Focus sur les cyberattaques ayant impacté les collectivités territoriales françaises en 2020

Retour sur une année marquée par de nombreux incidents pour les collectivités territoriales françaises.

OWN Team
Cyber Threat Intelligence par OWN
7 min readJan 26, 2021

--

L’année 2020 a été marquée par une forte augmentation du nombre d’attaques par ransomware et la France n’a pas été épargnée. Certaines attaques ont touché de grandes entreprises et ont été particulièrement médiatisées (Bouygues Construction, Sopra Steria et Dassault Falcon Jet).
Les entités publiques ont aussi été impactées par ce phénomène, qu’il s’agisse de centres hospitaliers, d’organismes de santé ou de laboratoires de recherche médicale, malgré le contexte sanitaire. Des municipalités et des collectivités locales américaines ont versé des rançons importantes pour retrouver l’usage de leurs systèmes d’information. La ville de Lake City, en Floride, a payé 460.000 dollars aux attaquants pour récupérer ses données. Les victimes comme les villes de Baltimore ou d’Atlanta, n’ont pas cédé au chantage et ont préféré dépenser plusieurs millions de dollars pour reconstruire leurs infrastructures.

Le présent panorama des attaques subies en 2020 par les collectivités locales françaises a pour objectif de mettre en avant les solutions à mettre en œuvre en 2021.

Des collectivités territoriales visées par des ransomwares

Les Collectivités territoriales

Dans la loi française, les collectivités territoriales (communes, département, régions, les collectivités à statut particulier et les collectivités d’outre-mer) sont des personnes morales de droit public distinctes de l’État et disposent à ce titre d’une autonomie juridique et patrimoniale. Cette autonomie confère à ces entités le soin de prendre en charge leur protection, notamment en termes de cybersécurité.

Dans le cadre de la transformation numérique de l’Etat, les CT ont dû adapter leurs activités, les poussant ainsi à une augmentation accrue de l’utilisation de services numériques dans leurs activités quotidiennes internes et dans leur relation avec les administrés. Ces évolutions ont fortement questionné leurs capacités à administrer un service public de qualité et de manière transparente sur des durées toujours plus réduites, tout en devant assurer une sécurité de cet ensemble.

Ce changement s’est accompagné d’une augmentation de la surface d’exposition des systèmes d’information, rendant ceux-ci plus vulnérables face aux cyberattaques. A cela s’ajoute une interconnectivité très forte de ces entités, qui ont mutualisé leurs compétences en se regroupant dans des intercommunalités par exemple, notamment pour des raisons de coûts budgétaires.

Cette évolution vers le numérique ne s’est pas toujours accompagnée des moyens suffisants, notamment pour les CT qui ne disposent pas toujours des outils de réponses adéquats. La pandémie de la Covid-19 a changé la donne en entraînant une augmentation significative des menaces Cyber. Toute entité publique ou privée constitue désormais une cible potentielle et les CT ne dérogent pas à la règle. Le recours au télétravail et le manque d’anticipation sont autant d’éléments susceptibles d’être exploités par un attaquant pour compromettre un système d’information.

Les Ransomware

Dès lors, si l’année 2019 a commencé à mettre en évidence les vulnérabilités des CT, c’est véritablement l’année 2020 qui a mis en lumière la menace que constituent les ransomwares. Plus d’une dizaine de mairies et de métropoles ont reconnu avoir été la cible de ransomware. Selon le rapport « Menaces informatiques et pratiques de sécurité en France des collectivités territoriales en 2019/2020 » du CLUSIF, 53% des CT n’ont pas communiqué sur les attaques par ransomware. Le nombre réel de victimes est donc probablement sous-évalué.

Quelques collectivités territoriales touchées en 2020

Même si peu d’informations ont été révélées sur les attaques, du fait notamment des investigations judiciaires en cours, les retours apportés par les CT démontrent qu’elles doivent faire face aux nouvelles méthodes utilisées par les opérateurs de ransomware. Il s’agit de la double extorsion qui consiste à exfiltrer les données critiques avant de les chiffrer. L’objectif est de faire pression sur la victime en la menaçant de divulguer ces informations si celle-ci ne paye pas la rançon demandée.

Cette méthode ne laisse que peu de marge de manœuvre aux victimes, qui sont poussées par les autorités publiques à ne pas payer les rançons.

Certaines victimes ont communiqué les noms des ransomware dont elles ont été victimes, parmi lesquels on retrouve:

  • Netwalker
  • Sodinokibi
  • Pysa
  • Ranzy
  • DoppelPaymer
  • Avaddon

Cette liste, non exhaustive, révèle la multitude d’attaquants potentiels. Elle laisse entrevoir la complexité du périmètre et de la compréhension à détenir afin de prévenir leurs attaques. Les informations recueillies permettent de constater que la méthode de compromission initiale des attaquants, quand elle est connue, repose sur des campagnes de phishing ou l’exploitation de services RDP exposés sur internet.

Les impacts dont sont responsables ces ransomwares sont multiples, mais ils ne se limitent pas au seul périmètre du système d’information de la CT et peuvent avoir des incidences bien plus importantes sur son fonctionnement en général.

