L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié le 8 mars son panorama de la menace informatique en 2021. L’Agence, en charge de la cyberdéfense et de l’assistance des opérateurs français les plus critiques, rappelle, « Si les attaques à finalité lucrative ont occupé la scène médiatique, elles ne doivent pas occulter les campagnes d'espionnage, par essence moins visible, et celles conduites dans un objectif de sabotage informatique ».

Les États se cachent dans l’ombre des cybercriminels selon l'ANSSI

En 2021, l’ANSSI a eu connaissance de 1 082 intrusions contre des opérateurs jugés vitaux ou essentiels pour la France. Ce chiffre est en progression de 37% sur un an. Sur ce total, 203 impliquaient des rançongiciels, l’une des formes d’attaques les plus médiatisées au cours de l’année.

Cet outil est certes très prisé par les cybercriminels, car particulièrement lucratif, mais il peut aussi être mobilisé par des acteurs étatiques. L’un des cas bien renseignés est celui de la Corée du Nord. Le pays, isolé sur la scène internationale, récupère des liquidités par le biais de ce type de cyberattaque. Un rapport des Nations Unies de 2021 indique que le régime a volé 316 millions de dollars d’actifs numériques en 2020.

L’argent n’est pas la seule rançon que des pirates peuvent exiger lors d’une cyberattaque. Pour la première fois, en 2021, un rançongiciel a été utilisé dans un but politique, en Inde. Il visait à protester contre une réforme agraire. C’est aussi par ce biais que le groupe Belarusian Cyber-Partisans est passé pour exiger la libération de prisonniers politiques en Biélorussie et ralentir l’arrivée de force russe sur le territoire.

La Chine, nid de cyberespion

Les techniques habituelles de la cybercriminalité, hameçonnage, rançongiciel, peuvent être réutilisées par des entités étatiques, c’est l’un des points sur lequel insiste l’ANSSI. Une campagne d’espionnage menée contre des organismes français en 2021, le mode opératoire APT31, a procédé ainsi.

L’espionnage, discret par essence, est la menace par excellence que combat l’ANSSI. En 2021, « sur les 17 opérations de cyberdéfense traitées par l’ANSSI, 14 étaient liées à des opérations d’espionnage informatique ». Chose rare pour l’Agence, un pays est indirectement pointé du doigt dans sa publication.

Elle explique que sur les 14 cas d’espionnages, 9 d’entre elles impliquaient « des modes opératoires réputés chinois ». À cela s’ajoute « sur 8 incidents majeurs, 5 concernent des Modes Opératoires d’Attaques réputés chinois ». Le jour de la publication du rapport, l’entreprise de cybersécurité Mandiant a accusé un groupe de pirate chinois, APT41, soupçonné d’être aux ordres de Pékin, d’avoir piraté au moins 6 États américains. Pour le renseignement américain, « la Chine représente la menace de cyberespionnage la plus large, la plus active et la plus persistante » pour les États-Unis.

Les cyberattaques menacent également les infrastructures

Après l’argent, les intrusions à des fins d’espionnages, reste le risque de cyberattaque le plus redoutée, souvent mise en scène au cinéma, la déstabilisation d’infrastructure critique.

De fait, les rançongiciels touchant des hôpitaux en France ont chamboulé leurs fonctionnements et mis la vie de leurs patients en danger. De même, l’attaque de Colonial Pipeline en mai 2021 a bloqué temporairement l’approvisionnement en carburant de la côte est des États-Unis.

En France, Emmanuel Macron est intervenu en février après une énième attaque pour renforcer la cybersécurité du pays. Les États-Unis ont décidé d’aller plus loin encore, en plaçant les rançongiciels au niveau du terrorisme. Plusieurs groupes ont été démantelés et certains de leurs protagonistes arrêtés grâce à la coopération internationale.

Pour l’ANSSI cela pourrait inciter la masse des cybercriminels à éviter les structures critiques où se contenter de vol d’informations. Seuls les groupes suffisamment dotés, capables d’assurer leur anonymat s’y risqueront. Les acteurs étatiques sont les premiers d’entre eux.

Des cas de piratages particulièrement graves ont par ailleurs été relevés. En avril 2020, une installation de gestion des eaux usées a été attaquée en Israël, sans conséquence. L’Iran, désigné responsable, a subi une contre-attaque. L’un de ses ports a vu ses systèmes de régulation des flux de cargos coupés. Dans un cas proche à celui d’Israël, en 2021 les agences de cybersécurité américaines ont rapporté qu’une usine de traitement d’eau potable avait été infiltrée, « Ils auraient manipulé le niveau d’hydroxyde de sodium dans une potentielle tentative d’empoisonnement ».

Les événements nationaux et internationaux en France en font une cible potentielle redoute l'ANSSI

Ces cas, extrêmes, semblent plutôt rares et surtout liés à des défaillances des mesures de cybersécurité. L’ANSSI prévient cependant « Le ciblage d’infrastructures critiques par des acteurs de niveau étatique devrait continuer, plus particulièrement dans le cadre de tensions géopolitiques exacerbées ».

L’ANSSI ne cesse d’appeler à « une vigilance particulière de l’ensemble des parties prenantes », tandis que la cybersécurité apparaît enfin prise au sérieux au-delà des cercles spécialisés. L’approche d’événements majeurs en France, les élections législatives et présidentielles cette année, la coupe du monde de rugby 2023, les Jeux olympiques de 2024 « seront autant d’événements que les attaquants chercheront à exploiter » avertit l’ANSSI.