Les administrations publiques visées par un logiciel malveillant

0
Dimanche 6 septembre, le ministère de l’Intérieur se disait victime d’une campagne d’hameçonnage (phishing) “par messagerie”, après que plusieurs acteurs du monde judiciaire ont été touchés les jours précédents. Depuis, plusieurs établissements de santé ont également été ciblés. Si le lien entre les différentes attaques n’est pas confirmé, l’Anssi appelle à la vigilance.
La Place Beauveau ciblée par une campagne d’attaques… “par messagerie”. La formule a de quoi faire sourire, mais l’alerte est très sérieuse. D’autant plus que le ministère de l’Intérieur n’est visiblement pas le seul touché. Lundi 7 septembre après-midi, la cellule d’accompagnement “cyber” des structures de santé (ACSS) a, à son tour, diffusé un message avertissant que “plusieurs établissements de santé ont été victimes d’actes de cybermalveillance”.

Ces établissements font plus précisément l’objet d’une “campagne de messages malveillants [hameçonnage, ndlr] visant à diffuser le maliciel Emotet”. Ce cheval de Troie redoutable est né en 2014 et permet de faire entrer un logiciel malveillant du même nom, mais aussi de propager d’autres virus informatiques plus ou moins virulents. L’ACSS précise que le cheval de Troie s’infiltre par le biais de courriels piégés “généralement dans des documents Microsoft Office”. Soit le même mode opératoire que l’attaque visant la Place Beauvau depuis dimanche 6 septembre. Victime d’une campagne d’attaques, le ministère de l’Intérieur a en effet diffusé une note informant les rédactions qu’il n’acceptait plus les pièces jointes en “.doc”, le format des documents Word de la suite Office.

Enquête préliminaire ouverte

La campagne d’hameçonnage (phishing) est en tous les cas d’une telle ampleur que l’Agence nationale de la sécurité des systèmes d’information (Anssi) a alerté, lundi 7 septembre, via son centre de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) , d’une “recrudescence d’activité d’Emotet en France”. Ainsi, l’agence dit constater, depuis plusieurs jours, “un ciblage d’entreprises et administrations françaises par le code malveillant Emotet”, auquel il convient d’apporter “une attention particulière” dans la mesure où ce maliciel est aussi utilisé depuis 2017 comme un vecteur “pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes”.

L’Anssi n’a toutefois pas voulu préciser à Acteurs publics quels organismes étaient touchés ni confirmer que les attaques visant l’Intérieur et des établissements de santé étaient liées. Pas plus que celle ayant visé des magistrats et acteurs du monde judiciaire pendant le week-end, là encore via des tentatives d’hameçonnage par mail. Sollicitée également, la cellule d’accompagnement cyber des sructures de santé n’a pas précisé, pour le moment, combien d’établissements étaient touchés ni la nature des dégâts subis. Le procureur de Paris, Rémy Heitz, a ouvert une enquête préliminaire pour “atteinte contre des systèmes de traitement automatisé de données à caractère personnel mis en œuvre par l’État”.

Le maliciel Emotet peut en tous les cas être redoutable si rien n’est fait dans les plus brefs délais pour empêcher son intrusion. Selon le cybergardien de l’État, ce logiciel malveillant est capable de récupérer les mots de passe stockés sur un système ainsi que sur les navigateurs Web et les boîtes mail. Il peut également dérober la liste de contacts, le contenu et les pièces jointes attachés à des courriels. Autant d’informations dont il peut aussi se servir par la suite “pour donner une apparence légitime aux courriels d’hameçonnage qu’il renvoie”. 

Filtrage des pièces jointes

Surtout, l’Anssi prévient qu’une fois infiltré, le maliciel peut aussi servir à “télécharger une seconde charge malveillante, de nature variable”, comme des rançongiciels (ransomwares). Ces attaques informatiques, contre lesquelles l’Anssi a tiré la sonnette d’alarme il y a quelques jours seulement, visent à séquestrer les données d’un ordinateur ou de tout le réseau informatique d’un organisme et d’exiger le paiement d’une rançon contre leur restitution.

Pour limiter les dégâts, l’ACSS et l’Anssi recommandent de “sensibiliser les utilisateurs à ne pas activer les macros [qui permettent d’exécuter automatiquement une série de tâches prédéfinies, ndlr]dans les pièces jointes”, d’être “particulièrement attentifs aux courriels qu’ils reçoivent” et notamment de filtrer les pièces jointes aux formats de documents issus de la suite bureautique de Microsoft (Word, Excel…). Mais aussi de “limiter les accès Internet pour l’ensemble des agents” à une liste restreinte, ou encore de “déconnecter les machines compromises du réseau sans en supprimer les données”. Et ce notamment afin d’envoyer des échantillons à l’Anssi pour une analyse approfondie. 

Acteurs Publics 09/09/2020

Comments are closed.