Les cyberincidents qui ont marqué novembre 2022
Tour d’horizon des actualités sur la cybersécurité : octobre 2022
3 octobre , 2022
Tout savoir pour signer un contrat Assurance Cyber en toute sécurité
30 novembre , 2022
Une violation de données se produit lorsqu’un auteur de menace ou viole le système d’une entreprise, d’une organisation ou d’une entité et extrait délibérément des données sensibles, privées et/ou personnellement identifiables de ce système. Lorsque cela se produit, les entreprises, sans protection adéquate (pare feu, …), sont parfois obligées de payer des rançons ou leurs informations sont volées et publiées en ligne. Selon une estimation, 5,9 milliards de comptes ont été ciblés par des violations de données l’année dernière.
En Europe, les ransomwares sont le principal type d’attaque, représentant 26 % des attaques sur le continent en 2021. Les attaques d’accès au serveur (12 %) et le vol de données (10 %) étaient les autres types d’attaques les plus courants.
Nous avons atteint la fin de l’année, mais les cyberattaques novembre 2022 ne cessent de s’intensifier. Laissez ce récapitulatif des plus grands cyber-incidents du mois d’octobre de cette année vous rappeler à quel point les choses sont déjà devenues chaotiques, et l’année n’est pas encore finie !
Les cyberattaques d’octobre 2022
Les cyberattaques novembre 2022 les plus importantes et qui font la une des journaux ont tendance à toucher les plus grandes entreprises. Après tout, ils ont le plus de données. La violation de données de Binance qui s’est récemment produite, par exemple, a coûté 570 millions de dollars à la société. Cela oblige plus que jamais les entreprises à sécuriser leurs réseaux, assurer la redondance informatique (sauvegarde externalisée, …), à s’assurer que le personnel dispose de mots de passe forts et à former les employés à repérer les signes révélateurs des campagnes de phishing.
Voici les plus grandes violations de données et cyberattaques signalées au mois d’octobre 2022, et ce qu’elles peuvent apprendre à votre petite entreprise sur la sécurité du réseau.
Attaque d’une cyberattaque de nature inconnue pour le grossiste METRO
Le géant international de la vente en gros METRO connaît des pannes d’infrastructure et des problèmes de paiement en magasin suite à une récente cyberattaque.
L’équipe informatique de l’entreprise enquête actuellement sur l’incident avec l’aide d’experts externes pour découvrir la cause de cette panne en cours.
Des pannes informatiques affectent les magasins en Autriche, en Allemagne et en France depuis au moins le 17 octobre, selon un rapport de Günter Born.
Même si ses magasins fonctionnent toujours, METRO dit avoir été contraint de mettre en place des systèmes de paiement hors ligne et que les commandes en ligne sont retardées.
La société a informé les autorités de cet incident de sécurité et coopérera à toute enquête liée à l’attaque.
METRO est une société de vente en gros internationale pour les clients de l’industrie HoReCa (hôtellerie, restauration et restauration), opérant dans plus de 30 pays et employant plus de 95 000 personnes dans le monde.
Elle exploite 661 magasins de gros (au 30 septembre 2022) sous les marques METRO et MAKRO.
Pour le moment, la société n’a partagé aucune information sur la nature de cette cyberattaque en raison de l’enquête en cours, mais les pannes de l’infrastructure informatique sont généralement liées à des attaques de ransomwares.
La plateforme Binance hackée
Binance, la plus grande plateforme d’échange de crypto-monnaie au monde, a confirmé vendredi que 570 millions de dollars avaient été volés dans le cadre d’un piratage d’une blockchain que Binance gère et qui sert de pont pour les transferts d’actifs entre réseaux. L’attaque du réseau Binance Smart Chain a mis en évidence les faiblesses de la finance décentralisée, ou DeFi, où les transactions sont contrôlées par code.
Des hackers ont volé 570 millions de dollars à une blockchain liée à Binance. La grande plateforme d’échange cryptographique a dû interrompre temporairement le fonctionnement de sa chaîne intelligente Binance après l’exploit.
Depuis le piratage, le prix de Binance Coin (BNB) a également sensiblement baissé, le jeton ayant baissé de 3,5 % au cours des dernières 24 heures se négocie à 281 $.
Selon le blog BNB Chain de Binance, les pirates ont volé 2 millions de jetons BNB du réseau le 6 octobre, soit environ 570 millions de dollars aux prix actuels.
Le co-fondateur et PDG de Binance, Changpeng Zhao, a déclaré que l’exploit était sur un pont inter-chaînes, BSC Token Hub, ce qui a entraîné la création de jetons BNB supplémentaires à partir de rien. Un pont inter-chaînes permet aux utilisateurs de transférer leurs actifs numériques d’une blockchain à une autre. Le BSC Token Hub est un pont entre la BNB Beacon Chain (BEP2) et la BNB Chain (BEP20 ou BSC). Binance a demandé aux validateurs de suspendre temporairement le réseau, et Zhao a confirmé que les fonds des utilisateurs étaient en sécurité.
