Le RSSI de l’Etat vient de publier par le biais du CERT-FR une liste de dix vulnérabilités, particulièrement critiques, découvertes en 2020 ou 2019, et particulièrement marquantes, parce que critiques, exploitées activement et, parfois, affectant des équipements nécessaires au travail à distance.
Bien qu'il soit partie intégrante de l'ACYMA, le ministère des Armées renforce un peu plus son action au sein du GIP. Selon ce nouvel accord, les militaires mettront leurs produits de sensibilisation aux risques cyber au service de cybermalveillance.gouv.
Une nouvelle collectivité est victime de la vague de cyberattaques qui frappe la France. Les liaisons numériques de Chalon-sur-Saône, et de la communauté d’agglomération du Grand Chalon, sont depuis hier “indisponibles”, bien que sites internet et standards téléphoniques restent opérationnels. Aucune rançon n’a pour l’heure été exigée.
L’hôpital Nord-Ouest de Villefranche-sur-Saône est injoignable depuis hier, par téléphone ou par Internet. L’établissement est en effet victime du ransomware Ryuk, qui a obligé les équipes informatiques à couper l’accès au SI de l’hôpital, qui tourne depuis au ralenti.
Dans la nuit de dimanche à lundi, l’hôpital Nord-Ouest de Villefranche-sur-Saône est victime d’une attaque par ransomware. On ignore l’étendue des dégâts, mais les équipes informatiques de l’établissement ont été contraints, afin de limiter la propagation du virus, de couper les accès à internet ainsi qu’au système d’information et de déconnecter l’ensemble des postes de travail à l’exception du standard des urgences, seul service désormais joignable.
C’est donc en mode dégradé que fonctionnent les trois sites de l’hôpital Nord-Ouest (Villefranche, Tarare et Trévoux). Une cellule de crise a été mise en place pour assurer la coordination entre les trois sites et leur fonctionnement, tandis que l’Anssi a été appelé à la rescousse et mène l’enquête sur cette attaque imputée à Ryuk, un tristement célèbre ransomware qui touche particulièrement les établissements hospitaliers français.
Si aucun transfert de patient vers d’autres structures n’a été prévu pour le moment, les interventions chirurgicales programmées ce mardi ont été reportées et les personnes devant passer aux urgences sont redirigées vers d’autres services d’urgences. La campagne de vaccination anti-Covid se poursuit, les formalités administratives se faisant désormais sur papier.
“L’ensemble des personnels de l’Hôpital Nord-Ouest fait face à cette attaque avec courage et détermination" explique la direction de l’hôpital, qui doit tenir aujourd’hui une conférence de presse. Le secteur hospitalier en France est la cible de nombreuses attaques depuis fin 2019, à commencer par le CHU de Rouen. Dernièrement c’est le centre hospitalier de Dax qui a été visé par une attaque la semaine passée.
Formations, emplois, déploiements, R&D : l’éxecutif entend accentuer ses investissements dans la cybersécurité afin de faire face aux menaces qui se font de plus en plus pesantes notamment sur les collectivités et les hôpitaux.
Nous sommes peut-être parmi les “pays les plus avancés pour la réponse”, nous découvrons encore de nouvelles attaques, étatiques, mafieuses ou criminelles. Ce matin, Emmanuel Macron s’exprimait sur la cybersécurité en France, alors que les attaques contre les hôpitaux et les collectivités se multiplient. Si depuis 2017, les moyens se sont renforcés, des efforts sont encore à faire selon le président de la République, dans un moment "où nous devons continuer d 'accélérer sur la numérisation”.
Sept milliards d’euros du plan de relance vont au numérique, mais la résilience s’impose. D’où un investissement consenti par l’État dans le cadre d’un plan d’accélération dans la cybersécurité. L’Anssi va ainsi se doter de nouveaux moyens, en passant notamment de 400 salariés aujourd’hui à 700. Le Plan France Relance ainsi que le Programme d’Investissement d’Avenir PIA vont en outre être mis à contribution.
