovation offensive déployant en continu de nouvelles techniques d’attaque et d’évasion défensive, et la découverte de plus en plus de vulnérabilités que les organisations peinent toujours à corriger.

Les services de gendarmerie et de police mesurent de plus en plus finement cette pression, et s’organisent pour y faire face avec des améliorations notables en France en 2022. Le meilleur moyen pour tout le monde de contribuer à ces efforts est de déposer plainte pour faire remonter de l’information et rendre visible dans les chiffres cette cyber criminalité. Déposer une plainte, d’autant que de gros efforts ont été faits pour améliorer leur recueillement, c’est aussi faciliter le déclenchement de services clé comme l’aide de négociateurs professionnels mais également faire monter la pression sur les cyber criminels, en donnant aux autorités plus de chance de les identifier et de les attraper. La peur doit changer de camp pour que la pression retombe.

En revanche cette menace ransomware n’est que la partie visible de la menace cyber. Cette visibilité se traduit par des arrêts de production constatés par les dirigeants et leurs concurrents, les demandes de rançon et les assureurs dont la préoccupation principale est de gérer le risque en termes de pertes d’exploitation.
Par cette visibilité, les ransomwares ont paradoxalement joué un rôle très important dans la prise de conscience de l’importance du sujet cyber en dehors du monde des experts cybersécurité. Mais ils ne doivent pas faire oublier les menaces de nature plus discrètes, qui ont toujours existé et que la situation géopolitique du monde en 2022 amplifie : l’espionnage, la déstabilisation, le pré-positionnement stratégique.

A ce titre, le conflit entre l’Ukraine et la Russie est riche d’enseignements : cette menace cyber est bien réelle, mais elle a probablement été surestimée dans un contexte de cyber guerre dans lequel était souvent annoncé un Armageddon numérique, qui n’a pas eu lieu même si l’intensité des opérations de lutte informatique offensive (LIO) est bien réelle. En réalité, ce conflit a déjà démontré que la cyber était une composante importante des conflits dans les domaines du renseignement et de la déstabilisation. Nous voyons aujourd’hui qu’il est possible de faire un « move to cloud » défensif de quasiment tout un pays pour mettre à l’abri de nombreuses infrastructures et données d’attaques cyber et physiques et que, dès qu’une guerre cinétique est engagée, il reste plus efficace de détruire une infrastructure critique en utilisant des missiles que d’employer des hackers. Enfin, ce conflit démontre que la communication de crise est une discipline clé pour atténuer l’impact d’attaque… Et que c’est une discipline très bien maîtrisée par le gouvernement ukrainien !

Ce conflit a également permis de vérifier dans les chiffres d’activité qu’une bonne partie de la menace ransomware était délivrée par des groupes à l’Est. Pour autant, la réalité est bien plus complexe et le canon trop souvent orienté à l’Est par notre tendance à surconsommer du renseignement anglosaxon. Un rééquilibrage apparait comme nécessaire via la production et la diffusion de renseignements cyber français et européen de qualité, ce à quoi plusieurs organisations dont Almond contribuent dans l’activité CTI.

En 2022, le CERT Almond CWATCH a pu constater la rapidité d’exécution et la réalité d’opérations plus discrètes poursuivant des objectifs différents que l’extorsion de bitcoins sur le terrain, en France, avec des victimes de type ETI ou grandes entreprises. Le SOC Almond CWATCH, de son côté, a été confronté comme tous les SOC à une augmentation des volumes d’alertes et à des calculs de taux de couverture par rapport au référentiel MITRE ATT&CK qui parfois baissaient en dépit de moyens importants engagés dans l’amélioration continue des stratégies de détection, et d’investissements de la part des entreprises protégées par des mesures de sécurité.

