« Roaming Mantis », un groupe de hackers chinois serait à l’origine d’une vaste campagne de phishing par SMS qui cible la France, mais également l’Allemagne, les États-Unis, la Corée du Sud et le Japon selon Sekoia.io, une entreprise française spécialisée dans l’analyse des cybermenaces. Nous avons interrogé son COO, François Deruty qui a également été sous-directeur Opérations de l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) et Félix Aimé l’un des principaux chercheurs en cybersécurité de Sekoia.io, à propos des enjeux actuels en matière de cybersécurité. D’après eux, même « s’il y a eu une hausse » des attaques venant de Russie depuis la guerre en Ukraine, « La Chine représente la plus grande menace à long terme ».
Monsieur Deruty, pouvez-vous nous présenter en quelques mots l’entreprise Sekoia.IO ?
François Deruty. Sekoia a été créé en 2008, c’est historiquement une entreprise de services numériques, spécialisée dans le renseignement, l’audit, l’analyse des cybermenaces le conseil et la réponse à incident…
En 2013, nous nous sommes rendu compte que nous ne trouvions pas l’outil de nos rêves dans toutes nos actions diverses et variées pour appuyer les équipes opérationnelles, et nous avons donc basculé dans le développement et l’édition logicielle pour automatiser les capacités de détection et de réponse aux incidents.
En 2020, nous avons donc lancé la solution Sekoia.io, plateforme Saas répondant à ce besoin et aujourd’hui nous menons une réorganisation stratégique importante de nos activités en scindant l’entreprise en deux : la partie historique devenant une entreprise indépendante et autonome, appelée OWN et qui continuera ses activités de services en cybersécurité, et de l’autre côté Sekoia.io qui est un éditeur de logiciel.
Vous venez de l’ANSSI, qu’est-ce que cela apporte comme valeur ajoutée à une entreprise comme Sekoia.IO ?
François Deruty. Cela apporte de l’expérience opérationnelle, une forme de sérénité sur la gestion des incidents, sur la connaissance des menaces. Nous sommes plusieurs dans ce cas-là, comme Félix notamment, mais également avec des collaborateurs issus d’équipes opérationnelles de grandes entreprises
Pourquoi avez-vous choisi de quitter l’ANSSI pour rejoindre Sekoia.IO ?
François Deruty. J’arrivais à la fin de mon détachement de six ans et après 20 ans dans la fonction publique, j’avais envie de me challenger avec un nouveau projet, et puis j’ai une véritable passion pour l’analyse de la menace.
Lorsque j’étais à l’ANSSI, je trouvais dommage qu’il n’y ait pas d’entreprises françaises vraiment spécialisées en Threat Intel (processus d’identification et d’analyse des menaces NDLR.) pour dire : « Voici la menace à laquelle nous faisons face en France, voici comme nous la percevons et comment y faire face».
Je me suis donc dit : pourquoi ne pas tenter l’aventure ? A cette époque il n’y avait que Sekoia.io qui avait l’équipe et la maturité suffisante en analyse de la menace pour m’apporter ce challenge.
La France n’est pas un pays très performant en matière de Threat Intelligence?
François Deruty. En matière de publications, de compétences et de partage de cette connaissance, au niveau de maturité, la France est très bien placée en Europe continentale. Nous sommes sûrement dans les meilleurs avec les Pays-Bas qui sont très actifs également.
L’ANSSI fait un gros travail depuis de nombreuses années, la réglementation a suivi, l’écosystème s’est beaucoup développé, mais il y a toujours cette partie de l’analyse des menaces sur laquelle on pêche un peu. L’écosystème français s’appuie encore beaucoup sur des analyses et des solutions etrangères. C’est bien de croiser les sources, c’est le principe du renseignement, mais c’est bien aussi d’avoir des sources autonomes et souveraines dans les données et leur analyse.
Chez Sekoia.io, les équipes avec d’excellents experts comme Félix, investiguent, traquent, analysent, cherchent, détectent, et produisent des analyses de différents cas, comme celui qui nous réunit aujourd’hui, mais d’autres également.
Vous parliez de l’écosystème de la Cyberdéfense tout à l’heure. Sekoia.io est installé dans le nouveau Campuscyber qui a pour objectif de fédérer la communauté de la Cybersécurité. Est-ce que cela fonctionne pour l’instant ?
François Deruty. On arrive à la fin des emménagements, les plus grosses entreprises ou institutions, celles qui occuperont des étages complets, devraient toutes être installées à la rentrée.
Le Campus Cyber nous permet de nous rapprocher. Nous co-pilotons par exemple un groupe de travail avec la Société Général et la société Gatewatcher, dans lequel nous avons livré une plateforme de création collaborative de renseignement avec notamment comme cas concret le conflit en Ukraine. Elle permet aux différentes entreprises de travailler ensemble, de construire une doctrine commune et de se préparer en cas d’urgence.
Il se trouve qu’il n’y a pas eu, pour le moment, la cyberguerre que l’on attendait. Nous avons constaté une hausse de l’activité, mais pas « l’Armageddon » que nous pouvions craindre au début.
