Rapport menaces et incidents

Avertissement : Le rythme des opérations militaires en Ukraine, ainsi que les réactions internationales, entraînent des évolutions très rapides de la situation. En outre, de nombreuses informations circulant en ligne sont invérifiées. Les éléments présentés ne doivent pas être considérés comme exhaustifs et peuvent être obsolètes au moment de leur lecture. L’ANSSI s’efforcera de mettre à jour de manière régulière cette section en fonction de l’évolution de la situation.

Les tensions internationales actuelles causées par l’invasion de l’Ukraine par la Russie s’accompagnent d’effets dans le cyberespace. Si les combats en Ukraine sont principalement conventionnels, l’ANSSI constate l’usage de cyberattaques dans le cadre du conflit. Dans un espace numérique sans frontières, ces cyberattaques peuvent affecter des entités françaises et il convient sans céder à la panique de l’anticiper et de s'y préparer. Aussi, afin de réduire au maximum la probabilité de tels événements et d’en limiter les effets, l’ANSSI partage des bonnes pratiques de sécurité ainsi que des éléments sur la menace et invite l’ensemble des acteurs à s’en saisir. A cette fin, ce bulletin centralise et diffuse les éléments d’intérêt cyber en lien avec le contexte actuel pour favoriser le renforcement du niveau de protection de l’ensemble des entités françaises. Il sera mis à jour régulièrement.

État de la menace

Depuis le 23 février 2022, soit la veille du déclenchement de l’opération militaire russe en Ukraine, des cyberattaques assez diverses ont été constatées :

Des attaques par déni de service distribué (DDoS) qui auraient notamment visé les sites d'institutions gouvernementales et également de banques ukrainiennes. Des groupes hackvitistes, dont certains répondant à l’appel du gouvernement ukrainien, ont également conduit des attaques par déni de service distribué à l’encontre de cibles russes ;
Des défigurations de sites internet en Ukraine, en Russie et en Biélorussie ;
Des tentatives d’intrusion sur les messageries électroniques avec du hameçonnage ciblé d’institutions ou des forces armées ukrainiennes ont été rapportées ;
Des cyberattaques avec des codes malveillants de sabotage (wiper) ont été identifiées. Ces actions, les plus destructrices, semblent parfois avoir été précédées par des exfiltrations de données.

Les motivations des cyberattaques contre l’Ukraine correspondent aux objectifs militaires russes allant de la perturbation des services ukrainiens à l’influence du traitement médiatique du conflit en Ukraine. Les attaques à des fins d’espionnage stratégique par des groupes d’attaquants pro-russes (présumés russes, biélorusses ou affiliés aux séparatistes soutenus par la Russie) se poursuivront très probablement en Ukraine, tout comme les actions de sabotage.

Si ces cyberattaques ont des impacts limités en France et en Europe pour le moment, la menace informatique contre les systèmes d’information européens reste élevée. Des groupes d’attaquants liés à la Russie continueront très probablement de cibler des entités gouvernementales et diplomatiques pour des opérations de renseignement stratégique ; ils pourraient en outre conduire des actions de représailles contre les sanctions décidées par l’Union Européenne.

De surcroît, des activités hacktivistes ont été constatées. Si leurs conséquences semblent limitées, elles ne doivent pas être sous-estimées, de telles attaques pouvant provoquer l’indisponibilité de ressources sensibles ou porter atteinte à l’image d’institutions publiques ou privées. Des groupes hacktivistes ont notamment ciblé les sites d’entreprises européennes n’ayant pas annoncé leur retrait du marché russe. [mise à jour du 16 mai 2022] Il a ainsi été constaté en Europe une recrudescence des activités de ces acteurs, comme le groupe Killnet, qui conduisent des attaques par déni de service distribué (DDoS) dans le but de rendre indisponible un site web pour déstabiliser les activités et nuire à la réputation des entités ciblées. Jusqu’à aujourd’hui, ces attaques sont de faible intensité car leur persistance est limitée et leur remédiation rapide. Il convient toutefois de s’en prémunir et l’ANSSI invite donc à la mise en œuvre ou au renforcement des moyens anti-DDoS ainsi qu’à la définition de mesures réactives en cas de détection de telles attaques.

Ces activités malveillantes pourraient affecter directement ou par rebond des entités françaises. Les entreprises françaises ayant des filiales en Ukraine ou en Russie sont évidemment particulièrement exposées à ce risque et doivent donc se montrer vigilantes.

Des acteurs offensifs non liés directement aux parties en conflit ont d’ores et déjà tenté d’exploiter la situation de façon opportuniste pour mener des actions d’hameçonnage ciblé ou d’escroquerie. Les courriels ou messages non sollicités évoquant la question de l’accueil des réfugiés ukrainiens ou toute autre thématique en lien avec la situation en Ukraine doivent donc faire l’objet d’une prudence renforcée.