Les deux premières parties de ce Threat Landscape s’attachent à documenter ces tendances observées et à analyser les principales mutations des comportements des Threat Actors. Cette menace met également à l’épreuve des pans entiers de la gouvernance cyber sécurité et tire des évolutions des réglementations. C’est pourquoi nous avons choisi dans ce Threat Landscape de dédier une partie de ces enjeux à la conformité et à la gouvernance, et de laisser à plusieurs de nos RSSI et à un partenaire l’opportunité de vous décrire comment ils ont vécu 2022 aux côtés des entreprises que nous accompagnons.
Enfin, cet impératif d’améliorer la réactivité de la défense, tout en augmentant les volumes de données et d’alertes à traiter, Almond a choisi comme beaucoup de MSSP d’y répondre par l’innovation et l’investissement dans l’expertise des femmes et des hommes au cœur des opérations cyber sécurité et dans les process et technologies qui tirent le maximum de gain d’efficience des concepts DevSecOps, des SOAR et généralement de l’automatisation. La dernière partie de ce Threat Landscape éclaire certains des investissements 2023 qui, de notre point de vue, sont importants pour rester « dans la course ».

Téléchargez le Threat Landscape 2022-2023

Almond s’engage à ce que la collecte et le traitement de vos données, effectués à partir du site https://www.almond.eu/ soient conformes au règlement général sur la protection des données (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée, relative à la protection des données à caractère personnel. Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Almond, afin de répondre aux demandes d’informations. Vous pouvez accéder aux données vous concernant, demander leur rectification ou leur effacement. Vous disposez également d’un droit d’opposition, et d’un droit à la limitation du traitement de vos données (cf. cnil.fr pour plus d’informations sur vos droits). Vous pouvez exercer vos droits en contactant le Référent Données à caractère personnel d’Almond à l’adresse suivante : [email protected]. Vos données seront conservées au sein de l’Union européenne, conformément à la réglementation en vigueur.

Voir les derniers Cybersecurity Insights et Livres blancs

28 October 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
2 October 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
25 July 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
10 June 2024
Cet article vise à présenter l’état du droit actuel de l’encadrement de l’intelligence artificielle par l’IA ACT. Comment les droits […]
27 May 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
22 May 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
14 May 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
13 May 2024
Cet article vise à présenter l’état du droit actuel de l’encadrement de l’intelligence artificielle par l’IA ACT. Comment les droits […]
29 April 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
17 April 2024
Nouvelles menaces cyber, nouvelles solutions : téléchargez le Threat Landscape 2022-2023 Almond !

Jour 12 | Challenge OSINT

Réponse :

Jour 11 | Parmi ces propositions, quelle technique Mitre Atta&ck est la plus utilisée par les attaquants ?

  • Réponse 1 : OS Credential Dumping
  • Réponse 2 : Valid Account
  • Réponse 3 : Impair Defenses
  • Réponse 4 : Remote services

Laïus explicatif : L’achat ou la récupération de comptes valides sont de plus en plus commun. Certains cybercriminels appelés Initial Access Broker se spécialisent dans la compromission de victimes dans le but de récupérer des identifiants valides qui seront ensuite vendus à d’autres cybercriminels comme les groupes de ransomware.

Jour 10 | Parmi ces structures de données de la mémoire dans Windows, quelle est celle qui permet de lister les processus en cours d’exécution ?

  • Réponse 1 : EPROCESS
  • Réponse 2 : Kernel Debugger Data Block (KDBG)
  • Réponse 3 : Kernel Processor Control Region (KPCR)
  • Réponse 4 : Process Environment Block (PEB)

Laïus explicatif : La structure EPROCESS (Executive Process) est utilisée par Windows pour gérer chaque processus en cours d’exécution. Elle contient des informations essentielles comme l’identifiant du processus (PID), l’état, les threads associés, et d’autres données nécessaires au système pour suivre les processus actifs. En analysant les structures EPROCESS, on peut lister les processus actuellement en mémoire. Le PEB est lié à chaque processus de manière individuelle. Enfin le KPCR est nécessaire pour trouver l’adresse du KDB qui à son tour permettra de pointer vers le EPROCESS.  

Jour 9 | Quel est le problème si la suite cryptographique TLS_RSA_WITH_AES_256_CBC_SHA256 est utilisée avec l'extension encrypt_then_mac pour la sécurité d'une communication TLS ?