515 millions, dont 290 millions de fonds publics iront au développement de solutions souveraines. 148 millions d’euros, répartis à égalité entre public et privé, serviront à renforcer les synergies entre les acteurs de la filière. 176 millions (dont 150 millions de l’État) seront dédiés à l’adoption de solutions de cybersécurité par les entreprises, les collectivités et les administrations. Enfin, le gouvernement prévoit de soutenir le secteur en fonds propres à hauteur de 200 millions d’euros.
Soit un plan d’environ 1,03 milliard d’euros, dont 720 millions sont apportés par l’État. Avec l’aide de ces fonds, l’exécutif a fixé une série d’objectifs à l’horizon 2025, allant d’un chiffre d’affaires de la filière multiplié par trois à 33 000 emplois en plus, en passant par 20% de brevets supplémentaires et surtout l’émergence de trois licornes. Plusieurs noms ont été avancés, dont ceux de Vade Secure et de Gatewatcher dont le dirigeant, Jacques de La Rivière, nous expliquait en début d’après-midi qu’il était très flatté de cette mention par le président de la République, tout en gardant la tête froide.
La stratégie d’accélération cyber de l’État ne consiste pas qu’en une enveloppe financière, mais aussi en plusieurs projets parmi lesquels le Campus Cyber, qui devrait être ouvert d’ici à la fin de l’année, le Grand Défi Cyber, qui soutiendra des projets de R&D, ainsi que le Comité stratégique de filière Industrie de Sécurité signé l’an dernier à l’occasion du FIC. Et pour coordonner l’ensemble des éléments de cette stratégie, l’exécutif a nommé William Lecat, directeur de programme au SGPI (Secrétariat général pour l'investissement).
Facebook a décidé en novembre de récupérer des noms de domaine semblables aux siens, afin d’éviter une utilisation de facbook et autres instragrarn. Mais cinq de ces domaines étaient utilisés par Proofpoint, qui a déposé une plainte contre Facebook.
Cette histoire à dormir debout commence en novembre dernier. Facebook demande au WIPO (World Intellectual Property Organisation) de récupérer une poignée de “lookalike”, des noms similaires aux siens. Il s’agit pour le réseau social d’éliminer des nuisibles qui exploitent la proximité de ces domaines avec ceux légitimes du géant à des fins malveillantes. Rien d’extraordinaire ici : les grands groupes tels que Microsoft, Google et Facebook sont coutumiers de ce genre d’opérations de récupération de noms de domaine.
Le réseau social a donc exigé, via une UDRP (Uniform Domain-Name Dispute-Resolution) du registrar Namecheap qu’ils lui rendent plusieurs noms de domaine imitant ceux de Facebook et d’Instagram. Fin janvier, le Centre de médiation et d’arbitrage du WIPO ordonne au registrar de s’exécuter : il doit transférer ces noms de domaine à Facebook. Or, parmi eux, facbook-login-com, facbook-login.net, instagrarn.ai, instagrarn.net et instagrarn.org, qui sont tous les cinq utilisés par nul autre que Proofpoint.
L’éditeur de solutions de cybersécurité utilise en effet ces domaines à des fins de sensibilisation au phishing. Et voilà que, dans sa plainte, Facebook justifie la récupération des noms de domaine au motif que leur propriétaire “n'utilise pas les noms de domaine dans le cadre d'une offre de bonne foi de biens ou de services”. La réaction de l’entreprise ne se fait pas attendre : il saisit la cour de district d’Arizona afin de conserver ces noms de domaine.
“Les demandeurs ont des intérêts légitimes à utiliser les noms de domaine dans le cadre de l'offre de bonne foi de services au public” écrit Proofpoint dans sa plainte, arguant que son utilisation des cinq noms est légitime et n’est pas de nature à créer une confusion entre Facebook et ses propres pages. Et surtout qu’il ne s’agit en rien d’un usage malveillant. Et pour cause, en arrivant sur l’une des cinq pages, un message prévient que ce site appartient à Proofpoint et qu’il s’agit d’un test visant à sensibiliser l’internaute au phishing.
Proofpoint demande donc à la cour de justice de réagir pour empêcher que Facebook le prive de ces noms de domaine, puisqu’une décision de justice suspendrait le transfert, à moins que le WIPO ne prenne les devants pour donner raison à l’éditeur contre le réseau social.
Le Forum International de la Cybersécurité de Lille devait se tenir initialement fin janvier, avant d’être repoussé à avril en raison de la situation sanitaire. Celle-ci ne s’améliorant pas, l’organisateur décale à nouveau le salon à juin, et indique que le FIC est susceptible de se tenir finalement en septembre. Au moins, il fera chaud à Lille.
En novembre dernier, les organisateurs du Forum International de la Cybersécurité de Lille prenaient la décision de décaler le salon. La grand messe de la cybersécurité devait initialement se tenir fin janvier, en ce moment même : il alors décalé au 6, 7 et 8 avril 2021. Mais comme plane toujours la menace d’un troisième confinement, avec une situation sanitaire qui ne s’améliore guère malgré le confinement avancé à 18h, le CEIS, organisateur de la manifestation, vient d’annoncer un nouveau report du FIC.
Et parce qu’à quelque chose malheur est bon, c’est dans la chaleur du mois de juin que devrait donc se tenir au Grand Palais de Lille le FIC 2021, les mardi 8, mercredi 9 et jeudi 10 juin 2021. Du moins, à priori... “Parce que l’équipe du FIC pense que la dimension « présentielle » est absolument indispensable pour la filière, une autre option début septembre (31 août, 1er et 2 septembre) est également prévue, au cas où la situation sanitaire ne permettrait toujours pas de tenir l’événement en juin” annonce l’organisation.
Pour autant, un FIC devrait bien avoir lieu en avril, du moins une version virtuelle et raccourcie. Le communiqué explique que se tiendra le 7 avril un Virtual FIC, qui sera répété du 1er au 4 juin pour quatre sessions de 2h30 chacune. On ignore pour l’heure les tenants et aboutissants de cet événement, sinon qu’il est organisé en partenariat avec Manzalab, un expert du Serious Game et éditeur de la solution Teemew Event, qui permet d’organiser des événements virtuels.
Le loueur de voitures a révélé hier avoir été la cible d’une cyberattaque, qu’il est parvenu à contenir de sorte à ce que le ransomware n’ait pas d’impact sur ses opérations courantes.
2021 commence sur les chapeaux de roues en ce qui concerne les ransomwares. Ryuk, Babuk, Pysa, Sodinokibi... ces programmes malveillants font déjà parler d’eux, trois semaines à peine après le nouvel an. Le week-end du 16 janvier, la ville d’Angers rapportait être victime de deux attaques, une visant les comptes du maire sur Instagram et Twitter, la seconde ciblant le SI de la métropole et bloquant la majeure partie des postes de travail de ses salariés. Hier, on a appris que le groupe UCAR avait à son tour été victime d’un ransomware.
Le loueur de voitures explique dans un communiqué avoir “été récemment la cible d’une cyberattaque”. S’il ajoute qu’il s’agissait d’un “rançongiciel”, il n’en dévoile pas plus sur la nature de l’attaque, assurant que ses équipes informatiques ont promptement réagi. “Nous avons mobilisé une équipe d’experts autour de la DSI et du Secrétariat Général d’UCAR : des experts indépendants reconnus, à travers d'une part, un cabinet de conseil en gestion des risques et spécialiste dans les domaines de l'IT et du Cyber, ainsi qu’un cabinet spécialisé en forensic”.
L’attaque a pu être contenue selon le groupe, de sorte qu’elle n’a “pas eu d’impact sur les opérations d’exploitation, et les agences ont pu servir leurs clients sans coupure de service. Les services web sont restés opérationnels ainsi que les logiciels métiers”. De même, les données chiffrées par le programme malveillant ont été immédiatement restaurées à partir de sauvegardes. UCAR ne précise cependant pas si ces données ont pu être exfiltrées ou non : le groupe s’est rapproché des autorités compétentes, dont la Cnil.