Enfin, une partie de l’écosystème cybercriminel russophone s’est positionné dans le conflit en cours, le groupe cybercriminel Conti apportant par exemple son soutien au gouvernement russe. D’autres groupes ont toutefois déclaré rester neutres, se focalisant uniquement sur des objectifs lucratifs. Enfin, des cybercriminels ont déclaré souhaiter et être en mesure de cibler des infrastructures critiques russes. Cette division de l’écosystème cybercriminel combiné à d'éventuels effets d'aubaine incitent à la prudence en cas de cyberattaques, qui ne sauraient être interprétées trop rapidement comme une action commanditée dans le cadre du conflit.

Vulnérabilités

De nombreux incidents observés par l’ANSSI au cours de l’année 2021 présentent un lien avec l’exploitation d’une vulnérabilité ayant fait préalablement l’objet de publications d’avis ou d’alertes sur le site du CERT-FR, parfois accompagnées de campagnes de signalement. L’ANSSI recommande donc d’appliquer le plus tôt possible les correctifs de sécurité idoines publiés par les éditeurs, notamment ceux permettant de corriger des vulnérabilités sur des solutions exposées sur Internet et rendant possible une primo-intrusion ou ayant un impact critique sur le système d'information dans son ensemble. À cet égard, le document suivant propose une analyse des vulnérabilités les plus critiques traitées par l'ANSSI au cours de l'année 2021 :

/uploads/ANSSI_top-10-edition-2022_NP_v1.0.4.pdf

Étant donné le contexte actuel et alors que les vulnérabilités sont exploitées de manière de plus en plus rapide par les attaquants, l’ANSSI recommande en parallèle de renforcer les activités de traitement des vulnérabilités (veille, identification, application des mesures de correction) afin d’assurer le meilleur niveau possible de sécurisation des systèmes.

La gestion des vulnérabilités est indispensable au maintien en condition de sécurité des systèmes d'information, et dépasse le cadre des vulnérabilités mentionnées dans le "top 10 des vulnérabilités de 2021".

À titre d'exemple, l'ANSSI a connaissance d'exploitations ou de tentatives d'exploitation des vulnérabilités de la liste suivante par des modes opératoires liés à la Russie. L'ANSSI recommande fortement de se protéger en priorité contre ces vulnérabilités identifiées comme critiques et pouvant être utilisées pour l'accès initial à un système d'information.

Cette liste n'est pas exhaustive et est susceptible d'être mise à jour. En particulier, l'ANSSI rappelle que l'application des correctifs de sécurité ne doit pas se limiter à ces seules vulnérabilités.

Pour certaines vulnérabilités, des règles de détection au format Sigma, conçues et qualifiées par l'ANSSI, sont mises à disposition. Des mesures de détection publiquement disponibles sont également fournies à titre indicatif mais n'ont pas fait l'objet d'une qualification par l'ANSSI.

