LETTRE D’INFORMATION CYBERSÉCURITÉ N°202003A03R01 | Mars 2020

| Covid-19 :

Les attaquants s’engouffrent dans la brèche.

La crise sanitaire majeure que nous traversons aujourd’hui déstabilise toutes les organisations.

Cela ouvre une fenêtre sans équivalent (et sans précédent) aux cybercriminels qui sévissent aux quatre coins du monde. Au-delà des drames humains qui se jouent chaque jour, les systèmes d’information des institutions publiques essentielles (hôpitaux, centres de décision…) mais également des PME/TPE ou grands groupes se retrouvent surexposés et vulnérables. En outre, le grand public, déjà peu sensibilisé à la sécurité des systèmes d’information en temps normal, est la cible de campagnes agressives d’hameçonnage, l’incitant par exemple à télécharger des « documents d’information », des applications malveillantes pour suivre l’évolution de la maladie, etc.

A l’heure de rédaction de cet édito, près d’un tiers de l’humanité se retrouve confiné. Pour tous ceux qui télétravaillent, la disponibilité et la sécurité des réseaux ainsi que les outils informatiques de l’entreprise sont primordiaux. Or, de nombreux services, autrefois internes et plus ou moins protégés par le principe de défense en profondeur, se retrouvent ainsi exposés sur Internet donc potentiellement vulnérables. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande aux organisations de sécuriser leurs systèmes d’information, pour ne pas mettre en péril leur outil de production, déjà fragilisé par cette conjoncture exceptionnelle. Le Président de la République Française l’a déclaré lors de ses interventions : « Nous sommes en guerre ». Les DSI elles aussi se doivent de se préparer à riposter aux assauts de groupes criminels, toujours plus virulents que ce à quoi elles ont été confrontées au cours de ces dernières années. Les DSI se doivent de prendre les mesures qui s’imposent pour ne pas avoir à gérer une crise majeure, aux conséquences incalculables.

SYNETIS accompagne ses clients depuis des années dans la sécurisation de leurs systèmes d’information, pour prévenir toute intrusion ou mise en danger de leur organisation. Aujourd’hui et pour le temps du confinement, SYNETIS est pleinement opérationnel et prêt à apporter à ses clients toute la sécurité et la flexibilité nécessaires afin de répondre au mieux à la problématique imposée par le confinement.

Le dossier qui suit détaille certaines des techniques utilisées par les hackers au cours de cette crise.

Bonne lecture !

| Une augmentation des cyberattaques recensées ces derniers jours

C’est l’annonce faite depuis quelques jours par un grand nombre d’experts cybersécurité et SOC : il y a en effet une augmentation du nombre d’attaques informatiques, qui peut être associée à la montée de la crise sanitaire.

Si la cyberattaque de la mairie de Marseille et celle d’Aix-en-Provence est plutôt attribuée aux élections municipales et non au virus, il n’en reste pas moins que de nombreuses organisations sont touchées.

Premier touché, un hôpital et laboratoire de Brno, en République tchèque. Centre de test du COVID-19, il a dû annuler toutes ses opérations pour cause de «sécurité cybernétique». Tout le système informatique a dû être éteint, et les patients redirigés vers un hôpital voisin.

Dimanche matin, une cyberattaque sous la forme d’un DDoS (Distributed Denial of Service ou Déni de Service Distribué), paralysant une partie du système d’information : les serveurs mails et certains outils de télétravail auraient été touchés et donc été indisponibles pendant au moins une heure.

La même attaque avait déjà eu lieu une semaine plus tôt, au ministère de la santé des USA, le U.S. Health and Human Services Department. Ici, l’attaque a échoué et n’a pas impacté la disponibilité des serveurs. Une enquête a été ouverte afin de savoir si l’attaque provient de l’étranger ou de son propre sol.

En outre, des attaques ont ciblé l’OMS, l’Organisation Mondiale de la Santé. Nouveaux noms de domaines similaires à ceux de l’OMS, spear-phishing (hameçonnage ciblé) sur les membres de l’organisation, tout est bon pour tenter de récupérer les dernières informations sur l’évolution du virus et des traitements. D’après Flavio Aggio, DSI de l’OMS,

les attaques auraient au moins doublé ces derniers jours, mais aucune de ces attaques n’a cependant porté ses fruits.

| Advanced Persistent Threats : une pause ?