Nous n’avons pas constaté d’attaques de grande ampleur hors de l’Ukraine, si ce n’est une attaque satellitaire, ou peut-être des effets de bords, à la marge, mais pas d’actes de guerres qui déclencheraient des représailles fortes.
Si ça venait à s’accélérer, l’initiative du Campus permettrait de partager rapidement des éléments à tous ceux qui en auraient besoin.
Ces attaques venaient de Russie ?
François Deruty. L’attribution est toujours une partie compliquée, mais on a de forts soupçons au regard de nos investigations.
Vous éditez des cartes des cyberattaques, pouvez-vous nous indiquer qui sont les principaux belligérants ?
En ce qui concerne le cybercrime et notamment les rançongiciels, la majorité des victimes se situent en Amérique du Nord, en Europe et en Asie, mais n’importe quelle entreprise ou entité peut aujourd’hui être ciblée.
Tant que ces groupes de hackers gagnent de l’argent grâce à leurs attaques, notamment avec le paiement des rançons, ils continueront.
Dans tout ce qui concerne l’espionnage, le conflit ukrainien attire toute l’attention et pourtant je pense que la Chine est l’acteur qui tire le plus de profit de ce conflit d’un point de vue cyber. Les groupes cyber chinois, qu’ils soient sponsorisés par le gouvernement ou non , sont très actifs dans le vol d’informations et de données pendant que les gens regardent ailleurs. Ce n’est pas nouveau mais cela s’est intensifié. De mon point de vue, la plus grosse menace à long terme, ça serait celle-là.
Les rançongiciels sont-elles les attaques les plus fréquentes ?
François Deruty. Les plus visibles oui, mais l’espionnage ça ne se voit pas. Les entités qui sont victimes en parlent toujours très peu. Nous travaillons sur ce que l’on nomme des APT (attaques persistantes avancées, Advanced Persistant Threats) toute la journée, nous publions régulièrement sur ces sujets-là. Je dirais que c’est du 50/50. Ce qe l’on voit n’est que la partie visible de l’iceberg.
Chez Sekoia.io nous travaillons sur tout ce qui impacte nos clients. À l’origine de ces attaques, que ce soient des rançongiciels ou des attaques étatiques avec de nombreux points communs dans les outils et techniques utilisés. Ensuite c’est la finalité qui diffère.
Récemment vous avez lancé une alerte concernant une opération de smishing derrière laquelle on trouverait un groupe de hacker surnommé « Roaming Mantis ». Pouvez-vous nous confirmer qu’il s’agit de hackers chinois ?
Félix Aimé. Il y a de forts soupçons. Si on rentre dans l’historique du groupe, ce n’est même plus des soupçons, nous estimons clairement que cette attaque est développée par un groupe chinois. Ce que l’on ne sait pas encore, c’est, est-ce que c’est strictement associé à du cybercrime ? Ou est-ce de la récupération de données par le gouvernement chinois ? Il y a quelques indices qui nous laissent à penser que c’est du cybercrime, mais trop peu pour le certifier.
L’attaque vise à récupérer le maximum d’information via ce malware. La campagne ce n’est pas qu’un malware, il y a aussi beaucoup de phishing, du vol d’identifiants « classique », notamment pour les propriétaires d’iPhone et une fois que les attaquants sont connectés au compte iCloud de la personne, ils peuvent aspirer toutes les informations qui y sont présentes.
Y a-t-il un profil type des personnes qui ont été touchées par cette campagne ?
Félix Aimé. On retrouve tous types de profil, il n’y a pas de ciblage, ou alors un ciblage à 360°.
Nous ne savons pas comment sont obtenus les numéros de téléphone. Ce que nous savons en revanche, c’est que les expéditeurs ne connaissent pas les gens auxquels sont envoyés les messages malveillants. Nous pensons que les téléphones compromis par Roaming mantis sont utilisés comme des relais par les attaquants afin d’envoyer des messages à d’autres téléphones.
Nous avons voulu contacter les expéditeurs des messages et on s’est très vite aperçu qu’aucun de nous ne les connaissait. Il est clair que ce n’est pas fait de leur plein gré, que c’est généré de manière automatisée.
Ces prochaines semaines nous allons compromettre un téléphone et le laisser vivre, pour voir ce que font les attaquants sur ce téléphone, ce qu’ils exfiltrent comme informations. Cette investigation se fera dans la durée, et nous allons nous atteler à faire cela pour comprendre tout l’écosystème de cette campagne. Aujourd’hui nous avons une bonne vue globale, mais pas encore assez pour rentrer dans les détails des motivations des ’attaquants et leur organisation.
Pouvez-vous nous en dire plus sur « Roaming Mantis »?
Félix Aimé. C’est un groupe d’attaquant qui a été vu pour la première fois en 2018 et qui ciblait principalement le Japon et la Corée du Sud. Peu à peu, ils ont évolué pour cibler d’autres pays, généralement les pays occidentaux, comme l’Allemagne, les États-Unis, la France et toujours la Corée du Sud et le Japon.
