Le 1er avril, une partie du trafic de quelques-uns des plus grands CDN et fournisseurs de cloud a été reroutée par la Russie. Un détournement BGP dont s'est rendu coupable l'opérateur national Rostelecom, dont on ne sait s'il a été intentionnel ou accidentel.

Google, Amazon, Facebook, Akamai, CloudFlare, GoDaddy, Digital Ocean… tous ont vu leur trafic détourné mercredi dernier. En cause, une technique bien connue sur le backbone Internet : le détournement BGP, pour Border Gateway Protocol. Ce système de routage basé sur TCP a ses mérites, notamment en termes de décentralisation, mais n'est plus tout jeune, ni très robuste. D'où de multiples détournements, parfois intentionnels, parfois accidentels.

Et dès lors que le pirate du routage est Chinois ou Russe, le détournement fait les gros titres. China Telecom s'en est fait une spécialité, mais l'opérateur télécom national russe, Rostelecom, n'est pas en reste. En 2017, il détournait ainsi le trafic de Visa, MasterCard et d'autres géants de la finance. Il a rempilé le 1er avril, à grande échelle cette fois-ci. L'incident a concerné, pendant une heure, près de 8000 préfixes, pour quelque 200 opérateurs de Cloud et de CDN.

Une mauvaise blague

BGPmon explique avoir détecté le détournement peu après 19h UTC mercredi 1er avril. Détourner le trafic n'est guère complexe, puisqu'il suffit à un système autonome (AS) de communiquer un faux chemin d'accès de sorte à passer pour les autres acteurs comme le destinataire légitime des paquets IP qu'ils envoient : leur trafic sera donc rerouté par les serveurs du pirate.

Avant l'essor du HTTPS, le détournement BGP servait notamment à des attaques de type man-in-the-middle, mais avec le recours croissant au chiffrement du classique, la méthode a perdu de son intérêt. A moins d'avoir bien sûr les moyens de le stocker et de le déchiffrer. Cependant, il est également probable que ce détournement soit purement accidentel, une erreur humaine ou informatique pouvant annoncer des chemins d'accès, des préfixes ou des ASN (Autonomous System Number) erronés.

L’organisation rassemblant les hôpitaux parisiens pourrait avoir recours aux solutions d’analyse de données de l’entreprise américaine. Celle-ci est en pleine opération séduction des institutions médicales européennes, profitant de la lutte contre l'épidémie de COVID-19.

Il fut un temps où la moindre mention de Palantir faisait se dresser les cheveux sur la tête de tous les défenseurs du droit à la vie privée. L’entreprise co-fondée par Peter Thiel et financée par le renseignement américain a en effet une réputation sulfureuse. Mais, alors que le coronavirus continue de se propager, certains services de santé européens songeraient à faire appel à ses services.

Selon les sources de Bloomberg, l’Américain serait en négociations avec les autorités françaises, allemandes, autrichiennes et suisses. L’entreprise aurait d’ores et déjà obtenu un contrat avec le Lander allemand de Rhénanie du Nord-Westphalie, à hauteur de 14 millions d’euros. La semaine dernière, c’est le NHS britannique qui annonçait avoir signé avec Palantir. De notre côté de la Manche, les discussions seraient en cours avec l’APHP, l’entité rassemblant les hôpitaux publics de Paris.

Palantir à l’hosto

A ses prospects, Palantir assure que ses technologies peuvent permettre de suivre et analyser la propagation du virus, aider les hôpitaux à prévoir les pénuries de personnel et d'approvisionnement ou encore les gouvernements à préparer la sortie des mesures de confinement. Plus globalement, il s’agit d’ingérer et de traiter d’importants volumes de données. Et c’est justement cette question des données qui fait toujours débat, certains Etats européens risquant de se montrer réticents à l’idée de fournir des données aussi sensibles à une entreprise américaine.

En Europe, Palantir s’est considérablement développé ces dernières années, jusqu’à compter 800 salariés sur le vieux continent et des contrats avec bon nombre d’Etats. Dont la France. Quand bien même les services de l’Etat cherchent à s’émanciper de Palantir, son contrat avec le renseignement intérieur à été renouvelé l’an dernier, faute d’alternative souveraine. L’APHP fait appel depuis la semaine dernière à ses propres ingénieurs informatiques pour analyser les données des 39 hôpitaux de l’organisation. Ni l’APHP ni Palantir n’ont pour l’heure confirmé les informations de Bloomberg.

Actif depuis 2016, le ransomware Dharma continuait l’an dernier à faire parler de lui : dans l’Hexagone il a en août dernier été responsable de la paralysie de Ramsay Générale de Santé. Son code source a été mis en vente sur des forums russes ce week-end, pour 2000 dollars. Les chercheurs craignent un effet Mirai, mais y voient aussi l’occasion de décortiquer ce programme malveillant et d’y trouver de nouvelles parades. 

