Coronavirus et cybercriminalité en Suisse

«Domaines relatifs au coronavirus» abusifs, attaques de phishing et cybercriminalité. Dans quelle mesure les abus se sont-ils multipliés en Suisse depuis l’apparition du coronavirus?

Texte: Michael Hausding, publié le 14.07.2020

Le coronavirus a fondamentalement changé notre quotidien et plongé la société dans une situation exceptionnelle. L’insécurité y afférente a fait naître un besoin accru d’information et de protection ainsi que de nouvelles situations de travail, que les criminels ont exploité malicieusement. Avec le confinement, presque tout n’était soudain plus possible que virtuellement. SWITCH, en tant que registry .ch, fournisseur d’infrastructures informatiques pour les hautes écoles et CERT multisectoriel, dispose d’une bonne vue d’ensemble de la cybercriminalité qui sévit à l’ombre de l’énorme essor de la numérisation.

Abus de nom de domaine

La presse internationale a mis en garde contre les nouveaux «domaines relatifs au coronavirus» qui répandent des virus. SWITCH, en tant que service d’enregistrement des noms de domaine .ch, a effectivement reçu un nombre excessif de signalements privés de noms de domaine prétendument abusivement enregistrés et contenant les termes «corona», «covid» ou «virus». Tous ces signalements ont été vérifiés par SWITCH. En cas de doute sur l’identité du détenteur, une procédure d’identification du détenteur était engagée, dans laquelle le détenteur devait s’identifier au moyen d’un document d’identité. Il est vrai que dans quelques cas, les demandes sont restées sans réponse et le nom de domaine a alors été à nouveau supprimé. Toutefois, dans la plupart des cas, les détenteurs se sont identifiés correctement et aucune mesure supplémentaire n’a dû être prise.

Depuis mars, les autorités suisses ont également signalé une augmentation des cas suspects au service d’enregistrement. Les services reconnus par l’OFCOM ont accès au fichier de zone complet contenant tous les noms de domaine et peuvent ainsi identifier les nouveaux enregistrements suspects. Entre mars et mai, une assistance administrative a été sollicitée au total 253 fois auprès du registry afin d’établir l’identité et l’adresse de correspondance suisse de détenteurs d’un nom de domaine suspect et de fournir ces informations aux autorités. Il s’agit d’une procédure standard qui est utilisée plusieurs milliers de fois chaque année en cas de suspicion d’abus tels que les fausses boutiques en ligne. Un nombre remarquablement élevé de demandes a été traité et les autorités ont pu régler directement avec les détenteurs les éventuelles infractions à la loi. 

Dans quelques cas isolés, les noms de domaine nouvellement enregistrés ont également été temporairement bloqués à la demande des autorités, p. ex. si des informations personnelles ou des informations sur les cartes de crédit étaient demandées sur les sites Web et que l’on soupçonnait qu’il s’agissait de fausses boutiques en ligne pour le phishing de données. Là encore, la plupart des détenteurs se sont rapidement manifestés, la boutique en ligne a été débloquée et les autorités ont pu clarifier la situation avec les détenteurs. Cependant, quelques noms de domaine de boutiques proposant des «tests de coronavirus» ont aussi été supprimés, car les détenteurs ne s’étaient pas identifiés dans les 30 jours.

SWITCH n’a détecté aucune propagation de logiciels malveillants ni de phishing sur les noms de domaine «coronavirus» nouvellement enregistrés, et aucun cas de ce type n’est connu de la Centrale d’enregistrement et d’analyse MELANI. Les malfaiteurs étaient probablement conscients de l’attention particulière suscitée par ces noms de domaine et ont utilisé des noms de domaine plus discrets pour leurs attaques.

Des attaques de phishing dans les bureaux à domicile

Cependant, on a pu constater une augmentation des attaques de phishing contre les internautes suisses en télétravail. Le fait de travailler en dehors du réseau généralement protégé des entreprises a facilité ces attaques. Les attaques observées par SWITCH-CERT visaient spécifiquement les membres des hautes écoles et les utilisateurs des fournisseurs suisses de services informatiques tels que les hébergeurs Web. Les accès piratés à l’hébergement Web ont ensuite été fréquemment utilisés à mauvais escient pour héberger d’autres pages de phishing sur les noms de domaine et les serveurs Web existants. Heureusement, ces abus ont été rapidement détectés et éliminés. Divers hébergeurs ont mis en garde leurs clients contre ces attaques, et la Centrale d’enregistrement et d’analyse MELANI a également fait état d’une recrudescence du phishing.

L’une des plus célèbres attaques de phishing au niveau international, au tout début de la pandémie, a été perpétrée au nom de l’OMS. L’OMS n’avait protégé son nom de domaine who.int contre les abus ni avec DNSSEC, ni avec DMARC. Alors que le protocole DNSSEC protège contre les redirections abusives vers d’autres sites Web, DMARC est utilisé pour protéger contre l’usurpation d’adresses e-mail: il empêche les attaquants d’envoyer des e-mails au nom de quelqu’un d’autre. C’est exactement ce qui est arrivé à l’OMS. Ainsi, des e-mails de phishing ont été envoyés en son nom – en tant qu’autorité mondiale suprême dans la crise sanitaire – en utilisant la pandémie comme prétexte pour propager des logiciels malveillants. Une simple mesure d’hygiène virtuelle telle que DMARC pour authentifier les e-mails avait été omise. Depuis lors, l’OMS a activé DMARC pour son nom de domaine. Cela ne protège pas seulement son organisation contre les abus. En effet, DMARC permet également à ses destinataires de reconnaître plus facilement les e-mails de phishing. En Suisse, DMARC a été introduit par diverses organisations et par des prestataires de services informatiques, peut-être aussi en réponse à l’augmentation du nombre d’attaques de phishing. Certains fournisseurs suisses déclarent que grâce à DMARC, ils ont pu filtrer de grandes campagnes de phishing et ainsi protéger leurs clients. Même si l’utilisation de DMARC en Suisse est passée à 8%, il reste urgent d’améliorer la cyberhygiène, tout comme l’application d’autres normes en Suisse.

L’augmentation de la cybercriminalité liée à la pandémie de coronavirus met une fois de plus en évidence la fragilité de l’infrastructure Internet. L’application de normes de sécurité telles que DMARC et DNSSEC devrait donc être considérée comme une priorité urgente en vue de renforcer la résilience de la Suisse numérique pour l’avenir et de rendre ainsi plus difficiles les cyberattaques nuisibles à l’image.

L'auteur
Michael   Hausding

Michael Hausding

Michael Hausding a étudié l’informatique à l’Université technique de Darmstadt et le MTEC à l’EPF de Zurich. Depuis 2008, il travaille en tant qu’expert en matière de sécurité au sein de l’équipe SWITCH-CERT et est spécialisé dans les abus de DNS et de noms de domaine.

E-mail

#Security

 

Cet article a été publié pour la première fois sur inside-it.ch et inside-channels.ch (en allemand) dans le cadre de la rubrique #Security de SWITCH. Cette rubrique paraît six fois par an. Les experts en sécurité de SWITCH s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.

Tags
Security
Autres articles