Les agences gouvernementales britanniques et américains ont publié un avertissement commun : des hackers commandités par des États s’en prennent aux organismes de santé à la recherche de toute informations sur les avancées autour du covid-19.

Les laboratoires de recherche sur le Covid-19, privés comme publics, sont plus que jamais la cible de groupes de hackers de haut niveau. Soutenus par des États, ces malfaiteurs sont capables d’exploiter les vulnérabilités les plus récemment découvertes — comme la faille Citrix — à la recherche de toute information sur les travaux des chercheurs. Leur objectif : mettre la main sur les propriétés intellectuelles, dans un jeu géopolitique assez confus.

Les autorités de cybersécurité britannique (le NCSC) et américaine (la CISA) mettent en garde contre ces attaques à destination des organisations de santé, et incitent les entreprises et universités à l’échelle mondiale à pousser leurs employés à activer la double authentification et à mettre en place des mots de passe forts.

Image d'erreur

Les hackers s’en prennent aux comptes les moins sécurisés des organismes de santé. // Source : Pexels

Le password spraying utilisé pour contourner les outils antispam

Les agences gouvernementales ont plus particulièrement identifié une campagne de password spraying ». Cette attaque a comme principal intérêt sa capacité à contourner les outils antispam, et permet de s’emparer des comptes les moins bien protégés d’une organisation.

Dans des méthodes de brute force classiques, comme l’attaque au dictionnaire, les hackers lancent un script qui va tenter un par un de nombreux mots de passe communs (« azerty », « 123456», « nomprénom », « motdepasse »…) pour se connecter à un compte. Seulement, la plupart des portails d’authentification bloquent la machine pour une certaine durée après un trop grand nombre de tentatives de connexion.

Entrer dans l’organisation par le maillon le moins sécurisé

Pour contourner cette restriction, les hackers peuvent alors utiliser le « password spraying », qui suit un mode opératoire inverse inverse : le script va tenter de se connecter à de nombreux comptes en même temps, en utilisant un petit nombre de mots de passe.

Moins efficace que le brute force classique pour s’en prendre à une cible précise, il permet de plus rapidement toucher les membres de l’organisation qui ont un mot de passe faible. Une fois que le pirate s’est connecté au compte d’un des membres de l’organisation, il peut espionner les mails et les documents éventuellement stockés, mais aussi lancer des manœuvres de phishing à partir de l’adresse compromise.

Se protéger contre ce genre d’attaque est à la fois simple et très compliqué à garantir : il faut que tous les membres de l’organisation aient mis en place des mots de passe fort, voire la double authentification sur leurs comptes. Mais comme il n’est pas possible de vérifier que tout le monde applique ces consignes, les organisations doivent s’en tenir à des conseils auprès de leurs employés.

Iran, Russie… on retrouve les suspects habituels

Dans les cas décrits par les agences gouvernementales, les cybercriminels scannent les infrastructures des organismes de santé à la recherche de toutes applications ou services accessibles depuis l’extérieur, puis tentent de s’y connecter. Leurs cibles sont des messageries électroniques, mais aussi des services de VPN ou encore des outils de gestions de réseaux.

Parmi les pays soupçonnés d’être à l’origine de ces attaques se trouvent les habituels suspects : l’Iran et la Russie (qui ne sont cependant pas mentionnés par les agences gouvernementales). Mais ils ne sont pas seuls : un groupe supposément commandité par le Vietnam avait également attaqué les organes de gestion de crise chinois.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !