Cybersécurité : au-delà de la Russie, l'ANSSI regarde vers la Chine
Espionnage, cryptominage, détournement de législations cyber... Autant d'aspects sur lesquels l'ANSSI fait, dans son panorama annuel des menaces, référence à la Chine.
Que savoir sur la menace cyber liée au conflit russo-ukrainien ? La semaine dernière, le CERT-FR avait publié un bulletin à ce sujet. Il vient de l'actualiser. Notamment pour avertir du risque de campagnes d'espionnage signées d'acteurs opportunistes non liés directement aux événements.
Parallèlement à cette mise à jour, le CSIRT gouvernemental français a mis en ligne son « panorama de la menace informatique 2021 ». Il y est question de la Russie, en référence à la campagne Ghostwriter, qui a mêlé compromissions de systèmes et désinformation. Mais il y est plus encore question de la Chine. Sur plusieurs points :
- Des 17 opérations de cyberdéfense que l'ANSSI a traitées sur l'année, 14 étaient liées à des opérations d'espionnage... dont 9 impliquant des modes opératoires chinois. Ces derniers sont par ailleurs associés à 5 des 8 incidents majeurs détectés au global.
- Les risques de détournement de cadres juridiques étrangers liés à la cybersécurité
Le CERT-FR mentionne, à ce sujet, le logiciel GoldenTax, imposé à certains clients de banques chinoises. Une porte dérobée s'est retrouvée dans plusieurs versions.
- Un autre risque de détournement : celui de la législation chinoise qui contraint les entreprises à signaler les vulnérabilités aux autorités. Elle « laisse craindre une identification facilitée de vulnérabilités 0-day par des attaquants chinois », nous explique-t-on.
- L'élargissement de la surface d'attaque dans le cloud
Référence est faite à deux groupes cybercriminels spécialisés dans le minage de cryptomonnaies. L'un d'eux, dit Rocke, est réputé chinois.
La Chine... et Exchange
Le CERT-FR revient aussi sur les vulnérabilités le plus fréquemment exploitées dans le cadre des incidents qu'ont traités l'ANSSI et son homologue américaine.
Le CERT-FR en appelle, une énième fois, à appliquer les correctifs, en priorité sur les systèmes exposés à internet. Et, de manière générale, à minimiser les possibilités de rebond d'un serveur applicatif vers un réseau interne. Cela passe par un filtrage sortant strict. Et par le maintien à jour de l'inventaire des comptes de services. Comptes auxquels on n'accordera que les privilèges nécessaires.
Lire aussi : Coder avec l'IA : les lignes directrices de l'ANSSI
Illustration principale © ilikestudio - Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité