L’AEM, basée à Amsterdam aux Pays-Bas, est responsable de l’évaluation et de la validation des médicaments dans l’Union européenne, un rôle clairement explicité dans son ancien nom, l’Agence européenne pour l’évaluation des médicaments (European Agency for the Evaluation of Medicinal Products).
Pour simplifier la prononciation, cette agence est devenue l’AEM.
Les différents titres observés dans la presse étaient quelque peu déroutants : nous avons tout vu, du “piratage de documents sur le vaccin COVID-19″, en passant par “les pirates volent […] les données sur le vaccin COVID-19″, jusqu’aux “documents du vaccin COVID-19 consultés illégalement”.
Nous aimerions vous en dire plus sur cet incident, notamment si des données relatives à des individus ou des organisations telles que les créanciers, débiteurs, employés, sous-traitants, chercheurs ou volontaires de l’AEM ont perdu des données personnelles lors de cette attaque.
Malheureusement, l’AEM ne nous a pas vraiment aidés pour y voir plus clair, publiant une déclaration de 45 mots seulement, datée du 09/12/2020, pour dire :
L’AEM a été victime d’une cyberattaque. L’Agence a rapidement ouvert une investigation complète, en étroite collaboration avec les forces de l’ordre ainsi que d’autres entités concernées.
L’AEM ne peut pas fournir de détails supplémentaires tant que l’investigation est en cours. De plus amples informations seront disponibles en temps voulu.
Aucune indication ne renseigne sur le moment où l’attaque a été découverte, comment elle a été découverte, quand elle a probablement commencé, l’ampleur réelle de cette attaque, quelles sont les perturbations qu’elle a causées, si des individus en dehors de l’AEM ont été potentiellement affectés, combien de temps prendra à priori la restauration du réseau pour un retour à la normale, ou encore ce que l’AEM fait en ce moment pour empêcher qu’un tel incident ne se reproduise.
Jeu de devinette
Était-ce un ransomware ?
C’est souvent l’une des premières hypothèses émises à l’heure actuelle lorsqu’une organisation révèle une attaque mais reste opaque sur ce qu’il s’est véritablement passé.
Les observateurs supposent naturellement que les victimes “négocient” toujours avec un groupe cybercriminels pour décider s’il faut céder au chantage en payant la rançon demandée afin d’empêcher la fuite de fichiers volés et récupérer les fichiers chiffrés sur leur propre réseau.
Dans notre cas, des fichiers ont-ils effectivement été volés, et si oui, combien de données personnelles et confidentielles ont disparu ?
La société allemande de biotechnologie BioNTech a rendu public un document indiquant que ses données avaient été violées lors de cette intrusion :
Aujourd’hui [2020-12-09], nous avons été informés par l’Agence Européenne des Médicaments (AEM) que l’agence avait été victime d’une cyberattaque et que certains documents relatifs à la demande d’autorisation pour le vaccin COVID-19 de Pfizer et BioNTech, BNT162b2, qui étaient stockés sur un serveur AEM, avait fait l’objet d’un accès illégal.
Nous ne savons pas à ce stade s’il est question d’un accès illégal révélé par quelques entrées de log au niveau du contrôle d’accès repérées ces derniers jours, ou bien s’il existe des preuves de vol de données à grande échelle qui précède généralement de nombreuses attaques de ransomwares ces jours-ci.
De plus, compte tenu du libellé de la notification de l’AEM, il faudra peut-être attendre un certain temps avant que nous découvrions l’ampleur réelle de cette violation, car l’organisation affirme qu’elle “ne peut pas fournir de détails supplémentaires” tant que l’investigation est en cours.
Cependant, nous le savons grâce aux incidents précédents, les investigations de cybercrimes comme celui-ci peuvent littéralement prendre des années avant de livrer leurs conclusions. En effet, les forces de l’ordre et les procureurs prennent tout le temps nécessaire pour tenter de rassembler suffisamment d’éléments afin de réunir les conditions indispensables pour émettre un mandat d’arrêt.
Êtes-vous concerné ?
Nous sommes davantage inquiets par l’angle dramatique du “piratage du vaccin COVID-19” que certains médias ont choisi pour leurs titres concernant cette histoire …
… car il peut finir par endormir certaines entreprises et organisations en leur donnant un faux sentiment de sécurité.
Après tout, à première vue, on a l’impression que l’AEM a “évidemment” des données importantes qui méritent d’être attaquées, en raison de son association très médiatisée avec la recherche anti-coronavirus; tandis que les entreprises qui, par exemple, s’occupent du nettoyage des canalisations ou de la livraison de pizzas ne détiennent “manifestement” pas de données de valeur ou importantes.
Cependant, il s’agit là d’une stratégie plutôt dangereuse à adopter.
Que vous soyez un particulier ou une entreprise, un employeur ou un employé, un fan des réseaux sociaux ou un citoyen soucieux de la protection de sa vie privée :
- Vous avez et détenez des données que vous êtes censé garder pour vous. Certaines de ces données sont difficiles voire impossibles à rendre de nouveau privées (par exemple en les modifiant ou en les faisant réémettre) si elles ont été volées.
