Solutions
&
techno

Panocrim XXV : les JO champions mais des cybercriminels toujours plus résilients

Par Bertrand Lemaire | Le | Cybersécurité

Le CLUSIF (Club de la Sécurité des Systèmes d’Information Français) a publié la vingt-cinquième édition du Panorama Annuel de la Cybercriminalité (Panocrim) avec les Jeux Olympiques en stars et les « hydres » en super-vilains.

Loïc Guézo est vice-président du CLUSIF et a co-présenté le Panocrim XXV. - © CLUSIF
Loïc Guézo est vice-président du CLUSIF et a co-présenté le Panocrim XXV. - © CLUSIF

Le 23 janvier 2025, le CLUSIF (Club de la Sécurité des Systèmes d’Information Français) a présenté la vingt-cinquième édition du Panorama Annuel de la Cybercriminalité (Panocrim) au Campus Cyber de Paris La Défense. L’association a plus de trente ans et, récemment, a été reconnue d’utilité publique (en novembre 2024). Autre actualité : Florence Puybareau rejoint le Clusif comme nouvelle directrice.

Le Panocrim est réalisé tous les ans par un groupe de travail dédié de membres de l’association avec l’appui d’experts externes. Comme Loïc Guézo, vice-président du CLUSIF, l’a relevé : « depuis les origines, sur chaque édition, on peut dire que les menaces se renforcent. » La présente édition ne rompt pas cette tradition, même s’il y a eu tout de même quelques bonnes nouvelles. Hervé Schauer, président fondateur de HS2, a plaidé pour sa paroisse d’organisme de formation en regrettant que seulement 0,2 % des budgets de cybersécurité sont consacrés à la formation professionnelle continue alors même que « 90 % des problèmes sont humains ». Ce sujet de la formation sera d’ailleurs le thème d’un atelier sur le prochain Hacktiv’Summit à Deauville les 11 et 12 février 2025.

Florence Puybareau rejoint le Clusif comme nouvelle directrice. - © D.R.
Florence Puybareau rejoint le Clusif comme nouvelle directrice. - © D.R.

2024, année des JOP Paris 2024

Cette édition du Panocrim tirait un bilan de l’année 2024, l’année des Jeux Olympiques et Paralympiques de Paris. Et, bien évidemment, le succès de cet événement a été une nouvelle fois célébré. Franz Regul, directeur cybersécurité du COJOP et aujourd’hui de Bpifrance, est revenu une dernière fois (mais tiendra-t-il cette promesse ?) sur le bilan de Paris 2024. La situation anticipée aurait dû être catastrophique. Et, au final, beaucoup se sont dit « il ne s’est rien passé ». Mais Franz Regul a de nouveau insisté : « nous avons bien été attaqué depuis le monde entier » : 55 milliards d’événements de cybersécurité, 71 000 alertes avec médiation automatisée, 2200 tickets à traitement humain et… aucun incident avec impact.

Eviden et Cisco, qui ont payé pour associer leurs noms aux Jeux Olympiques, ont été de vrais partenaires. Mais la principale leçon des JOP Paris 2024 est sans doute à chercher du côté de la coopération, avec notamment le fameux « club » des RSSI des organisations impactées par l’événement. Ce point particulier fait d’ailleurs l’objet d’un atelier sur le prochain Hacktiv’Summit les 11 et 12 février 2025 à Deauville après le dîner-débat du 13 novembre 2024 qui avait tiré un bilan plus général. Les attaques constatées à l’occasion des JOP ont été de toutes natures : sur l’écosystème, sur les installations du COJOP, des DDoS, des opérations d’influence et de déstabilisation, des intrusions physiques, des attaques hybrides (attentats contre les infrastructures de communication de la SNCF le jour de la cérémonie d’ouverture), vols d’identité, phishing, compromissions de chaînes d’approvisionnement… « Les valeurs clés du succès ont été l’anticipation, l’expertise et la coopération » a conclu Franz Régul avant de faire applaudir ses équipes.

La géopolitique comme facteur aggravant de la cybercriminalité

L’année 2024 a aussi été une année très électorale. Plus de la moitié de la population mondiale, dans plus de 70 pays, a participé à un scrutin majeur. Evidemment, 2024 a aussi été une année de déstabilisation à grande échelle. Les DDoS ont frappé des partis politiques (France), fakenews et deepfakes ont déferlé, notamment sur X (ex-Twitter), un candidat pro-russe a été poussé sur Tik-Tok en Roumanie au point que l’incident amène l’annulation du scrutin… Les incidents ne frappent pas seulement l’Occident. Vladimir Poutine a reçu un beau cadeau pour son anniversaire : un deepfake de lui appelant les troupes russes à capituler en Ukraine. Et le Hezbollah a eu, lui, quelques soucis de sécurisation de la chaîne d’approvisionnement en matériels. Cette dernière menace sera d’ailleurs au menu d’un Club le 26 mars 2025.

L’arrestation de Pavel Dourov, patron de Télégram, a entraîné des ripostes de la part des cybercriminels (attaques DDoS contre des organismes français…). Au milieu des 900 millions d’utilisateurs actifs de cette messagerie aux fonctionnalités très riches, il y a en effet de nombreux groupes criminels. Frappé par douze incriminations avec des risques de peines de plus de dix ans d’emprisonnement, Pavel Dourov s’est engagé à, désormais, mieux collaborer avec les autorités judiciaires. Il est certes difficile de prévoir les suites de cette affaire pour laquelle l’enquête est loin d’être close, même si de nombreux comptes de criminels ont été supprimés, bloqués ou divulgués.

Les hydres font repousser leurs têtes

L’optimisme peut-il être de mise ? L’opération internationale menée contre le groupe de rançongiciel Lockbit a entraîné de nombreuses arrestations, des saisies de serveurs, de clés de chiffrement et de comptes financiers… mais les affiliés n’ont pas baissé les bras et ont mené plus de 180 attaques ! D’une manière générale, le démantèlement d’un groupe cyber-criminel se traduit souvent par une multiplication de petits groupes, des forks techniques, etc. L’hydre à qui on coupe la tête en fait repousser dix… Les affiliés locaux connaissent, de plus, leurs propres écosystèmes et sont plus efficaces sur ceux-ci.

L’appât du gain n’est pas la seule motivation des cybercriminels, bien évidemment. Et une difficulté majeure est l’attribution d’une attaque. Les erreurs en la matière sont fréquentes, sans oublier les revendications trompeuses (sous faux pavillon). Or de telles erreurs peuvent entraîner des incidents diplomatiques potentiellement aux graves conséquences. Enfin, Gérôme Billois, partner de Wavestone, a terminé la présentation en pointant les dangers de l’IA et de l’IAG. Pour démontrer son propos, un complice est intervenu à distance à sa place sous forme de deepfake… avant de révéler la réalité. L’IA et l’IAG sont fragiles (notamment face à l’empoisonnement) en plus d’être des outils pour les cyber-criminels, même si elle peut être aussi une alliée. Google a ainsi entraîné des IA à repérer des failles dans les logiciels avec plus d’efficacité que toutes les autres méthodes. La place de l’IA dans la problématique de la cybersécurité sera d’ailleurs le sujet d’un atelier sur le prochain Hacktiv’Summit à Deauville les 11 et 12 février 2025. La détection systématisée des failles pourrait d’ailleurs être une réponse aux difficultés rencontrées par les éditeurs de logiciels eux-mêmes vis-à-vis des librairies externes ou open-source qu’ils utilisent dans leurs propres produits.