Voilà qui va donner du grain à moudre à l’Anssi, qui lorgnait sur un nouveau pouvoir d’injonction pour inciter les organisations à réagir plus vite à ses alertes. A l’occasion de la présentation de son panorama de la cybermenace 2022, mardi 24 janvier, le cyber-pompier de l’Etat, qui vient de changer de patron, avec l’arrivée de Vincent Strubel aux manettes, a en effet une nouvelle fois déploré l’exploitation de vulnérabilités connues par des attaquants l’an passé.
Ainsi, la moitié du top 10 des vulnérabilités connues les plus exploitées relevées par l’Anssi en 2022 renvoie à des failles découvertes et corrigées en… 2021. “Le message fort à passer, c’est qu’attendre [pour installer les correctifs], c’est prendre des risques inconsidérés”, a rappelé Mathieu Feuillet, le sous-directeur des opérations de l’Anssi. “Il faut patcher et vite”, a-t-il ajouté.
Quatre failles Exchange
En juin 2021, la lenteur dans l’installation des correctifs avait poussé l’Anssi à plaider pour un nouveau pouvoir d’injonction. Une disposition, à l’image des prérogatives de son homologue américaine, qui “serait une étape supplémentaire dans le développement de notre écosystème cyber et motiverait davantage encore ceux qui bénéficient de nos services”, avait alors expliqué Guillaume Poupard. L’ancien patron de l’Anssi avait notamment été agacé du très faible taux de retour après le signalement aux organisations concernées de 15 000 serveurs vulnérables aux failles Proxylogon.
Dix-huit mois plus tard, l’Anssi n’a pas précisé si elle comptait toujours sur un tel renforcement de ses attributions. La situation ne semble pourtant pas avoir fondamentalement changé. En 2022, selon le décompte de l’agence, quatre des dix failles les plus exploitées par les attaquants sont relatives à Microsoft Exchange. La plus utilisée, ProxyShell, corrigée en juillet 2021, permet de prendre le contrôle d’un serveur de messagerie. De même, les attaquants s’appuient sur la faille de la bibliothèque Apache Log4j, signalée en décembre 2021, pour exécuter du code arbitraire à distance et sur une vulnérabilité dans Atlassian confluence, corrigée en juin 2022, pour installer des portes dérobées sur des serveurs compromis.
Des vulnérabilités un peu moins anciennes?
Seule bonne nouvelle: si le tableau général est toujours inquiétant, les failles exploitées semblent toutefois un peu moins anciennes. Il faut dire qu’on revient sans doute de loin. L’an passé, l’Anssi avait par exemple constaté la présence d’une vulnérabilité datant de 2018 dans le top 7 des failles exploitées en 2021. De même, encore un an plus tôt, l’agence signalait la présence d’une faille de 2017 et de deux failles de 2018 dans le top 9 des vulnérabilités les plus exploitées en 2020.
Si l’agence insiste autant sur ces mesures d’hygiène informatique à mettre en place, c’est parce que la prise en compte de correctifs permet d’éviter bien des catastrophes. Comme le rappelle l’Anssi, face à des cybercriminels opportunistes, une cybersécurité minimale permet de passer sous le radar de groupes qui privilégient les attaques les plus simples, à défaut de pouvoir contenir d’éventuelles attaques plus ciblées.
Possible de se défendre
Un message important à rappeler, l’année 2022 venant de montrer que le pire n’était jamais certain en matière de sécurité informatique. Ainsi, l’Anssi note que l’un des enseignements du conflit russo-ukrainien est qu’il est “possible de se protéger des cyberattaques”. L’Ukraine a en effet réussi, jusqu’ici, à éviter un effondrement informatique. Un constat partagé par le patron cyber des armées, Aymeric Bonnemaison. “La défense peut prendre le dessus sur l’offensive”, soulignait-il ainsi il y a une dizaine de jours devant la presse.
S’il est donc possible de se défendre, il faut toutefois avoir conscience que la menace reste à un niveau très élevé. Outre la lutte contre les attaques visant à espionner des organisations, le gros du travail de l’Anssi, l’agence a compté en 2022 109 attaques par rançongiciels, le mode opératoire privilégié par les grands groupes cybercriminels. Ce chiffre est en forte baisse par rapport à 2021, où 203 attaques de ce genre avaient été comptées.
Prudemment, l’Anssi remarque que cette chute est peut-être due à une conjugaison de plusieurs facteurs, comme la maturation de l’écosystème cyber, des actions judiciaires ou de sécurité nationale contre des groupes criminels, et une invasion russe qui a perturbé le fonctionnement de certains gangs.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));