L’état des liens avec la Russie dans les UC&C

sanctions and boycotts

Depuis plus d’une décennie, les cyberattaques et les risques généraux pour la sécurité en ligne proviennent de Russie. Leur fréquence et leur association avec le gouvernement russe sont de plus en plus évidentes. Aujourd’hui, avec l’invasion de l’Ukraine par la Russie, les efforts de cyberguerre du Kremlin ont explicitement débordé sur la guerre physique.

En conséquence, les activités de collecte illicite d’informations parrainées par l’État ne peuvent plus être considérées comme de simples menaces abstraites ; désormais, ces activités sont au service d’attaques et de destructions réelles.

Dans le sillage de cette guerre, il est particulièrement important d’examiner la position des entreprises technologiques à l’égard de la Russie. Après tout, la poursuite des investissements dans l’infrastructure technologique russe représente pour le gouvernement russe des moyens potentiels de poursuivre la cyberguerre et, par extension, de contribuer aux efforts de guerre réels qu’il mène en Ukraine.

En conséquence, de nombreuses entreprises technologiques ont explicitement annoncé leur rupture totale avec la Russie sous quelque forme que ce soit, y compris des acteurs majeurs comme Apple, Oracle et SAP. Wildix, dans une démarche similaire, a dénoncé l’invasion et a explicitement coupé tous les comptes russes de son réseau de communication en cloud.

Suivi de la réaction des principales communications après l’invasion de l’Ukraine

Microsoft

Le développeur de la plateforme Teams n’a pas caché sa position sur les liens avec la Russie : le 4 mars 2022, la société a annoncé qu’elle suspendait toutes les nouvelles ventes et tous les nouveaux services en Russie, citant explicitement l’invasion de l’Ukraine comme raison.

Toutefois, cette annonce n’indique pas nécessairement une rupture totale avec la Russie. À l’heure où nous écrivons ces lignes, Microsoft dispose toujours d’un bureau à Moscou, mais on ne sait pas encore si cet emplacement sera libéré ou s’il continuera à être utilisé. Cependant, le même jour que l’annonce de l’arrêt des services en Russie, le bureau Microsoft de Moscou a publié sur LinkedIn une offre d’emploi recherchant un responsable de l’ingénierie du support technique. Cela semble indiquer que l’entreprise prévoit de poursuivre ses activités en Russie.

Vonage

En consultant le site Web de Vonage, on constate que certaines sections semblent cibler une base de consommateurs russes. En outre, la société mère de Vonage, Ericsson, dispose d’une section importante consacrée à la Russie sur sa page Web respective, ainsi que d’un grand nombre d’offres d’emploi pour ses bureaux russes. Pour l’instant, Vonage n’a pas encore fait d’annonce concernant les plans futurs de ses liens avec la Russie à la suite de l’invasion de l’Ukraine.

Ce que Vonage a publié est, parmi les messages habituels sur les réseaux sociaux, une réitération d’un rapport sur les tendances de 2021 qui utilise les données des clients russes. Bien que ce rapport doive être téléchargé avant qu’il ne montre explicitement des liens avec la Russie, combiné avec le contenu existant ciblant la Russie sur le site Web de Vonage, il suggère des liens continus avec la nation.

RingCentral

Bien que RingCentral n’ait pas non plus publié de déclaration concernant la Russie ou son invasion, la société semble avoir supprimé les mentions de la Russie de son site Web. Elle a également pris ses distances par rapport aux anciens liens avec la Russie, l’un des plus notables étant le fait que son cofondateur soit devenu un citoyen américain à part entière.

Certaines suggestions de liens subsistent cependant, comme le fait que Glassdoor ait reçu des notifications concernant l’ajout d’un bureau RingCentral à Moscou pas plus tard que le 1er mars 2022. En outre, RingCentral indique toujours sur son site Web que les données personnelles stockées aux États-Unis ou dans l’Espace économique européen peuvent être accessibles depuis la Russie.

8×8

Dans l’ensemble, les liens entre 8×8 et la Russie semblent être minimes dès le départ, la société n’ayant pas de serveurs de données, de bureaux ou d’emplois apparents dans le pays. Bien que 8×8 ne se soit pas exprimé sur la Russie ou son invasion, il semble qu’ils aient peu de liens à rompre activement.

La seule exception semble être que l’année dernière, 8×8 a annoncé qu’elle étendait ses services de téléphonie à la Russie, une offre à laquelle elle ne semble pas avoir renoncé.

Cisco

Dans le cas de Cisco, la question des liens avec la Russie a été rendue assez explicite. Le 3 mars 2022, la société a officiellement annoncé l’arrêt de toutes ses activités commerciales en Russie, s’engageant à soutenir ses relations avec l’Ukraine et condamnant l’invasion de la région par la Russie. Une recherche rapide des offres d’emploi de l’entreprise confirme cet engagement, car aucune n’apparaît sous le filtre Fédération de Russie.

Bien que Cisco dispose d’un bureau à Moscou et que le site Web de l’entreprise destiné à la Russie reste ouvert, rien ne confirme que ces ressources restent utilisées pour le marché russe.

Google

Bien qu’à des fins des communications unifiées, nous considérions Google comme le développeur de Meet, ses solutions commerciales globales ont, bien entendu, une portée beaucoup plus large. L’un des principaux services de l’entreprise, Google Ads, est suspended in Russia depuis le 3 mars 2022, en réponse aux demandes croissantes du gouvernement russe de censurer les publicités diffusées en Russie.

Auparavant, Google avait retiré les sources d’information Russia Today et Sputnik, parrainées par l’État russe, de son store d’applications mobiles. Il semble que la plateforme Meet, quant à elle, soit toujours utilisable en Russie.

Mitel

Mitel, dont le siège est au Canada, n’a fourni aucune déclaration concernant les liens avec la Russie, bien que l’entreprise fasse des affaires dans la région depuis 2011 et ait elle-même un bureau à Moscou. Elle a également annoncé la tenue d’un roadshow avec un arrêt en Russie en 2019.

Il faut préciser que l’entreprise, malgré une présence en téléphonie s’étendant jusqu’en Russie, dispose d’importants centres de données situés uniquement au Royaume-Uni, en France, au Canada et aux États-Unis. Mais là encore, rien ne permet de penser que Mitel a rompu les liens commerciaux passés qu’elle avait annoncés avec la Russie.

Wildix

Bien que Wildix ait initialement peu de connexions russes, la société s’est efforcée de les couper en supprimant les quelques comptes situés en Russie de son système PBX en cloud et toute mention de la couverture de la Russie sur son site Web.

Wildix comptant un nombre important d’employés ukrainiens, la société s’est efforcée d’évacuer autant d’employés que possible du pays au moment de l’invasion russe. Ces mesures s’ajoutent à une campagne plus large visant à faire passer les clients aux PBX vers le cloud en raison de la sécurité accrue qu’offre la plateforme, notamment contre les cyberattaquants basés en Russie.

L’avenir

Au moment de la rédaction de cet article, la Russie ne semble pas avoir l’intention de limiter son invasion de l’Ukraine, ce qui signifie probablement une intensification de ses opérations de piratage déjà très étendues. Comme ces cyberattaques ont toujours inclus la saisie de documents confidentiels et des rançongiciels, il est d’autant plus important que les particuliers et les entreprises adoptent des pratiques en ligne sûres.

L’une des pratiques à mettre en œuvre consiste à examiner si les réseaux et les canaux que vous utilisez sont associés à la Russie. Historiquement, les cyberattaquants parrainés par la Russie ont utilisé tous les canaux Internet auxquels ils pouvaient accéder pour mener des opérations illicites. Malheureusement, si les canaux que vous utilisez sont associés à des entreprises russes, le risque qu’ils soient cooptés augmente.

À l’avenir, il est essentiel pour les consciences et la sécurité d’évaluer qui reste en Russie au milieu de ces attaques et qui a choisi de s’en éloigner complètement.

Phishing et autres formes de fraudes : Comment se protéger des escroqueries en ligne

Sur Internet, les formes d’escroquerie sont nombreuses. Des « offres spéciales » suspectes aux droits de licence d’origine douteuse, les escroqueries sont si courantes pour les utilisateurs en ligne qu’elles sont littéralement ancrées dans la culture du World Wide Web.