  • Réponse 1 : L’algorithme de chiffrement est trop faible

  • Réponse 2 : L’intégrité de la communication n’est pas assurée

  • Réponse 3 : Il n’y a pas la propriété de confidentialité persistante (Perfect Forward Secrecy)

  • Réponse 4 : Le serveur n’est pas correctement authentifié

Laïus explicatif : La bonne réponse est le manque de confidentialité persistante.

La suite TLS_RSA_WITH_AES_256_CBC_SHA256 utilise la clé publique RSA du serveur pour chiffrer le secret partagé utilisé pour sécuriser les échanges de la session TLS : en cas de compromission de la clé privée du serveur, l’ensemble des échanges des sessions passées peuvent être déchiffrés par un attaquant.
La confidentialité persistante (connue sous le nom de Perfect Forward Secrecy en anglais) consiste en l’utilisation d’un échange Diffie-Hellman éphémère pour négocier le secret partagé, sans utilisation de la clé RSA du serveur.

Jour 8 | Quel est l'avantage d'utiliser un outil de couverture de code lors d'une session de fuzzing ?

  • Réponse 1 : Réduire le temps de fuzzing en optimisant certaines instructions assembleur.

  • Réponse 2 : Utiliser la technique de “pré-chauffage” du harnais (“warming code attack”).

  • Réponse 3 : Pouvoir analyser facilement les sections de code atteintes par le fuzzer.

  • Réponse 4 : Ne pas prendre en compte les vulnérabilités de type use-after-free.

Laïus explicatif : Les outils de couverture de code (“code coverage” en anglais) permettent de savoir avec précision quelles lignes de code d’un programme qui ont réellement été exécutées. Lors d’une session de “fuzzing”, ces outils peuvent aider l’analyste à savoir si les fonctions ciblées ont été atteintes par le fuzzer. Cette technique a notamment été utilisée par un membre de l’équipe Offsec pour trouver une vulnérabilité dans une bibliothèque open-source (voir notre article de blog)

Jour 7 | Quelle est la principale éthique qui doit être prise en compte dans le développement de l’Intelligence Artificielle ?

  • Réponse 1 : L’équité et la non-discrimination

  • Réponse 2 : La transparence des algorithmes utilisés

  • Réponse 3 : La sécurité et la confidentialité des données

  • Réponse 4 : Toutes les réponses

Laïus explicatif : L’équité et la non-discrimination sont des principes fondamentaux dans le développement de l’IA. Les systèmes d’IA doivent être conçus pour éviter les biais et assurer qu’ils ne favorisent pas des groupes spécifiques au détriment d’autres, afin de garantir un traitement juste et égal pour tous les utilisateurs. La transparence des algorithmes est cruciale. Les utilisateurs doivent comprendre comment les décisions sont prises par l’IA, ce qui inclut la possibilité d’expliquer les résultats ou actions générés par un système d’intelligence artificielle, afin d’éviter des décisions opaques ou injustes. La sécurité et la confidentialité des données sont enfin des préoccupations majeures lorsque l’on développe des systèmes d’IA, car ces technologies peuvent collecter et traiter des informations sensibles, ce qui soulève des questions sur la protection des données personnelles et la vie privée.

Jour 6 | Selon vous, en moyenne combien de ransomware ont eu lieu par jour en 2023 dans le monde ?

  • Réponse 1 : 1 par jour

  • Réponse 2 : 100 par jour

  • Réponse 3 : 30 par jour

  • Réponse 4 : 12 par jour

Laïus explicatif : En moyenne 12 attaques ransomware ont été signalées par jour par des victimes dans le monde en 2023 selon les chiffres d’Almond. Pour plus d’informations, n’hésitez pas à consulter notre Threat Landscape.

Jour 5 | Challenge de stéganographie

Réponse : PASSI RGS, PASSI LPM, CESTI, ANJ, Cybersecurity made in Europe, PCI QSA Company et Swift

Etape 1 : Observer l’image, trouver 3 logos cachés (Cybersecurity made in Europe, PCI QSA Company & Swift) et une indication pour chercher dans les métadonnées du fichier. 