Pourquoi les appelle-t-on comme cela ?
Félix Aimé. Parce qu’ils compromettent des box Internet… Le programme malveillant qui est dans le téléphone va essayer de changer les paramètres des box afin de rediriger les utilisateurs d’un réseau wifi vers des sites internet malveillants (Phishing ou autres.).
Les applications malveillantes Android que l’on voit en France compromettent un seul type de routeur Internet, qui n’est pas semblable à ceux fournis par les opérateurs. Donc il n’y a quasiment aucun impact pour les français sur ce point.
C’est plus compliqué dans les pays où les utilisateurs s’achètent leurs propres routeurs Internet
Quelles sont les grosses opérations de phishing pas SMS qu’il y a eu ces derniers temps en France ?
Félix Aimé. Il y a beaucoup de choses actuellement sur les CPF ou les arnaques liées aux cartes vitales, tout ce qui concerne les données Amélie également. C’est une plaie, on en voit de partout.
Nous commençons à faire remonter aux entités concernées de nombreux domaines malveillants que nous voyons lors de nos investigations.
Comment peut-on se protéger de ce genre d’attaques ?
Félix Aimé. Il y a eu beaucoup de sensibilisation sur les postes de travail, mais les personnes ne sont pas encore très alertes avec ce vecteur de phishing notamment via les SMS whatshapp, Linkedin, ou n’importe quel type de messagerie sur smartphone. Lorsque l’on est sur un téléphone on a tendance à cliquer un peu partout, c’est un réflexe et les attaquants en profitent.
La meilleure défense, c’est de faire les mêmes gestes que sur un ordinateur standard, de contacter l’expéditeur et surtout de ne jamais cliquer sur les liens, surtout lorsque l’on nous demande de donner nos identifiants.
François Deruty. Les listes comme bloctel par exemple, ça a une forme d’efficacité, mais cela ne dure jamais très longtemps.
En matière de Cyberdéfense, il y a des entreprises comme la vôtre qui proposent leurs services, mais qui fait la police ? L’ANSSI ? Europol ?
François Deruty. Ce n’est pas simple comme sujet. Les domaines malveillants ou les infrastructures des attaquants par exemple sont souvent hébergés dans des pays qui ont des conditions d’utilisation pas très regardantes, qui sont prisés par les attaquants justement pour cela.
L’ANSSI et les autorités compétentes doivent miser sur la coopération internationale et notamment travailler, en lien avec le parquet cyber, avec les entités judiciaires comme Europol ou Eurojust.
Pouvez-vous nous expliquer ce qu’est l’ENISA (The European Union Agency for Cybersecurity) ?
François Deruty. L’ENISA n’est pas une entité opérationnelle à proprement parlé. Elle travaille sur la doctrine européenne, comment chaque entité doit se structurer, pour être au bon niveau de maturité, partager efficacement, savoir gérer une cellule de crise, s’entrainer au niveau européen, etc…
L’ENISA n’intervient pas directement sur le terrain, par contre, ils collectent de nombreux retours d’expérience de ceux qui interviennent, notamment des CERT (Computer Emergency Response Team) gouvernementaux comme l’ANSSI et ils en tirent des propositions d’amélioration pour favoriser ce travail en commun au niveau européen.
Quelles sont les structures les plus attaquées en France? Les ministères ? Les entreprises ?
François Deruty. Çela dépend des types d’attaques, mais personne n’est à l’abri.
Concernant les rançongiciels, il y a souvent deux types de procédés. Il y a les attaques opportunistes, qui visent n’importe quel type d’entités avec des rançons pas forcément très élevées, mais qui sur le volume vont gagner de l’argent.
Après, il y a ce que l’on appelle la chasse au gros, le Big game hunting. Là, le but est de chercher une grosse cible, parce que ses accès sont en vente sur Internet par exemple, ou un gros prestataire avec de nombreux clients. Cela permet de prendre en otage une entreprise et ses clients pour demander une rançon elevée.
En ce qui concerne l’espionnage, les ministères régaliens comme le quai d’Orsay, la Défense, sont souvent sous le feu des attaques, mais ils sont bien protégés et se défendent correctement.
Les cas les plus difficiles, c’est ce qu’on appelle les attaques par supply chain (de chaines d’approvisionnement). Elles ciblent les prestataires d’une entreprise, notamment car les grosses entreprises ont atteint un certain niveau de maturité en termes de protection.
Comme la maturité en France et en Europe a beaucoup progressée pour ce qu’on appelle les opérateurs d’importance vitale ou critique, les attaquants passent par leurs sous-traitants pour essayer de rentrer quand même. Essayer d’attaquer en frontal une grosse entreprise, c’est devenu difficile, ou en tout cas ça coute cher, donc ce n’est pas rentable. Alors que ces structures sont interconnectées avec tout un ecosytème de fournisseurs et prestataires dont certains sont moins protégés.