Alors, les groupes de hackeurs profiteraient-ils tous de la pandémie pour leurs affaires ? Plusieurs Advanced Persistent Threats, ou APT, ont d’ores et déjà annoncé faire une trêve le temps que la crise sanitaire se calme, et auraient donc stoppé leurs campagnes de malwares ou de rançongiciels.

C’est le cas par exemple du groupe qui exploite le rançongiciel Maze, qui déclare «[…] arrêter toute activité contre tous les types d’organisations médicales jusqu’à la stabilisation de la situation avec le virus.».

Pour d’autres groupes qui ne ciblaient pas spécifiquement les organisations de santé jusqu’ici, cela passe par une vigilance plus accrue des systèmes qui sont impactés, comme le déclare le groupe derrière le rançongiciel DoppelPaymer : «Nous essayons toujours d’éviter les hôpitaux, EHPAD […] – nous ne touchons jamais le 911. Pas seulement maintenant. Si jamais nous chiffrons par erreur – nous déchiffrerons gratuitement.»

Ce groupe ajoute cependant que certaines organisations n’auront pas cette faveur : «Mais à propos de la pharmaceutique – ils gagnent beaucoup plus avec la panique ambiante de nos jours, nous n’avons aucunement l’intention de les soutenir.».

Mais faut-il les croire ? Quelques jours avant le communiqué de presse de Maze, une attaque impliquant leur rançongiciel a touché le Hammersmith Medicines Research, un établissement de santé qui met au point des traitements et vaccins contre le virus Ebola ou encore la maladie d’Alzheimer.

L’attaque s’est poursuivie après l’annonce de l’arrêt des activités, le groupe publiant des données sensibles de patients (passeport, permis de conduire, numéros de sécurité sociale…).

A côté, d’autres en profitent, comme le groupe APT36, qui serait relié à l’Etat du Pakistan et qui attaquerait en priorité l’Inde, son gouvernement et entités de défense. Le mode opératoire suivi ici s’inspire de la panique autour du virus et des consignes que le gouvernement pourrait donner aux citoyens pour contrer le virus : un nouveau fichier nommé « Health Advisory » contiendrait une macro malveillante. Le RAT (Remote Access Trojan) est déposé dès que l’utilisateur ouvre le document et autorise l’exécution de macro. La machine de l’utilisateur est donc compromise.

Si ce scénario est pourtant classique, la crise sanitaire autour du COVID-19 ne fait qu’accroître sa dangerosité, car la population qui privilégie de se protéger du virus baisse inévitablement sa garde et est donc plus à même, même si elle a été avertie, d’ouvrir ces fichiers.

| Les attaquants jouent sur tous les tableaux

Bien que le monde entier soit encore sous le choc de la pandémie du COVID-19, il semblerait que les hackers y voient plutôt une opportunité d’accomplir bon nombre de méfaits. Le coronavirus est utilisé comme vecteur d’attaque pour appâter les victimes. Comme dans l’exemple ci-dessus, ce n’est finalement rien de bien nouveau, mais l’appétit des populations à chercher, parfois frénétiquement, des informations, augmentent la réussite de ces attaques.

Effectivement, depuis le début de cette épidémie, on constate l’utilisation massive de son nom dans plusieurs campagnes malveillantes visant à abuser des populations les moins sensibilisées naviguant sur

Internet. Ainsi, de nombreux domaines ont vu le jour, tous sous des appellations plus moins inspirées de « Coronavirus » ou encore « Covid-19 ».

Ces nouveaux sites Internet qui s’appuient sur ces dernières nouvelles pour sévir n’hésitent pas à proposer des messages attractifs pour attirer le maximum de victimes dans leurs filets. On constate alors des sites proposant des services tels que le dépistage de la maladie du Covid-19 en ligne, des sites de statistiques en temps réel mais aussi des services plus rudimentaires tels que des faux sites de ventes sur lesquels les produits sont brades à des prix dérisoires avec le code de promotion « Covid-19 ». Dans ce cas, un utilisateur allant sur un tel site se fera donc piéger en tentant de s’informer sur l’avancée de l’épidémie en cours ou en tentant d’acheter de quoi se protéger du virus.