Etape 2 : Challenge de stéganographie

En lançant dans son terminal un des outils les plus courants, “binwalk”, on trouve une image JPEG dans le PDF. En extrayant les données grâce au même outil et en renommant le fichier en .jpeg, on voit apparaitre une image cachée. Ensuite, en utilisant “steghide”, on peut extraire le fichier avec le mot de passe “Almond”. Ce fichier contient une suite de caractère encodée en base64. En la déchiffrant, on obtient les quatre autres certifications : PASSI RGS, PASSI LPM, CESTI et ANJ. 

Jour 4 | Concernant les accompagnements de la nouvelle qualification PACS de l’ANSSI, sur la portée Sécurité des Architectures, quels sont les domaines qui font partie du périmètre possible d’un accompagnement ?

  • Réponse 1 : la sécurité réseau, l’authentification, et l’administration du SI

  • Réponse 2 : la sécurité réseau, la sécurité système, et les mécanismes de chiffrement

  • Réponse 3 : l’administration du SI, le cloisonnement, les sauvegardes, et la stratégie de détection/réponse

  • Réponse 4 : tous ces sujets et plus encore

  • Laïus explicatif : Le référentiel PACS, sur la portée Sécurité des Architectures, porte bien sur tous les sujets liés de près ou de loin aux infrastructures du SI. La liste n’est pas exhaustive et est à adapter à chaque prestation d’accompagnement suivant le périmètre d’intervention. Dans le référentiel, l’ANSSI propose une liste de sujets à adresser dans un rapport PACS page 28 et 29.

    https://cyber.gouv.fr/sites/default/files/document/PACS_referentiel-exigences_v1.0.pdf

Jour 3 | Quel référentiel permet la certification de produits de sécurité ?

  • Réponse 1 : NIS2

  • Réponse 2 : Critères Communs

  • Réponse 3 : PASSI

  • Réponse 4 : ISO27001

Laïus explicatif : Le schéma Critères Communs est un ensemble de normes et méthodologies permettant de cadrer les moyens utilisés pour évaluer, de manière impartiale, la sécurité d’un produit de sécurité (logiciel ou matériel). Ce schéma est reconnu internationalement au travers de plusieurs accords (SOG-IS, CCRA et prochainement EUCC).

Le référentiel PASSI permet la qualification, par l’ANSSI, des prestataires d’audit de la sécurité des SI. ISO27001 est la norme décrivant les bonnes pratiques à suivre dans la mise en place d’un SMSI. Enfin, NIS2 est une directive visant à harmoniser et à renforcer la cybersécurité du marché européen.

Jour 2 | Quel est l’artefact forensique qui permet de prouver une exécution d’un programme sous Windows ?

  • Réponse 1 : JumpList

  • Réponse 2 : ShimCache

  • Réponse 3 : $MFT

  • Réponse 4 : Prefetch

Laïus explicatif : Le Prefetch est un artefact spécifique à Windows qui optimise le chargement des programmes. Lorsqu’un programme est exécuté pour la première fois, Windows crée un fichier dans le dossier C:\Windows\Prefetch, qui contient des informations sur le programme et les ressources qu’il a utilisées. Ces fichiers incluent également des horodatages correspondant à la première et aux dernières exécutions. L’existence d’un fichier Prefetch (.pf) pour un programme est une preuve solide qu’il a été exécuté. C’est l’un des artefacts forensiques les plus fiables pour prouver l’exécution d’un programme.

Jour 1 | Quel texte européen permettra qu’à partir de fin 2027, tous les produits vendus dans l’UE et comprenant des composants numériques seront exempts de vulnérabilités et maintenus pendant tout leur cycle de vie ? #DigitalTrust

  • Réponse 1 : Le Cyber Security Act
  • Réponse 2 : Le Cyber Resilience Act
  • Réponse 3 : La Directive REC
  • Réponse 4 : La Directive NIS2 

Laïus explicatif : Le Cyber Resilience Act, qui a été publié ces derniers jours au Journal Officiel de l’Union Européenne est entré en vigueur le 10 décembre 2024. A compter de cette date, les fabricants et éditeurs doivent adapter leur processus pour pouvoir continuer à vendre des produits au sein de l’UE après le 10/12/2027.

EU Cyber Resilience Act | Shaping Europe’s digital future