Trend Micro s'est livré au petit jeu des prédictions pour 2021 et le tableau n'est pas réjouissant pour les professionnels de l'informatique !
Dans son rapport "Turning the Tide" (Renverser la vapeur!), Trend Micro, l'éditeur de solutions de sécurité, livre ses prédictions pour 2021 après avoir recueilli l'avis de 500 responsables informatiques (CSO, CIO, CTO). Les réponses ne rassurent pas sur l'avenir des carrières de ces professionnels. Ainsi 41 % pensent que leur job sera remplacé par de l'intelligence artificielle d'ici 2030. Seulement 9 % sont convaincus du contraire. 32 % estiment que cette technologie permettra d'automatiser totalement la cybersécurité avec un recours restreint à l'intervention humaine. 19 % pensent que les attaquants vont utiliser l'Intelligence artificielle pour améliorer leur arsenal d'ici 2025. Bref un petit écart de quatre ans entre le canon et la cuirasse!
Un quart (24 %) voit les accès aux données liés à la biométrie ou une reconnaissance par ADN. Ils prédisent de plus que les entreprises vont largement alléger leurs investissements immobiliers alors que le travail à distance ou le télétravail devient la nouvelle norme. La 5G va transformer les infrastructures réseaux et la sécurité (21 %). Cette dernière sera plus automatisée et deviendra autonome.
En attendant le rapport conseille aux entreprises des remèdes assez classiques de formation et de surveillance permanente avec le maintien d'un contrôle strict des accès à la fois au réseau de l'entreprise mais aussi pour le réseau du travailleur distant en s'appuyant sur des stratégies Zero Trust. Un point spécifique est fait sur la sensibilisation et la formation des salariés sur la cybersécurité. Les professionnels de l'IT ont certainement plus d'imagination sur leur futur que sur les solutions qu'ils peuvent apporter dans la cybersécurité
Selon une étude de Prolifics Testing, sur la base des données de la Commission européenne, les citoyens français sont enclins à contacter la police lors qu'ils sont victimes d'une attaque cyber.
A partir des données de la Commission européenne, Prolific Testing a analysé la réaction de 1018 citoyens français victimes de cyber-crimes. Selon les types de crimes, ils réagissent assez différemment. En cas de vol d'identité ou de données, ils sont 77 % à contacter la police. 66 % contactent les forces de l'ordre en cas de fraude bancaire mais seulement 51 % ont ce réflexe en cas de rançongiciels. Ils contactent encore la police en cas de phishing (28 %) ou lorsque leur boîte mail ou leur compte de réseau social a été compromis (26 %). Ils ne sont plus que 17 % lorsqu'ils découvrent un logiciel malicieux sur leur PC ou tablette.
En cas de déni de service d'un vendeur ou d'un service auquel ils sont abonnés, les utilisateurs pour un tiers contactent directement l'entreprise. Ils sont un sur deux lorsque l'article acheté en ligne n'est pas livré ou ne correspond pas à leur commande ou à ce qui était proposé sur le site.
| What action would French citizens take if victim to these cyber-crimes? | ||
| Cyber Crime | Primary Action | % That Would Take this Action |
| Identity theft (i.e. stealing personal data) | Contact the police | 77% |
| Online banking fraud | Contact the police | 66% |
| Being asked for payment to get back control of device | Contact the police | 51% |
| Purchased online goods not delivered, counterfeit or not as advertised | Contact the website or vendor | 47% |
| Cyber attacks which prevent access to online services (e.g. banking etc.) | Contact the website or vendor | 31% |
| Fraudulent emails requesting personal details (e.g. account logins, payment information etc.) | Contact the police | 28% |
| Email or social network account being hacked | Contact the police | 26% |
| Discovering malicious software on device | Contact the police | 17% |
La sulfureuse société américaine est devenue l’un des membres Day 1 de l’initiative européenne, qui l’est de moins en moins quand bien même Palantir ne lésine pas sur les efforts d’explications pour justifier son adhésion à Gaia-X.
