Les cybercriminels ne prennent pas de vacances et le secteur public a été particulièrement touché lors de la période des fêtes. Ainsi la compromission de l'autorité vietnamienne de certification a permis une attaque à plus large échelle par rebond. Plus proche de nous, le Père Noël n'a pas pu protéger le parlement finlandais d'un cyberespionnage en règle.
La cybercriminalité ne dort jamais. Entre Noël et le Nouvel An, au moins deux cyberattaques majeures ont été détectées, l'une visant le parlement finlandais, l'autre l'autorité de certification vietnamienne. Dans le cas du VGCA, ou Vietnam government certification authority, ESET a mis au jour une attaque visant l'institution. Le site web de l'autorité a ainsi été compromis dans le courant de l'été, les attaquants en profitant pour injecter un malware dans plusieurs des applications proposées par la VGCA.
Car en plus de délivrer des certificats électroniques, l'organisme gouvernemental vietnamien fournit toute une suite d'applications permettant à l'utilisateur final d'apposer sa signature électronique sur un document. Ce sont deux de ces outils, dans leur version Windows, qui ont été ciblés par les attaquants, qui semblent avoir procédé par rebonds. En d'autres termes, l'attaque de la VGCA n'était qu'une première étape : ESET explique que le malware en question, de conception relativement simple, sert surtout de porte dérobée, surnommée PhantomNet par les chercheurs, et de relais à d'autres programmes malveillants, embarquant l'outil tristement célèbre Mimikatz et permettant par exemple de "récupérer la configuration du proxy de la victime et l’utiliser pour contacter le serveur de commande et de contrôle (C&C)".
Pour l'entreprise de cybersecurité, "cela montre que les cibles sont susceptibles de travailler dans un réseau d'entreprise". Mais ESET n'a pas été en mesure de trouver des données quant au but des attaquants ou au nombre de victimes. Informée, la VGCA avait déjà connaissance de l'intrusion et a mis en oeuvre des mesures correctives.
Espionnage en Finlande, paralysie à La Rochelle
Du côté de la Finlande, c'est en début de semaine que le Parlement a annoncé avoir été victime d'une attaque. Les pirates visaient ici les comptes email de certains élus. L'intrusion, qui n'a rien d'accidentelle selon la police finlandaise, a eu lieu cet automne, mais n'a été repérée qu'en décembre.
Un autre pays scandinaves, la Norvège, a lui aussi été touché par une attaque similaire cet automne mais, si la Finlande explique mener l'enquête en coopération internationale, elle ne fait pas le lien avec l'attaque dont son voisin a été victime. Dans le cas finlandais, des informations ont été dérobées sans que la police ne divulgue le nombre de membres du Parlement concernés.
Si ces attaques ont eu lieu bien avant la période des fêtes, et si ce sont surtout les autorités et les chercheurs en cybersecurité qui n'ont pas pris de vacances, les méchants eux aussi sont actifs en cette fin d'année 2020. S'en veut la preuve la paralysie des services administratifs de la ville de la Rochelle, comme le rapporte Sud-Ouest.
L'agglomération rochelaise est victime depuis au moins dimanche d'une cyberattaque très probablement un cryptolocker. "Les deux serveurs ont été fermés à titre préventif. Les boîtes mails des deux collectivités sont également fermées" explique la collectivité dans un communiqué qui ajoute que "les équipes sont toutes mobilisées depuis la détection du problème pour sécuriser les données".
Des hôpitaux et EHPAD visés
De même, le Centre hospitalier Albertville-Moûtiers, en Savoie, a été victime lundi 21 décembre d'un ransomware qui a mis en panne "un certain nombre d'équipements, de serveurs, de logiciels, ainsi qu'une partie du réseau informatique" selon le communiqué émis par l'hôpital. Deux EHPAD associés au CHAM ont également été affectés par cette attaque, tandis que les liaisons avec l'hôpital de Chambéry, qui partage sa direction avec son voisin d'Albertville, ont été coupées par mesure de précaution. Si l'ensemble du réseau informatique du CHAM a été mis à l'arrêt, empêchant l'accès aux dossiers médicaux dématérialisés des patients, les blocs opératoires et leurs matériels fonctionnent normalement.
Quelques jours avant, c'est l'hôpital de Narbonne qui était victime d'une cyberattaque. Ici, point de ransomware mais une tentative de cryptojacking. "Cette cyberattaque voulait utiliser nos serveurs pour créer de la cryptomonnaie" indique à L'Indépendant Richard Barthes, le directeur du centre hospitalier. Mais dans sa tentative de limiter l'intrusion, l'hôpital a dû fermer une partie de son système informatique, coupant les accès Internet et vers l'extérieur.