Cependant, les hackers voulant toucher le maximum de personnes, n’hésitent pas à aller vers les autres, notamment grâce à des mails de phishing comportant des messages agressifs incitant les victimes à effectuer des actions (remplissages de formulaires factices par exemple) en vue de récupérer leurs coordonnées ou de faire télécharger des malicieux déguisés en logiciels sûrs.

Sans oublier les tentatives de détournement de fonds d’escrocs qui essaieront de se faire passer pour un fournisseur, un salarié, un dirigeant (arnaque au président par exemple).

| Récolte passive d’informations et hameçonnage

En outre, la crise du coronavirus est un excellent moyen, pour les attaquants, d’augmenter les taux de réussite de leurs campagnes d’hameçonnage. Ces campagnes d’hameçonnage sont surtout ciblées auprès des entreprises. En effet, beaucoup ont dû mettre en place du télétravail auprès de leurs

collaborateurs. De nombreux messages au sujet du télétravail sont susceptibles d’être envoyés, par les ressources humaines, les services informatiques… Autant de courriels qui ont de très fortes chances d’être ouverts par les collaborateurs, compte tenu du contexte. On notera en outre que cette technique est également applicable au téléphone, pour des attaquants détermines, compte tenu de la très forte utilisation de ce moyen de communication.

La figure suivante montre l’explosion d’enregistrements de noms de domaine relatifs au coronavirus :

Campagne qui se fait passer pour l'OMS
Source : https://blog.checkpoint.com

| Des campagnes qui se font passer pour l’OMS

Une campagne est notamment en cours, d’après les chercheurs d’IBM X-Force, et se fait passer pour l’Organisation Mondiale de la Santé (OMS) qui cherche à tout prix à informer la population :

Hameçonnage incitant au téléchargement de document
Source : https://exchange.xforce.ibmcloud.com

Ce hameçonnage incite à télécharger des documents qui donneraient des « instructions sur les médicaments à prendre pour guérir vite ». Le fichier .Exe contenu permet alors de charger une nouvelle version du malware HawkEye, qui en plus d’injecter un enregistreur de frappes comme ses anciennes versions, va également aller chercher les crédentiels dans les navigateurs et clients mails. On citera par exemple Mozilla Firefox et Thunderbird.

Autre exemple : se revêtant de cette fausse identité, ils encouragent les victimes à cliquer sur des liens contenus dans les mails pour les diriger

Faux email de l'ONU
Source : https://blog.malwarebytes.com

A des fins d’exemple, un chercheur de l’institut du SANS a publié une observation des méthodes d’infections utilisées par les attaquants via des courriels d’hameçonnage vers des sites qu’ils contrôlent ou alors n’hésitent pas à fournir des faux documents en pièces jointes

Source : https://isc.sans.edu/

De son analyse, il a d’abord constaté que ces attaquants distribuaient un mail dont le message est de faire croire aux victimes qu’un document proposant des mesures de prévention face au virus du COVID- 19 a été publié par l’OMS et est disponible à une adresse dont le lien figure dans le courriel.

Une fois téléchargé, ce document (Recommandations coronavirus

.doc) d’apparence ordinaire renferme en réalité plusieurs fichiers malveillants qui servent à mettre en place l’attaque.

En effet, on voit en l’ouvrant que celui-ci incite l’utilisateur à activer le mode édition et à ouvrir un document PDF embarqué censé contenir les fameuses recommandations contre le virus.

Source : https://isc.sans.edu/

Le chercheur l’ayant analysé a pu déterminer que cette action permettait d’activer du code malveillant embarqué dans ces fichiers. De là, une charge utile obfusquée en chinois permettait de télécharger d’autres programmes malveillants depuis des serveurs appartenant aux attaquants.

Source : https://isc.sans.edu/

Ces nouveaux programmes téléchargés servent principalement à désactiver les protections en place sur la machine cible (surveillances, antivirus…), à exfiltrer des données ainsi qu’à assurer que les attaquants puissent maintenir une persistance et un contrôle de la machine à distance. L’analyse plus détaillée de cette investigation est disponible ici.

| D’autres campagnes plus classiques

D’autres campagnes sont plus agressives, comme le courriel suivant, qui promet d’infecter toute la famille du destinataire si celui-ci ne paie pas les 4000$ :

Source : https://nakedsecurity.sophos.com

Ces courriels rassemblent tous les indices d’un courriel d’hameçonnage classique : menaces, mauvaise écriture, logos étranges, etc. Mais il est important de garder en tête que ces attaques sont de plus en plus perfectionnées et que certains courriels n’ont pas tous ces indices. Il semble donc important de faire, à nouveau, de la prévention en entreprise pendant cette période de crise, afin d’informer des nouveaux risques du télétravail et de rappeler que les risques sont toujours présents.