Editeur	Produit	Identifiant CVE	Score CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Publications CERT-FR	Avis éditeur	Moyens de détection publiés par l'ANSSI	Moyens de détection (non qualifiés par l'ANSSI)
Microsoft	Exchange	CVE-2021-34473	9.8	Exécution de code arbitraire à distance	13/07/2021	OUI	CERTFR-2021-ALE-017	CVE-2021-34473	Règle Sigma ANSSI : ProxyShell ProxyLogon	Règle Sigma : ProxyShell
Microsoft	Exchange	CVE-2021-34523	9.8	Exécution de code arbitraire à distance	13/07/2021	OUI	CERTFR-2021-ALE-017	CVE-2021-34523	Règle Sigma ANSSI : ProxyShell ProxyLogon	Règle Sigma : ProxyShell
Microsoft	Exchange	CVE-2021-31207	7.2	Exécution de code arbitraire à distance	11/05/2021	OUI	CERTFR-2021-ALE-017	CVE-2021-31207	Règle Sigma ANSSI : ProxyShell ProxyLogon	Règle Sigma : ProxyShell
Microsoft	Exchange	CVE-2021-31206	8.0	Exécution de code arbitraire à distance	13/07/2021	OUI	CERTFR-2022-AVI-522	CVE-2021-31206		Règle Sigma : ProxyShell
October	OctoberCMS	CVE-2021-32648	9.1	Contournement de la politique de sécurité	30/08/2021	OUI		GHSA-mxr5-mc97-63rc
Fortinet	VPN SSL	CVE-2018-13379	9.8	Contournement de la politique de sécurité	24/05/2019	OUI	CERTFR-2020-ALE-025	FG-IR-18-384		Règle Sigma pour CVE-2018-13379
Cisco	Small Business RV320 and RV325 Dual Gigabit WAN VPN	CVE-2019-1653	7.5	Atteinte à la confidentialité	23/01/2019	OUI		cisco-sa-20190123-rv-info
Oracle	WebLogic	CVE-2019-2725	9.8	Exécution de code arbitraire à distance	26/04/2019	OUI	CERTFR-2019-AVI-189	alert-cve-2019-2725
Elastic	Kibana	CVE-2019-7609	10	Exécution de code arbitraire à distance	19/02/2019	OUI		169077
Zimbra	Zimbra	CVE-2019-9670	9.8	Exécution de code arbitraire à distance	08/03/2019	OUI		109129
Exim	Exim	CVE-2019-10149	9.8	Exécution de code arbitraire à distance	05/06/2019	OUI	CERTFR-2019-ALE-009	CVE-2019-10149
Pulse	Connect Secure	CVE-2019-11510	10	Exécution de code arbitraire à distance	24/04/2019	OUI	CERTFR-2021-ACT-008	SA44101		Règle Sigma pour CVE-2019-11510
Citrix	Application Delivery Controller (ADC) et Gateway	CVE-2019-19781	9.8	Exécution de code arbitraire à distance	17/12/2019	OUI	CERTFR-2020-ALE-002	CTX267027		Règle Sigma pour CVE-2019-19781
Microsoft	Exchange	CVE-2020-0688	8.8	Exécution de code arbitraire à distance	11/02/2020	OUI	CERTFR-2020-ALE-007	CVE-2020-0688		Règle Sigma pour CVE-2020-0688
VMware	Workspace One Access, Access Connector, Identity Manager et Identity Manager Connector	CVE-2020-4006	9.1	Exécution de code arbitraire à distance	23/11/2020	OUI	CERTFR-2020-ALE-024	VMSA-2020-0027.html
F5	BigIP	CVE-2020-5902	9.8	Exécution de code arbitraire à distance	01/07/2020	OUI	CERTFR-2020-ALE-015	K52145254		Règle Sigma pour CVE-2020-5902
Oracle	Weblogic	CVE-2020-14882	9.8	Exécution de code arbitraire à distance	20/10/2020	OUI	CERTFR-2020-ALE-022	CPUOct2020		Règle Sigma pour CVE-2020-14882
Microsoft	Exchange	CVE-2021-26855	9.8	Exécution de code arbitraire à distance	02/03/2021	OUI	CERTFR-2021-ALE-004	CVE-2021-26855		Règle Sigma pour CVE-2021-26858
Microsoft	Office	CVE-2017-11882	7.8	Exécution de code arbitraire	14/11/2017	OUI	CERTFR-2017-AVI-408	CVE-2017-11882		Règle Sigma pour CVE-2017-11882
Microsoft	Exchange	CVE-2021-27065	7.8	Exécution de code arbitraire à distance	02/03/2021	OUI	CERTFR-2021-ALE-004	CVE-2021-27065	Règle Sigma ANSSI : ProxyShell ProxyLogon

Bonnes pratiques

Mesures cyber préventives prioritaires : https://www.ssi.gouv.fr/uploads/2022/02/20220226_mesures-cyber-preventives-prioritaires.pdf
Comment réagir en cas d’incident : https://www.ssi.gouv.fr/uploads/2022/02/20220311_cyberattaque-comment-reagir.pdf
Communication de crise : https://www.ssi.gouv.fr/uploads/2021/12/anssi-guide-communication_crise_cyber.pdf
Gestion de crise : https://www.ssi.gouv.fr/uploads/2021/12/anssi-guide-gestion_crise_cyber.pdf

Utilisation d’outils numériques liés à la Russie

Dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie. A ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis. Des précautions élémentaires doivent cependant être prises :

La déconnexion d’outils de cybersécurité dans un contexte de tensions dans le cyberespace et de cybercriminalité exacerbée peut fragiliser significativement la cybersécurité de votre organisation. Aussi, sans solution de substitution, cette déconnexion ne saurait être préconisée.
L'isolement de la Russie sur la scène internationale et le risque d'attaque contre les acteurs industriels liés à la Russie peut affecter la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients. A moyen-terme, une stratégie de diversification des solutions de cybersécurité doit par conséquent être envisagée.

Éléments techniques

Avertissement : Les marqueurs partagés par l’ANSSI proviennent d’éléments disponibles en sources ouvertes et ont vocation à fournir de la connaissance technique de base en lien avec la menace et être utilisés à des fins de détection et de protection. Ils ont fait l’objet d’une première qualification par l’ANSSI mais doivent néanmoins être manipulés avec précaution.

Certains marqueurs correspondent à des infrastructures légitimes compromises par des attaquants et doivent être utilisés avec précaution :

toute détection à partir de ces éléments ne constitue pas nécessairement une preuve de compromission et doit être analysée afin de lever le doute ;
d’une manière générale, ces marqueurs doivent être utilisés pour de la supervision plutôt que des actions de blocage.

Cette liste n’est pas exhaustive et sera mise à jour de manière régulière en fonction de l’évolution de la situation.

Référence	CERTFR-2022-CTI-001
Titre	[MàJ] Tensions internationales - Menace cyber
Date de la première version	02 mars 2022
Date de la dernière version	16 mai 2022
Source(s)
Pièce(s) jointe(s)	Aucune(s)