Cette dernière a repris les opérations de la chaîne BSC après avoir publié une mise à jour logicielle qui a gelé les comptes des pirates. Les opérations ont redémarré vers 06h40 UTC. Suite à la résolution, Zhao a félicité l’équipe de BNB, affirmant qu’elle avait traité le problème rapidement et avec transparence et responsabilité. L’équipe a également publié une mise à jour à ce sujet, indiquant qu’un nouveau mécanisme de gouvernance en chaîne serait introduit sur la chaîne BNB pour lutter contre les futures attaques.
L’Institut national polytechnique de Toulouse victime d’une cyberattaque de grande ampleur
Depuis lundi, impossible de se connecter aux sites internet de trois des écoles d’ingénieurs de l’Institut national polytechnique de Toulouse. L’établissement public a été victime d’une cyberattaque de grande ampleur dans la soirée du 12 septembre, avec demande de rançon. Pas d’Internet donc, et l’accès aux logiciels et aux données est impossible pour les élèves et les enseignants.
Les pirates ont utilisé un ransomware, l’un de ces logiciels malveillants qui demande une rançon pour libérer les données et le réseau. Une plainte a été déposée par l’INP.
Les conséquences de cet incident de sécurité n’ont pas été précisées par l’INP, ni le montant de la rançon réclamée par les malfaiteurs.
L’hôpital de Charleville-Mézières, touché mais pas coulé
Depuis plusieurs jours certains hôpitaux, comme à Charleville-Mézières (Ardennes) ou Corbeil-Essonnes (Île-de-France) sont victimes de cyberattaques novembre 2022. Ces lieux hautement sensibles font pourtant l’objet d’une sécurité informatique importante. On est donc en droit de se demander si leur sécurité est à la hauteur des menaces.
Les deux hôpitaux de Charleville-Mézières (Ardennes) ont été la proie de deux cyberattaques en quatre jours : l’hôpital de Manchester le 3 octobre 2022 et l’hôpital psychiatrique de Belair le 30 septembre 2022. A l’issue de cette intrusion informatique, aucune donnée ne semble avoir été volée. Aucune demande de rançon n’a été reçue.
À l’hôpital Belair, le hacker s’est introduit dans le système par l’intermédiaire d’un ordinateur d’un employé. Pour protéger au mieux les données, la consigne a été de couper tous les accès à distance et de revenir au papier et d’imprimer des milliers de documents pour parer à une possible perte de données. Malgré le piratage, les deux hôpitaux concernés fonctionnent normalement, la prise en charge des patients n’est pas suspendue.
La maternité des bluets victime de vol de données
Dans le 12 e arrondissement de Paris, la maternité des Bluets tourne au ralenti : dans un communiqué, l’hôpital Pierre-Rouquès-Les Bluets explique que son système informatique a été touché par une cyberattaque qui a eu lieu le dimanche 9 octobre. Cette clinique privée assure la poursuite de son activité mais annonce que les outils et services habituellement utilisés par ses salariés sont ralentis par les conséquences de la cyberattaque : le communiqué précise par exemple que les adresses e-mail habituellement utilisées par les équipes de la maternité sont non fonctionnelles et invite les patients à se tourner vers d’autres adresses mises en place par la maternité.
L’incident a contraint l’établissement à réduire sa capacité d’accueil en salle de naissance. L’établissement indique que certaines consultations, notamment en PMA, seraient également annulées. D’autres outils d’équipe de soins de santé, tels que les logiciels de gestion des entrées et des sorties, ont également été touchés par l’attaque.
Les attaquants ont utilisé un logiciel de type ransomware, qui a été utilisé pour crypter les données sur le système informatique de la victime. Le communiqué des Bluets précise que les auteurs de l’attaque ont également volé des données sur les serveurs de l’établissement, sans que l’hôpital ne soit, pour le moment, en mesure de donner la nature exacte des données concernées ou l’identité des personnes concernées. Les Bluets mettent en garde leurs patients contre d’éventuelles attaques de phishing ou autres tentatives d’usurpation d’identité exploitant les données dérobées lors de cette attaque.
L’établissement désigne un groupe connu de rançongiciels, Vice Society, comme l’auteur de l’attaque.
Entre-temps, Vice Society s’est attribué le mérite de l’attaque et a affirmé avoir téléchargé plus de 150 Go de fichiers à partir des réseaux de l’hôpital.
Il s’agit d’un groupe cybercriminel qui a ciblé de nombreuses écoles et établissements de santé à travers le monde. En août 2021, le groupe revendiquait l’attaque informatique qui avait paralysé le centre hospitalier d’Arles, ainsi que celui d’Ajaccio en mars 2022.
Bien que le groupe pense avoir entièrement crypté les systèmes, l’hôpital affirme que la plupart des dossiers médicaux restent accessibles.
