Cybersécurité : au-delà de la Russie, l’ANSSI regarde vers la Chine

ANSSI Chine

Espionnage, cryptominage, détournement de législations cyber… Autant d’aspects sur lesquels l’ANSSI fait, dans son panorama annuel des menaces, référence à la Chine.

Que savoir sur la menace cyber liée au conflit russo-ukrainien ? La semaine dernière, le CERT-FR avait publié un bulletin à ce sujet. Il vient de l’actualiser. Notamment pour avertir du risque de campagnes d’espionnage signées d’acteurs opportunistes non liés directement aux événements.

Parallèlement à cette mise à jour, le CSIRT gouvernemental français a mis en ligne son « panorama de la menace informatique 2021 ». Il y est question de la Russie, en référence à la campagne Ghostwriter, qui a mêlé compromissions de systèmes et désinformation. Mais il y est plus encore question de la Chine. Sur plusieurs points :

– Des 17 opérations de cyberdéfense que l’ANSSI a traitées sur l’année, 14 étaient liées à des opérations d’espionnage… dont 9 impliquant des modes opératoires chinois. Ces derniers sont par ailleurs associés à 5 des 8 incidents majeurs détectés au global.

– Les risques de détournement de cadres juridiques étrangers liés à la cybersécurité
Le CERT-FR mentionne, à ce sujet, le logiciel GoldenTax, imposé à certains clients de banques chinoises. Une porte dérobée s’est retrouvée dans plusieurs versions.

– Un autre risque de détournement : celui de la législation chinoise qui contraint les entreprises à signaler les vulnérabilités aux autorités. Elle « laisse craindre une identification facilitée de vulnérabilités 0-day par des attaquants chinois », nous explique-t-on.

– L’élargissement de la surface d’attaque dans le cloud
Référence est faite à deux groupes cybercriminels spécialisés dans le minage de cryptomonnaies. L’un d’eux, dit Rocke, est réputé chinois.

La Chine… et Exchange

Le CERT-FR revient aussi sur les vulnérabilités le plus fréquemment exploitées dans le cadre des incidents qu’ont traités l’ANSSI et son homologue américaine.

failles 2020
(Cliquer pour agrandir.)

failles 2021 Chine

Le CERT-FR en appelle, une énième fois, à appliquer les correctifs, en priorité sur les systèmes exposés à internet. Et, de manière générale, à minimiser les possibilités de rebond d’un serveur applicatif vers un réseau interne. Cela passe par un filtrage sortant strict. Et par le maintien à jour de l’inventaire des comptes de services. Comptes auxquels on n’accordera que les privilèges nécessaires.

Illustration principale © ilikestudio – Shutterstock