Cyberattaque contre le CICR : le point sur ce que nous savons

Dernière mise à jour : 29 juin 2022 - En janvier dernier, nous avons découvert que les serveurs hébergeant les données personnelles de plus de 515 000 personnes à travers le monde ont été piratés lors d'une cyberattaque sophistiquée.

Nous pensons qu'il est de notre devoir, en tant qu'organisation humanitaire responsable devant nos partenaires et les personnes que nous aidons, de partager les informations dont nous disposons concernant ce piratage.

Que dois-je faire si je pense que mes données ont pu être touchées par la cyberattaque ?

Si vous n'avez pas eu de nouvelles de notre part et que vous vous faites du souci, nous vous encourageons à contacter votre Société locale de la Croix-Rouge ou du Croissant-Rouge ou le bureau du CICR dans votre pays. Vous trouverez ici une liste de coordonnées. Nous avons également publié un article de questions et réponses fournissant plus d'informations à l'intention des personnes touchées. Nous avons conscience que vous nous avez confié des données personnelles et des informations sur des événements souvent traumatisants de votre vie. Ce n'est pas une responsabilité que nous prenons à la légère. Nous tenons à ce que vous sachiez que nous faisons tout ce qui est en notre pouvoir pour rétablir les services que nous offrons dans le monde entier. Nous mettrons tout en œuvre pour conserver votre confiance et continuer à répondre à vos besoins.

Est-ce que vos systèmes fonctionnent à nouveau ?

Oui. Les systèmes sont de nouveau en ligne, ce qui est très important car ils permettent aux équipes de la Croix Rouge et du Croissant Rouge à travers le monde d'aider des familles à retrouver leurs proches. Les systèmes ont été relancés avec un renforcement de la sécurité, dont un nouveau processus d'authentification à deux facteurs et l'utilisation d'une solution avancée de détection des menaces. La reprise de ces services a été conditionnée à la réussite des tests d'intrusion menés en externe sur les applications et les systèmes. Nous continuons de suivre la situation de près et d'apporter des améliorations en matière de sécurité lorsque nécessaire.

Comment informez-vous les personnes qui ont été touchées par la cyberattaque ?

Nous travaillons en collaboration avec les Sociétés nationales de la Croix Rouge et du Croissant Rouge ainsi qu'avec les délégations du CICR sur le terrain pour informer les personnes et les familles dont les données ont été piratées. Ce processus complexe est en cours, chaque cas étant considéré selon les risques individuels encourus. Une partie du travail se fait par le biais d'appels téléphoniques, de lignes d'assistance, d'annonces publiques et de lettres. Dans certains cas, des équipes doivent se rendre dans des communautés isolées pour informer les gens en personne. Nous faisons tout notre possible pour contacter les personnes difficiles à joindre, comme les migrants. La plupart de ceux que nous avons informés souhaitent que nous poursuivions les recherches pour retrouver leurs proches. Nous savons combien la disparition d'un membre de la famille peut être difficile émotionnellement. Nous continuerons donc à faire notre possible pour les aider à trouver les réponses auxquelles ils ont droit.

En quoi cette attaque a-t-elle été hautement sophistiquée et ciblée ?

Les pirates ont fait appel à des ressources considérables pour accéder à nos systèmes et ont utilisé des tactiques que la plupart des outils de détection n'auraient pas repérées. Les informations suivantes démontrent le caractère sophistiqué et ciblé de l'attaque :