Dharma est apparu en 2016 sous le nom de CrySiS. Ce ransomware, distribué "as a Service", aux variantes nombreuses et plus ou moins virulentes, a connu un pic mi-2019 nous apprend le rapport de l’Anssi sur les rançongiciels. « Responsable d’un quart des infections détectées en 2018, Dharma est probablement proposé à bas prix » estime le SSI de l’Etat, qui ajoute que certains des attaquants ayant recours à ce ransomware ne le maîtrisent pas, tant et si bien qu’ils se sont trouvés bien incapables après paiement de la rançon de déchiffrer les fichiers de leurs victimes. 

Malgré ses nombreuses déclinaisons, là encore plus ou moins maîtrisées, Dharma se répand par le biais de pièces jointes malveillantes ou de liens dans des emails de spam, déguisé en fichier d’installation de logiciels légitimes, notamment d’antivirus, distribués en ligne et, surtout, ce ransomware est diffusé manuellement, lors d’attaques ciblées exploitant des authentifiants RDP (Remote Desktop Protocol) faibles ou préalablement compromis.

Chiffrement fort

Une fois dans le système, Dharma crée des entrées de registres afin de maintenir sa persistance et chiffre pratiquement tous les types de fichiers, exceptés les fichiers système et les autres programmes malveillants, sur le terminal cible, ses périphériques externes et les réseaux partagés. La particularité de Dharma est que son algorithme de chiffrement est particulièrement solide (AES-256 combiné avec du chiffrement asymétrique RSA-1024) : les rares fois où il a pu être déchiffré, en 2016 et en 2017, le code n’avait pas été cassé mais les clés de chiffrement divulguées. 

Et voici donc que, d’après plusieurs chercheurs en cybersécurité, le code source du ransomware a été mis en vente sur des forums utilisés par des hackers russes. Et pour une somme modique compte tenu de la réputation de ce ransomware : 2000 dollars. Chez les éditeurs, deux sons de cloche se font entendre. D’une part, certains redoutent un effet Mirai, du nom de ce botnet dont le code source avait été publié, donnant la possibilité au moins habile des cybercriminels de créer son petit botnet à moindre frais. Mais d’autres y voient l’opportunité pour les spécialistes en cyber de se pencher sur ce code source, de le décortiquer et d’y découvrir les meilleures méthodes pour contrer cette souche de ransomware.

L’antivirus de l'éditeur slovaque est maintenant disponible pour les terminaux fonctionnant sous Linux. Il s’agit pour ESET de compléter sa solution à destination des entreprises, notamment pour les grandes organisations avec une intégration à son Security Management Center.

S’il existe bel et bien des antivirus, y compris chez les éditeurs mainstream, force est de constater que le kernel open source est régulièrement laissé pour compte lorsqu’il est question de protection anti-malware. L’éditeur slovaque ESET couvrait ainsi Windows, MacOS, iOS et Android, mais point de Linux dans son portefeuille. 

Cette faille est désormais comblée, puisque ESET annonce cette semaine que Linux est pris en charge par sa solution dédiée aux entreprises, Endpoint Antivirus for Linux. On y retrouve en substance les mêmes fonctionnalités que les versions destinées aux autres OS : protection des fichiers en temps réel, analyse des systèmes... L’éditeur ajoute que son outil a été conçu de sorte à avoir un “impact minimal sur le système, laissant plus de ressources système pour les tâches vitales des postes de travail afin de maintenir la continuité des activités”.

Mise à niveau gratuite

Ainsi, Endpoint Antivirus for Linux s’exécute en tâche de fond, sans recourir à une interface graphique, les daemons ne démarrant qu’en cas de besoin tandis que les seules notifications s’affichant seront celles avertissant de l’élimination d’une menace, “ne nécessitant aucune intervention de l'utilisateur”. 

Enfin, ESET a pensé aux grands comptes, en intégrant cet outil à ses Security Management Center et Cloud Administrator. “Nous comprenons que les organisations déploient souvent une variété de systèmes technologiques au sein de leur entreprise et doivent être sécurisées sur tous les vecteurs d'attaque possibles” explique Matus Cipak, chef de produit chez ESET. La mise à niveau est gratuite pour l’ensemble des utilisateurs existants. 

A la demande de Thierry Breton, une poignée d’opérateurs télécoms européens fournira à la Commission européenne les données de géolocalisation de leurs clients, utilisées à des fins de cartographie des déplacements de la population. Des données agrégées, anonymisées et détruites lorsque la crise sera derrière nous, tels sont les garde-fous prévus. 

Quand bien même, en France, aucune mesure spécifique n’a été prise pour le moment par les autorités quant à utiliser les données de géolocalisation des opérateurs télécoms, l’Union européenne a de son côté lancé les grandes manoeuvres. Thierry Breton s’est adressé directement à la GSMA, l’association qui réunit plusieurs centaines d’opérateurs, et s’est entretenu cette semaine [...]