Téléchargez notre dernière analyse : “L’attribution cyber, un outil politique, commercial et éthique ?”

Les conséquences sur les CT

Le temps

La valeur « temps » doit être prise en compte dans les conséquences que peut induire une attaque par ransomware. Les retours des CT victimes font part d’une paralysie de quelques jours à quelques mois. Tout dépend du degré d’intrusion et d’intervention de l’attaquant sur le système d’information et de la capacité de réponse de l’entité. Cela peut aller d’une incapacité d’accès à la messagerie à un chiffrement d’une partie ou de l’ensemble des serveurs. Les services fournis sont alors totalement ou partiellement arrêtés, empêchant alors une continuité du service public. Nécessairement, la présence préalable de solutions de sauvegarde de données pourra permettre un retour à la normale plus rapide.

Le vol de données

Les opérateurs derrière ces ransomware ne se contentent plus de chiffrer, et la question du vol de données et du chantage doit être sérieusement prise en compte. La ville de Marolles-en-Brie a été victime du ransomware Avaddon fin décembre 2020. Les opérateurs de ce ransomware auraient dérobé 90GO de données correspondant à des documents fiscaux, des fichiers personnels de tous les employés de la ville ainsi que des données concernant les résidents de la ville, avant de menacer de dévoiler ces données s’ils ne payaient pas une rançon.

Les négociations peuvent parfois durer des mois, et en l’absence de consensus les attaquants utilisent leurs sites de leaks afin de dévoiler ces données. Certaines communes ont vu leurs données réapparaître sur le darkweb plusieurs mois après l’attaque. C’est le cas de la Métropole Aix-Marseille-Provence qui a vu ses données publiées plusieurs mois après l’attaque qu’elle a subi en mars 2020.

La CT peut alors voir sa responsabilité juridique engagée, puisque un certain nombre de données peuvent tomber sous le coup du Règlement général de Protection des données personnelles (RGPD).

A cela s’ajoute le risque politique. L’attaque sur la Métropole Aix-Marseille Provence s’est déroulée la veille des élections municipales, impactant les machines qui devaient créer les listes d’émargement des procurations. Si le mode papier a pu être mis en place, les prérogatives dont disposent les communes dans l’organisation des élections ou encore dans la gestion de services sensibles constituent des points sensibles.

Les pertes financières

Il faut également anticiper les pertes financières. En fonction de l’impact et des moyens mis en œuvre préalablement par la CT afin de protéger son SI, ces pertes peuvent être conséquentes. Chaque cas est différent et les dommages causés ne seront pas les mêmes en fonction de la victime et des accès que l’opérateur du ransomware a pu obtenir dans le système d’information.

Même si l’échelle n’est pas la même que les villes françaises, l’exemple de la ville de Baltimore aux Etats-Unis qui a dû payer 18 millions de dollars en reconstruction de son SI suite à l’attaque subie est suffisamment parlant. L’ironie de la situation pourtant, c’est que la demande de rançon n’était que de 76 000 dollars. Comme le rappellent les autorités, il est important de ne pas payer cette rançon, mais cela soulève surtout la nécessité de s’armer en amont de moyens de détection suffisamment performants afin d’éviter ce type de crise.

Quelles mesures face à cette menace ?

La plupart des attaques par rançongiciels se caractérisent par des actions manuelles, utilisant souvent des logiciels légitimes ou natifs et poursuivant l’objectif de compromettre le SI des victimes sur la durée — il peut se passer plusieurs semaines voire plusieurs mois entre la prise de contrôle d’une machine et le déclenchement de la charge finale — et dans la profondeur — l’attaque vise à la paralysie maximale ou totale du SI.

Au concept classique de défense dans la profondeur doit être associé celui de détection dans la profondeur. Celle-ci doit permettre de détecter parmi les activités légitimes celles qui peuvent signaler la présence d’un attaquant : scan de machines sur le réseau interne, ajout de nouveaux utilisateurs ou changement de droits de certains comptes, augmentation anormale du volume de données transférées vers Internet, etc.

L’existence de sauvegardes, régulières et hors ligne, et de procédures de restauration testées et éprouvées est essentielle dans le cadre d’une stratégie de lutte et de prévention contre les ransomware. On ne nettoie pas un SI touché par un rançongiciel : on le reconstruit.

Si le ransomware est devenue la menace numéro 1 de cette année 2020, force est de constater qu’elle le sera sûrement probablement en 2021. Les collectivités territoriales doivent être en mesure de se prémunir et d’anticiper cette menace. Mais elles ne doivent pas non plus écarter les autres menaces que sont les malwares en général. Pour cela, l’ANSSI a notamment déclaré qu’elle apporterait son aide aux CT via le plan de relance pour sécuriser leur système d’information. Une nouvelle favorable qui doit permettre de renforcer leurs réponses face à ces menaces.

--

--

OWN Team
Cyber Threat Intelligence par OWN

Pure player français de la cybersécurité depuis 2008 #ThreatIntelligence #CERT (réponse sur incident) #Pentest #RedTeam #Conseil #Formation #MSSP