Ce fut une année chargée en matière d’actualité sur la cybersécurité, avec des articles allant d’une panne informatique mondiale à un rapport gouvernemental cinglant contre un géant de la technologie.
Alors que la plupart des années ne comportent qu’une ou deux histoires géantes dans le monde de la sécurité – 2021 avec le piratage de Colonial Pipeline par exemple – 2024 comprend plusieurs moments qui dépassent la bulle de l’information technologique et touchent le monde au sens large. La mise à jour défectueuse du fichier de canal Falcon de CrowdStrike, par exemple, a provoqué cet été une panne informatique mondiale qui a affecté des millions de machines Windows et perturbé un certain nombre d’organisations critiques, notamment des compagnies aériennes. Et les effets de l’attaque du ransomware contre le fournisseur de technologies de santé Change Healthcare se font encore sentir aujourd’hui.
L’actualité de la cybersécurité en 2024 a également fait la une des journaux, notamment le piratage par la Chine de plusieurs grandes sociétés de télécommunications, le paiement de la plus grosse rançon jamais enregistrée, le piratage d’une importante campagne présidentielle américaine et bien plus encore. Ce sont dix des histoires de cybersécurité les plus significatives de 2024 (classées par ordre chronologique).
1. LockBit supprimé
Le gang LockBit est depuis des années l’un des groupes de ransomware-as-a-service les plus importants et les plus actifs, après avoir compromis des organisations géantes, dont Boeing. Mais l’organisation chargée de la cybercriminalité a été gravement perturbée lors d’une opération internationale de maintien de l’ordre dévoilée le 20 février.
L’Opération Cronos, une coalition d’organisations chargées de l’application des lois dirigée par la National Crime Agency du Royaume-Uni, a été un effort de plusieurs mois visant à mettre fin aux opérations du groupe. Les collaborateurs comprenaient l’Australie, le Canada, la France, l’Allemagne, le Japon, les Pays-Bas, la Suède, la Suisse et les États-Unis. Dans le cadre de l’opération Cronos, les forces de l’ordre ont saisi 28 serveurs, détruit le site de fuite public de LockBit, arrêté plusieurs collaborateurs présumés et obtenu le code source de LockBit. ainsi que plus de 1 000 clés de décryptage.
Bien que les gouvernements aient intensifié leurs efforts de lutte contre la cybercriminalité ces dernières années, le retrait de LockBit était innovant, car les forces de l’ordre ont publié un « site de fuite » rebaptisé nom et honte sur le domaine .onion de LockBit avec des communiqués de presse, des clés de décryptage, l’identité de son leader, fuites back-end et plus encore. Cette décision a apparemment porté atteinte à la réputation de LockBit, à tel point que les chercheurs ont affirmé que les tentatives de retour du gang avaient échoué.
2. Change Healthcare subit une attaque massive de ransomware
Dans l’une des violations les plus efficaces de mémoire récente, le géant des logiciels de santé Change Healthcare a subi une attaque de ransomware le 21 février menée par le groupe de ransomware Alphv/BlackCat. En raison de l’omniprésence du logiciel Change Healthcare, les organisations de soins de santé, y compris les grandes chaînes de pharmacies CVS et Walgreens, ont été confrontées à des interruptions de plusieurs jours en raison de l’attaque. L’attaque a encore affecté la capacité des médecins à facturer, la capacité des hôpitaux à prescrire des médicaments et des procédures, ainsi que les personnes faisant des réclamations en matière de santé.
La violation a été causée par un portail d’accès à distance Citrix sur lequel MFA n’était pas activé.
Andrew Witty, PDG de UnitedHealth Group, propriétaire de Change Healthcare, a estimé en mai que les retombées de l’attaque affecteraient environ un tiers des Américains. Le gang Alphv/BlackCat a notamment été démantelé par le FBI et d’autres organismes chargés de l’application des lois en décembre 2023. Cependant, le gang a repris ses activités et a commencé à cibler de manière agressive les organisations de soins de santé en 2024.
3. CISA piraté via les vulnérabilités Zero Day d’Ivanti
Le fournisseur de cybersécurité Ivanti a divulgué deux vulnérabilités Zero Day le 10 janvier – une faille d’injection de commande Ivanti Connect Secure identifiée comme CVE-2024-21887 et une vulnérabilité de contournement de l’authentification Ivanti Policy Secure identifiée comme CVE-2023-46805 – qui étaient exploitées en masse. par un acteur de l’État-nation chinois. Il a été révélé que la CISA, la principale agence de cybersécurité des États-Unis, en faisait partie après que la publication sur la cybersécurité The Record a signalé la violation le 8 mars.
CISA a rapidement confirmé l’attaque, affirmant avoir détecté « une activité indiquant l’exploitation de vulnérabilités dans les produits Ivanti utilisés par l’agence » et que l’impact était limité à deux systèmes que l’agence a immédiatement mis hors ligne. “Cela nous rappelle que toute organisation peut être affectée par une cyber-vulnérabilité et que la mise en place d’un plan de réponse aux incidents est un élément nécessaire de la résilience”, a déclaré CISA à TechTarget Editorial à l’époque.