• Les attaquants ont eu recours à un ensemble très particulier d'outils de piratage avancés conçus pour la sécurité offensive. Ces outils sont avant tout utilisés par les groupes de menace persistante avancée*. Ils ne sont pas accessibles au grand public et ne sont donc pas à la portée des autres acteurs.
• Les attaquants ont utilisé des techniques sophistiquées d'obscurcissement pour masquer et protéger leurs programmes malveillants. Ces techniques nécessitent un haut niveau de compétences dont ne dispose qu'un nombre limité d'acteurs.
• Nous avons déterminé qu'il s'agissait d'une attaque ciblée, car les attaquants ont créé un morceau de code conçu uniquement pour être exécuté sur les serveurs du CICR visés. Les outils utilisés par l'attaquant faisaient explicitement référence à un identifiant unique sur ces serveurs (leur adresse MAC).
• Les outils de lutte contre les programmes malveillants que nous avions installés sur les serveurs touchés étaient actifs et ont bien détecté et bloqué certains des fichiers utilisés par les attaquants. Mais la plupart des fichiers déployés étaient spécialement conçus pour contourner nos solutions anti-logiciels malveillants, et ce n'est qu'une fois que nous avons installé des agents sophistiqués d'endpoint detection and response (EDR) dans le cadre de notre programme de renforcement planifié que l'intrusion a été détectée.

Quand avons-nous découvert cette attaque ?

Une société spécialisée en cybersécurité, engagée par le CICR pour nous aider à protéger nos systèmes, a détecté une anomalie dans les serveurs du CICR qui hébergeaient des informations relatives aux services de rétablissement des liens familiaux. Nous avons alors procédé à une analyse approfondie des données et avons découvert le 18 janvier que les pirates s'étaient introduits dans ces systèmes et avaient eu accès aux données qu'ils contenaient.

Combien de temps les pirates sont-ils restés dans nos systèmes ?

Dans le cas présent, nous avons détecté une anomalie dans notre système 70 jours après la violation et nous avons immédiatement lancé une analyse approfondie. Sur cette base, nous avons pu déterminer le 18 janvier que nos serveurs avaient été compromis. Notre analyse montre que la violation a eu lieu le 9 novembre 2021.

La détection d'une violation aussi importante et aussi complexe prend du temps. Nous savons, par exemple, que le délai moyen d'identification d'une violation de données est de 212 jours**.

Comment les pirates ont-ils pénétré dans vos systèmes ?

Les pirates ont pu pénétrer dans notre réseau et accéder à nos systèmes en exploitant une vulnérabilité critique*** non corrigée dans un module d'authentification (CVE-2021-40539). Cette vulnérabilité permet aux cyberacteurs malveillants d'introduire un shell web et d'exécuter des activités de post-exploitation telles que compromettre des identifiants d'administrateur, se déplacer latéralement et exfiltrer des ruches de registre et des fichiers Active Directory. Une fois à l'intérieur de notre réseau, les pirates ont pu déployer des outils de sécurité offensive qui leur ont permis de se faire passer pour des utilisateurs autorisés ou des administrateurs. Ils ont pu ensuite accéder aux données, bien que celles-ci soient cryptées.

Qu'est-ce qui n'a pas fonctionné dans nos défenses ?

Le processus de gestion des correctifs est une activité de grande ampleur pour toute grande entreprise. Chaque année, nous installons des dizaines de milliers de correctifs dans l'ensemble de nos systèmes. L'application en temps voulu des correctifs critiques est essentielle pour notre cybersécurité, mais malheureusement nous n'avons pas appliqué ce correctif à temps avant le lancement de l'attaque.

Le CICR dispose d'un système de cyberdéfense à plusieurs niveaux qui comprend la surveillance des terminaux, des logiciels de détection et d'autres outils. Dans le cas présent, l'analyse réalisée après l'attaque a montré que nos processus et nos outils de gestion des vulnérabilités n'ont pas empêché cette violation. Nous avons immédiatement apporté des modifications dans ces deux domaines. En outre, nous accélérons les activités déjà prévues dans le cadre de notre dernier programme de renforcement de la cybersécurité lancé en février 2021 pour répondre à l'évolution constante des menaces.

Qui est derrière cette attaque selon nous ?