Malgré cela, de nombreux cyber-attaquants se cachent encore sur Internet pour profiter de la confiance, de la peur ou simplement de l’ignorance de l’utilisateur naïf. Souvent, ces acteurs de la menace réussissent, non pas parce qu’ils s’attaquent directement à la sécurité du système, mais parce qu’ils utilisent un stratagème effrayant. Ce stratagème s’appelle « phishing“ : l’un des termes les plus curieux dans le domaine de la cybersécurité – et une menace sérieuse.
Continuer la lecture de « Phishing et autres formes de fraudes : Comment se protéger des escroqueries en ligne »

Cyberattaques russes : Les risques de sécurité les plus secrets, dévoilés

russia-based cyberattackers

Aujourd’hui, la course aux armements a migré des meilleurs moyens de créer des bombes toujours plus dangereuses aux meilleurs moyens de contourner la sécurité numérique. Cependant, comme dans le cas de la course au nucléaire, l’un des principaux adversaires est la Russie, dont les efforts pour infiltrer les bases de données numériques se sont étendus à tous les domaines, des organisations politiques aux centrales électriques, tout en se révélant aussi efficaces qu’insaisissables.

Pourtant, les services de renseignement gouvernementaux du monde entier ont été en mesure de suivre et d’identifier bon nombre de ces menaces d’origine russe. Ce faisant, ces agences ont découvert à la fois l’identité de ces groupes et leurs méthodologies les plus courantes en matière de cyberattaques.

Maintenant que la Russie a fait des incursions physiques dans le monde, on ne peut sous-estimer à quel point il est vital pour les experts en communications numériques de comprendre comment ces groupes opèrent. Pour assurer votre sécurité, il est d’autant plus important que vous connaissiez les menaces qui pèsent sur vous.

Snake

Snake, l’une des principales figures de la galerie des escrocs numériques basée en Russie, est un collectif de hackers informatiques qui serait en activité depuis 2004. L’association est considérée par l’Office fédéral allemand pour la protection de la Constitution (BfV) comme « le Saint Graal de l’espionnage » et se voit attribuer le plus haut rang possible dans l’indice des menaces persistantes avancées (APT).

La première attaque connue de Snake a été menée en décembre 2017, lorsque des logiciels malveillants infectant le ministère allemand des Affaires étrangères ont commencé à commander à leurs ordinateurs de contacter des sites Web usurpés. Snake a ainsi pu collecter des données sur les serveurs du ministère et accéder à des documents classifiés.

Heureusement pour les enquêteurs, les cyberattaquants ont toutefois laissé deux noms d’utilisateurs dans les bases de données piratées : « Vlad » et « Urik », qui, malgré leur imprécision, se sont révélés être une piste suffisante pour remonter jusqu’à la société russe Center-Inform. Center-Inform ayant des liens connus avec le Service fédéral de sécurité russe (FSB), les services de renseignement du monde entier ont largement conclu que Snake opère en tant que groupe de cyberattaques parrainé par l’État russe.

Le BfV allemand et l’agence canadienne de renseignement électromagnétique CSE qualifient la conception du malware créé par Snake de « géniale ». Ces éloges s’expliquent principalement par l’efficacité du logiciel malveillant à mener de véritables cyberattaques : une fois qu’il a infecté un ordinateur, il ne faut que très peu d’efforts ou d’expertise à un hacker pour l’utiliser à des fins de collecte illicite de données.

Bien sûr, ce n’est le cas que si les appareils sont infectés, mais comme le montrent d’autres exemples, l’infection initiale ne résulte pas toujours d’une entrée forcée dans les systèmes.

Fancy Bear

Si vous avez prêté beaucoup d’attention à la politique américaine vers 2016, ce nom vous est peut-être déjà familier. Fancy Bear, également connu sous le nom d’APT28 ou Sofacy, a explosé dans le grand public après avoir été lié aux cyberattaques menées sur la campagne présidentielle d’Hillary Clinton, le Comité national démocrate et le Comité de campagne du Congrès démocrate en 2016. Toutefois, le groupe serait responsable d’autres attaques menées entre 2014 et 2018 sur des entités de premier plan, notamment l’Agence mondiale antidopage, l’Organisation pour l’interdiction des armes chimiques et le Laboratoire suisse de chimie de Spiez.

