Le Centre natio­nal pour la cyber­sé­cu­rité (NCSC), centre de compé­tences de la Confédération pour la protec­tion contre les cyber­risques, a publié son second rapport pour la période couvrant le premier semestre 2021. Il traite prin­ci­pa­le­ment des vulné­ra­bi­li­tés des systèmes infor­ma­tiques suscep­tibles d’être exploi­tées à des fins de cyberattaque.

Dans son chapitre consa­cré aux failles de sécu­rité, le NCSC traite tout d’abord des prin­ci­pales vulné­ra­bi­li­tés révé­lées au premier semestre de l’année écou­lée. Parmi celles-ci figure notam­ment « ProxyLogon », la faille critique de Microsoft Exchange et les vulné­ra­bi­li­tés auxquelles elle a donné accès. Grâce à cette chaîne d’attaque, des intrus étaient parve­nus à contour­ner l’authentification d’Exchange pour s’annoncer comme admi­nis­tra­teurs. Ainsi, il leur était possible de prendre le contrôle complet des serveurs et lire ou mani­pu­ler la corres­pon­dance élec­tro­nique, les données du calen­drier, les coor­don­nées et les tâches à effec­tuer. Le NCSC analyse égale­ment la compro­mis­sion du logi­ciel de partage de fichiers « Accellion ». Cette faille a permis à des acteurs malveillants de se procu­rer les données de centaines de clients comp­tant des insti­tu­tions majeures aux quatre coins du globe, de deman­der des rançons et de parta­ger les données en leurs mains. Il examine d’autres vulné­ra­bi­li­tés, à l’instar de « PrintNightmare », qui a été utili­sée par des atta­quants afin de se dépla­cer laté­ra­le­ment au sein des réseaux, ce qui a notam­ment été exploité par des opéra­teurs de rançon­gi­ciels. Le NCSC four­nit pour chaque vulné­ra­bi­lité analy­sée des recom­man­da­tions pour une meilleure protec­tion face à ces vulné­ra­bi­li­tés, allant de la mise en place d’un pare-feu ou d’un système d’authentification à deux facteurs à l’utilisation de divers correc­tifs et à la mise en place de mesures assu­rant la secu­rity by design.

Le NCSC pour­suit en insis­tant sur l’importance des chaînes d’approvisionnement logi­cielles (soft­ware supply chain), en citant l’exemple d’une vulné­ra­bi­lité décou­verte dans le produit « Bash-Uploader ». Dans la mesure où des milliers de clients utili­saient le script faisant partie inté­grante de diffé­rents programmes, ces derniers n’étaient pas forcé­ment au courant de la menace réelle que cet inci­dent faisait peser. Le rapport 2021/​1 signale que la nomen­cla­ture logi­cielle (soft­ware bill of mate­rials, SBOM), déve­lop­pée conjoin­te­ment par l’administration natio­nale des télé­com­mu­ni­ca­tions et de l’information améri­caine (NTIA) et ses parte­naires, permet­trait d’indiquer pour les produits numé­riques tous les compo­sants entrant dans la fabri­ca­tion d’un produit final, de la même manière que pour les denrées alimen­taires. Néanmoins, vu la complexité des bases de données à mettre à jour, il est néces­saire de béné­fi­cier d’un moyen de saisie et de trai­te­ment auto­ma­tisé des avis de sécu­rité. Pour ce faire, un format comme le « Common Security Advisory Framework (CSAF 2.0) », déve­loppé par l’organisation OASIS Open (orga­ni­sa­tion d’utilité publique respon­sable de normes open source), pour­rait typi­que­ment servir à établir les avis de sécu­rité néces­saires sous forme stan­dar­di­sée et lisible à la machine.

Le rapport 2021/​1 évoque ensuite les compé­tences de la divi­sion du NCSC habi­li­tée à infor­mer, sensi­bi­li­ser et soute­nir le public (dont font partie les parti­cu­liers, entre­prises et services étatiques) sur les failles de sécu­rité et les précau­tions à prendre. Elle gère égale­ment une plate­forme en vue de la divul­ga­tion coor­don­née de vulné­ra­bi­li­tés, permet­tant aux indi­vi­dus iden­ti­fiant une faille d’annoncer anony­me­ment leur décou­verte à un service étatique. Finalement, elle offre aux services étatiques une plate­forme de primes aux bogues (bug bounty) permet­tant d’identifier les éven­tuelles lacunes de sécu­rité au sein des réseaux infor­ma­tiques des collec­ti­vi­tés publiques. Le NCSC cite l’exemple du projet pilote de primes aux bogues lancé du 10 au 21 mai 2021 visant le DFAE et les Services du Parlement, qui avait par ailleurs permis de décou­vrir dix vulnérabilités.