C’est un récit auquel on finit par s’habituer. Après la métropole Aix-Marseille-Provence, la région du Grand Est, Bouygues Construction ou encore le CHU de Rouen, c’est au tour du lunetier Essilor Luxottica d’être paralysé par un ransomware. L’attaque a débuté le week-end dernier et impacte principalement le système de prise de commandes de l’industriel. 

Une fois encore, une victime s’ajoute à la longue liste des organisations françaises infectées par un ransomware. Essilor, filiale du géant des verres correctifs Essilor Luxottica, a été frappé samedi dernier par une attaque informatique. Selon L’Express, qui rapporte cette information, un ransomware paralyse le système d’information de l’entreprise, notamment son dispositif de prise de commandes. Essilor explique à notre confrère que « certains serveurs et des ordinateurs ont été infectés par un nouveau virus. Nos équipes ont tout de suite réagi afin d'isoler les machines contaminées et d'éviter une propagation du logiciel malveillant. Un redémarrage progressif a débuté ».

Nul n’est à l’abri

Pour autant, le lunetier n’a absolument pas communiqué sur l’attaque, qui serait toujours en cours. En début de semaine, sa directrice générale France, Lena Henry, répondait au site spécialisé Fréquenceoptic quant aux difficultés rencontrés par le secteur, notamment eu égard à la pandémie de COVID-19. Mais, sur une possible cyberattaque, la DG n’a dit mot. Impossible donc pour l’heure d’en savoir plus, sinon que l’entreprise a souscrit une assurance sur le risque cyber, et que l’Anssi ainsi que la Cnil ont été notifiés. 

Pour l’anecdote, les participants des Assises de la Sécurité, organisées à Monaco en octobre dernier, se rappelleront sans doute de l’atelier lors duquel intervenait Essilor. Son RSSI, Jamal Dahmane, y témoignait justement de la collaboration de l’entreprise avec Vectra, spécialisée dans la surveillance des réseaux, et présentera son expérience de l’éditeur dans le contexte d'un SOC. SOC qui n’aura visiblement pas suffit à prévenir l’infection ce week-end du système informatique d’Essilor. 

Alors que les hôpitaux et les personnels de santé sont en première ligne dans la lutte contre le COVID-19, ils sont également dans la ligne de mire de hackers. D’un hôpital tchèque au ministère américain de la Santé en passant par, hier, l'APHP, les cyberattaques ciblant les organisations médicales ont le vent en poupe. L’ACSS (Accompagnement Cybersécurité des Structures de Santé) français appelle le secteur à la prudence. 

En pleine pandémie, les établissements de santé sont en tension et des individus et groupes mal intentionnés cherchent à en profiter. Hier, les hôpitaux de Paris auraient, selon L’Express, été victimes d’une cyberattaque. A priori, un DDoS a impacté pendant une heure les SI de l’APHP, notamment le client mail ainsi que certains outils utilisés à des fins de télétravail. On garde d’ailleurs en mémoire l’attaque par ransomware qui a affecté le CHU de Rouen en fin d’année dernière. 

Plus tôt en mars, un hôpital tchèque, à Brno, était infecté par un ransomware, face auquel les équipes de ce centre hospitalier ont été contraints de déconnecter leurs systèmes informatiques. Deux jours plus tard, le 15 mars, c’était au tour du Health and Human Services Department, équivalent américain de notre ministère de la Santé, d’être frappé par une attaque par déni de service distribué (DDoS), qui n’est pas parvenu à faire tomber le SI du HHS mais a perturbé son fonctionnement durant quelques heures. 

La santé ciblée

L’Accompagnement Cybersécurité des Structures de Santé a émis en France plusieurs recommandations suivant celles précédemment formulées par l’OMS. L’ACSS a à peine plus de deux d’existence et se retrouve pourtant au front. Ce « dispositif de traitement des signalements des incidents de sécurité des systèmes d’information (SSI) des établissements de santé et des organismes et services exerçant des activités de prévention, de diagnostic ou de soins » a en effet été mis en place en octobre 2017 par le ministère de la Santé. Sur son site, il rapporte que « différents messages d'information sur le Covid-19 nous ont été signalés. Il s'agit en réalité de virus informatiques ».

Si les cybercriminels font feu de tout bois pour jouer sur la situation actuelle, visant aussi bien particuliers qu’entreprises par des campagnes de phishing ou de ransomwares, les organismes de santé semblent à l’heure actuelle une proie particulièrement prisée. « Dans la mesure où ces établissements de santé effectuent des opérations critiques et détiennent des informations vitales à propos des patients, ils ont davantage tendance à payer la rançon, ce qui en fait des cibles de choix pour les cybercriminels » écrit Michal Salat, responsable Threat Intelligence chez Avast. « Alors que la crise mondiale générée par l'épidémie du COVID-19 suscite des craintes légitimes, il est primordial d'avoir conscience que les cybercriminels cherchent à tirer profit de la situation. Le secteur de la santé est en première ligne et doit à tout prix se protéger des cybermenaces pour être en mesure d'assurer pleinement ses missions, un enjeu national majeur ».