Les cibles de Fancy Bear ne se limitent pas aux États-Unis et à l’Europe occidentale – ni même aux organisations. Parmi les autres victimes notables des cyberattaques du groupe figurent des journalistes de Russie, d’Ukraine et de Moldavie qui ont écrit des articles critiques sur Vladimir Poutine. Entre 2014 et 2016, au milieu des incursions russes en Ukraine et en Crimée, des cyberattaques associées au Fancy Bear ont même touché des unités d’artillerie ukrainiennes et les ont rendues inopérantes.

Les cibles de Fancy Bear étant en grande partie celles des intérêts de l’État russe, il est facile de supposer qu’elles sont associées au Kremlin. Mais de manière plus définitive, les enquêtes menées par la société de cybersécurité CrowdStrike, le Foreign and Commonwealth Office du Royaume-Uni et le US Special Counsel ont établi un lien entre Fancy Bear et le gouvernement russe et l’agence de renseignement russe GRU.

Ce qui distingue Fancy Bear des autres cyberattaquants, c’est sa méthodologie. Le groupe obtient généralement ses données non pas par infiltration forcée, mais par ingénierie sociale : Il crée des sites Web qui incitent les utilisateurs à saisir des données confidentielles, et nombre de ses campagnes sont le résultat de communications qui incitent les destinataires à fournir des identifiants de connexion (ce que l’on appelle le « phishing » ou, dans le cas du ciblage d’une personne ou d’un compte important, le « spear phishing »). Une fois que les cibles cliquent sur ces sites Web ou saisissent leurs informations d’identification, Fancy Bear infecte un appareil avec un logiciel qui collecte illicitement des données à partir de l’appareil lui-même et du réseau adjacent.

Fancy Bear est assez efficace dans son action, et est même capable de mener plusieurs campagnes de piratage simultanément. Cependant, il est loin d’être le seul groupe associé à la Russie à utiliser de telles techniques.

Cozy Bear

Une autre entité liée à la Russie et connue pour faire un usage intensif du phishing est Cozy Bear, également appelée APT29 ou The Dukes. En activité depuis au moins 2008, Cozy Bear est soupçonné d’être associé au Service de renseignement extérieur (SVR) de la Russie et cible les réseaux gouvernementaux de toute l’Europe, en particulier les pays membres de l’OTAN. Parmi les autres cibles du groupe figurent des groupes de réflexion et, semble-t-il, le Comité national démocrate aux États-Unis.

La cyberattaque la plus percutante de Cozy Bear a eu lieu en 2020 avec la violation massive des données de SolarWinds. SolarWinds, une entreprise de technologie aux États-Unis, a été secrètement infiltrée par des affiliés de Cozy Bear pour implanter un logiciel malveillant de collecte de données dans le système principal de l’entreprise. Ce piratage s’est rapidement propagé à des milliers d’autres victimes, car SolarWinds a distribué sans le savoir le code modifié par le biais d’une mise à jour de correctif – transmettant l’exploit à des clients importants, dont Microsoft, Intel et le ministère américain de la défense.

Comme Fancy Bear, Cozy Bear utilise le spear-phishing comme principal moyen de pénétrer dans les systèmes, avec d’énormes campagnes visant à solliciter des informations d’identification auprès de personnalités importantes des organisations ciblées. Le groupe est également connu pour sa persistance tenace dans ces efforts et lance généralement de nouveaux efforts contre des cibles établies si l’accès est bloqué.

Sandworm

Bien que ce groupe soit souvent connu sous son nom de référence aux Dunes, il est également appelé Voodoo Bear dans certains cercles (apparemment, une personne dans le domaine de la cybersécurité apprécie beaucoup une convention de dénomination ursine). Mais quel que soit le nom donné au groupe, Sandworm fait partie des cyberattaquants liés à la Russie les plus tristement célèbres.

Apparemment associé au GRU, le groupe a mené la cyberattaque la plus vaste de l’histoire avec ses attaques de logiciels malveillants NotPetya, qui, en 2017, ont touché simultanément la France, l’Allemagne, l’Italie, la Pologne, le Royaume-Uni, les États-Unis et surtout l’Ukraine, coûtant aux victimes un total de 10 milliards de dollars de dommages.