- Vous avez et détenez des données qui ont de la valeur pour les cybercriminels s’ils mettent la main dessus, qu’ils les vendent immédiatement sur le Dark Web ou bien qu’ils essaient de vous faire chanter d’abord en vous promettant de ne pas les vendre ensuite.
Pour résumer : vous n’avez pas besoin d’apparaître explicitement sur le radar d’un cybergang pour être implicitement sur leur radar.
En effet, les cybercriminels peuvent décider de vous attaquer parce qu’ils ont déjà une liste de réseaux qu’ils peuvent potentiellement pirater, et au niveau desquels ils pensent pouvoir extorquer de l’argent, et vous êtes juste le prochain sur la liste.
Comme l’a expliqué récemment les SophosLabs dans un rapport publié sur le gang du ransomware Egregor, qui utilise une méthode de chantage en deux temps consistant à voler et chiffrer vos fichiers, le seul point commun “classique” à propos des victimes connues est qu’elles ont des réseaux connectés à Internet :
Nous avons détecté le ransomware Egregor pour la première fois en septembre lors d’une attaque contre un client. Au 25 novembre, le ring avait publié des détails sur plus de 130 victimes sur son site Web Tor hidden services (.onion). Les victimes présumées de ces attaques sont variées, à la fois en termes de localisation et de type d’organisation : en effet, elles comprennent des écoles, des fabricants, des entreprises de logistique, des institutions financières et des entreprises technologiques.
Soit dit en passant, ces 130 entreprises sont celles qui n’ont pas payé, de sorte que le nombre réel de victimes est sans aucun doute encore plus élevé.
Quoi faire ?
Pour empêcher les cybercriminels, voleurs de données, d’accéder à votre réseau, essayez l’une ou toutes les solutions suivantes :
- Continuez à informer/sensibiliser vos utilisateurs concernant les dernières menaces de phishing. Une quantité importante des cyberattaques commence par un accès à vos systèmes obtenu par les cybercriminels grâce à des liens Web frauduleux ou des pièces jointes envoyées par email. Pensez à des outils tels que Sophos Phish Threat qui vous permettent de tester et de sensibiliser vos propres utilisateurs avec des emails de phishing réalistes mais faux, afin qu’ils puissent faire leurs propres erreurs avec vous comme interlocuteur plutôt que les véritables cybercriminels.
- Passez régulièrement en revue vos portails d’accès à distance. Stoppez les outils d’accès à distance dont vous n’avez pas besoin; choisissez les mots de passe appropriés; et exiger l’utilisation du 2FA chaque fois que vous le pouvez. Un serveur RDP oublié ou mal configuré, par exemple, ou un compte SSH qui a été hameçonné et qui n’est pas protégé par le 2FA, peut être largement suffisant pour que des cybercriminels puissent lancer leur attaque.
- Patchez tôt et patchez souvent. Les correctifs ne sont pas réservés aux serveurs connectés à Internet. Les cybercriminels identifient et exploitent les logiciels bogués à l’intérieur de votre réseau afin d’aggraver la situation de vulnérabilité en élargissant ce que l’on appelle la surface d’une attaque.
- N’ignorez pas les premiers signes annonciateurs d’une attaque. Si les logs de votre système affichent un schéma inhabituel de détection de menace, notamment des malwares apparemment lancés depuis l’intérieur du réseau ou des outils d’administration système qui apparaissent là où vous ne les attendez pas : ne tardez pas. Investiguez immédiatement.
- Pensez à obtenir de l’aide si vous en avez besoin. Des experts tels que les équipes Sophos Managed Threat Reponse et Rapid Response peuvent intervenir très rapidement lorsque vous détectez un problème. Ils peuvent vous aider (ou même s’occuper de tout pour vous si vous manquez vraiment de personnel ou d’expertise) lorsque vous n’avez tout simplement pas le temps d’investiguer vous-même en profondeur.
- Fournissez à vos employés un numéro de téléphone ou une adresse email unique qu’ils pourront utiliser pour signaler des problèmes. Aidez vos employés à être les yeux et les oreilles de votre équipe de sécurité, ils vous aideront ainsi à repérer les attaques bien plus tôt. Les cybercriminels n’envoient pas un seul email de phishing à une personne, puis passent à une autre entreprise en cas d’échec, donc plus tôt un de vos employés dira ‘quelque chose’ à ‘quelqu’un’, plus vite l’ensemble de l’entreprise pourra être informé et meilleures seront les chances que personne ne soit véritablement affecté.
SECTEUR DE LA SANTÉ ET PIRATAGE : EN SAVOIR PLUS SUR LES TECHNIQUES POUR GARDER LES CYBERCRIMINELS À L’ÉCART (vous pouvez aussi regarder cette vidéo directement sur YouTube)
Billet inspiré de Was there a “COVID-19 vaccine hack” against the European Medicines Agency?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.