Autre moyen de récupérer des données personnelles, les faux sites qui, en France, permettaient de générer des attestations dérogatoires officielles. On trouvera aussi les classiques fausses applications pour ordiphones, les sites qui vendent des produits très recherchés (tels que des masques, du gel hydroalcoolique), mais qui s’avèrent complétement frauduleux, les faux sites de dons…

| Des malwares camouflés sous des airs d’applications liées au COVID19

Coronavirusmap, faux logiciel d’information utilisé comme dropper pour le malware AzoRult

Récemment, un maliciel (Coronavirusmap) s’est répandu. Présenté par les chercheurs de Reason Security, ce maliciel se présente sous la forme d’un exécutable Windows, présentant la carte de propagation de coronavirus à l’échelle mondiale.

Derrière cette belle interface, le programme récupère un maliciel ancien et qui a fait ses preuves, AZORult. Ce maliciel récupère des données personnelles contenues dans les navigateurs, les cookies, les éventuelles clés de crypto-monnaies…

La figure suivante présente le flux d’exécution de Coronavirusmap.exe :

execution du coronavirusmap.exe
Source : https://blog.reasonsecurity.com

Source : https://blog.reasonsecurity.com

Quelques Indicateurs de Compromission (IOC) pour

Coronavirusmap (Source : @malwrhunterteam) :

Twitter –

«Corona-virus.exe» installer
MD5 73da2c02c6f8bfd4662dc84820dcd983
SHA-1 949b69bf87515ad8945ce9a79f68f8b788c0ae39 SHA-256 2b35aa9c70ef66197abfb9bc409952897f9f70818633ab 43da85b3825b2 56307
C2: http://coronavirusstatus[.]space/index.php

Un rapport VirusTotal est disponible ici.

| Coronasafetymask, application malveillante pour terminaux mobiles Android

De plus en plus de hackers profitent de la panique créée par l’épidémie du Covid-19 pour abuser de certains utilisateurs.

En effet, plusieurs faux sites d’informations ont vu le jour et proposent des services divers tels que des cartes de visualisation en temps réel des cas d’infections dans le monde, des dépistages en ligne et plus encore.

S’ajoutant à cela, on remarque aussi désormais de plus en plus de fausses applications pour téléphones Android qui imitent le même concept. A titre d’exemple, une analyse rapide a été faite par Synetis sur l’une de ces applications qui était disponible sur hxxp://coronasafetymask.tk que nous nous sommes procurée.

Premièrement, on constate que le site qui diffuse cette application utilise un faux message afin d’encourager ses visiteurs à télécharger l’application sur leurs téléphones.

Un fichier .APK n’est en réalité qu’une archive de plusieurs dossiers et fichiers qui sont utilisés et appelés par le code source. Une fois téléchargé, il est possible en s’aidant d’outils tel que apktool de décompresser l’archive pour retrouver les différents fichiers la composant.

Ainsi, l’accès au fichier Manifest.xml permet de connaitre plusieurs informations intéressantes sur l’application tel que le nombre d’activités, les permissions qu’elle requière et bien d’autres. En observant celui de notre application test, nous savons qu’elle requière 2 permissions suspectes ainsi qu’une activité principale :

En effet, les permissions de l’encadré noir ci-dessus, si elles sont acceptées par l’utilisateur, permettent à l’application d’accéder à la liste des contacts et d’envoyer des messages de type SMS.

Une analyse plus poussée de l’application grâce à l’utilisation de l’outil jadx a permis de comprendre plus en détail les actions effectuées par cette application.

Lorsque l’on s’intéresse au code source de l’activité principale de l’application, on s’aperçoit que celle-ci tente de récupérer la liste des contacts afin d’envoyer à chacun d’eux un message en dur présent dans le code source :

<< Get safety from corona virus by using Face mask, click on this link download the app and order your own face mask – hxxp://coronasafetymask.tk >>.