Selon un rapport, l’hôpital a coupé l’accès aux réseaux externes pour empêcher la propagation de logiciels malveillants. En attendant, il donne la priorité aux applications critiques pour maintenir la continuité du service.
Le département de Seine-Maritime dans la ligne de mire d’une cyberattaque
Après la mairie de Caen, fin septembre, le département de la Seine-Maritime est à son tour victime d’une cyberattaque et et a dû couper temporairement ses réseaux le lundi 10 octobre. Il est pour l’instant Impossible de déposer des dossiers individuels pour tous les dispositifs jeunesse, sport, bioéthanol et zones à faibles émissions ainsi qu’auprès de la maison départementale des handicapés, selon un communiqué.
Les lignes téléphoniques fixes du département sont épargnées, et les démarches restent possibles sous format papier pour l’allocation personnalisée d’autonomie (APA), les prestations d’indemnisation du handicap et les centres médico-sociaux, ces derniers continuant d’honorer les rendez-vous prévus.
Les espaces informatiques des collèges ainsi que les directions de la voirie, de l’environnement et des sites et musées départementaux, qui sont sur un autre réseau, fonctionnent normalement, selon la même source.
Le département, qui a porté plainte et délivré une pré-déclaration à la Commission nationale de l’informatique et des libertés (CNIL) assure avoir mis en œuvre toutes les mesures pour évaluer le préjudice et protéger les données des utilisateurs.
Cette attaque informatique est la troisième subie ces dernières semaines par les collectivités locales, après l’hôpital de Corbeil-Essonnes en août et la ville de Caen fin septembre, également située en région Normandie. Contre l’établissement de santé, le groupe cybercriminel Lockbit avait finalement mis à exécution ses menaces et diffusé, dès le 23 septembre, les données que des pirates informatiques avaient volées un mois plus tôt, lors d’une attaque informatique qui avait fortement perturbé l’activité du site.
Chaville : victime d’une cyberattaque de grande ampleur
Cette cyberattaque a été revendiquée par le groupe russophone Cuba Ransomware. La mairie de Chaville (Hauts-de-Seine) a été touchée par une cyberattaque de grande ampleur dans la nuit du 14 au 15 octobre 2022; rapporte France 3 Paris Ile-de-France. Le groupe russophone Cuba Ransomware a revendiqué l’offensive sur son blog mardi. Son objectif était d’extorquer une rançon à la communauté en échange du rétablissement de ses services. Les services municipaux connaissent actuellement une forte paralysie de leur activité.
Depuis la cyberattaque, les agents n’ont plus accès à leur messagerie et à leur réseau commun. Le portail Famille, destiné aux crèches, écoles, cantines et activités périscolaires, est inaccessible. Les employés ont dû s’adapter pour tenir à jour les registres de l’état civil.
Accompagnée de plusieurs experts en cybersécurité et en audit sécurité informatique, la mairie planche sur un retour à la normale attendu dans les prochains jours après nettoyage des ordinateurs et restauration des données.
Les actions de la France et de la CNIL continue
Avec l’utilisation croissante des solutions digital workplace, des systèmes d’IA et la complexité croissante du cadre juridique relatif à une telle utilisation, le besoin de méthodes et d’outils appropriés pour auditer les systèmes d’IA devient plus pressant tant pour les professionnels que pour les régulateurs. La CNIL a récemment testé deux outils susceptibles d’aider ses auditeurs à comprendre le fonctionnement d’un système d’IA : IBEX et Algocate. Alors qu’IBEX vise à expliquer un système d’IA, Algocate cherche à justifier les décisions prises par un système d’IA en vérifiant la décision par rapport à des normes spécifiques. Les deux outils permettent des audits « boîte noire », ce qui signifie qu’ils se concentrent sur les tenants et les aboutissants d’un système d’IA plutôt que sur son fonctionnement interne.
La CNIL a demandé à certains de ses agents d’utiliser ces outils dans un scénario théorique et de se poser les questions suivantes :
- Les explications fournies par l'outil ont-elles été utiles pour comprendre le fonctionnement du système d'IA ?
- Ces explications étaient-elles compréhensibles pour les participants ?
- Ces outils faciliteraient-ils le travail des auditeurs de la CNIL ?
Les agents de la CNIL ont relevé des enjeux pour chaque outil, notamment liés à l’usage réel et à la complexité des outils. L’expérience de la CNIL a également montré que certains utilisateurs auraient préféré une explication du fonctionnement générique du système plutôt que des analyses locales.
Il semble donc que les outils devront encore être améliorés avant de pouvoir être utilisés efficacement par les régulateurs.
En parallèle, la France continuera à renforcer la sécurité de ses réseaux critiques et sa résilience en cas de cyberattaque majeure en se développant.
Faites de votre vision d’un lieu de travail numérique une réalité avec les puissants outils disponibles dans Microsoft Cloud comme office 365 cloud.
