Les agences gouvernementales britanniques et américains ont publié un avertissement commun : des hackers commandités par des États s'en prennent aux organismes de santé à la recherche de toute informations sur les avancées autour du covid-19.

Les laboratoires de recherche sur le Covid-19, privés comme publics, sont plus que jamais la cible de groupes de hackers de haut niveau. Soutenus par des États, ces malfaiteurs sont capables d’exploiter les vulnérabilités les plus récemment découvertes — comme la faille Citrix — à la recherche de toute information sur les travaux des chercheurs. Leur objectif : mettre la main sur les propriétés intellectuelles, dans un jeu géopolitique assez confus.

Les autorités de cybersécurité britannique (le NCSC) et américaine (la CISA) mettent en garde contre ces attaques à destination des organisations de santé, et incitent les entreprises et universités à l’échelle mondiale à pousser leurs employés à activer la double authentification et à mettre en place des mots de passe forts.

Les hackers s’en prennent aux comptes les moins sécurisés des organismes de santé. // Source : Pexels

Le password spraying utilisé pour contourner les outils antispam

Les agences gouvernementales ont plus particulièrement identifié une campagne de password spraying ». Cette attaque a comme principal intérêt sa capacité à contourner les outils antispam, et permet de s’emparer des comptes les moins bien protégés d’une organisation.

Dans des méthodes de brute force classiques, comme l’attaque au dictionnaire, les hackers lancent un script qui va tenter un par un de nombreux mots de passe communs (« azerty », « 123456 », « nomprénom », « motdepasse »…) pour se connecter à un compte. Seulement, la plupart des portails d’authentification bloquent la machine pour une certaine durée après un trop grand nombre de tentatives de connexion.

Entrer dans l’organisation par le maillon le moins sécurisé

Pour contourner cette restriction, les hackers peuvent alors utiliser le « password spraying », qui suit un mode opératoire inverse inverse : le script va tenter de se connecter à de nombreux comptes en même temps, en utilisant un petit nombre de mots de passe.

Moins efficace que le brute force classique pour s’en prendre à une cible précise, il permet de plus rapidement toucher les membres de l’organisation qui ont un mot de passe faible. Une fois que le pirate s’est connecté au compte d’un des membres de l’organisation, il peut espionner les mails et les documents éventuellement stockés, mais aussi lancer des manœuvres de phishing à partir de l’adresse compromise.

Se protéger contre ce genre d’attaque est à la fois simple et très compliqué à garantir : il faut que tous les membres de l’organisation aient mis en place des mots de passe fort, voire la double authentification sur leurs comptes. Mais comme il n’est pas possible de vérifier que tout le monde applique ces consignes, les organisations doivent s’en tenir à des conseils auprès de leurs employés.

Iran, Russie… on retrouve les suspects habituels

Dans les cas décrits par les agences gouvernementales, les cybercriminels scannent les infrastructures des organismes de santé à la recherche de toutes applications ou services accessibles depuis l’extérieur, puis tentent de s’y connecter. Leurs cibles sont des messageries électroniques, mais aussi des services de VPN ou encore des outils de gestions de réseaux.

Parmi les pays soupçonnés d’être à l’origine de ces attaques se trouvent les habituels suspects : l’Iran et la Russie (qui ne sont cependant pas mentionnés par les agences gouvernementales). Mais ils ne sont pas seuls : un groupe supposément commandité par le Vietnam avait également attaqué les organes de gestion de crise chinois.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux