Cyberattaque contre le CICR : le point sur ce que nous savons

Cyberattaque contre le CICR : le point sur ce que nous savons

Article 16 février 2022 Suisse

Dernière mise à jour : 16 février 2022, 9h00 CET - Près d'un mois s'est écoulé depuis que nous avons découvert que les serveurs hébergeant les données personnelles de plus de 515 000 personnes à travers le monde ont été piratés lors d'une cyberattaque sophistiquée. Nous sommes maintenant en mesure de vous faire part de certains résultats de notre analyse de cette violation de données.

Nous pensons qu'il est de notre devoir, en tant qu'organisation humanitaire responsable devant nos partenaires et des personnes que nous servons, de partager les informations dont nous disposons concernant ce piratage.

Que dois-je faire si je pense que mes données ont pu être touchées par la cyberattaque ?

Si vous n'avez pas eu de nouvelles de notre part et que vous vous faites du souci, nous vous encourageons à contacter votre Société locale de la Croix-Rouge ou du Croissant-Rouge ou le bureau du CICR dans votre pays. Vous trouverez ici une liste de coordonnées. Nous avons également publié un article de questions et réponses fournissant plus d'informations à l'intention des personnes touchées. Nous avons conscience que vous nous avez confié des données personnelles et des informations sur des événements souvent traumatisants de votre vie. Ce n'est pas une responsabilité que nous prenons à la légère. Nous tenons à ce que vous sachiez que nous faisons tout ce qui est en notre pouvoir pour rétablir les services que nous offrons dans le monde entier. Nous mettrons tout en œuvre pour conserver votre confiance et continuer à répondre à vos besoins.

En quoi cette attaque a-t-elle été hautement sophistiquée et ciblée ?

Les pirates ont fait appel à des ressources considérables pour accéder à nos systèmes et ont utilisé des tactiques que la plupart des outils de détection n'auraient pas repérées. Les informations suivantes démontrent le caractère sophistiqué et ciblé de l'attaque :

  • Les attaquants ont eu recours à un ensemble très particulier d'outils de piratage avancés conçus pour la sécurité offensive. Ces outils sont avant tout utilisés par les groupes de menace persistante avancée*. Ils ne sont pas accessibles au grand public et ne sont donc pas à la portée des autres acteurs.
  • Les attaquants ont utilisé des techniques sophistiquées d'obscurcissement pour masquer et protéger leurs programmes malveillants. Ces techniques nécessitent un haut niveau de compétences dont ne dispose qu'un nombre limité d'acteurs.
  • Nous avons déterminé qu'il s'agissait d'une attaque ciblée, car les attaquants ont créé un morceau de code conçu uniquement pour être exécuté sur les serveurs du CICR visés. Les outils utilisés par l'attaquant faisaient explicitement référence à un identifiant unique sur ces serveurs (leur adresse MAC).
  • Les outils de lutte contre les programmes malveillants que nous avions installés sur les serveurs touchés étaient actifs et ont bien détecté et bloqué certains des fichiers utilisés par les attaquants. Mais la plupart des fichiers déployés étaient spécialement conçus pour contourner nos solutions anti-logiciels malveillants, et ce n'est qu'une fois que nous avons installé des agents sophistiqués d'endpoint detection and response (EDR) dans le cadre de notre programme de renforcement planifié que l'intrusion a été détectée.

 

Quand avons-nous découvert cette attaque ?

Une société spécialisée en cybersécurité, engagée par le CICR pour nous aider à protéger nos systèmes, a détecté une anomalie dans les serveurs du CICR qui hébergeaient des informations relatives aux services de rétablissement des liens familiaux. Nous avons alors procédé à une analyse approfondie des données et avons découvert le 18 janvier que les pirates s'étaient introduits dans ces systèmes et avaient eu accès aux données qu'ils contenaient.

Combien de temps les pirates sont-ils restés dans nos systèmes ?

Dans le cas présent, nous avons détecté une anomalie dans notre système 70 jours après la violation et nous avons immédiatement lancé une analyse approfondie. Sur cette base, nous avons pu déterminer le 18 janvier que nos serveurs avaient été compromis. Notre analyse montre que la violation a eu lieu le 9 novembre 2021.

La détection d'une violation aussi importante et aussi complexe prend du temps. Nous savons, par exemple, que le délai moyen d'identification d'une violation de données est de 212 jours**.

Comment les pirates ont-ils pénétré dans vos systèmes ?

Les pirates ont pu pénétrer dans notre réseau et accéder à nos systèmes en exploitant une vulnérabilité critique*** non corrigée dans un module d'authentification (CVE-2021-40539). Cette vulnérabilité permet aux cyberacteurs malveillants d'introduire un shell web et d'exécuter des activités de post-exploitation telles que compromettre des identifiants d'administrateur, se déplacer latéralement et exfiltrer des ruches de registre et des fichiers Active Directory. Une fois à l'intérieur de notre réseau, les pirates ont pu déployer des outils de sécurité offensive qui leur ont permis de se faire passer pour des utilisateurs autorisés ou des administrateurs. Ils ont pu ensuite accéder aux données, bien que celles-ci soient cryptées.

Qu'est-ce qui n'a pas fonctionné dans nos défenses ?

Le processus de gestion des correctifs est une activité de grande ampleur pour toute grande entreprise. Chaque année, nous installons des dizaines de milliers de correctifs dans l'ensemble de nos systèmes. L'application en temps voulu des correctifs critiques est essentielle pour notre cybersécurité, mais malheureusement nous n'avons pas appliqué ce correctif à temps avant le lancement de l'attaque.

Le CICR dispose d'un système de cyberdéfense à plusieurs niveaux qui comprend la surveillance des terminaux, des logiciels de détection et d'autres outils. Dans le cas présent, l'analyse réalisée après l'attaque a montré que nos processus et nos outils de gestion des vulnérabilités n'ont pas empêché cette violation. Nous avons immédiatement apporté des modifications dans ces deux domaines. En outre, nous accélérons les activités déjà prévues dans le cadre de notre dernier programme de renforcement de la cybersécurité lancé en février 2021 pour répondre à l'évolution constante des menaces.

Qui est derrière cette attaque selon nous ?

Nous ne pouvons pas établir avec certitude qui est à l'origine de cette attaque ni pourquoi elle a été perpétrée, et nous ne ferons aucune spéculation à ce sujet. Nous n'avons eu aucun contact avec les pirates, ni reçu aucune demande de rançon. Conformément à notre pratique de longue date d'engager le dialogue avec tout acteur susceptible de faciliter ou d'entraver notre action humanitaire, nous sommes disposés à communiquer directement et de manière confidentielle avec les responsables de cette attaque pour leur faire comprendre la nécessité de respecter notre action humanitaire. Nous réitérons également notre appel aux pirates pour qu'ils ne partagent pas, ne vendent pas, ne divulguent pas ou n'utilisent pas ces données.

Avec qui collaborons-nous ?

Nous nous sommes associés à nos principaux partenaires technologiques et à des entreprises hautement spécialisées pour nous aider dans cette tâche. Depuis le début de la crise, le siège du CICR à Genève est en dialogue étroit avec le Centre national pour la cybersécurité (NCSC) en Suisse. Les Sociétés nationales de la Croix-Rouge et du Croissant-Rouge sont en contact avec les autorités nationales compétentes.

À quelles informations les pirates ont-ils eu accès ?

L'attaque a touché les données personnelles de plus de 515 000 personnes dans le monde, notamment leur nom, leur localisation et leurs coordonnées. Parmi elles figurent des personnes portées disparues et leurs familles, des détenus et d'autres personnes bénéficiant des services du Mouvement international de la Croix-Rouge et du Croissant-Rouge par suite d'un conflit armé, d'une catastrophe naturelle ou de la migration. Nous ne pensons pas qu'il soit dans l'intérêt des personnes concernées de fournir davantage de détails sur leur identité, leur localisation ou leur origine.

Des ensembles de données ont-ils été copiés et exportés ?

Nous devons présumer que oui. Nous savons que les pirates ont pénétré dans nos systèmes informatiques et qu'ils avaient donc la capacité de copier et d'exporter les données. À notre connaissance, les informations n'ont pas été publiées ou échangées à l'heure qu'il est. Nous avons confiance dans notre analyse initiale :aucune donnée n'a été supprimée lors de la violation. Cette information est importante car elle nous permet de mettre en place des systèmes provisoires afin de nous remettre au travail et renouer les contacts entre proches.

Les données ont-elles été mises à disposition d'autres personnes, y compris sur le dark web ?

Pour l'instant, nous n'avons pas de preuve tangible que des informations obtenues par le biais de cette violation de données ont été publiées ou échangées. Notre équipe de cybersécurité a vérifié toutes les allégations signalant la mise à disposition de données sur le dark web.

Quelle certitude avons-nous que les pirates ne sont plus présents dans nos systèmes ?

Nous avons mis hors ligne les serveurs compromis dès que nous avons découvert qu'ils avaient été piratés. Nous sommes convaincus que cet incident n'a pas touché d'autres serveurs car nous segmentons nos systèmes et nous surveillons en permanence l'environnement global à l'aide d'outils perfectionnés afin de détecter tout signe d'activité malveillante.

Que faisons-nous maintenant ?

Nous nous coordonnons avec les Sociétés nationales de la Croix-Rouge et du Croissant-Rouge et avec les délégations du CICR sur le terrain pour informer les personnes et les familles dont les données ont été piratées. Ce processus est complexe et prendra du temps. Les personnes les plus menacées sont notre priorité absolue. Une partie de ce travail se fait par le biais d'appels téléphoniques, de lignes d'assistance, d'annonces publiques et de lettres. Dans certains cas, des équipes doivent se rendre dans des communautés isolées pour informer les gens en personne. Nous faisons tout notre possible pour contacter les personnes difficiles à joindre, comme les migrants. Nous avons également développé des solutions de contournement permettant aux équipes de la Croix-Rouge et du Croissant-Rouge du monde entier de continuer à fournir des services de recherche de base aux personnes touchées par cette faille pendant que nous reconstruisons un nouvel environnement numérique pour l'Agence centrale de recherches.

Quelles modifications seront apportées à l'environnement en ligne de l'Agence centrale de recherches avant la mise en ligne ?

Le renforcement de la sécurité comprend un nouveau processus d'authentification à deux facteurs et l'utilisation d'une solution avancée de détection des menaces. La réussite de tests de pénétration menés en externe sur toutes les applications et tous les systèmes est une condition préalable à la reprise des services.


Pourquoi ne donnons-nous pas davantage d'informations techniques sur le piratage ou nos systèmes ?

Nous prenons la cybersécurité très au sérieux et investissons considérablement dans ce domaine depuis de nombreuses années. Face à un paysage de menaces en constante évolution, ces investissements doivent être poursuivis. Pour garantir la sécurité de nos applications et conformément aux bonnes pratiques du secteur, nous ne divulguerons pas de détails sur l'architecture technique ou la sécurité.


*Une menace persistante avancée ou advanced persistent threat (APT) est un acteur malveillant furtif, habituellement un État ou un groupe soutenu par un État, qui obtient un accès non autorisé à un réseau informatique et demeure non détecté pendant une période prolongée. Depuis peu, le terme peut également désigner des groupes non soutenus par un État qui conduisent des intrusions ciblées de grande ampleur avec des objectifs précis. (Référence : https://fr.wikipedia.org/wiki/Advanced_Persistent_Threat)

**Extrait du « Cost of a Data Breach Report 2021 » d'IBM : « En 2021, il a fallu en moyenne 212 jours pour identifier une brèche et 75 jours en moyenne pour la contenir, soit un cycle de vie total de 287 jours. » (Référence : https://www.ibm.com/security/data-breach)

***Référence : https://nvd.nist.gov/vuln/detail/cve-2021-40539