Comme on peut le deviner, ce message est destiné à convaincre les destinataires de télécharger cette application via le lien joint. Bénéficiant de la confiance qu’ont les victimes entres elles, l’auteur de cette application malveillante espère ainsi qu’elle se répandra sur le maximum de terminaux mobiles.

Pour l’heure, seule cette action a pu être observée au travers de l’analyse qui a été faite sur cette application.

Voici les Indicateurs de Compromission (IOC) que nous avons récupérés :

Filename: CoronaSafetyMask.apk
md5: d7d43c0bf6d4828f1545017f34b5b54c
sha1: 96b69d0bce67c7609cea63269946060c8c061f97 sha256: 8a87cfe676d177061c0b3cbb9bdde4cabee0f1af369bbf 8e2d9088294ba 9d3b1

| Corona Antivirus, pour vous protéger du COVID19 … vraiment ?

C’est en effet un nouveau programme qui a été révélé par les chercheurs des laboratoires MalwareBytes : Corona Antivirus est un nouveau antivirus spécialement créé pour vous protéger du virus COVID19 et vous empêcher d’être infecté. Eh oui, les attaquants n’hésitent vraiment pas à afficher ce genre de message pour piéger les plus naïfs …

La « World’s best protection » offerte par cet « antivirus » est en fait un Remote Access Trojan (RAT) qui infecte donc la machine de la victime et lui permet un accès à distance à l’aide d’une porte dérobée. Le maliciel utilisé dans ce cas précis est connu : BlackNET RAT.

Voici les indicateurs de compromissions donnés par MalwareBytes :

Malicious site : antivirus-covid19[.]site Bogus corona antivirus : antivirus-covid19[.]site/update.exe

SHA256 146dd15ab549f6a0691c3a728602ce283825b361aa825

521252c94e4a8
C2 panel : instaboom-hello[.]site

| Autres types de menaces: Escroqueries et trafics

L’opération Pangea, conjointement menée par INTERPOL et les services de police de plus de 90 pays, a permis de mettre fin à un trafic illégal de médicaments et produits de santé.

En effet, un groupe de personnes mal intentionnées, désireuses de faire du profit au détriment de la santé des victimes du Covid-19 et des personnes désirant s’en prémunir, commercialisaient des médicaments et produits de santé avaries, non adaptés et/ou fabriqués illégalement.

Il s’agissait principalement de masques chirurgicaux contrefaits, de kits d’auto-test pour la surveillance du VIH et du glucose contrefait, de faux traitements contre le Covid-19 ainsi que plusieurs médicaments dont la circulation était interdite ou uniquement disponible sur ordonnance à cause des effets secondaires qu’ils peuvent apporter en cas de mauvaise posologie.

L’opération s’est tenue entre le 3 et le 10 mars et a permis de saisir des produits pharmaceutiques à hauteur de 13 millions d’euros, 37 000 dispositifs médicaux non autorisés et contrefaits et plus encore avec un total de 121 arrestations de différentes personnes appartenant à 37 groupes de criminels organisés.

| Les bonnes pratiques de sécurité numérique à adopter par les entreprises

Il est probable que le développement du télétravail ait été anarchique pour les entreprises n’ayant pas d’employés utilisant régulièrement ce mode de travail. Du côté de l’entreprise d’une part, avec le déploiement de solutions de télétravail mal configurées, la désactivation de solutions de sécurité (pare-feu, solutions antivirales, etc.), des informations au compte-goutte ou qui se contredisent. Du côté des employés d’autre part avec un mélange des équipements personnels et professionnels, des disques durs non chiffrés, des ouvertures de flux trop permissives, des configurations VPN/déports d’écrans mal configurées…

Un autre risque est celui du Shadow IT : des employés qui mettent en place des dispositifs de connexion à distance sur leurs équipements à l’insu des services informatiques de leur société.

Autre exemple, celui des plateformes d’échanges, que ça soit de fichiers ou de visioconférence.

Le risque est grand de voir des données internes exposées inutilement. Sur Twitter ou LinkedIn, beaucoup d’entreprises ont partagé un selfie avec leur réunion d’équipe en arrière-plan, laissant très souvent l’URL de la conférence visible.

Dans certains cas, il est possible d’accéder à ces conférences qui ne sont pas restreintes au public, pouvant alors mener à de la fuite d’informations.

