Rapport semes­triel 2023/​I (janvier à juin) du 2 novembre 2023

Le thème prio­ri­taire du rapport semes­triel 2023/​1 du NCSC concerne l’hacktivisme. L’hacktivisme est carac­té­risé par des actions illé­gales perpé­trées dans le cybe­res­pace par des auteurs dont l’activité est moti­vée par une idéo­lo­gie. La guerre en Ukraine donne lieu au déve­lop­pe­ment de plusieurs groupes d’hacktivistes prenant parti pour l’un ou l’autre des États belli­gé­rants. Il n’y a en revanche pas systé­ma­ti­que­ment de liens entre les groupes d’hacktivistes perpé­trant des attaques et les gouver­ne­ments impli­qués dans le conflit.

Les objec­tifs souvent pour­sui­vis par les auteurs dans ce contexte sont le souhait d’attirer l’attention et, poten­tiel­le­ment, de créer de l’insécurité ou détruire la confiance dans les orga­ni­sa­tions exploi­tant les sites touchés.

Les attaques en déni de service distri­bué (Distributed Denial of Service, DDoS) consti­tuent une typo­lo­gie d’attaques parti­cu­liè­re­ment utili­sée par les hack­ti­vistes. Ces attaques consistent en la satu­ra­tion d’un service par des requêtes simul­ta­nées émanant d’un grand nombre d’ordinateurs situés dans diffé­rents lieux pour rendre ce service indis­po­nible. La consé­quence prin­ci­pale est l’indisponibilité tempo­raire du site web de l’organisation visée par l’attaque.

Le rapport traite de diffé­rents sites web suisses ayant fait l’objet de telles attaques durant le premier semestre de 2023. Le site des Services du Parlement fait par exemple partie des cibles avec une première attaque DDoS à la suite d’une déci­sion du Conseil des États en lien avec la loi fédé­rale sur le maté­riel de guerre. La seconde est déclen­chée par l’annonce du discours du président ukrai­nien Volodymyr Zelensky devant l’Assemblée fédé­rale et surcharge non seule­ment le site web des Services du Parlement, mais aussi de certains offices, de cantons et de villes ainsi que de l’Association suisse des banquiers. Le NCSC décrit ces attaques en détail dans un rapport complé­men­taire sur les attaques DDoS de juin 2023.

Le NCSC rappelle dans son rapport que les attaques DDoS peuvent être déjouées. Il est possible de se réfé­rer aux mesures propo­sées par le NCSC pour préve­nir et réagir à de telles attaques. Il peut être utile, surtout pour les systèmes critiques, de s’abonner préven­ti­ve­ment à une protec­tion DDoS commerciale.

Dans les attaques DDoS parcou­rues par le NCSC, les mesures prises par Swisscom sont citées, allant notam­ment du blocage du trafic issu des pays dont prove­nait la majeure partie des requêtes DDoS à la limi­ta­tion de débit sur l’équilibreur de charge pour déchar­ger dura­ble­ment le serveur web. Le NCSC partage une série de mesures proac­tives et réac­tives dans son rapport complé­men­taire sur les attaques DDoS de juin 2023.

D’autres attaques sont suscep­tibles d’être perpé­trées par des hack­ti­vistes. Il en va tout d’abord de la sorte pour le défa­ce­ment, à savoir l’altération par le biais d’une cybe­rat­taque du code d’un site web, entraî­nant ainsi la modi­fi­ca­tion de son contenu. Cela se traduit régu­liè­re­ment par l’exposition des reven­di­ca­tions des hack­ti­vistes. Le pira­tage et la divul­ga­tion sont ensuite aussi réali­sés dans ce contexte par la péné­tra­tion dans des systèmes infor­ma­tiques, la sous­trac­tion de données et leur publi­ca­tion. Finalement, les hack­ti­vistes effec­tuent régu­liè­re­ment des tenta­tives de sabo­tage. Il est impor­tant de mettre en œuvre les recom­man­da­tions exis­tantes pour se prému­nir adéqua­te­ment contre ces acti­vi­tés, de faire surveiller auto­ma­ti­que­ment les sites web pour être alerté lors de poten­tielles modi­fi­ca­tions et de réagir en cas d’alerte.

Le NCSC fait ensuite part, dans son rapport, des 19’048 annonces de cybe­rin­ci­dents reçues durant le premier semestre de 2023, soit 2’000 annonces de plus qu’au premier semestre de 2022. Les annonces concernent prin­ci­pa­le­ment des fraudes. La majo­rité des annonces consti­tuent toujours de la fausse extor­sion sous forme de cour­riels de menace émanant préten­du­ment d’une autorité.

Une hausse de cas d’hameçonnage de 40% est iden­ti­fiée par le NCSC, prin­ci­pa­le­ment en raison d’une vague d’hameçonnage contre les clients SwissPass. D’autres tenta­tives d’hameçonnage prennent la forme d’un SMS de fausses alertes de livrai­son de colis ou d’appels télé­pho­niques de préten­dus colla­bo­ra­teurs d’entreprises de télé­com­mu­ni­ca­tion cher­chant à obte­nir le code de sécu­rité envoyé par SMS dans le cadre d’une authen­ti­fi­ca­tion multifactorielle.

Le NCSC termine son rapport avec des expli­ca­tions sur divers phéno­mènes à l’instar des mali­ciels, rançon­gi­ciels, exploi­ta­tions de vulné­ra­bi­li­tés et failles de sécu­rité, accom­pa­gnées de recom­man­da­tions générales.