Dans le cadre d’efforts plus récents, Sandworm a développé un logiciel malveillant appelé Cyclops Blink, que des agents malveillants ont placé sur des appareils réseau produits par le fournisseur de sécurité informatique Watchguard. Selon les agences de renseignement américaines, Cyclops Blink est probablement le successeur du programme VPNFilter de Sandworm. Quelques années auparavant, VPNFilter avait infecté des routeurs de réseau et s’était propagé à un demi-million de machines, les transformant en un botnet mondial contrôlé par Sandworm et, par extension, par le GRU.

Mais quel était l’objectif ultime de VPNFilter ? Ou encore de Cyclops Blink ? Il est inquiétant de constater que nous ne le savons pas vraiment. S’il est probable que Sandworm ait installé ce malware à des fins de surveillance, il est tout aussi possible qu’il mette en place une infrastructure numérique pour des communications secrètes en provenance de Russie. De même, la raison pourrait être de jeter les bases d’une perturbation massive des réseaux affectés – il est bon de se rappeler, après tout, que Sandworm a pu mettre hors service des parties importantes du réseau électrique de l’Ukraine en 2015.

La bonne nouvelle est que, dans le cas de Cyclops Blink, Watchguard a réussi à patcher la vulnérabilité utilisée par Sandworm pour entrer dans le système, et les utilisateurs peuvent effacer le malware en effaçant leurs machines et en réinstallant le logiciel. Toutefois, cet exemple montre que le matériel personnel peut devenir un outil involontaire pour les cyberattaques.

Meilleures pratiques et ce qu’il faut retenir

Aussi obscurs et imparables que ces groupes veuillent être perçus, il n’en reste pas moins qu’aucune de leurs méthodologies ne constitue un moyen d’accès garanti. Même lorsque des cyberattaquants chevronnés se cachent en ligne, une combinaison de bonnes pratiques de sécurité et de logiciels intelligemment conçus vous permettra de rester en sécurité.

La principale de ces bonnes pratiques consiste à se renseigner sur les tentatives de phishing. Cela signifie qu’il ne faut pas cliquer sur les liens suspects, ne pas répondre aux emails de spam et ne jamais répondre aux messages contenant vos informations de connexion ou de récupération de compte. En évitant les sites et les fichiers douteux, vous vous protégez relativement bien, mais vous devriez également envisager de sécuriser davantage les comptes importants avec une authentification à deux facteurs ou une authentification unique.

En termes d’infrastructure système, le passage du matériel sur site au cloud offre également une protection en ligne nettement améliorée. Pensez au nombre de fois où les cyberattaquants ont utilisé des logiciels malveillants et des exploits dans le matériel pour mener à bien leurs efforts : lorsqu’un système passe au cloud, ce risque est largement atténué, à la fois parce que les vulnérabilités sont corrigées dès que le correctif associé est déployé et parce qu’il n’y a plus de  » matériel  » traditionnel à infecter.

D’une manière plus générale, bien sûr, il est toujours utile d’utiliser un système qui utilise lui-même des protocoles de sécurité intelligents. En ce qui concerne les communications numériques, Wildix se distingue par une structure entièrement sécure by design, grâce à une combinaison de technologies qui protègent les utilisateurs contre les infiltrations et les écoutes sans VPN, SBC ou autres ajouts. Vous pouvez en savoir plus sur les pratiques de sécurité de Wildix dans notre livre blanc gratuit.

Quelle que soit la manière dont vous choisissez d’opérer, il n’a jamais été aussi crucial de le faire en toute sécurité. Alors que la Russie empiète sur l’Ukraine, il est probable qu’elle relancera ses cyberattaques avec une force renouvelée – et qu’elle associera probablement du matériel étranger à ses efforts. Si vous cherchez un moyen de lutter contre ces efforts de guerre, vous pouvez commencer par comprendre les méthodes de cyberattaque les plus courantes de la Russie et protéger vos appareils contre elles.

Pour plus de conseils sur la cybersécurité et la sécurité numérique, abonnez-vous pour recevoir gratuitement notre magazine !