Source : https://www.twitter.com

Il est donc important, le plus tôt possible, de mettre en place des solutions de télétravail saines et de communiquer autour de ce nouveau mode de travail auprès des collaborateurs :

  • Ne pas se connecter sur des supports et machines personnelles : n’utiliser que le matériel fourni par l’entreprise. De même, ne pas connecter d’appareil personnel sur les supports professionnels (USB, téléphones, etc.), qui peuvent eux être infectés.
  • Il est recommandé́ de passer par un VPN pour toute connexion extérieure au système d’information de l’entreprise, dans la mesure du possible.
  • Employer des mots de passe forts, et utiliser l’authentification à facteur multiple (MFA) si une option le permet.
  • Garder activé les solutions de sécurité (pare- feu, antivirus, etc.).
  • Tenir à jour ses applications et appliquer les derniers patchs de sécurité s’ils sont disponibles.
  • Il est évidemment fortement recommandé de ne pas partager les liens de visio- conférences en dehors des personnes concernées, ou photos montrant un de ces liens, et de mettre les visio-conférences en « privé » si cela est possible.

Informer des risques d’hameçonnage, aussi bien sur la boîte professionnelle que personnelle : offre de vaccins gratuits, de médicaments, menaces d’infection…

L’institut de formation du SANS a publié sur YouTube des vidéos d’informations à destination de la population non technique, en reprenant les points cités ci-dessus, en anglais.

Du côté de l’entreprise et plus précisément de la DSI et du RSSI, il est recommandé de suivre le guide du nomadisme proposé par l’ANSSI, qui est très complet sur le sujet.

De nombreux partenaires de Synetis ont d’ores et déjà proposé des licences gratuites de solutions de sécurité pour votre SI. Nos consultants peuvent par ailleurs vous aider dans la mise en place de ces solutions ici. 15

| … mais aussi par les particuliers

L’ANSSI monte également au front pour avertir les français quant aux risques cyber apportés par la crise sanitaire du Covid19. Les recommandations, si elles sont classiques, n’en reste pas moins importantes à suivre :

Encore une fois, faire attention aux mails, SMS, chat, ou encore appels téléphoniques lorsque l’origine est inconnue : cela pourrait être un mail de phishing (ou hameçonnage). Ne pas télécharger ou ouvrir de pièce jointe d’un correspondant inconnu, ni donner ses informations personnelles ou de carte bancaire.

Ne faire confiance qu’aux éditeurs ou magasins officiels pour le téléchargement d’applications, pour éviter de télécharger des logiciels malveillants.

Dans ces temps où l’on voudrait avoir un masque et du gel hydroalcoolique, ou simplement faire ses courses au Drive, il est important de vérifier si les sites sur lesquels on commande sont fiables : vérifier que les sites visités sont de vrais sites marchands, en consultant les avis sur un moteur de recherche.

De la même manière, privilégiez les sources sûres (notamment les communiqués du gouvernement) comme source d’informations. Ne téléchargez l’attestation que sur le site du gouvernement. Pour rappel, elle sera toujours gratuite. Ne la faites pas remplir par un site inconnu qui propose de vous la générer, car c’est un risque de vol de données personnelles.

Employez des mots de passe forts, et utilisez l’authentification à facteur multiple (MFA) si une option le permet. Tenez à jour vos applications et également le système d’exploitation sur tous vos équipements.

Enfin, faites des sauvegardes de vos données régulières, et sur un support déconnecté (un disque dur externe, clé USB, que vous mettrez ensuite de côté).

| Les actions des gouvernements et des entreprises privées dans la lutte

La surveillance mobile de masse adoptée par la Chine, bientôt reproduite dans d’autres pays ?

La Chine est déjà bien connue pour avoir depuis longtemps mis en œuvre un système de surveillance de masse de ses citoyens. Cependant, d’autres pays réfléchissent également à des mesures similaires pour lutter contre le COVID-19, comme c’est le cas en Corée du Sud.

La Chine avait initialement déployé une nouvelle mesure qui permettait d’identifier les citoyens qui ne portaient pas de masque et potentiellement d’identifier des personnes présentant des symptômes.

Ils ont élargi leurs mesures en intégrant une fonctionnalité qui permet de « tagger » les citoyens selon s’ils sont malades ou non. Bien qu’intrusif, selon le gouvernement chinois, ce système a permis via les données de géolocalisation de déterminer les foyers infectieux et de mieux traiter la propagation.

En Corée du Sud, le gouvernement utilise les données de plusieurs sources (images de vidéosurveillance, utilisation de la carte bancaire et donnée de téléphones) pour retracer l’activité d’un citoyen infecté et ainsi tester toutes les personnes qui ont pu être en contact avec la personne infectée en insistant sur les foyers d’infection.

Israël et les USA réfléchissent actuellement à des mesures similaires, mais, en Israël le peuple n’est pas pour et craint qu’une fois cette mesure mise en œuvre le gouvernement ne l’arrête plus.

Quant aux USA, le gouvernement a interrogé plusieurs opérateurs télécoms ainsi que Google et Facebook sur des actions qui peuvent être mises en œuvre. Facebook qui, pour rappel, est dernièrement souvent au cœur de scandale pour non-respect de la vie privée de ses utilisateurs.

Quant à l’Europe, quelques pays utilisent des données mobiles anonymisées pour savoir si les gens respectent bien le confinement, c’est notamment le cas de l’Allemagne, l’Italie et l’Autriche. Par exemple, ces données sont utilisées pour savoir si les personnes respectent un confinement strict en restant chez elle en vérifiant les appareils mobiles ne se déplacent pas à plus de 500m (grâce aux connexions aux antennes mobiles et non pas via les données de géolocalisation).

Malgré un respect du RGPD, certaines personnes pensent que cette mesure est inutile, car si les gens se savent traqués via leur mobile, ils le laisseront tout simplement chez eux.

Enfin, en France, cette idée d’utiliser les données mobiles pour tracer les utilisateurs avec comme mise en avant de « faire face aux conséquences de l’épidémie de Covid-19 et en particulier d’assurer la continuité du fonctionnement des services et des réseaux » a été rejeté au Sénat le 20 mars, les opérateurs ne seront donc pas dans l’obligation de fournir nos données, pour le moment.

| Ces entreprises privées qui veulent apporter leur pierre à̀ l’édifice

Du côté des entreprises privées, beaucoup d’efforts ont également été fait pour lutter contre les hackers qui profiteraient de la situation :

Par exemple Avast, dans un communiqué, annonce ouvrir aux chercheurs en sécurité les flux de leurs indicateurs de compromission (IOC) afin de faciliter l’entraide et les enquêtes quant aux nombreuses applications web et mobiles qui fleurissent chaque jour grâce à la crise du Covid-19. Les chercheurs doivent demander l’accès à cette base à Avast.

« Nous ne pourrons peut-être pas arrêter la propagation du COVID-19, mais en collaborant ensemble en tant que communauté, nous pouvons contribuer à bloquer la propagation des applications malveillantes qui tirent avantage de la crise. » – Communiqué d’Avast.

Microsoft a également mis sa pierre à l’édifice, en étendant le support de Windows 10 1709, Enterprise et Education : la fin de support de la version 1709, sortie en octobre 2017, devait à l’origine se faire le 14 avril.

« Nous avons évalué la situation de santé publique, et nous comprenons l’impact que cela a sur vous. Pour alléger l’un des nombreux fardeaux auxquels vous êtes actuellement confrontés, et sur la base des commentaires des clients, nous avons décidé de retarder la fin de support prévue pour les éditions Entreprise, Education et IoT Entreprise de Windows 10, version 1709. » – John Cable, directeur du management du programme.

Cette durée a donc été allongée de 6 mois, jusqu’au 13 octobre 2020, pour que la migration vers des versions plus récente puisse se faire plus facilement et sans prise de risque de sécurité inutile, sans précipitation.

Le gouvernement a sorti une liste de services numériques pour les entreprises et les citoyens, et le cabinet de Cédric O. a souhaité que les entreprises privées intègrent leurs offres de cybersécurité et Cloud.

