Les années passent, le constat reste le même. « Dans la continuité des années précédentes, l’Anssi estime aujourd’hui que les attaquants liés à l’écosystème cybercriminel ou réputés liés à la Chine et la Russie constituent les trois principales menaces tant pour les systèmes d’information les plus critiques », résume l’agence dirigée par Vincent Strubel dans son dernier panorama de la menace.
A propos de la Russie, le cyber-pompier de l’Etat cite par exemple l’utilisation des chevaux de Troie Remcos et DarkCrystal. Ou encore les opérateurs d’UNC5812, suspectés d’avoir employé le code malveillant pour Android CraxsRAT. Quant aux attaquants réputés liés à la Chine, l’Anssi les a observés depuis 2022 dans quatre opérations de cyberdéfense utiliser des réseaux d’anonymisation, tels que Orbweaver, Spacehop ou KV Botnet.
#PanoramaCybermenace |
Vincent Strubel, DG de l’ANSSI, présentait ce matin en conférence de presse l’édition 2024 du Panorama dans laquelle il est fait état des grandes tendances de la menace #cyber observées au cours de l’année écoulée.
cyber.gouv.fr/actualites/p…
— ANSSI (@anssi-fr.bsky.social) 11 mars 2025 à 13:05
Réseaux d’anonymisation
« Composés de plusieurs centaines, voire milliers, d’équipements compromis ou loués, ils augmentent le coût de la défense contre les attaques informatiques, remarque l’Anssi. L’utilisation d’équipements réseau légitimes dans ces infrastructures complique également la détection et le blocage, puisqu’il est difficile de discriminer le trafic malveillant. » Des réseaux qui ne sont pas forcément contrôlés par un groupe d’attaquants. Elles semblent plutôt « être utilisées conjointement par des groupes distincts », souligne l’agence.
On retrouve également une mécanique similaire pour les Bullet Proof Hosters, ces hébergeurs qui « fondent leur modèle économique sur l’immunité de fait qu’ils proposent à leurs clients ». Ces plateformes « sont utilisées par des cybercriminels mais aussi des acteurs hacktivistes comme étatiques ».
L’Anssi rappelle à ce sujet que les bruyants hacktivistes prorusses de NoName057 sont connus pour avoir utilisé les infrastructures des hébergeurs Stark Industries et Global Internet Solutions. Le premier « apparaît également dans des incidents liés au groupe cybercriminel FIN7 et des attaques menées par l’acteur réputé Iranien Haywire Kitten », signale l’agence. Le second est utilisé par le groupe Gamaredon, tout comme des cybercriminels qui ont déployé le loader Emmenhtal.
Rançongiciels stables
Au total, sur son activité proprement dite, l’Anssi a compté 4386 événements de sécurité suivis pour l’année 2024. Un chiffre en hausse de 15%. L’agence a eu connaissance de 3004 signalements et de 1361 incidents, une augmentation liée à l’activité en amont et pendant les Jeux olympiques de Paris. Une période marquée par la recrudescence des attaques par déni de service, qui ont doublé.
« Malgré les conséquences limitées de ces dernières, le sabotage de petites installations industrielles a aussi été relevé », rappelle l’Anssi, qui appelle à la vigilance avec cette « évolution vers une logique de sabotage ».
Quant au nombre d’attaques par rançongiciels, 144, il « se maintient à un niveau équivalent à 2023 », souligne le cyber-pompier. « La menace associée demeure particulièrement importante pour la France », résume l’agence. En tout, 39 souches différentes ont été observées, avec d’abord LockBit 3.0 (15%), Akira (7%) et Ransomhub (7%). Une nouvelle souche pas observée jusque là par l’agence, tout comme Monti et Lynx, deux autres nouveaux venus.