Le reste du rapport offre un aperçu des annonces de cyber­sé­cu­rité reçues par le NCSC et ses services et dresse un pano­rama des menaces actuelles. Il donne une vue d’ensemble des annonces reçues, par le biais du nouveau formu­laire d’annonce, durant le premier semestre 2021, dont plus de la moitié concerne des cas de fraude, à l’instar de fake sextor­sion ou de fraude au paie­ment anti­cipé. Le NCSC attire l’attention du lecteur sur la diffu­sion de mali­ciels ou rançon­gi­ciels, ayant retenu son atten­tion durant cette première moitié d’année, en Suisse ou ailleurs. Il parcourt égale­ment les ques­tions de fuites de données, en s’arrêtant sur le vol de données de passa­gers de la Société inter­na­tio­nale de télé­com­mu­ni­ca­tions aéro­nau­tiques (SITA), qui s’était fait déro­ber des données, dont des infor­ma­tions de passe­port ou de carte de crédit, de quelques 4.5 millions de passa­gers de diverses compa­gnies aériennes lors d’une cybe­rat­taque visant son système de gestion des passa­gers. Le NCSC revient dans ce contexte sur les cas de data scra­ping de Facebook et Linkedin, qui avaient eu pour consé­quence la publi­ca­tion sur le Darkweb d’énormes quan­ti­tés de données person­nelles. Le data scra­ping, englo­bant toutes sortes de tech­niques permet­tant d’extraire systé­ma­ti­que­ment des sites Web publics des conte­nus tels que des numé­ros de télé­phone ou adresses élec­tro­niques, est toujours plus prati­qué à des fins d’optimisation du marke­ting notam­ment. Ces tech­niques permettent d’accéder à une quan­tité astro­no­mique de données publiques ou privées rela­tives à des profils, de la même manière qu’elles permettent de regrou­per les données prove­nant d’anciennes fuites pour créer une base de données agré­gée. Pour ces raisons, le NCSC requiert des services Internet rendant acces­sibles au public leurs fichiers de données de proté­ger leur plate­forme contre les consul­ta­tions de masse auto­ma­ti­sées. Il demande égale­ment à la popu­la­tion de restreindre l’accès public à ses profils sociaux, réflé­chir aux conte­nus qu’elle publie en ligne et n’accorder aux appli­ca­tions que les auto­ri­sa­tions néces­saires. Il est fina­le­ment néces­saire que toute entre­prise dispose d’un plan de réponse aux inci­dents (data breach response plan).

Parmi les autres annonces de cyber­sé­cu­rité recueillies, les fraudes à l’investissement sont abor­dées et le NCSC invite les lecteurs à se méfier des promesses de rende­ments impor­tants à court terme et des tiers propo­sant soudai­ne­ment leur aide après une fraude. En plus de renvoyer à diverses pages de son site inter­net pour plus d’informations concer­nant les ques­tions qu’il aborde, le NCSC soulève égale­ment la sensi­bi­lité, exacer­bée par la pandé­mie et les condi­tions météo­ro­lo­giques extrêmes, de la tech­no­lo­gie opéra­tion­nelle (OT) qui soutient et rend possible de nombreux proces­sus et dont le pilo­tage est dépen­dant des systèmes de contrôle indus­triels (SCI). Il est néces­saire, pour assu­rer la dispo­ni­bi­lité et l’intégrité des infra­struc­tures critiques, de se prépa­rer au mieux aux menaces qui pèsent sur ces systèmes ; pour y parve­nir, les exploi­tants d’infrastructures critiques peuvent obser­ver les nouvelles normes mini­males par secteur adop­tées par l’OFAE et les asso­cia­tions faîtières de certains secteurs d’approvisionnement.

Après le premier rapport publié par le NCSC (Rapport semes­triel 2020/​2, commenté sur swissprivacy/​74) portant sur la santé numé­rique, ce second rapport, plaçant un focus sur les vulné­ra­bi­li­tés, permet de comprendre l’importance pratique que revêt la préven­tion, la compré­hen­sion et la correc­tion des failles de sécu­rité. Ces failles sont nombreuses en pratique et leur exploi­ta­tion par des acteurs malveillants est suscep­tible d’engendrer des risques impor­tants pour les données, notam­ment person­nelles. Il est donc aujourd’hui primor­dial pour tout acteur, compte tenu de ses spéci­fi­ci­tés, d’adopter les mesures de sécu­rité tech­niques et orga­ni­sa­tion­nelles pour préve­nir les vulné­ra­bi­li­tés infor­ma­tiques au mieux, pour les détec­ter, empê­cher les exploi­ta­tions malveillantes de ces dernières et les réparer.