Gaia-X semble de moins en moins Européen ! Malgré les volontés affichées par les exécutifs français et allemand de construire une infrastructure de données européenne, malgré OVH et Deutsche Telekom qui en sont le fer de lance, le projet ne manque pas d’interroger quant à la “souveraineté” dont il se veut l’étendard. Surtout avec l’adhésion de géants qui n’ont rien d’Européen, à l’instar des Américains Salesforce, Google Cloud, AWS ou Microsoft, ou des Chinois Alibaba Cloud et Huawei, confrontés sur le terrain des réseaux à l’hostilité des autorités européennes.
Autant d’entreprises accueillies à bras ouverts dont pourtant les pratiques de leurs États respectifs quant aux données des utilisateurs européens mécontentent sur le Vieux Continent. Les inquiétudes relatives au FISA ou encore au Cloud Act ont ainsi mené à l’annulation du Privacy Shield ou encore à la remise en cause de l’hébergement du HDH français sur Azure. Or une dernière annonce d’adhésion à Gaia-X a fait réagir les défenseurs de l’idée d’une souveraineté numérique européenne : celle de Palantir.
L’entreprise américaine spécialisée dans l’analyse de données, financée par le renseignement US et ô combien controversée, indique ainsi avoir rejoint l’initiative européenne en tant que “Day 1 Member”. Et en explique les raisons dans un long post sur Medium. “Il est raisonnable de se demander pourquoi une entreprise comme Palantir Technologies, fondée dans la Silicon Valley et dont le siège social mondial est à Denver, Colorado, devrait considérer sa participation au projet comme importante, appropriée et conforme aux objectifs déclarés de promotion de la souveraineté et de la disponibilité des données en Europe” attaquent d’emblée Harkirat Singh, responsable technique de Palantir installé à Londres, et Robert Fink, ingénieur basé à Munich.
En plus de 17 ans de travail dans certains des environnements de données les plus sensibles au monde, nous avons acquis une compréhension de la manière dont des solutions technologiques complexes peuvent et doivent être entrelacées avec la gouvernance des données plus large et les contextes normatifs dans lesquels la technologie doit fonctionner. C'est précisément le point fort de notre expérience et de notre expertise, que nous espérons apporter à GAIA-X et aux écosystèmes de données européens au cours des prochaines années. C’est pourquoi nous avons décidé de rejoindre GAIA-X.
Palantir
L’œil de Sauron
Très bonne question, en effet. Les deux salariés de Palantir justifient cette adhésion par l’adéquation entre les défis que Gaia-X entend relever et les activités de l’entreprise : “les valeurs au cœur du projet GAIA-X sont, en effet, au cœur de notre propre mission en tant qu'entreprise : la protection des données, la sécurité des données et la souveraineté numérique des institutions que nous soutenons et des groupes qu'elles servent” écrivent Harkirat Singh et Robert Fink. “Certains peuvent à nouveau voir une contradiction entre coopération d'une part et sécurité d'autre part, entre souveraineté et disponibilité des données. La tâche pour nous, informaticiens et ingénieurs en logiciel, est de réfuter cette dichotomie. Pour nous, cette perspective est à la fois une opportunité de tirer parti de nos investissements en ingénierie à ce jour et un formidable défi pour les années à venir” concluent-ils.
Ce qui ne répond pas in fine à la dichotomie entre entreprise américaine et initiative européenne, et accessoirement entre ambitions de souveraineté et liens avec le renseignement. Surtout, outre Palantir, l’adhésion à Gaia-X de nombreuses sociétés non-européennes risque d’éloigner du projet certains clients potentiels à la recherche d’une solution véritablement européenne et non pas d’un imbroglio soumettant potentiellement leurs données à la surveillance américaine et chinoise.