Synetis a répondu présent en proposant un « diagnostic télétravail » consistant en une journée à donner un avis technique et de conformité sur les bonnes pratiques (mises à jour, sauvegardes, journalisation, etc.) mises en place concernant l’environnement de télétravail offert aux collaborateurs.

| Le CSIRT SYNETIS et nos conseils

Comme vous l’aurez constaté, les criminels en tout genre ne manquent pas d’imagination pour tirer le plus de profits de cette crise. Comme souvent en matière de sécurité des systèmes d’information, ces personnes n’hésitent pas à jouer sur les émotions, les peurs de leurs victimes pour s’introduire dans leurs terminaux, leurs réseaux, leurs vies, professionnelles comme personnelles.

Cette stratégie fonctionne parfois mieux que d’user uniquement de solutions techniques pour compromettre les systèmes d’information.

Ainsi, il est nécessaire (mais non suffisant) de mettre en place le maximum de mesures techniques, dont certaines seront probablement vécues comme contraignantes par les utilisateurs, afin de prévenir l’intrusion. Il s’agit d’éviter que, même si, par exemple, un utilisateur donnait son mot de passe par téléphone à un attaquant (ça n’arrive pas qu’aux autres…), ce dernier puisse s’introduire partiellement ou totalement sur votre réseau.

En parallèle, un travail de sensibilisation doit être mené afin d’éduquer à l’hygiène informatique. C’est un travail de longue haleine, parfois décourageant, mais nécessaire.

SYNETIS continue de vous informer, par le CSIRT, des dernières menaces. En outre, nous vous accompagnons dans tous vos projets pour assurer la sécurité de vos systèmes d’informations au travers d’audits ou de travaux de sécurité opérationnelle.

| Sources & Resources

https://www.zdnet.com/article/czech-hospital-hit-by-cyber-attack-while-in-the-midst-of- a-covid-19-outbreak/

https://www.presse-citron.net/covid-19-les-hopitaux-de-paris-victimes-dune- cyberattaque/

https://www.bloomberg.com/news/articles/2020-03-16/u-s-health-agency-suffers-cyber-attack-during-covid-19-response

https://www.computerweekly.com/news/252480425/Cyber-gangsters-hit-UK-medical-research-lorganisation-poised-for-work-on-Coronavirus

https://www.reuters.com/article/us-healthcare-coronavirus-usa-cyberattac/cyberattack-hits-u-s-health-department-amid-coronavirus-crisis-idUSKBN21320V

https://cyberguerre.numerama.com/4123-en-pointe-sur-le-coronavirus-loms-est-vise- par-des-hackers-de-haut-niveau.html

https://exchange.xforce.ibmcloud.com/collection/2f9a23ad901ad94a8668731932ab582 6

https://blog.malwarebytes.com/social-engineering/2020/03/cybercriminals-impersonate- world-health-organization-to-distribute-fake-coronavirus-e-book/

https://nakedsecurity.sophos.com/2020/03/19/dirty-little-secret-extortion-email- threatens-to-give-your-family-coronavirus/

https://thehackernews.com/2020/03/covid-19-coronavirus-hacker-malware.html

https://thehackernews.com/2020/03/coronavirus-maps-covid-19.html

https://twitter.com/malwrhunterteam/status/1234850871936274435

https://www.virustotal.com/gui/file/2b35aa9c70ef66197abfb9bc409952897f9f70818633 ab43da85b3825b256307

https://blog.reasonsecurity.com/2020/03/09/covid-19-info-stealer-the-map-of-threats- threat-analysis-report/

https://blog.malwarebytes.com/threat-analysis/2020/03/fake-corona-antivirus- distributes-blacknet-remote-administration-tool/

https://www.zdnet.com/article/europol-takes-down-coronavirus-fake-medicine-surgical-mask-criminal-gangs/

https://www.europol.europa.eu/newsroom/news/rise-of-fake-%E2%80%98corona- cures%E2%80%99-revealed-in-global-counterfeit-medicine-operation

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/2553

https://www.youtube.com/channel/UC2uPNhGken-ogEpJDi4ly6w

https://www.ssi.gouv.fr/entreprise/guide/recommandations-sur-le-nomadisme- numerique/

https://www.synetis.com/conseils-simples-pour-teletravailler-en-toute-cybersecurite/

https://www.undernews.fr/telephonie-phreaking-voip/avast-aide-les-utilisateurs-a- identifier-les-applications-malveillantes-qui-profitent-du-coronavirus.html

https://www.computerworld.com/article/3533557/microsoft-adds-6-months-support-for- windows-10-1709-to-account-for-pandemic-disruption.html