Nous ne pouvons pas établir avec certitude qui est à l'origine de cette attaque ni pourquoi elle a été perpétrée, et nous ne ferons aucune spéculation à ce sujet. Nous n'avons eu aucun contact avec les pirates, ni reçu aucune demande de rançon. Conformément à notre pratique de longue date d'engager le dialogue avec tout acteur susceptible de faciliter ou d'entraver notre action humanitaire, nous sommes disposés à communiquer directement et de manière confidentielle avec les responsables de cette attaque pour leur faire comprendre la nécessité de respecter notre action humanitaire. Nous réitérons également notre appel aux pirates pour qu'ils ne partagent pas, ne vendent pas, ne divulguent pas ou n'utilisent pas ces données.

À quelles informations les pirates ont-ils eu accès ?

L'attaque a touché les données personnelles de plus de 515 000 personnes dans le monde, notamment leur nom, leur localisation et leurs coordonnées. Parmi elles figurent des personnes portées disparues et leurs familles, des détenus et d'autres personnes bénéficiant des services du Mouvement international de la Croix-Rouge et du Croissant-Rouge par suite d'un conflit armé, d'une catastrophe naturelle ou de la migration. Nous ne pensons pas qu'il soit dans l'intérêt des personnes concernées de fournir davantage de détails sur leur identité, leur localisation ou leur origine.

Des ensembles de données ont-ils été copiés et exportés ?

Nous devons présumer que oui. Nous savons que les pirates ont pénétré dans nos systèmes informatiques et qu'ils avaient donc la capacité de copier et d'exporter les données. À notre connaissance, les informations n'ont pas été publiées ou échangées à l'heure qu'il est. Nous avons confiance dans notre analyse initiale :aucune donnée n'a été supprimée lors de la violation. Cette information est importante car elle nous permet de mettre en place des systèmes provisoires afin de nous remettre au travail et renouer les contacts entre proches.

Quelle certitude avons-nous que les pirates ne sont plus présents dans nos systèmes ?

Nous avons mis hors ligne les serveurs compromis dès que nous avons découvert qu'ils avaient été piratés. Nous sommes convaincus que cet incident n'a pas touché d'autres serveurs car nous segmentons nos systèmes et nous surveillons en permanence l'environnement global à l'aide d'outils perfectionnés afin de détecter tout signe d'activité malveillante.

Pourquoi ne donnons-nous pas davantage d'informations techniques sur le piratage ou nos systèmes ?

Nous prenons la cybersécurité très au sérieux et investissons considérablement dans ce domaine depuis de nombreuses années. Face à un paysage de menaces en constante évolution, ces investissements doivent être poursuivis. Pour garantir la sécurité de nos applications et conformément aux bonnes pratiques du secteur, nous ne divulguerons pas de détails sur l'architecture technique ou la sécurité.

Quelles autres mesures sont prises pour éviter que cela ne se reproduise ?

Cette attaque met en lumière le nombre croissant de cyberopérations qui ciblent des organisations humanitaires. Ces cyberattaques peuvent avoir de lourdes conséquences sur les bénéficiaires de ces organisations, qui comptent déjà parmi les populations les plus vulnérables. Le CICR travaille actuellement avec ses partenaires du Mouvement afin de demander aux États et à d'autres acteurs de protéger les organisations en ligne de la même façon qu'ils le font ailleurs.

*Une menace persistante avancée ou advanced persistent threat (APT) est un acteur malveillant furtif, habituellement un État ou un groupe soutenu par un État, qui obtient un accès non autorisé à un réseau informatique et demeure non détecté pendant une période prolongée. Depuis peu, le terme peut également désigner des groupes non soutenus par un État qui conduisent des intrusions ciblées de grande ampleur avec des objectifs précis. (Référence : https://fr.wikipedia.org/wiki/Advanced_Persistent_Threat)

**Extrait du « Cost of a Data Breach Report 2021 » d'IBM : « En 2021, il a fallu en moyenne 212 jours pour identifier une brèche et 75 jours en moyenne pour la contenir, soit un cycle de vie total de 287 jours. » (Référence : https://www.ibm.com/security/data-breach)

***Référence : https://nvd.nist.gov/vuln/detail/cve-2021-40539