4. Cisco finalise l’acquisition de Splunk pour 28 milliards de dollars
Bien que l’acquisition massive par Cisco de 28 milliards de dollars du fournisseur d’observabilité et de sécurité Splunk ait été annoncée l’automne dernier, l’accord a finalement été conclu le 18 mars. Dès que l’acquisition a été finalisée, Cisco a pris le relais en annonçant son intention d’intégrer largement les capacités de renseignement sur les menaces de Talos avec Produits d’observabilité de Splunk. Le géant des réseaux a ensuite intégré sa technologie XDR dans la plateforme Splunk Enterprise Security.
Bien que d’autres acquisitions dignes de mention dans le domaine de la cybersécurité aient été annoncées cette année, telles que l’achat de Recorded Future par Mastercard pour 2,65 milliards de dollars, qui devrait être finalisé au premier trimestre de l’année prochaine, et l’acquisition en cours par Sophos de SecureWorks pour 859 millions de dollars (qui devrait être finalisée au début de l’année prochaine) – – aucun n’a approché l’ampleur et le prix de l’acquisition de Splunk.
5. Le Cyber Safety Review Board interpelle Microsoft
Le 2 avril, le Cyber Safety Review Board (CSRB) du Département américain de la sécurité intérieure a publié un rapport critiquant Microsoft pour une « cascade » d’erreurs qui ont permis à un acteur menaçant d’un État-nation chinois suivi sous le nom de Storm-0558 de pirater des comptes de messagerie à environ 25 heures. organisations, y compris les agences gouvernementales. L’acteur a accédé aux comptes en utilisant Outlook Web Access dans Exchange Online et Outlook.com en falsifiant des jetons d’authentification via une clé de signature de compte Microsoft volée.
Le rapport concluait que « cette intrusion n’aurait jamais dû se produire » et que plusieurs erreurs de sécurité de la part de Microsoft avaient contribué à cette violation. Parmi ses conclusions, le CSRB a déclaré que « la culture de sécurité de Microsoft était inadéquate et nécessitait une refonte », et qu’il avait fallu qu’un client – le Département d’État américain – informe Microsoft des activités de la tempête 0558.
Le rapport fait également suite à une violation révélée par le géant de la technologie en janvier, dans laquelle un acteur menaçant affilié à l’État russe, connu sous le nom de Midnight Blizzard, a violé le réseau d’entreprise de Microsoft lors d’une attaque par pulvérisation de mot de passe. L’authentification MFA n’était pas activée sur l’ancien compte de locataire de test compromis par Midnight Blizzard.
Microsoft a apporté des changements radicaux à sa culture de sécurité en réponse à ce rapport. En mai, la société a annoncé une extension de sa Secure Future Initiative (SFI) qui promettait de faire de la sécurité la priorité absolue de Microsoft. L’expansion de l’initiative comprend des engagements visant à protéger les identités, à isoler les environnements de production, à surveiller et détecter les menaces, et à accélérer les efforts de réponse et de remédiation. Un rapport d’étape du SFI publié en septembre a suscité un optimisme prudent de la part de la communauté de la cybersécurité.
6. Microsoft Recall suscite des inquiétudes et des questions
Microsoft a annoncé le 20 mai Recall, une fonctionnalité de ses PC Copilot+ alimentés par l’IA qui prendrait des captures d’écran périodiques de ce que les utilisateurs ont vu sur leurs ordinateurs et pourrait ensuite les « rappeler » lorsque le langage naturel y est invité. Les problèmes de confidentialité et de sécurité ont mis en évidence les similitudes entre la fonctionnalité de Recall et le logiciel d’enregistrement de frappe. À la suite du rapport cinglant du CSRB et du SFI de Microsoft, de nombreux professionnels de la sécurité de l’information se sont demandé pourquoi le géant du logiciel avait développé une telle fonctionnalité. Cela a conduit Microsoft à retarder le rappel à plusieurs reprises au cours des mois qui ont suivi son annonce, pour finalement le révéler à nouveau en septembre avec des améliorations de sécurité ; bien que les mises à jour de sécurité soient prometteuses, certaines inquiétudes subsistent. La fonctionnalité est actuellement dans un aperçu Windows Insider pour les PC Copilot équipés de puces Snapdragon, Intel et AMD.
7. CrowdStrike provoque une panne informatique massive
L’une des plus grandes pannes informatiques de tous les temps a commencé le 19 juillet, lorsque des millions de systèmes Windows ont connu des écrans bleus de la mort et sont entrés dans des boucles de redémarrage. Le problème était dû à une mise à jour défectueuse du fichier de canal dans la plateforme de détection des menaces Falcon de CrowdStrike. Et bien que Microsoft ait déclaré qu’environ 8,5 millions d’appareils Windows seulement étaient concernés, soit moins de 1 % du total, ils appartenaient à des secteurs majeurs tels que les services aériens et les organismes de santé. Le fait que la résolution du problème nécessitait une intervention manuelle sur chaque appareil concerné n’a pas aidé.
Alors que la grande majorité des systèmes concernés étaient de nouveau en ligne en une semaine, l’incident a déclenché des discussions et des débats sur l’accès au niveau du noyau à Windows et sur la manière dont les éditeurs de logiciels comme CrowdStrike valident et publient les mises à jour. Delta Air Lines a officiellement poursuivi CrowdStrike en octobre, affirmant qu’elle avait subi 500 millions de dollars de dommages, bien que le fournisseur de services de sécurité conteste les réclamations de la compagnie aérienne.
8. Le gang des Dark Angels reçoit une rançon de 75 millions de dollars
L’équipe ThreatLabz de Zscaler a révélé au cours de l’été avoir identifié un paiement de rançon de 75 millions de dollars effectué par une victime anonyme du groupe de ransomwares Dark Angels, un groupe suivi depuis au moins mai 2022.
Dans le rapport 2024 sur les ransomwares de ThreatLabz publié en juillet, l’équipe de recherche a expliqué que le paiement est plus élevé que n’importe quel paiement de ransomware publiquement connu à ce jour. De plus, l’équipe a écrit que le paiement est “une réalisation qui ne manquera pas de susciter l’intérêt d’autres attaquants cherchant à reproduire un tel succès”. Dans un article de suivi sur X, anciennement Twitter, Zscaler a déclaré que l’organisation victime était une entreprise Fortune 50.
En septembre, Bloomberg a rapporté que Dark Angels avait reçu un paiement record pour son attaque contre le géant pharmaceutique Cencora, une société cotée en bourse qui occupe la 18e place sur la liste Fortune 500 de 2024. Cencora n’a ni confirmé ni nié avoir versé une rançon à Dark Angels. La société avait déjà révélé une violation de données en février qui avait conduit les attaquants à exfiltrer des informations personnelles identifiables et des informations personnelles sur la santé.
9. L’Iran pirate la campagne présidentielle de Trump
Le 19 août, des responsables du renseignement, dont la CISA, le FBI et le Bureau du directeur du renseignement national (ODNI), ont attribué le piratage informatique de la campagne électorale de 2024 du président élu Donald Trump à des acteurs parrainés par l’État iranien. Cette attribution est intervenue après que Politico a affirmé le 10 août avoir reçu des documents internes de la campagne Trump d’un individu nommé “Robert”. La campagne a confirmé une violation le jour même.
Dans un communiqué du 19 août, la communauté du renseignement a déclaré que l’Iran cherchait à « attiser la discorde et à saper la confiance dans nos institutions démocratiques ». Bien que la CISA ait finalement qualifié les élections américaines de succès du point de vue de la sécurité, le piratage de la campagne reflète l’agressivité croissante des cyber-adversaires américains qui tentent d’influencer le processus électoral du pays.
10. La Chine viole plusieurs grandes sociétés de télécommunications
Le 13 novembre, la CISA et le FBI ont confirmé des informations selon lesquelles des acteurs étatiques chinois avaient compromis un certain nombre de fournisseurs de télécommunications américains. La confirmation est arrivée un mois après Le Wall Street Journal a signalé pour la première fois que des pirates informatiques du gouvernement chinois pourraient avoir compromis les systèmes d’écoute électronique américains au sein des sociétés de télécommunications.
Dans la déclaration de novembre, la CISA et le FBI ont déclaré avoir « identifié que des acteurs affiliés à la RPC avaient compromis les réseaux de plusieurs sociétés de télécommunications pour permettre le vol des données des enregistrements d’appels des clients, la compromission des communications privées d’un nombre limité d’individus qui sont principalement impliqués dans des activités gouvernementales ou politiques, et la copie de certaines informations qui ont fait l’objet de demandes des forces de l’ordre américaines conformément à des ordonnances judiciaires.
Dans Le Wall Street JournalSelon l’histoire, le média a affirmé qu’AT&T, Verizon et Lumen Technologies faisaient partie des organisations victimes de ces attaques de grande envergure. T-Mobile a confirmé plus tard qu’il avait également été compromis, attribuant les attaques via une déclaration sur son site Web à Salt Typhoon, correspondant à Journal de Wall StreetC’est un reportage. Actuellement, les responsables américains ne savent pas si les pirates de Salt Typhoon ont été complètement expulsés des réseaux de télécommunications ; En conséquence, la CISA a averti la semaine dernière que les individus très ciblés, tels que les responsables gouvernementaux, devraient supposer que toutes les communications mobiles risquent d’être interceptées ou manipulées par des acteurs étatiques.
Alexander Culafi est rédacteur principal de nouvelles sur la sécurité de l’information et animateur de podcast pour TechTarget Editorial.
